Cisco Secure Access Control System 5.2 ユーザ ガイド
ネットワーク リソースの管理
ネットワーク リソースの管理
発行日;2012/02/07 | 英語版ドキュメント(2011/09/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ネットワーク リソースの管理

ネットワーク デバイス グループ

ネットワーク デバイス グループの作成、複製、および編集

ネットワーク デバイス グループの削除

階層内でのネットワーク デバイス グループの作成、複製、および編集

階層からのネットワーク デバイス グループの削除

ネットワーク デバイスおよび AAA クライアント

ネットワーク デバイスの一括操作の表示および実行

ネットワーク デバイスおよび AAA クライアントのエクスポート

ネットワーク リソースおよびユーザに関する一括操作の実行

ネットワーク リソースおよびユーザのエクスポート

ネットワーク デバイスの作成、複製、および編集

ネットワーク デバイスおよび AAA クライアントの設定

ネットワーク デバイス プロパティの表示

ネットワーク デバイスの削除

デフォルトのネットワーク デバイスの設定

外部 RADIUS サーバの使用

外部 RADIUS サーバの作成、複製、および編集

外部 RADIUS サーバの削除

ネットワーク リソースの管理

[Network Resources] ドローアでは、ACS に要求を発行するネットワーク内の要素、または要求処理の一環として ACS が対話する要素が定義されます。これらの要素には、要求を発行するネットワーク デバイス、および RADIUS プロキシとして使用される RADIUS サーバなどの外部サーバが含まれます。

ドローアを使用して、次の内容を設定できます。

ネットワーク デバイス グループ:ネットワーク デバイスの論理的なグループ。設定すると、ポリシー条件で使用できます。

ネットワーク デバイス:ACS ネットワークにアクセスする、ACS デバイス リポジトリ内のすべてのネットワーク デバイスの定義。

デフォルトのネットワーク デバイス:特定の IP アドレスのデバイス定義が ACS で見つからなかった場合に、ACS によって RADIUS 要求または TACACS+ 要求に使用されるデフォルトのネットワーク デバイス定義。

外部サーバ:RADIUS プロキシとして使用される RADIUS サーバ。

ネットワーク デバイスからネットワークへのアクセス要求を受信すると、ACS はネットワーク デバイス リポジトリを検索して、IP アドレスが一致するエントリを見つけます。次に、ACS はネットワーク デバイス定義から取得した秘密情報を共有秘密情報と比較します。

これらの情報が一致する場合は、そのネットワーク デバイスに関連付けられているネットワーク デバイス グループが取得され、ポリシー決定で使用できるようになります。ポリシー決定の詳細については、 「ACS 5.x ポリシー モデル」 を参照してください。

外部サーバ

[Network Resources] ドローアには、次の項目が含まれています。

「ネットワーク デバイス グループ」

「ネットワーク デバイスおよび AAA クライアント」

「デフォルトのネットワーク デバイスの設定」

「外部 RADIUS サーバの使用」

ネットワーク デバイス グループ

ACS では、デバイスのセットであるネットワーク デバイス グループ(NDG)を定義できます。NDG を使用すると、デバイスを論理的にグループ化でき(デバイスの場所、タイプなど)、それらのグループをポリシー条件で使用できます。

ACS では、デバイスの要求を受信すると、そのデバイスに関連付けられているネットワーク デバイス グループが取得され、ポリシー テーブルのネットワーク デバイス グループと比較されます。この方法を使用すると、複数のデバイスをグループ化し、同じポリシーを割り当てることができます。たとえば、特定の場所にあるすべてのデバイスをグループ化して、同じポリシーを割り当てることができます。

最大で 12 個のネットワーク デバイス グループを定義できます。

デバイス グループ階層は、ネットワーク デバイス グループが含まれた階層構造です。2 つのネットワーク デバイス グループ Location および Device Type が事前定義されており、これらに対して名前の変更および削除は実行できません。最大で 10 個の階層を追加できます。

NDG は、階層内の任意のノードと関連し、デバイスが関連付けられているエンティティです。これらのノードには、リーフノードだけでなく、階層内のあらゆるノードが該当します。


) ルート ノードを含み、最大で 6 つのノードを NDG 階層に含めることができます。


関連トピック

「ネットワーク デバイス グループの作成、複製、および編集」

「ネットワーク デバイス グループの削除」

ネットワーク デバイス グループの作成、複製、および編集

ネットワーク デバイス グループを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Device Groups] を選択します。

[Network Device Groups] ページが表示されます。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] オプションの下の左側のナビゲーション ペインに表示されます。

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。

複製するネットワーク デバイス グループの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更するネットワーク デバイス グループ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[Hierarchy - General] ページが表示されます。

