Cisco Secure ACS Express 5.0.1 ユーザ ガイド User Guide for the Cisco Secure ACS Express 5.0.1
システム管理
システム管理
発行日;2012/02/02 | 英語版ドキュメント(2009/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

システム管理

管理者

管理者の追加

管理者の編集

管理者の削除

管理者パスワード ポリシー

Extensible Authentication Protocol(EAP)

証明書

証明書のインストール

自己署名証明書の生成

証明書のダウンロード

CA 証明書の追加

CA 証明書の編集

CA 証明書の削除

プロトコル設定

RADIUS ディクショナリ

RADIUS ディクショナリの編集

RADIUS ディクショナリでのアトリビュートの管理

RADIUS ディクショナリへのアトリビュートの追加

RADIUS ディクショナリでのアトリビュートの編集

RADIUS ディクショナリでのアトリビュートの削除

Web コンソール

Web コンソール証明書

Web 証明書のインストール

自己署名証明書の生成

ログイン設定

複製

システム概要

システム管理

[System Administration] メニューを使用すると、GUI の管理者領域にアクセスし、管理ユーザの管理や、さまざまなアプライアンス設定およびアプリケーション設定の制御を行うことができます。図 7-1 は、ACS Express GUI の [System Administration] ドロワーを示したものです。


) 管理者は、GUI またはコマンドライン インターフェイスを使用して ACS Express を管理できます。


図 7-1 [System Administration] ドロワー

 

この章は、次の内容で構成されています。

「管理者」

「Extensible Authentication Protocol(EAP)」

「RADIUS ディクショナリ」

「Web コンソール」

「複製」

「システム概要」

管理者

[Administrators] ウィンドウには、設定されたすべての管理者の一覧が表示されます。管理者の追加、編集、削除を行うことができます。[Administrators] ウィンドウを使用して、サイトの管理者パスワード ポリシーを管理することもできます。

[Administrators] ウィンドウ(図 7-2)には、設定された管理者の一覧が表示され、各管理者に関する情報(名前、有効であるかどうか、管理特権(読み取り書き込みまたは読み取り専用)、およびパスワード ステータスなど)が示されます。

図 7-2 [Administrators] ウィンドウ

 

この項は、次の内容で構成されています。

「管理者の追加」

「管理者の編集」

「管理者の削除」

「管理者パスワード ポリシー」

管理者の追加

管理者を追加するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[Administrators] をクリックします。

[Administrators] ウィンドウが開き、現在設定されているすべての管理者が表示されます。

ステップ 2 [Add] をクリックします。

[Administrators > Add] ウィンドウが表示されます。図 7-3 に、[Administrators > Add] ウィンドウの例を示します。

図 7-3 [Administrators > Add] ウィンドウ

 

ステップ 3 管理者として割り当てるユーザのユーザ ID を入力します。

新しい管理者のデフォルトのステータスは [Enabled] です。[Save] をクリックする前に、この設定を [Disabled] に変更できます。

ステップ 4 [Authentication Information] で、パスワード フィールドにこの管理者が使用するパスワードを入力し、[Password Confirmation] フィールドに同じパスワードを入力します。

新しい管理者のデフォルトのステータスは [Read-Write] です。[Save] をクリックする前に、この設定を [Read-Only] に変更できます。読み取り専用のアクセス権が付与された管理者は、特定の管理者ページを表示できますが、変更はできません。

ステップ 5 新しい管理者を作成する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。

[Administrators] ウィンドウが開き、新しく作成された管理者が表示されます。


 

管理者の編集

管理者を編集するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[Administrators] をクリックします。

[Administrators] ウィンドウが開き、現在設定されているすべての管理者が表示されます。

ステップ 2 対応するチェックボックスをオンにして変更する管理者を選択し、[Edit] をクリックします。

対象の管理者の [Edit] ウィンドウが表示されます。

ステップ 3 必要な変更を加えます。


) 管理者の名前は変更できません。名前の変更が必要な場合は、管理者を削除してから、新しい名前を使用して、もう一度管理者を追加します。


ステップ 4 新しい管理者を作成する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。

[Administrators] ウィンドウが開き、新しく作成された管理者が表示されます。


 

管理者の削除

管理者を削除するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[Administrators] をクリックします。

[Administrators] ウィンドウが開き、現在設定されているすべての管理者が表示されます。

ステップ 2 対応するチェックボックスをオンにして削除する管理者を選択し、[Delete] をクリックします。

[Confirm Deletion] ウィンドウが開き、この管理者を削除してよいかどうかを確認するメッセージが表示されます。

ステップ 3 管理者を削除する場合は [Yes] をクリックします。管理者を保持する場合は [No] をクリックします。


 

