Cisco Clean Access (NAC アプライアンス) Server インストレーション アドミニストレーション ガイド Release 4.1(1)
ローカル認証の設定
ローカル認証の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ローカル認証の設定

概要

ローカル ハートビート タイマー

ローカル ログイン ページ

ローカル ログイン ページの追加

ローカル ログイン ページの Web クライアントのイネーブル化

ローカル ファイルのアップロード

Active Directory SSO のログインのイネーブル化

Windows NetBIOS SSO ログインのイネーブル化

OS 検出

ローカル認証の設定

この章では、Clean Access Server(CAS)管理ページの Authentication タブの設定( 第8章「Cisco VPN コンセントレータとの統合」 に記載されている VPN Auth 設定以外)について説明します。この章の内容は、次のとおりです。

「概要」

「ローカル ハートビート タイマー」

「ローカル ログイン ページ」

「Active Directory SSO のログインのイネーブル化」

「Windows NetBIOS SSO ログインのイネーブル化」

「OS 検出」

概要

ロール、認証元、ローカル ユーザなど、ほとんどのユーザ関連設定は、Clean Access Manager(CAM)Web コンソールのグローバル フォームで、すべての CAS に対して設定されます。ただし、ユーザ管理の一部の機能は、各 CAS にローカルに設定できます。これらの機能は、次のとおりです。

ユーザの存在のスキャニング -- オンライン ユーザの接続がアクティブかどうかを調べます。接続がアクティブでない場合、ユーザ セッションは設定期間後に終了します。この設定はグローバルまたはローカルに設定できます。

ログイン ページ -- ネットワークにアクセスしているユーザにログイン クレデンシャルを要求します。

トランスペアレント Windows ログイン -- Windows ドメインで SSO(シングル サインオン)を許可します。

ローカル ハートビート タイマー

ハートビート タイマーは、クライアントとの接続を試みて、オンライン ユーザの接続ステータスを調べます。クライアントが応答しなかった場合、ユーザ セッションは設定期間後にタイムアウトできます。切断されたユーザがタイムアウトするまで Cisco NAC Appliance が待機する期間、およびユーザ接続の試行頻度を設定できます。実際の接続確認は、ping ではなく、ARP メッセージで実行されます。これによって、ICMP トラフィックがブロックされていても、ハートビート チェックは機能します。


) 各ユーザのセッション開始時期に関係なく、CAS はすべてのユーザの接続を一度に確認します。


User Management > User Roles > Schedule > Heartbeat Timer からアクセスした場合は、このタイマーをグローバルに設定できます。CAS のローカル設定値を設定して、この特定の CAS に対する CAM のグローバル設定値を上書きできます。

接続ステータスに基づいてタイムアウト プロパティを設定する手順は、次のとおりです。

1. Device Management > CCA Servers > Manage [CAS_IP] > Misc > Heartbeat Timer の順番に進みます。

図11-1 ローカル ハートビート タイマー

 

2. Override Global Settings チェックボックスをクリックします。

3. Enable Heartbeat Timer チェックボックスをクリックします。

4. Log Out Disconnected Users After フィールドの値を指定します。切断されたユーザが検出されると、このフィールドによって、切断されたユーザがネットワークをログオフするまでの期間が設定されます。

5. Update をクリックします。

ユーザ セッション タイムアウトの詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』の Chapter 8「User Management: Traffic Control, Bandwidth, Schedule」を参照してください。

ローカル ログイン ページ

CAS に対してローカルに設定されたログイン ページは、すべての CAS に設定されたグローバル ログイン ページよりも優先します。CAS に対してローカルなログイン ページを作成する場合は、特定の VLAN(仮想 LAN)、オペレーティング システム、およびサブネットのページをカスタマイズできます。

ローカル ログイン ページの追加

1. CAS 管理ページで、 Device Management > CCA Servers > Manage [CAS_IP] > Authentication > Login Page の順番に進みます。

2. Override Global Settings オプションおよび Update を選択します。

図11-2 Override Global Settings ページ

 

3. 表示された Add リンクをクリックします。すべての VLAN/サブネットのページを設定するには、 VLAN および Subnet フィールドのデフォルト値であるアスタリスクのままにします。特定の VLAN/サブネットを指定するには、値を入力します。同様に、 Operating System フィールドを ALL のままにするか、ログイン ページが適用される OS を指定します。