ステップ 3 表 7-1 の説明に従って、[Hierarchy - General] ページのフィールドを変更します。

 

表 7-1 [Device Groups - General] ページのフィールド説明

フィールド
説明

Name

ネットワーク デバイス グループ(NDG)の名前を入力します。

Description

(任意)NDG の説明を入力します。

Root Node Name/Parent

NDG に関連付けられているルート ノードの名前を入力します。NDG は、反転ツリーとして構造化されており、ルート ノードは反転ツリーの最上部にあります。ルート ノード名には、NDG と同じ名前を指定できます。

ルート ノード名は、[Network Resources] ドローアで NDG をクリックすると表示されます。

ステップ 4 [Submit] をクリックします。

ネットワーク デバイス グループの設定が保存されます。[Network Device Groups] ページが表示され、新しいネットワーク デバイス グループ設定が示されます。


 

関連トピック

「ネットワーク デバイス グループ」

「ネットワーク デバイス グループの削除」

「階層内でのネットワーク デバイス グループの作成、複製、および編集」

「ネットワーク リソースおよびユーザに関する一括操作の実行」

ネットワーク デバイス グループの削除

ネットワーク デバイス グループを削除するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Device Groups] を選択します。

[Network Device Groups] ページが表示されます。

ステップ 2 削除するネットワーク デバイス グループの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。

次のエラー メッセージが表示されます。

You have requested to delete a network device group. If this group is referenced from a network device definition, the network device will be modified to reference the root node name group.
 

ステップ 3 [OK] をクリックします。

[Network Device Groups] ページが表示されます。このとき、削除されたネットワーク デバイス グループは表示されません。


 

階層内でのネットワーク デバイス グループの作成、複製、および編集

新しいネットワーク デバイス グループ ノード、または複製および編集されたネットワーク デバイス グループ ノードに対して親と子の関係を選択することによって、ネットワーク デバイス グループ ノード階層をニーズに従って配置できます。また、ネットワーク デバイス グループ ノードを階層から削除することもできます。

階層内でネットワーク デバイス グループ ノードを作成、複製、および編集するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Device Groups] を選択します。

[Network Device Groups] ページが表示されます。

ステップ 2 新しいネットワーク デバイス グループを作成する [Location]、[Device Type]、または定義済みの別のネットワーク デバイス グループをクリックし、そのグループの階層に追加します。

[Network Device Group] 階層ページが表示されます。

ステップ 3 次のいずれかを実行します。

[Create] をクリックします。選択済みのグループが存在する場合に [Create] をクリックすると、新しいグループは、選択済みの親グループの子になります。[Create] 画面で [Select] を選択して、階層内の親およびそのすべての子を移動できます。

複製する ネットワーク デバイス グループ名 の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更するネットワーク デバイス グループ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[Device Group - General] ページが表示されます。

ステップ 4 表 7-2 に従い、[Device Groups - General] ページのフィールドを変更します。

 

表 7-2 [Device Groups - General] ページのフィールド説明

フィールド
説明

Name

NDG の名前を入力します。

Description

(任意)NDG の説明を入力します。

Parent

NDG に関連付けられている親の名前を入力します。NDG は反転ツリーとして構造化されており、親の名前がツリーの最上部の名前となります。

[Select] をクリックして、[Groups] ダイアログボックスを開きます。このダイアログボックスで、グループの適切な親を選択できます。

ステップ 5 [Submit] をクリックします。

ネットワーク デバイス グループの新しい設定が保存されます。[Network Device Groups] 階層ページが表示され、新しいネットワーク デバイス グループ設定が示されます。


 

関連トピック

「ネットワーク デバイス グループ」

「ネットワーク デバイス グループの削除」

「ネットワーク デバイス グループの作成、複製、および編集」

「ネットワーク リソースおよびユーザに関する一括操作の実行」

階層からのネットワーク デバイス グループの削除

ネットワーク デバイス グループを階層から削除するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Device Groups] を選択します。

[Network Device Groups] ページが表示されます。

ステップ 2 ネットワーク デバイス グループ ノードを編集する必要がある [Location]、[Device Type]、または定義済みの別のネットワーク デバイス グループをクリックします。

[Network Device Groups] ノード階層ページが表示されます。

ステップ 3 削除するノードを選択し、[Delete] をクリックします。

次のメッセージが表示されます。

You have requested to delete a network device group. If this group is referenced from a network device definition, the network device will be modified to reference the root node name group.
 