管理者パスワード ポリシー

サイトでの管理者パスワード ポリシーを定義するには、[Password Policy] ウィンドウを使用します。


) 管理者パスワード ポリシーに加えた変更は、新しく設定される管理者にのみ適用されます。既存の管理者には適用されません。既存の管理者に変更後のパスワード ポリシーを適用するには、パスワードを変更する必要があります。


パスワードの複雑度

[Password Policy] ウィンドウの [Password Complexity] では、必須の文字、パスワードの長さなど、パスワードについての規則を定義します。 表 7-1 に、パスワードの複雑度に関する規則を一覧表示し、説明します。

 

表 7-1 パスワードの複雑度

フィールド
説明

[Required Characters]

[Lowercase Characters]

パスワードに小文字を含めることを求める場合はオンにします。

[Uppercase Characters]

パスワードに大文字を含めることを求める場合はオンにします。

[Numbers]

パスワードに数字を含めることを求める場合はオンにします。

[Minimum Password Length]

パスワードの最小の長さを指定します(1 ~ 999)。

[Disallow Username in Password]

パスワードにユーザ名を含めることを許可しない場合はオンにします。

[Disallow Reuse of Previous Password]

ユーザに以前のパスワードの使用を許可しない場合はオンにします。

[Password Expiration Enabled]

チェックボックス。パスワードの失効とロックアウトを有効にします。

[Expiration Days]

パスワードが失効するまでの日数です。

パスワード ロックアウト

[Password Policy] ウィンドウの [Password Lockout] セクションを使用して、パスワードをロックアウトする条件を定義できます。 表 7-2 に、パスワードをロックアウトする条件の一覧を示し、説明します。

 

表 7-2 パスワード ロックアウト

フィールド
説明

[Password Never Locked Out]

チェックボックス。オンにすると、パスワード ロックアウトは解除され、失敗したログイン試行回数は無制限に許可されます。

[Number of Invalid Logins]

数字(1 ~ 999)で指定します。ここで指定した数だけ無効なログイン試行を繰り返すと、パスワード ロックアウトが発生します。

管理者のロックアウト

管理者が無効なログイン試行を繰り返してロックアウトされている場合、[Password Status] フィールドには次のようなメッセージが表示されます。

Password locked. This account is disabled.
 

無効になった管理者アカウントのロックを解除するには、別の管理者が、無効になった管理者のパスワードを変更し、アカウント ステータスを [Enabled] に設定する必要があります。

Extensible Authentication Protocol(EAP)

ACS Express では、次のような、Extensible Authentication Protocol(EAP)の実装をサポートしています。

EAP-TLS:EAP-Transport Level Security は RFC 2716 に定義されています。

PEAP v0:Protected EAP Version 0

PEAP v1:Protected EAP Version 1

EAP-FAST v0:Flexible Authentication via Secure Tunneling

LEAP:Lightweight Extensible Authentication Protocol

これらのプロトコルは、証明書と鍵を使用して、安全なネットワーク通信の実現に役立っています。ACS Express GUI のこのセクションを使用して、EAP に必要な証明書ファイルと鍵を管理できます。

この項は、次の内容で構成されています。

「証明書」

「プロトコル設定」

証明書

ACS Express は、サーバ RSA 秘密鍵ファイルおよびサーバ秘密鍵パスワードとともにサーバ証明書ファイルを使用して、ネットワークの安全な通信を確保します


) この証明書は PEAP および EAP-TLS にのみ使用でき、EAP-FAST や LEAP には使用できません。


ACS Express GUI を使用すると、新しい証明書のインストール、自己署名証明書の生成、Certificate Trust List(CTL; 証明書信頼リスト)の管理を行うことができます。

システムにインストールされた証明書を表示するには、[System Administration] ドロワーに移動し、[EAP] 下の [Certificates] をクリックします。

[Administrators] ウィンドウには、現在インストールされているすべての証明書が表示されます。隣にあるボタンを使用して、証明書を管理できます。

図 7-4 は、[EAP Certificates] ウィンドウを示したものです。

図 7-4 EAP 証明書

 

証明書信頼リスト

証明書信頼リストは信頼された Certification Authority(CA; 認証局)の一覧で、サーバが EAP-TLS 方式でクライアント証明書を確認するときに使用することがあります。GUI を使用して CA 証明書を追加すると設定されます。CA は、ネットワークのセキュリティ確保に使用されるデジタル証明書を発行する、信頼されたサードパーティの団体です。

Certificate Revocation List(CRL; 証明書失効リスト)は、無効になったクライアント証明書の一覧を取得するために使用される URL です。該当する URL の一覧が格納されていることがあります。

ここでは、次の内容について説明します。

「証明書のインストール」

「自己署名証明書の生成」

「証明書のダウンロード」

「CA 証明書の追加」

「CA 証明書の編集」

「CA 証明書の削除」

証明書のインストール

システムに証明書をインストールするには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ウィンドウが開き、現在インストールされている証明書のステータスの一覧が表示されます(証明書がインストールされている場合)。