4. Add ボタンをクリックして、ログイン ページ リストにページを追加します。

5. ログイン ページ リストで、目的のページの横にある Edit をクリックして、ページの内容およびプロパティを変更します。

6. General オプション ページが表示されます。 Page Type で、 Frameless Frame-based Small Screen (frameless) の中から選択します。

7. (任意) Description にそのページの説明を入力します。

8. Update をクリックして General ページでの変更を実行してから、 View をクリックして、変更されたログイン ページを表示します。

9. Content リンクをクリックします。ログイン ページに表示する次の内容を指定します。

Image -- ドロップダウン メニューを使用して、ログイン ページに表示されるロゴを選択します。

Title -- ログイン ページのタイトルを入力します。

Username Label Password Label Login Label Provider Label Guest Label Help Label Root CA Label -- チェックボックスを使用して、ログイン画面に表示されるフィールド/ボタンを指定します。選択されたフィールドごとに、ラベルを入力します。

Default Provider -- ドロップダウン メニューを使用して、ログイン ページのデフォルト プロバイダーを選択します。

Available Providers -- ログイン ページのプロバイダー ドロップダウン メニューに表示する認証元

Instructions -- ログイン ページに表示する説明を入力します。

Root CA File -- Root CA Label がイネーブルの場合に使用するルート CA 証明書ファイル

Help Contents -- ログイン ページでユーザに表示するヘルプ テキストを入力します。このフィールドに入力できるのは HTML コンテンツだけです(URL は参照できません)。

10. Update をクリックして Content ページでの変更を実行してから、 View をクリックして、変更されたログイン ページを表示します。

11. Style リンクをクリックします。BG(バックグラウンド)と FG(フォアグラウンド)の色およびプロパティを変更できます。 Form プロパティはログイン フィールドが含まれているページ部分に適用される点に注意してください。

12. Update をクリックして Style ページでの変更を実行してから、 View をクリックして、変更されたログイン ページを表示します。

13. Login Page > General 設定でフレームがイネーブルの場合は、 Right Frame リンクをクリックします。以下に示すように、右フレームには URL または HTML コンテンツを入力できます。

a. URL の入力: (右フレームに表示される単一の Web ページ)

外部 URL の場合は、 http://www.webpage.com 形式を使用します。

CAM 上の URL の場合は、以下の形式を使用します。

https://<CAM_IP_address>/upload/file_name.htm
 

<CAM_IP_address> は、証明書に表示されるドメイン名または IP です。

外部 URL または CAM の URL を入力する場合は、その外部 サーバ または CAM へのユーザ HTTP アクセスを許可する Unauthenticated ロールのトラフィック ポリシーが作成されていることを確認してください。

ローカルな CAS 上の URL の場合は、以下の形式を使用します。

https://<CAS_eth0_IP_address>/auth/file_name.htm
 

b. HTML の入力: (ロゴと HTML リンクなど、リソースの組み合わせを追加する場合)

Right Frame Content フィールドに、直接、HTML コンテンツを入力します。

HTML コンテンツ(画像、JavaScript ファイル、CSS ファイルを含む)の一部として、 File Upload タブでアップロード済みのリソースを参照する場合は、次の形式を使用します。

アップロード済みの HTML ファイルへのリンクを参照する場合は、次の形式を使用します。

<a href=”file_name.html”> file_name.html </a>
 

画像ファイル(JPEG ファイルなど)を参照する場合は、次のように入力します。

<img src=”file_name.jpg”>
 

14. Update をクリックして Right Frame ページでの変更を実行してから、View をクリックして、変更されたログイン ページを表示します。

ローカル ログイン ページの Web クライアントのイネーブル化

Web クライアント オプションはすべての配置でイネーブルにできますが、L3 OOB には必須です。

Cisco NAC Appliance を L3 Out-Of-Band(OOB; アウトオブバンド)配置用に設定するには、ログイン ページをイネーブルにし、L3 ホップに関して CAS から 1 ホップ以上離れている Web ログイン ユーザに、ActiveX コントロールまたは Java Applet のいずれかを配信する必要があります。ユーザが Web ログインを実行したときに ActiveX コントロール/Java Applet はダウンロードされ、クライアントの正しい MAC アドレスを取得するのに使用されます。OOB 配置では、CAM は Certified List および/またはポート プロファイルのデバイスフィルタ設定に従ってポートを制御するのに、正しいクライアント MAC アドレスを必要とします。

Clean Access Agent または ActiveX コントロール/Java Applet を使用するクライアントのマシンでは、認証およびポスチャ評価の後にポートをバウンスすることなく、DHCP IP アドレスをリフレッシュできます。これは、VoIP 環境における NAC Appliance OOB 配置を容易にすることを目的とした機能です。


) 詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1)』の「Configuring User Login Page and Guest Access」を参照してください。