ステップ 4 [OK] をクリックします。

ネットワーク デバイス グループ ノードが設定から削除されます。[Network Device Groups] 階層ページが表示されます。このとき、削除したデバイス グループ ノードは表示されません。


 

ネットワーク デバイスおよび AAA クライアント

ネットワークにアクセスする、ACS デバイス リポジトリ内のすべてのデバイスを定義する必要があります。ネットワーク デバイス定義は、特定の IP アドレス、またはサブネット内のすべての IP アドレスがネットワークにアクセスできるサブネット マスクに関連付けることができます。

デバイス定義には、ネットワーク デバイス グループ(NDG)へのデバイスの関連付けが含まれています。デバイスで TACACS+ または RADIUS が使用されるかどうか、およびデバイスが TrustSec デバイスであるかどうかも設定できます。


) サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。


デバイスおよびその設定をネットワーク デバイス リポジトリにインポートできます。

要求を受信すると、ACS はネットワーク デバイス リポジトリを検索して、一致する IP アドレスを持つデバイスを見つけ、次に、その秘密情報やパスワード情報をネットワーク デバイス定義から取得した情報と比較します。情報が一致すると、そのデバイスと関連付けられている NDG が取得され、ポリシー決定で使用されます。

TrustSec ライセンスをインストールして、TrustSec オプションをイネーブルにする必要があります。TrustSec ライセンスをインストールしている場合は、TrustSec のオプションだけが表示されます。TrustSec ライセンスの詳細については、「ライセンスの概要」を参照してください。

ネットワーク デバイスの一括操作の表示および実行

ネットワーク デバイスおよび AAA クライアントを表示できます。これらは、ACS にアクセス要求を送信するデバイスです。アクセス要求は、TACACS+ または RADIUS を介して送信されます。

ネットワーク デバイスを表示およびインポートするには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。

[Network Device] ページが表示され、すべての設定済みネットワーク デバイスが示されます。 表 7-3 に、[Network Device] ページのフィールドの説明を示します。

 

表 7-3 [Network Device] ページのフィールドの説明

オプション
説明

Name

ACS でのユーザ指定のネットワーク デバイス名。名前をクリックして、関連付けられているネットワーク デバイスを編集します(「ネットワーク デバイス プロパティの表示」を参照)。

IP / Mask

表示のみ。 各ネットワーク デバイスの IP アドレスまたはサブネット マスクです。最初の 3 つの IP アドレスがフィールドに表示され、それぞれカンマ(,)で区切られています。

このフィールドにサブネット マスクが含まれている場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。

サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。

NDG: <文字列>

ネットワーク デバイス グループ。2 つの事前定義済みの NDG は、Location および Device Type です。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループもここに示されます。

Description

表示のみ。 ネットワーク デバイスの説明。

ステップ 2 次のいずれかを実行します。

新しいネットワーク デバイスを作成するには、[Create] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。

編集するネットワーク デバイスの隣にあるチェックボックスをオンにし、[Edit] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。

複製するネットワーク デバイスの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。

[File Operations] をクリックして、次のいずれかの機能を実行します。

Add:インポート ファイルからネットワーク デバイスのリストを単一ショットに追加する場合は、このオプションを選択します。

Update:ACS でのネットワーク デバイスのリストをインポート ファイル内のネットワーク デバイスに置き換えるには、このオプションを選択します。

Delete:インポート ファイルでリストされているネットワーク デバイスを ACS から削除するには、このオプションを選択します。

詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。


 

インポート ファイルの作成方法については、次の URL を参照してください。 http://www.cisco.com/en/US/
docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255


ワンポイント アドバイス ACS オブジェクトに対する一括での追加、編集、または削除操作を実行するには、そのオブジェクトのエクスポート ファイルを使用し、ヘッダー行を保持して、.csv インポート ファイルを作成できます。
ただし、更新された名前または MAC アドレスを ACS オブジェクトに追加する場合は、特定の更新テンプレートをダウンロードして使用してください。また、NDG の場合、エクスポート テンプレートには NDG 名だけが含まれているため、他のプロパティを更新するには、NDG 更新テンプレートをダウンロードして使用してください。


関連トピック:

「ネットワーク デバイスおよび AAA クライアント」

「ネットワーク リソースおよびユーザに関する一括操作の実行」

「階層内でのネットワーク デバイス グループの作成、複製、および編集」

ネットワーク デバイスおよび AAA クライアントのエクスポート


) エクスポート プロセスが正常に完了するように、ブラウザのポップアップ ブロッカーをオフにする必要があります。


ネットワーク デバイスのリストをエクスポートするには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。

[Network Device] ページが表示されます。

ステップ 2 フィルタ条件および if 演算子 Match を選択し、検索するフィルタ基準をテキスト ボックスに入力します。

ステップ 3 [Go] をクリックします。

フィルタ基準と一致するレコードのリストが表示されます。このリストを .csv ファイルにエクスポートできます。

ステップ 4 [Export] をクリックして、レコードを .csv ファイルにエクスポートします。

システム メッセージ ボックスが表示され、ファイル転送中に .csv ファイルを暗号化するための暗号化パスワードを要求するプロンプトが表示されます。

エクスポート .csv ファイルを暗号化するには、[Password] チェックボックスをオンにして暗号化パスワードを入力します。任意で、転送中にファイルを暗号化しないことを選択できます。