ステップ 2 [Install Certificate] をクリックします。

[Install Certificates] ダイアログ ボックス(図 7-5)が表示されます。 表 7-3 に、新しい証明書のインストールに必要となるプロパティの一覧を示します。

 

表 7-3 証明書をインストールする場合のプロパティ

プロパティ
説明

[Certificate Format]

ドロップダウン メニューから証明書の形式を選択します。ACS Express は、PEM/DER または PFX/P12(PKCS12)形式をサポートしています。

[Server Certificate File]

[Browse] を使用して、現在有効なサーバ証明書ファイルを特定します。

[Server RSA Private Key File]

[Browse] を使用して、現在有効なサーバ RSA 秘密鍵ファイルを特定します。

[Server Private Key Password]

サーバ秘密鍵に使用するパスワードです。

このパスワードは、システム管理者から提供されます。

[Confirm Server Private Key Password]

サーバ秘密鍵に使用するパスワードをもう一度入力します。

図 7-5 証明書のインストール

 

ステップ 3 プルダウン メニューを使用して、インストールする証明書の形式(PEM/DER または PFX/P12)を指定します。

ステップ 4 [Browse] を使用して、システムにあるサーバ証明書ファイルを特定します。

ステップ 5 [Browse] を使用して、システムにあるサーバ RSA 秘密鍵ファイルを特定します。

ステップ 6 サイトのサーバ秘密鍵パスワード([Server Private Key Password])を入力し、[Confirm Server Private Key Password] フィールドにもう一度入力します。


) 複製を使用する場合、プライマリ サーバで使用する [Server Private Key Password] と、セカンダリ サーバで使用する [Server Private Key Password] は一致する必要があります。


ステップ 7 証明書をインストールする場合は [Install] をクリックします。中止する場合は [Cancel] をクリックします。


 

自己署名証明書の生成

自己署名証明書は、セキュリティ レベルの高い CA によって署名または確認されたものではなく、デフォルトで暗黙的に信頼されるものです。

一般的な公開鍵インフラストラクチャでは、特定の公開鍵証明書は有効であると見なされ、認証局から発行されるデジタル署名によって証明されます。ユーザ(またはそのソフトウェア)は、証明書の署名に使用されている秘密鍵が、CA 発行の証明書の公開鍵に一致するかどうかを確認します。CA 証明書は、多くの場合、ランクの高い CA によって署名されるため、一般的な PKI スキームで最終的な認証を提供する最高ランクの CA が必要です。

各 CA は、サーバ証明書ファイルおよびサーバ RSA 秘密鍵ファイルの正当性を証明するために使用されるデジタル署名を保持し、[Server Private Key Password] と [Confirm Server Private Key Password] へのアクセス権を持ちます。

自己署名証明書を生成するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ダイアログ ボックス(図 7-4)に、現在の証明書と証明書信頼リストが表示されます。

ステップ 2 [Generate Self-Signed Certificate] をクリックします。

[Generate Self-Signed Certificate] ダイアログ ボックスが表示されます(図 7-6)。

図 7-6 [Generate Self-Signed Certificate] 画面

 

 

表 7-4 [Generate Self-Signed Certificate] 画面のフィールド

フィールド
説明

[Common Name]

証明書の生成に使用する名前。
1 ~ 64 文字の英数字文字列で指定します。

[Organization Name]

証明書の生成に使用する組織名。1 ~ 64 文字の英数字文字列で指定します。

[Organization Unit]

証明書の生成に使用する組織ユニット。1 ~ 64 文字の英数字文字列で指定します。

[Private Key Password]

秘密鍵ファイルの保護に使用する秘密鍵パスワード。
1 ~ 32 文字の文字列で指定します。これは、証明書のインストールに使用したサーバ秘密鍵パスワードと同じパスワードです( 表 7-3 を参照)。

[Confirm Private Key Password]

正しいことを確認するため、秘密鍵パスワードをもう一度入力します。

ステップ 3 証明書の生成に使用する共通名([Common Name])を入力します。

ステップ 4 オプションで、[Organization Name] と [Organization Unit] を入力することもできます。

ステップ 5 この証明書の生成に使用する鍵([Key])を入力し、[Confirm Key] フィールドにもう一度入力します。

ステップ 6 証明書を生成する場合は [Generate] をクリックします。中止する場合は [Cancel] をクリックします。


 

証明書のダウンロード

証明書をダウンロードするには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ダイアログ(図 7-4)に、現在の証明書と証明書信頼リストが表示されます。