1. Administration > User Pages > Login Page > Edit | General の順番に進みます。

図11-3 L3 OOB の ActiveX/Java Applet のイネーブル化

 

2. Web Client (ActiveX/Applet) ドロップダウン メニューで、次のオプションのいずれかを選択します。「Preferred」オプションでは、推奨するオプションがまずロードされます。このオプションが失敗した場合、別のオプションがロードされます。Internet Explorer では、Java Applet よりも高速で実行する ActiveX を推奨します。

ActiveX Only -- ActiveX のみを実行します。ActiveX が失敗した場合、Java Applet を実行しないでください。

Java Applet Only -- Java Applet のみを実行します。Java Applet が失敗した場合、ActiveX を実行しないでください。

ActiveX Preferred -- 最初に ActiveX を実行します。ActiveX が失敗した場合、Java Applet を実行します。

Java Applet Preferred -- 最初に Java Applet を実行します。Java Applet が失敗した場合、ActiveX を実行します。

ActiveX on IE, Java Applet on non-IE Browser (デフォルト) -- Internet Explorer が検出された場合は ActiveX を実行します。別の(IE 以外)ブラウザが検出された場合は Java Applet を実行します。ActiveX が IE 上で失敗した場合、CAS は Java Applet を実行しようとします。IE 以外のブラウザの場合、Java Applet のみが実行されます。

3. ActiveX/Applet Web クライアントを使用してクライアントの IP アドレスをリフレッシュするには、2 つのオプションをオンにする必要があります。

a. Use web client to detect client MAC address and Operating System. 」のチェックボックスをクリックします。

b. Use web client to release and renew IP address when necessary (OOB) 」のチェックボックスをクリックして、スイッチ ポートをバウンスすることなく、認証後に OOB クライアントの IP アドレスをリリース/更新します。

4. Linux/Mac OS X クライアントの IP アドレスのリリース/更新に Web クライアントを使用できる場合、 Install DHCP Refresh tool into Linux/Mac OS system directory のチェックボックスをクリックすることもできます。これは、クライアントに DHCP リフレッシュ ツールをインストールして、IP アドレスがリフレッシュされたときに root/admin パスワード入力の表示を回避します。

5. Update をクリックして設定値を保存します。


) この機能を使用するには、Device Management > CCA Servers > Manage [CAS_IP] > Network > IP の順番に進んで、[Enable L3 support] をイネーブルにする必要があります。


詳細については、 第3章「レイヤ 3 アウトオブバンド(L3 OOB)の設定」 および『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。

ローカル ファイルのアップロード

1. Device Management > CCA Servers > Manage [CAS_IP] > Authentication > Login Page の順番に進みます。

2. Override Global Settings オプションがイネーブルであるか確認します。

3. File Upload をクリックします。

図11-4 CAS へのローカル ファイルのアップロード

 

4. ワークステーションのロゴ イメージ ファイルまたは他のリソース ファイルをブラウズし、 Filename フィールドでこれを選択します。

5. (任意) Description フィールドにテキストを入力します。

6. Upload をクリックします。リソース リストにファイルが表示されます。


) • Device Management > CCA Servers > Manage [CAS_IP] > Misc > Login Page > File Upload を使用して、特定の CAS にアップロードされたファイルは、CAM とそのローカル CASのみで使用できます。CAS では、アップロードされたファイルは、/perfigo/access/tomcat/webapps/auth に保存されます。

Administration > User Pages > File Upload を使用して CAM にアップロードされたファイルは、CAM とすべての CAS で使用できます。これらのファイルは、CAM の /perfigo/control/tomcat/normal-webapps/upload に保存されます。

3.6(2)+ 以前のCAM にアップロードされたファイルは、削除されず、/perfigo/control/tomcat/normal-webapps/admin に保存されます。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。


 

Active Directory SSO のログインのイネーブル化

Active Directory Single Sign-On(SSO; シングル サインオン)の設定の詳細については、 第10章「Active Directory Single Sign-On(AD SSO)の設定」 を参照してください。

Windows NetBIOS SSO ログインのイネーブル化

Windows NetBIOS SSO ログイン(以前は「トランスペアレント Windows」ログイン)の場合、Windows ドメインで認証されたユーザは信頼ネットワークに自動的にログインできます。


) この機能は推奨されていないので、シスコは代わりにActive Directory SSO の設定を推奨します。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1)』を参照してください。


Windows NetBIOS SSO ログインを使用する手順は、次のとおりです。

1. CAM の認証サーバのリストに Windows NetBIOS SSO 認証プロバイダーを追加します。
(『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』の Chapter 6「User Management: Auth Servers」を参照)