ステップ 5 [Start Export] をクリックして、エクスポート プロセスを開始します。

[Export Progress] ウィンドウが表示され、エクスポート プロセスの進行状況が表示されます。このプロセスでエラーが発生した場合は、そのエラーが [Export Progress] ウィンドウに表示されます。エクスポート プロセスは、このプロセス中にいつでも打ち切ることができます。エクスポート プロセスを打ち切るまでのすべてのレポートがエクスポートされます。再開するには、エクスポート プロセスを最初からやり直す必要があります。

ステップ 6 エクスポート プロセスの完了後、[Save File] をクリックして、エクスポート ファイルをローカル ディスクに保存します。

エクスポート ファイルは、export.zip として圧縮された .csv ファイルです。


 

ネットワーク リソースおよびユーザに関する一括操作の実行

ファイル操作機能を使用して、データベースで次の項目に対して一括操作(追加、更新、および削除)を実行できます。

内部ユーザ

内部ホスト

ネットワーク デバイス

一括操作の場合は、ACS から .csv ファイル テンプレートをダウンロードし、追加、更新、または削除するレコードを .csv ファイルに追加し、そのファイルをローカル ディスクに保存する必要があります。Download Template 機能を使用して、.csv ファイルが要件に準拠するようにします。

ユーザ、内部ホスト、およびネットワーク デバイス用の .csv テンプレートは、それぞれのタイプに固有のテンプレートです。たとえば、[Users] ページからアクセスしてダウンロードしたテンプレートは、内部ホストやネットワーク デバイスの追加には使用できません。.csv ファイルは次の要件に準拠している必要があります。

最初のレコード(.csv ファイルの最初の行)の内容は変更しないでください。

各レコードに対して使用するのは 1 行だけです。

フィールドに改行文字を埋め込まないでください。

英語以外の言語では、.csv ファイルを utf-8 符号化で符号化するか、Unicode をサポートするフォントを使用して保存します。

一括操作を開始する前に、ブラウザのポップアップ ブロッカーがディセーブルになっていることを確認します。


ステップ 1 Web インターフェイスの [Users]、[Network Devices]、または [MAC Address] ページで、[File Operations] をクリックします。

[Operation] ダイアログボックスが表示されます。

ステップ 2 .csv ファイル テンプレートがない場合は、[Next] をクリックして、.csv ファイル テンプレートをダウンロードします。

ステップ 3 テンプレートベースの .csv ファイルをローカル ディスクにすでに作成している場合は、次の操作のいずれかをクリックします。

Add:.csv ファイル内のレコードを、ACS で現在使用可能なレコードに追加します。

Update:ACS のレコードを .csv ファイルのレコードで上書きします。

Delete:.csv ファイル内のレコードを ACS のリストから削除します。

ステップ 4 [Next] をクリックして、次のページに移動します。

ステップ 5 [Browse] をクリックして、.csv ファイルに移動します。

ステップ 6 インポート プロセス時にエラーが発生した場合に ACS で実行するオプションを次の中から選択します。

残りのレコードの処理を続行します。処理に成功したレコードだけがインポートされます。

残りのレコードの処理を停止します。エラーの発生前にインポートが成功したレコードだけがインポートされます。

ステップ 7 .csv ファイルが GPG 形式で暗号化されている場合は、[Password] チェックボックスをオンにして、.csv ファイルを暗号化するためのパスワードを入力します。

ステップ 8 [Finish] をクリックして、一括操作を開始します。

[Import Progress] ウィンドウが表示されます。このウィンドウを使用して、一括操作の進行状況を監視します。.csv ファイルのレコードのデータ転送失敗が表示されます。

[Abort] ボタンをクリックして、進行中のデータのインポートを停止できますが、転送に成功したデータはデータベースから削除されません。

操作が完了すると、[Save Log] ボタンがイネーブルになります。

ステップ 9 [Save Log] をクリックして、ログ ファイルをローカル ディスクに保存します。

ステップ 10 [OK] をクリックして、[Import Progress] ウィンドウを閉じます。

システムに一度に送信できる .csv ファイルは 1 つだけです。操作が進行中である場合、追加の操作は、最初の操作が完了するまで成功しません。


 

インポート ファイルの作成方法については、次の URL を参照してください。 http://www.cisco.com/en/US/
docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255