ステップ 2 [Download Certificate] をクリックします。

[Download Certificate] ダイアログ ボックスが開き、ダウンロードされた証明書ファイル名、ファイルの種類、ダウンロードするサーバ名が表示されます。図 7-7 に、[Download Certificate] ダイアログ ボックスの例を示します。

図 7-7 [Download Certificate] ダイアログ

 

ステップ 3 [Save To Disk] がオンになっていることを確認し、証明書ファイルをダウンロードする場合は [OK] をクリックします。中止する場合は [Cancel] をクリックします。


 

CA 証明書の追加

証明書信頼リストに証明書を追加することで、認証局(CA)証明書を追加できます。証明書信頼リスト(CTL)に CA 証明書を追加するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ウィンドウ(図 7-4)に、現在のサーバ証明書と証明書信頼リストが表示されます。

ステップ 2 [Certificates] ウィンドウの [Certificate Trust List] 領域で、[Add] をクリックします。

[Add CA Certificate] ウィンドウが表示されます。

ステップ 3 [Browse] をクリックし、追加する CA 証明書ファイルを特定します。

ACS Express は、PEM 形式の CA 証明書ファイルをサポートしています。

ステップ 4 CA 証明書ファイルを選択したら、[Add] をクリックします。

[Certificates] ウィンドウに、"Successfully saved settings" のようなメッセージが表示され、新しく追加した CA が証明書信頼リストに一覧表示されます。


 

CA 証明書の編集

証明書信頼リスト(CTL)で CA 証明書を編集するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ウィンドウ(図 7-4)に、現在のサーバ証明書と証明書信頼リストが表示されます。

ステップ 2 [Certificates] ウィンドウの [Certificate Trust List] 領域で、対応するチェックボックスをオンにして編集する CA を選択し、[Edit] をクリックします。

[Edit Certificate] ウィンドウに、該当する CA の [General Settings] と [Certificate Revocation Settings] が表示されます。ここで変更できるフィールドは、[Distribution URL] と [Ignore Expiration Date] だけです。証明書失効設定の詳細については、 表 7-5 を参照してください。

 

表 7-5 証明書失効設定

フィールド
説明

[Distribution URL]

証明書失効リストをダウンロードする URL。

[CRL Next Retrieval]

次にスケジュールされている CRL ダウンロード(表示のみ)。

[Ignore Expiration Date]

証明書の有効期限を無視する場合はオンにします。GUI に緑色のチェックマークが付いている場合、オンになっているときは証明書を使用できることを意味します。

[CRL Last Retrieval]

最後に実行された CRL ダウンロードの日付とタイムスタンプ(表示のみ)。

ステップ 3 CA の 証明書失効設定に必要な変更を加え、変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。

[Certificates] ウィンドウに、"Successfully saved settings" のようなメッセージが表示され、現在のサーバ証明書設定と証明書信頼リストの一覧が表示されます。


 

CA 証明書の削除

証明書信頼リスト(CTL)で CA 証明書を削除するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[EAP] 下の [Certificates] をクリックします。

[EAP Certificates] ウィンドウ(図 7-4)に、現在のサーバ証明書と証明書信頼リストが表示されます。

ステップ 2 [Certificates] ウィンドウの [Certificate Trust List] 領域で、対応するチェックボックスをオンにして削除する CA を選択し、[Delete] をクリックします。

[Confirm Deletion] ダイアログに次のようなメッセージが表示されます。

Are you sure you want to delete the selected items (s)?
 

ステップ 3 選択した証明書を削除するには [Yes] をクリックします。操作を中止して証明書を保持するには [No] をクリックします。


 

プロトコル設定

[Protocol Settings] ウィンドウには、ACS Express がサポートするさまざまな EAP プロトコルについての EAP 設定が表示されます。図 7-8 は、[EAP Protocol Settings] ウィンドウを示したものです。

図 7-8 EAP プロトコル設定

 

PEAP 設定

表 7-6 に、PEAP プロトコル設定の中で変更可能なものを示します。

 

表 7-6 PEAP プロトコル設定

フィールド
説明

[Session Cache Timeout]

タイムアウトが生じる前にセッションが存続できる最大分数。

(注) セッション キャッシングは、クライアントとサーバの両方で有効になっている必要があります。

[Enable Session Cache]

チェックボックス。セッション キャッシュを有効にします。

[Enable Fast Reconnect]

チェックボックス。高速再接続を有効にします。

(注) 高速再接続は、セッション キャッシングがクライアントとサーバの両方で有効になっている場合にのみ使用できます。

PEAP は、以前キャッシュしたセッションを再開させることでクライアントが認証できるようにするセッション キャッシングをサポートします。結果として、出力されるメッセージが少なくなり、遅延が軽減されます。セッション再開は、クライアントの認証に少なくとも 1 回は成功し、キャッシュされた有効なセッションが確立している場合にのみ実現可能となります。セッション キャッシングは、クライアントとサーバの両方で有効になっている必要があります。セッションが期限切れになると、クライアントはもう一度認証を受けてキャッシュされたセッションを更新する必要があります。