2. Unauthenticated ロールのポリシーを変更して、ドメイン コントローラへのユーザ アクセスを許可します。
(『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』の Chapter 8「User Management: Traffic Control, Bandwidth, Schedule」を参照)

3. CAS 管理ページで Windows NetBIOS SSO Login をイネーブルにし、Windows ドメイン コントローラを指定します(以下の手順を参照)。


) Windows NetBIOS SSO では、認証のみを行うことができます。ポスチャ評価、隔離、修復は適用しないでください。ただし、ログインするには Ctrl-Alt-Dlt のみを実行する必要があります。


Windows ドメイン コントローラを設定する手順は、次のとおりです。

1. トランスペアレント Windows ログインをイネーブルにする CAS で、 Device Management > CCA Servers > Manage [CAS_IP] > Authentication > Windows Auth > NetBIOS SSO の順番に進みます。

図11-5 トランスペアレント Windows ログインのイネーブル化

 

2. Enable Transparent Windows Single Sign-On with NetBIOS チェックボックスをクリックして、 Update をクリックします。

3. Windows Domain Controller IP フィールドに Windows ドメイン コントローラの IP アドレスを入力します。

4. Add Server をクリックします。

OS 検出

デフォルトでは、HTTP ヘッダーの User-Agent ストリングを使用して、クライアント OS が判別されます。JavaScript のプラットフォーム情報または TCP/IP ハンドシェイクの OS フィンガープリントを使用して、クライアント OS を判別することもできます。この拡張 OS フィンガープリント機能は、ユーザが HTTP 情報を操作して、クライアント OS の ID を変更できないようにするためのものです。この機能は TCP ハンドシェイクのみを検査し、個人用ファイアウォールの有無に影響されない、「パッシブ」検出技術です(Nessus は使用しません)。

また、 Device Management > Clean Access > Updates インターフェイスを介して「 Current Version of OS Detection Fingerprint 」アップデートをダウンロードします。OS Detection Fingerprints(またはシグニチャ)のアップデートは、Windows マシンに対応する新しいオペレーティング システムが入手可能になると作成されます。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。

クライアントが間違って Windows OS と分類された場合、 Display OS Detection Signatures のクライアントの IP アドレスを送信して、CAM のクライアント用に保存された TCP/IP スタック シグニチャを表示できます。トラブルシューティングを行う場合、 TCP/IP スタック シグニチャ の結果は、Cisco TAC に連絡した場合のカスタマー サポート要求にコピー アンド ペーストで含めることができます。


) OS 検出/フィンガープリント機能は、ブラウザの User-Agent ストリングと TCP/IP スタック情報を両方使用して、クライアント マシンの OS を判別しようとします。検出ルーチンがベスト マッチの検出を試みる間に、エンド ユーザがクライアント マシンの TCP/IP スタックを変更し、ブラウザの User-Agent ストリングを変更すると、OS が誤って検出される場合があります。OS フィンガープリント/検出メカニズムを回避する悪質なユーザに対する懸念がある場合、管理者に対し、マシンの OS を確認するためネットワーク スキャニングを使用することを推奨します。何らかの理由で、ネットワーク スキャニングを使用できない、あるいは使用を望まない場合、ネットワーク管理者はマシンに CAA を事前にインストールすることを考慮する必要があります。


OS 検出の設定値を設定する手順は、次のとおりです。

1. Web コンソールの CAS 管理ページで、 Device Management > CCA Servers > Manage [CAS_IP] > Authentication > OS Detection の順番に進みます。

図11-6 OS Detection

 

2. Set client OS to WINDOWS_ALL when Win32 platform is detected のチェックボックスをクリックして、追加検出オプションとして追加します。

3. Set client OS to WINDOWS_ALL when Windows TCP/IP stack is detected (ベストエフォート マッチ)のチェックボックスをクリックして、追加検出オプションとして追加します。

4. Update をクリックします。

OS 検出シグニチャのトラブルシューティング

トラブルシューティングを行う場合、TCP/IP スタック シグニチャの結果は、Cisco TAC に連絡した場合のカスタマー サポート要求にコピー アンド ペーストで含めることができます。

1. Device Management > CCA Servers > Manage [CAS_IP] > Authentication > OS Detection の順番に進みます。

図11-7 TCP/IP スタック シグニチャの表示

 

2. Client IP Address フィールドに、テストするクライアント IP アドレスを入力します。

3. Display Signature をクリックします。OS シグニチャの結果が TCP/IP Stack Signature フィールドに表示されます。

4. Cisco TACに連絡する場合、サポート要求に TCP/IP Stack Signature の結果をコピー アンド ペーストします。