ワンポイント アドバイス ACS オブジェクトに対する一括での追加、編集、または削除操作を実行するには、そのオブジェクトのエクスポート ファイルを使用し、ヘッダー行を保持して、.csv インポート ファイルを作成できます。ただし、更新された名前または MAC アドレスを ACS オブジェクトに追加するには、特定の更新テンプレートをダウンロードして使用してください。また、NDG の場合、エクスポート テンプレートには NDG 名だけが含まれているため、他のプロパティを更新するには、NDG 更新テンプレートをダウンロードして使用してください。


ネットワーク リソースおよびユーザのエクスポート

ネットワーク リソースまたはユーザのリストをエクスポートするには、次の手順を実行します。


ステップ 1 Web インターフェイスの [Users]、[Network Devices]、または [MAC Address] ページで、[Export] をクリックします。

[Network Device] ページが表示されます。

ステップ 2 フィルタ条件および if 演算子 Match を選択し、検索するフィルタ基準をテキスト ボックスに入力します。

ステップ 3 [Go] をクリックします。

フィルタ基準と一致するレコードのリストが表示されます。これらのレコードを .csv ファイルにエクスポートできます。

ステップ 4 [Export] をクリックして、レコードを .csv ファイルにエクスポートします。

システム メッセージ ボックスが表示され、ファイル転送中に .csv ファイルを暗号化するための暗号化パスワードを要求するプロンプトが表示されます。

エクスポート .csv ファイルを暗号化するには、[Password] チェックボックスをオンにして暗号化パスワードを入力します。任意で、転送中にファイルを暗号化しないことを選択できます。

ステップ 5 [Start Export] をクリックして、エクスポート プロセスを開始します。

[Export Progress] ウィンドウが表示され、エクスポート プロセスの進行状況が表示されます。このプロセスでエラーが発生した場合は、そのエラーが [Export Progress] ウィンドウに表示されます。エクスポート プロセスは、このプロセス中にいつでも終了することができます。エクスポート プロセスを終了すると、終了までのすべてのレポートがエクスポートされます。再開する場合は、エクスポート プロセスを最初からやり直す必要があります。

ステップ 6 エクスポート プロセスの完了後、[Save File] をクリックして、エクスポート ファイルをローカル ディスクに保存します。

エクスポート ファイルは、export.zip として圧縮された .csv ファイルです。


 

ネットワーク デバイスの作成、複製、および編集

一括インポート機能を使用すると、多数のネットワーク デバイスを 1 回の操作でインポートできます。詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。または、このトピックで説明する手順を使用して、ネットワーク デバイスを作成できます。

ネットワーク デバイスを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。

[Network Devices] ページが表示され、設定済みのネットワーク デバイスがある場合は、そのリストが示されます。

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。

複製する ネットワーク デバイス名 の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

変更するネットワーク デバイス名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

新しいネットワーク デバイスを作成している場合は、ネットワーク デバイス作成プロセスの最初のページが表示されます。ネットワーク デバイスを複製または編集している場合は、選択したデバイスの [Network Device Properties] ページが表示されます。

ステップ 3 必要に応じてフィールドを変更します。フィールドの説明については、「ネットワーク デバイスおよび AAA クライアントの設定」を参照してください。

ステップ 4 [Submit] をクリックします。

新しいネットワーク デバイス設定が保存されます。[Network Devices] ページが表示され、新しいネットワーク デバイス設定が示されます。


 

関連トピック

「ネットワーク デバイスの一括操作の表示および実行」

「ネットワーク デバイスおよび AAA クライアントの設定」

ネットワーク デバイスおよび AAA クライアントの設定

このページを表示するには、[Network Resources] > [Network Devices and AAA Clients] を選択してから、[Create] をクリックします。

 

表 7-4 ネットワーク デバイスおよび AAA クライアントの作成

オプション
説明
General

Name

ネットワーク デバイスの名前。ネットワーク デバイスを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。

Description

ネットワーク デバイスの説明。

Network Device Groups1

Location

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Location ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。

ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

Device Type

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。

ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

IP Address

IP

ネットワーク デバイスに関連付けられる IP アドレスおよびサブネット マスク。単一の IP アドレスを入力するか、範囲を定義するかを選択します。

IP / Mask

単一の IP アドレスの場合は、[IP] フィールドにアドレスを入力し、[Single IP Address] をクリックします。

IP アドレスの範囲の場合は、[IP Range(s)] をクリックします。ネットワーク デバイスごとに最大 40 の IP アドレスまたはサブネット マスクを設定できます。このフィールドでサブネット マスクを使用する場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。

サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。

最初の 6 個の IP アドレスがフィールドに表示されます。それ以外に設定されている IP アドレスを表示するには、スクロール バーを使用します。

IP アドレスの範囲を指定する場合は、ワイルドカード用のマスクだけが必要となります。アスタリスク(*)はワイルドカードとして使用できません。

Authentication Options

TACACS+

Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。

TACACS+ Shared Secret

ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Single Connect Device

ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。

Legacy TACACS+ Single Connect Support

TACACS+ Draft Compliant Single Connect Support

このオプションをディセーブルにすると、すべての TACACS+ 要求に対して新しい TCP 接続が使用されます。

RADIUS

RADIUS プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

RADIUS Shared Secret

ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

CoA Port

ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。

Enable KeyWrap

PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。キー ラップのデフォルトのキー モードは、16 進数ストリングです。

Key Encryption Key (KEK)

このオプションは、Pairwise Master Key(PMK)の暗号化に使用されます。入力するキーの長さは、ASCII モードでは正確に 16 文字、16 進数モードでは 32 文字となります。

Message Authentication Code Key (MACK)

RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。

入力するキーの長さは、ASCII モードで 20 文字、16 進数モードで 40 文字となります。

Key Input Format

ASCII または 16 進数ストリングとしてキーを入力します。デフォルトは 16 進数です。

TrustSec

Cisco TrustSec 機能をイネーブルにした場合にだけ表示されます。ネットワーク デバイスで TrustSec 機能を使用する場合にオンにします。ネットワーク デバイスがシード デバイス(TrustSec ネットワーク内の最初のデバイス)である場合、[RADIUS] チェックボックスもオンにする必要があります。

Use Device ID for TrustSec Identification

デバイス ID を TrustSec 識別に使用する場合に、このチェックボックスをオンにします。このチェックボックスをオンにすると、次のフィールド(Device ID)がディセーブルになります。

Device ID

このデバイスの TrustSec 識別に使用される名前。デフォルトでは、設定済みのデバイス名を使用できます。別の名前を使用する場合は、[Use device name for TrustSec identification] チェックボックスをオフにして、[Identification] フィールドに名前を入力します。

Password

TrustSec 認証パスワード。

TrustSec Advanced Settings

その他の TrustSec フィールドを表示する場合にオンにします。

Other TrustSec devices to trust this device (CTS trusted)

デバイスのピア デバイスすべてによってこのデバイスが信頼されるかどうかを指定します。デフォルトはオンです。ピア デバイスでこのデバイスが信頼され、このデバイスから受信するパケットの SGT は変更されません。

このチェックボックスをオフにした場合、ピア デバイスによって、このデバイスからのパケットが関連するピア SGT で塗り替えられます。

Download peer authorization policy every: Weeks Days Hours Minutes Seconds

ピア認可ポリシーの有効期限を指定します。ACS によって、この情報はピア ポリシー要求への応答でデバイスに返されます。デフォルトは 1 日です。

Download SGACL lists every: Weeks Days Hours Minutes Seconds

SGACL リストの有効期限を指定します。ACS によって、この情報は SGACL リストの要求への応答でデバイスに返されます。デフォルトは 1 日です。

Download environment data every: Weeks Days Hours Minutes Seconds

環境データの有効期限を指定します。ACS によって、この情報は環境データの要求への応答でデバイスに返されます。デフォルトは 1 日です。

Re-authentication every: Weeks Days Hours Minutes Seconds

dot1x(.1x)再認証期間を指定します。ACS によって、これはサプリカントに対して設定され、この情報は認証者に返されます。デフォルトは 1 日です。

1.Device Type および Location ネットワーク デバイス グループは、インストール時に事前定義されています。それ以外に、10 個のネットワーク デバイス グループを定義できます。ネットワーク デバイス グループの定義方法については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] ページ、および左側のナビゲーション ペインの [Network Resources] ドローアにアルファベット順で表示されます。

ネットワーク デバイス プロパティの表示

[Network Resources] > [Network Devices and AAA Clients] を選択してから、デバイス名をクリックします、または、デバイス名の隣にあるチェックボックスをオンにして [Edit] または [Duplicate] をクリックします。

[Network Devices and AAA Clients Properties] ページが表示され、 表 7-5 で説明されている情報が示されます。

 

表 7-5 [Network Devices and AAA Clients Properties] ページ

オプション
説明

Name

ネットワーク デバイスの名前。ネットワーク デバイスを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。

Description

ネットワーク デバイスの説明。

Network Device Groups2

Location: Select

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付けるネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

Device Type: Select

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

IP Address

IP Address

ネットワーク デバイスに関連付けられる IP アドレスおよびサブネット マスク。単一の IP アドレスを入力するか、範囲を定義するかを選択します。

IP / Mask

単一の IP アドレスの場合は、[IP] フィールドにアドレスを入力し、[Single IP Address] をクリックします。

IP アドレスの範囲の場合は、[IP Range(s)] をクリックします。ネットワーク デバイスごとに最大 40 の IP アドレスまたはサブネット マスクを設定できます。このフィールドでサブネット マスクを使用する場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。

サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。

最初の 6 個の IP アドレスがフィールドに表示されます。それ以外に設定されている IP アドレスを表示するには、スクロール バーを使用します。

Authentication Options

TACACS+

Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。

TACACS+ Shared Secret

ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Single Connect Device

ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。

Legacy TACACS+ Single Connect Support

TACACS+ Draft Compliant Single Connect Support

このオプションをディセーブルにすると、すべての TACACS+ 要求に対して新しい TCP 接続が使用されます。

RADIUS

RADIUS プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

RADIUS Shared Secret

ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

CoA Port

ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。

Enable KeyWrap

PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。

Key Encryption Key (KEK)

Pairwise Master Key(PMK)の暗号化に使用します。入力するキーの長さは、ASCII モードで 16 文字、16 進数モードで 32 文字となります。

Message Authentication Code Key (MACK)

RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。

入力するキーの長さは、ASCII モードで 20 文字、16 進数モードで 40 文字となります。

Key Input Format

ASCII または 16 進数ストリングとしてキーを入力します。デフォルトは 16 進数です。

TrustSec

Cisco TrustSec 機能をイネーブルにした場合にだけ表示されます。ネットワーク デバイスで TrustSec 機能を使用する場合にオンにします。ネットワーク デバイスがシード デバイス(TrustSec ネットワーク内の最初のデバイス)である場合、[RADIUS] チェックボックスもオンにする必要があります。

Identification

このデバイスの TrustSec 識別に使用される名前。デフォルトでは、設定済みのデバイス名を使用できます。別の名前を使用する場合は、[Use device name for TrustSec identification] チェックボックスをオフにして、[Identification] フィールドに名前を入力します。

Password

TrustSec 認証パスワード。

TrustSec Advanced Settings

その他の TrustSec フィールドを表示する場合にオンにします。

Other TrustSec devices to trust this device

デバイスのピア デバイスすべてによってこのデバイスが信頼されるかどうかを指定します。デフォルトはオンです。ピア デバイスでこのデバイスが信頼され、このデバイスから受信するパケットの SGT は変更されません。

このチェックボックスをオフにした場合、ピア デバイスによって、このデバイスからのパケットが関連するピア SGT で塗り替えられます。

Download peer authorization policy every: Weeks Days Hours Minutes Seconds

ピア認可ポリシーの有効期限を指定します。ACS によって、この情報はピア ポリシー要求への応答でデバイスに返されます。デフォルトは 1 日です。

Download SGACL lists every: Weeks Days Hours Minutes Seconds

SGACL リストの有効期限を指定します。ACS によって、この情報は SGACL リストの要求への応答でデバイスに返されます。デフォルトは 1 日です。

Download environment data every: Weeks Days Hours Minutes Seconds

環境データの有効期限を指定します。ACS によって、この情報は環境データの要求への応答でデバイスに返されます。デフォルトは 1 日です。

Re-authentication every: Weeks Days Hours Minutes Seconds

dot1x(.1x)再認証期間を指定します。ACS によって、これはサプリカントに対して設定され、この情報は認証者に返されます。デフォルトは 1 日です。

2.Device Type および Location ネットワーク デバイス グループは、インストール時に事前定義されています。それ以外に、10 個のネットワーク デバイス グループを定義できます。ネットワーク デバイス グループの定義方法については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] ページ、および左側のナビゲーション ペインの [Network Resources] ドローアにアルファベット順で表示されます。

関連トピック:

「ネットワーク デバイスの一括操作の表示および実行」

「ネットワーク デバイス グループの作成、複製、および編集」

ネットワーク デバイスの削除

ネットワーク デバイスを削除するには、次の手順を実行します。


ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。

[Network Devices] ページが表示され、設定済みのネットワーク デバイスのリストが示されます。

ステップ 2 削除するネットワーク デバイスの隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?

ステップ 4 [OK] をクリックします。

[Network Devices] ページが表示されます。このとき、削除されたネットワーク デバイスは表示されません。ネットワーク デバイスがデバイス リポジトリから削除されます。


 

デフォルトのネットワーク デバイスの設定

要求の処理時に、ACS はネットワーク デバイス リポジトリを検索して、その要求で示されている IP アドレスと一致する IP アドレスを持つネットワーク デバイスを見つけます。この検索で一致するアドレスが見つからなかった場合、ACS では、RADIUS 要求または TACACS+ 要求に対して、デフォルトのネットワーク デバイス定義を使用します。

デフォルトのネットワーク デバイスによって、使用する共有秘密情報が定義され、また、デフォルトのネットワーク デバイス定義を使用する、RADIUS 要求または TACACS+ 要求のための NDG 定義も提供されます。