PEAP は、高速再接続もサポートしています。高速再接続を使用すると、PEAP はセッション再開時に 2 番目の(内部)認証フェーズをスキップできるため、結果として、出力されるメッセージが少なくなり、遅延が軽減されます。高速再接続は、セッション キャッシングがクライアントとサーバの両方で有効になっている場合にのみ使用できます。

EAP-FAST 設定

表 7-7 に、EAP-FAST プロトコル設定の中で変更可能なものを示します。

 

表 7-7 EAP-FAST プロトコル設定

フィールド
説明

[Authority Identifier]

トークンを発行した認証局の名前です。

[Tunnel PAC TTL]

トンネル PAC の Time-to-Live(TTL; 存続可能時間)に設定する時間です。

EAP-TLS 設定

表 7-8 に、EAP-TLS プロトコル設定の中で変更可能なものを示します。

 

表 7-8 EAP-TLS プロトコル設定

フィールド
説明

[Session Cache Timeout]

タイムアウトが生じる前にセッションが存続できる最大分数。

(注) セッション キャッシングは、クライアントとサーバの両方で有効になっている必要があります。

[Enable Session Cache]

チェックボックス。セッション キャッシュを有効にします。

[EAP-TLS Certificate Comparison]

比較する証明書タイプの各チェックボックスをオンにします。

SAN:ユーザの ID が、証明書の SubjectAltName エクステンションに対して比較されます。

CN:ユーザの ID が、証明書の CommonName フィールドに対して比較されます。

Binary:ユーザの ID が、対象ユーザの ID ストアに保管されている証明書とバイナリ ベースで比較されます。

EAP-TLS は、以前キャッシュしたセッションを再開させることでクライアントが認証できるようにするセッション キャッシングをサポートします。結果として、出力されるメッセージが少なくなり、遅延が軽減されます。セッション再開は、クライアントの認証に少なくとも 1 回は成功し、キャッシュされた有効なセッションが確立している場合にのみ実現可能となります。セッション キャッシングは、クライアントとサーバの両方で有効になっている必要があります。セッションが期限切れになると、クライアントはもう一度認証を受けてキャッシュされたセッションを更新する必要があります。

マシン アクセス制限

[Session Cache Timeout] には、タイムアウトが生じる前にセッションが存続できる最大分数を設定します。


) アトリビュートの MAR セッション キャッシュ タイムアウトにデフォルト以外の値が設定されていると、その時間が経過してもマシン セッションは解放されません。


RADIUS ディクショナリ

[System Administration] > [RADIUS Dictionary] ウィンドウには、ACS Express によってサポートされる利用可能なアトリビュート ディクショナリの一覧が表示されます。これらのディクショナリには、さまざまなユーザ グループ、デバイス、デバイス グループに設定する RADIUS アクセス サービス認可規則の RADIUS 応答に追加できるアトリビュートの一覧が表示されます。

ACS Express は、次のディクショナリと、ユーザによる作成と変更が可能な 4 つの カスタム ディクショナリをサポートしています。

Cisco Airespace

Cisco IOS

Cisco VPN 3000 ASA PIX 7.+

Cisco VPN 5000

Juniper

Microsoft

RADIUS IETF


) RADIUS IETF ディクショナリ には、標準的なすべての RADIUS アトリビュートが格納されています。


この項では、次の内容について説明します。

「RADIUS ディクショナリの編集」

「RADIUS ディクショナリでのアトリビュートの管理」

「RADIUS ディクショナリへのアトリビュートの追加」

「RADIUS ディクショナリでのアトリビュートの編集」

「RADIUS ディクショナリでのアトリビュートの削除」

図 7-9 に、[RADIUS Dictionary] ウィンドウの例を示します。

図 7-9 [RADIUS Dictionary] ウィンドウ

 

RADIUS ディクショナリの編集

サポートされている RADIUS ディクショナリの名前、説明、ベンダー ID を変更できます。RADIUS ディクショナリを編集するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[RADIUS Dictionary] をクリックします。

[RADIUS Dictionary] ウィンドウが表示されます(図 7-9 を参照)。

ステップ 2 変更するディクショナリのチェックボックスをオンにし、[Edit] をクリックします。

ステップ 3 [Name]、[Description]、または [Vendor ID] を目的の値に変更します。

ステップ 4 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

RADIUS ディクショナリでのアトリビュートの管理

ACS Express では、RADIUS ディクショナリ内のアトリビュートの追加、変更、削除を行うことができます。RADIUS ディクショナリでアトリビュートを管理するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[RADIUS Dictionary] をクリックします。