[Network Resources] > [Default Network Device] を選択して、デフォルトのネットワーク デバイスを設定します。[Default Network Device] ページが表示され、 表 7-6 で説明されている情報が表示されます。

 

表 7-6 [Default Network Device] ページ

オプション
説明
Default Network Device

デフォルトのデバイス定義は、デバイスの IP アドレスと一致する特定のデバイス定義が見つからなかった場合に任意で使用できます。

Default Network Device Status

ドロップダウン リスト ボックスから [Enabled] を選択して、デフォルトのネットワーク デバイスをアクティブ状態にします。

Network Device Groups

Location

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Location ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。

ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

Device Type

[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。

ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

Authentication Options

TACACS+

Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。

Shared Secret

ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Single Connect Device

ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。

Legacy TACACS+ Single Connect Support

TACACS+ Draft Compliant Single Connect Support

このオプションをディセーブルにすると、すべての TACACS+ 要求に対して新しい TCP 接続が ACS で使用されます。

RADIUS

RADIUS プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。

Shared Secret

ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

CoA Port

ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。

Enable KeyWrap

PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。

Key Encryption Key (KEK)

Pairwise Master Key(PMK)の暗号化に使用します。入力するキーの長さは、ASCII モードで 16 文字、16 進数モードで 32 文字となります。

Message Authentication Code Key (MACK)

RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。

入力するキーの長さは、ASCII モードで 20 文字、16 進数モードで 40 文字となります。

Key Input Format

ASCII または 16 進数ストリングとしてキーを入力します。デフォルトは 16 進数です。

関連トピック

「ネットワーク デバイス グループ」

「ネットワーク デバイスおよび AAA クライアント」

「ネットワーク デバイス グループの作成、複製、および編集」

外部 RADIUS サーバの使用

ACS 5.2 は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。プロキシ サーバとして機能する場合、ACS は NAS から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。

ACS は要求の結果を受け入れて NAS に返します。ACS が要求を外部 RADIUS サーバに転送するように、外部 RADIUS サーバを ACS で設定する必要があります。タイムアウト時間および接続試行回数を定義できます。

ACS は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。


) ここで設定した外部 RADIUS サーバは、RADIUS プロキシ サーバ タイプのアクセス サービスで使用できます。


ここでは、次の内容について説明します。

「外部 RADIUS サーバの作成、複製、および編集」

「外部 RADIUS サーバの削除」

外部 RADIUS サーバの作成、複製、および編集

外部 RADIUS サーバを作成、複製、または編集するには、次の手順を実行します。


ステップ 1 [Network Resources] > [External RADIUS Servers] を選択します。

[External RADIUS Servers] ページが表示され、設定されているサーバのリストが示されます。

ステップ 2 次のいずれかを実行します。

[Create] をクリックします。

複製する外部 RADIUS サーバの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

編集する外部 RADIUS サーバ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[External RADIUS Servers] ページが表示されます。

ステップ 3 表 7-7 に従い、[External Policy Servers] ページのフィールドを編集します。

 

表 7-7 [External Policy Servers] ページ

オプション
説明
General

Name

外部 RADIUS サーバの名前。

Description

(任意)外部 RADIUS サーバの説明。

Server Connection

Server IP Address

外部 RADIUS サーバの IP アドレス。

Shared Secret

外部 RADIUS サーバの認証に使用される、ACS と外部 RADIUS サーバ間の共有秘密情報。

共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証されるようにこれらの情報を提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

Advanced Options

Authentication Port

RADIUS 認証ポート番号。デフォルト値は 1812 です。

Accounting Port

RADIUS アカウンティング ポート番号。デフォルト値は 1813 です。

Server Timeout

ACS が外部 RADIUS サーバからの応答を待つ秒数。デフォルトは 5 秒です。有効な値は 1 ~ 120 です。

Connection Attempts

ACS が外部 RADIUS サーバへの接続を試みる回数。デフォルトの試行回数は 3 です。有効な値は 1 ~ 10 です。

ステップ 4 [Submit] をクリックして変更を保存します。

外部 RADIUS サーバの設定が保存されます。[External RADIUS Server] ページが表示され、新しい設定が示されます。


 

関連トピック

「RADIUS プロキシ サービス」

「RADIUS プロキシ要求」

「アクセス サービスの一般プロパティの設定」

「外部 RADIUS サーバの削除」

外部 RADIUS サーバの削除

外部 RADIUS サーバを削除するには、次の手順を実行します。


ステップ 1 [Network Resources] > [External RADIUS Servers] を選択します。

[External RADIUS Servers] ページが表示され、設定されているサーバのリストが示されます。

ステップ 2 削除する外部 RADIUS サーバの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?
 

ステップ 3 [OK] をクリックします。

[External RADIUS Servers] ページが表示されます。このとき、削除されたサーバは表示されません。