[RADIUS Dictionary] ウィンドウが表示されます(図 7-9 を参照)。

ステップ 2 変更または削除するアトリビュートが格納されるディクショナリのチェックボックスをオンにし、[Manage Attributes] をクリックします。

選択した RADIUS ディクショナリの [Attributes] ウィンドウが表示されます(図 7-10 を参照)。このウィンドウを使用して、選択したアトリビュートを編集または削除できます。[Add] をクリックして、選択したディクショナリに新しいアトリビュートを追加することもできます。

図 7-10 [Cisco Airespace Dictionary Attributes] ウィンドウ

 


 

RADIUS ディクショナリへのアトリビュートの追加

ACS Express では、RADIUS ディクショナリにアトリビュートを追加できます。このオプションを使用して、カスタム ディクショナリまたは既存のサポートされるディクショナリにアトリビュートを追加します。RADIUS ディクショナリでアトリビュートを追加するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[RADIUS Dictionary] をクリックします。

[RADIUS Dictionary] ウィンドウが表示されます(図 7-9 を参照)。

ステップ 2 追加するアトリビュートを格納するディクショナリのチェックボックスをオンにし、[Manage Attributes] をクリックします。

選択した RADIUS ディクショナリの [Attributes] ウィンドウが表示されます(図 7-10 を参照)。このウィンドウを使用して、選択したアトリビュートを追加、編集、または削除できます。

ステップ 3 [Add] をクリックします。

選択した RADIUS ディクショナリの [Add RADIUS Attributes] ウィンドウが表示されます(図 7-11 を参照)。 表 7-9 に、アトリビュート プロパティの一覧と、その説明を示します。

 

表 7-9 RADIUS アトリビュート プロパティ

フィールド
説明

[Name]

必須。アトリビュートの名前です。

[Description]

オプション。アトリビュートの説明です。

[AuthPacket]

追加するアトリビュートを、RADIUS 要求、応答、要求-応答のどれに含めるかを選択します。

[Type]

プルダウン メニューを使用して、アトリビュート タイプを選択します。

[Attribute]

必須。このアトリビュートのアトリビュート値です(1 ~ 255 の数字)。

[Min]

アトリビュートの最小値。

[Max]

アトリビュートの最大値。

[Enums]

アトリビュート タイプが [Tag_Unum] または [Enum] に設定されている場合は必須。

図 7-11 [Add RADIUS Attribute] ウィンドウ

 

ステップ 4 新しいアトリビュートを正しく定義するために必要な値を入力します。

ステップ 5 新しいアトリビュートを保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

RADIUS ディクショナリでのアトリビュートの編集

ACS Express では、RADIUS ディクショナリ内のアトリビュートを変更できます。RADIUS ディクショナリでアトリビュートを編集するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[RADIUS Dictionary] をクリックします。

[RADIUS Dictionary] ウィンドウが表示されます(図 7-9 を参照)。

ステップ 2 変更するアトリビュートが格納されているディクショナリのチェックボックスをオンにし、[Manage Attributes] をクリックします。

選択した RADIUS ディクショナリの [Attributes] ウィンドウが表示されます(図 7-10 を参照)。このウィンドウを使用して、選択したアトリビュートを編集できます。

ステップ 3 変更するアトリビュートのチェックボックスをオンにし、[Edit] をクリックします。

選択したアトリビュートの [Edit Attributes] ウィンドウが表示されます。 表 7-9 に、アトリビュート プロパティの一覧と、その説明を示します。

ステップ 4 このアトリビュートで、対象の値を変更します。

ステップ 5 新しいアトリビュートを保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

RADIUS ディクショナリでのアトリビュートの削除

ACS Express では、RADIUS ディクショナリ内のアトリビュートを削除できます。RADIUS ディクショナリでアトリビュートを削除するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[RADIUS Dictionary] をクリックします。

[RADIUS Dictionary] ウィンドウが表示されます(図 7-9 を参照)。

ステップ 2 変更または削除するアトリビュートが格納されるディクショナリのチェックボックスをオンにし、[Manage Attributes] をクリックします。

選択した RADIUS ディクショナリの [Attributes] ウィンドウが表示されます(図 7-10 を参照)。

ステップ 3 削除するアトリビュートのチェックボックスをオンにして、[Delete] をクリックします。

[Confirm] ダイアログ ボックスが開き、選択したアトリビュートを削除してよいかどうかを確認するメッセージが表示されます。

ステップ 4 アトリビュートを削除する場合は [Yes] をクリックします。アトリビュートを保持する場合は [No] をクリックします。


 

Web コンソール

この項では、次の内容について説明します。

「Web コンソール証明書」

「ログイン設定」

Web コンソール証明書

Web コンソール証明書は、ブラウザを使用してセッションを管理するときに使用される証明書です。図 7-12 に、[Web Console Certificate] ウィンドウの例を示します。

図 7-12 Web コンソール証明書

 

この項では、次の内容について説明します。

「Web 証明書のインストール」

「自己署名証明書の生成」

Web 証明書のインストール

Web 証明書をインストールするには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[Web Console] 下の [Certificate] をクリックします。

[Web Certificates] ウィンドウに、現在インストールされている Web 証明書が表示されます(インストールされている場合)。

ステップ 2 [Install Certificate] をクリックします。

[Web Console Install Certificate] ウィンドウが表示されます。図 7-13 に、[Web Console Install Certificate] ウィンドウの例を示します。

図 7-13 [Web Console Install Certificate] ウィンドウ

 

ステップ 3 [Browse] をクリックして、インストールする証明書ファイルを指定します。

ACS Express では、PFX/PKCS12 形式の Web 証明書だけをサポートしています。

ステップ 4 該当のフィールドに秘密鍵パスワードを入力し、[Confirm Private Key Password] フィールドにもう一度入力します。

ステップ 5 Web コンソール証明書をインストールする場合は [Install] をクリックします。中止する場合は [Cancel] をクリックします。


 

自己署名証明書の生成

自己署名の Web コンソール証明書を生成するには、次の手順を実行します。


ステップ 1 [System Administration] ドロワーを選択し、[Web Console] 下の [Certificate] をクリックします。

[Web Certificates] ウィンドウに、現在インストールされている Web 証明書が表示されます(インストールされている場合)。

ステップ 2 [Generate Self-Signed Certificate] をクリックします。

[Generate Self-Signed Web Console Certificate] ウィンドウ(図 7-14)が表示されます。

図 7-14 [Generate Self-Signed Certificate] 画面

 

ステップ 3 自己署名証明書の生成に使用する共通名([Common Name])を入力します。

[Common Name] は必須フィールドで、1 ~ 64 文字の英数字文字列を入力します。

ステップ 4 自己署名証明書の生成に使用する組織名([Organization Name])を入力します。

[Organization Name] は必須フィールドで、1 ~ 64 文字の英数字文字列を入力します。

ステップ 5 自己署名証明書の生成に使用する組織名([Organization Unit)を入力します。

[Organization Unit] は必須フィールドで、1 ~ 64 文字の英数字文字列を入力します。

ステップ 6 自己署名証明書の生成に使用する鍵([Key])を入力します。

[Key] は必須フィールドで、1 ~ 32 文字の英数字文字列を入力します。

ステップ 7 正しいことを確認するため、[Confirm Key] フィールドに鍵をもう一度入力します。

ステップ 8 自己署名の Web コンソール証明書を生成する場合は [Generate] をクリックします。中止する場合は [Cancel ] をクリックします。

成功すると、次のようなメッセージが表示されます。

Successfully saved settings.

 


 

ログイン設定

[Login Settings] ウィンドウでは、ユーザ ログイン セッションに影響するプロパティを設定できます。 表 7-10 を使用して、ログイン設定プロパティについて説明します。

図 7-15 に、[Login Settings] ウィンドウの例を示します。

図 7-15 [Login Settings] ウィンドウ

 

 

表 7-10 ログイン設定プロパティ

フィールド
説明

[Idle Session Timeout]

必須。ログイン セッションのタイムアウトが生じる前にセッションの非アクティブな状態が存続する分数を 10 ~ 1440 の範囲で指定します。

[Login Welcome Message]

オプションのフィールドです。ログイン ウィンドウに表示するメッセージを入力できます。このフィールドは、不正なログイン試行に関するメッセージを入力するのに適しています。

[EMail Address to Report Login Problem]

オプションのフィールドです。システムへのログイン試行中に発生した問題を報告するユーザの電子メール アドレスを入力します。

複製

ACS Express は、Express サーバをペアにして配置できるペアワイズ複製機能を採用しています。これにより、冗長性を提供し、利用されていないリソースが存在しないようにしながら、RADIUS 要求処理を実行します。

プライマリの ACS Express サーバは、Express の複製機能を使用して、セカンダリ ACS Express サーバと同じ ACS Express 設定を維持できます。複製が正しく設定されていると、管理者がプライマリ マシンに加えた変更は、セカンダリ マシンにも設定されます。

複製により、管理者は両方の ACS Express サーバに同じ設定変更を行う必要がなくなります。管理者はプライマリ ACS Express サーバで設定変更を行うだけで、その変更内容は自動的にセカンダリ サーバに設定されます。

複製機能では、設定の保守に重点を置いています。セッション情報やインストールに固有の情報(ネットワーキング、証明書、ログイン設定、サーバ ロギング設定、複製やマシンに固有の設定変更など)は考慮されません。これらの設定項目は、インストールごとに固有であり、プライマリ サーバとセカンダリ サーバで同一ではないと考えられるため、複製されません。

ACS Express の設定変更は、プライマリ サーバでのみ行うことができます。セカンダリ サーバで複製される内容は読み取り専用です。セカンダリ サーバで設定できるのは、セカンダリ サーバのセットアップに必要な設定だけです。


) 複製されたフィールドは、セカンダリ サーバの GUI では読み取り専用フィールドとして表示されます。


複製機能を使用して行われた設定変更は、表示している GUI ページには反映されません。更新後の設定を参照するには、ブラウザでリロードを実行する必要があります。

複製をセットアップするには、次の手順を実行します。


ステップ 1 まず、プライマリ サーバをセットアップします。

ステップ 2 [System Administration] ドロワーを選択し、[Replication] をクリックします。

[System Administration] > [Replication] ウィンドウが表示されます(図 7-16 を参照)。

図 7-16 [Replication] ウィンドウ

 

ステップ 3 [Enable Replication] のチェックボックスをオンにします。

ステップ 4 [Local Host Designation] フィールドで、プルダウン メニューを使用して、[Primary] を選択します。

ステップ 5 [Replication Secret] フィールドに、共有秘密情報を入力します。

セカンダリ サーバの [Replication Secret] フィールドにも同じ共有秘密情報を入力する必要があります。

ステップ 6 [ACS Express Secondary IP Address] フィールドに、セカンダリ サーバの IPv4 アドレスを入力します。

ステップ 7 [Save] をクリックして変更を保存します。

ステップ 8 セカンダリ サーバで、[System Administration] ドロワーに移動し、[Replication] をクリックします。

ステップ 9 [Enable Replication] のチェックボックスをオンにします。

ステップ 10 [Local Host Designation] フィールドで、プルダウン メニューを使用して、[Secondary] を選択します。

ステップ 11 [Replication Secret] フィールドに、共有秘密情報を入力します。

プライマリ サーバの [Replication Secret] フィールドに入力したのと同じ共有秘密情報を使用します。

ステップ 12 [ACS Express Primary IP Address] フィールドに、プライマリ サーバの IPv4 アドレスを入力します。

ステップ 13 [Save] をクリックして変更を保存します。

ステップ 14 [Synchronize Servers] をクリックします。

この手順は、プライマリ サーバとセカンダリ サーバのどちらでも実行できます。[Synchronize Servers] をクリックすると、複製プロセスがトリガーされます。プロセスが正常に完了すると、2 台のサーバが同期されます。プライマリ サーバで行った設定変更は、約 1 分後に自動的にセカンダリ サーバに反映されます。


 

複製と証明書

複製を使用してプライマリとセカンダリの ACS Express サーバを同期する前に、まず、マシンごとに個別にすべての証明書を追加する必要があります。個別にインストールする必要のある証明書タイプは次のとおりです。

EAP 証明書

サーバ証明書

CA 証明書

LDAP 証明書

CA 証明書

Web コンソール証明書

サーバ証明書


) これらの証明書は、デフォルト以外の証明書が求められる配置でのみ必要です。


設定が複製されている場合、認証を機能させるためには、EAP サーバ証明書にはプライマリとセカンダリで同じ秘密鍵が必要です。

システム概要

[System Summary] ウィンドウには、ACS Express サーバ に関する情報の概要(ACS Express ソフトウェアのバージョン、ネットワークの各種設定や情報、SNMP、時刻、バックアップおよび復元など)が表示されます。図 7-17 に、[System Summary] ウィンドウの例を示します。

[System Summary] ウィンドウは、5 つのセクションに分かれています。

 

表 7-11 [System Summary] ウィンドウ

セクション
プロパティ
説明

[Version]

[Version]

ACS Express ソフトウェアの現在のバージョン

[Network]

[Hostname]

ACS Express サーバ名

[Domain Name]

トップレベルのドメイン名

[IP Address]

ACS Express サーバの IP アドレス

[Subnet Mask]

ACS Express サーバのサブネット マスク

[Mac Address]

コロンで区切れられた 6 バイトのアドレス

[Default Gateway]

デフォルト ゲートウェイの IP アドレス

[DNS Servers]

DNS サーバの IP アドレス

[SNMP]

[System Contact]

連絡先を入力するためのテキスト フィールド

[System Location]

システム ロケーションを入力するためのテキスト フィールド

[Read-Only Community String]

自動的に設定

[Trap Community String]

[Trap Destinations]

[Time]

[Current Time]

現在の日付と時刻

[Primary NTP Server]

プライマリ NTP サーバの IP アドレス

[Secondary NTP Server]

セカンダリ NTP サーバの IP アドレス

[Backup & Restore]

[Last Backup]

最後にバックアップを行った日時

[Last Restore]

最後に復元した日時

図 7-17 [System Summary] ウィンドウ