Cisco Clean Access (NAC アプライアンス) Server インストレーション アドミニストレーション ガイド Release 4.1(1)
ローカルな Clean Access の設定
ローカルな Clean Access の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ローカルな Clean Access の設定

概要

免除デバイスの追加

免除デバイスの削除

認証済みデバイスの削除

フローティング デバイスの指定

ローカルな Clean Access の設定

この章では、Clean Access の Clean Access Server(CAS)レベルで設定可能なローカル設定について説明します。CAM Web コンソールの Clean Access 設定の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。この章の内容は、次のとおりです。

「概要」

「免除デバイスの追加」

「免除デバイスの削除」

「認証済みデバイスの削除」

「フローティング デバイスの指定」

概要

ログイン ページ、Nessus スキャン プラグインの動作、Clean Access Agent(CAA)の要件、Clean Access ユーザ ロールなど、Clean Access のほとんどの要素は、すべての CASにグローバルに設定できます。ただし、特定の作業は、各 CAS にローカル レベルで実行することもできます。これらの要素は次のとおりです。

認証済みデバイスの削除

ユーザ認証が行われ、デバイスがネットワーク スキャニングに合格して脆弱性が検出されなかった場合、または CAA 要件を満たしている場合、あるいはその両方の場合、各 CAS の Clean Access モジュールによって該当するデバイスが Certified Devices リストに 自動的に 追加されます。認証済みデバイスは、リストから削除されないかぎり、クリーンであるとみなされます。指定時刻に、または指定インターバルの間、Certified Devices リストからデバイスを削除して、ネットワーク スキャニング/Agent チェックを強制的に繰り返すことができます。CAA ユーザのデバイスは、ログインするたびに必ず、要件を満たしているかどうかスキャンされます。

免除デバイスの追加/削除

免除デバイスは、Clean Access 要件を満たさないデバイスです。デバイスを免除デバイスに指定して、Clean Access 要件を満たさなくてもよいようにしたり、免除デバイスを削除して、Clean Access 要件を満たすように強制することができます。免除デバイスの追加または削除は、常に 手動 で行います。

フローティング デバイスの指定

フローティング デバイスにはログインごとに Clean Access 証明書が必要です。認証が有効なのは、1回のユーザ セッションの間だけです。フローティング デバイスは常に手動で追加されます。

免除デバイスの追加

免除デバイスとして指定するには、自動生成される Certified Devices リストに、そのデバイスを 手動で 追加します。デバイスがネットワーク スキャニングに合格して、脆弱性が検出されない場合、または、CAA システム要件を満たしている場合に限り、Certified Devices リストにデバイスが追加されます。リストに追加されたデバイスはクリーンであるとみなされるため、その MAC アドレスが Certified Devices リストにある間は、認証プロセスを免除されます。実際に免除デバイスを追加すると、リストに追加しているデバイスがクリーンであるかどうかを認証する自動 Clean Access プロセスが省略されます。

1. Device Management > CCA Servers > Manage [CAS_IP] > Filter > Clean Access > Certified Devices の順番に進みます。

図12-1 認証済みデバイス(ローカル)

 

2. テキスト フィールドに、免除デバイスの MAC アドレスを入力します。複数のアドレスを区切るには、改行を使用します。

3. Add Exempt をクリックします。

免除デバイスの削除

免除デバイスを削除すると、Certified Devices リストからそのデバイスが削除され、強制的に Clean Access 認証プロセスが適用されます。免除デバイスは手動でリストに追加されるので、削除も手動で行う必要があります。したがって、グローバルの Certified Devices Timer を使用して一定間隔で定期的にリストを消去しても、Certified Devices リスト上の免除デバイスは自動的には削除されません。

リストから免除デバイスを手動で削除する手順は、次のとおりです。

1. Device Management > CCA Servers > Manage [CAS_IP] > Filter > Clean Access > Certified Devices の順番に進みます(図12-1 を参照)。

2. Clear Exempt をクリックします。この CAS のすべての免除デバイスがリストから削除されます。

認証済みデバイスの削除

デバイスは CAS によって Certified Devices リストに追加され、リストから削除されるまではクリーンであるとみなされます。

認証済みデバイスがある CAS から別の CAS に移動した場合、そのデバイスが全 CAS に対してグローバルレベルで免除デバイスとして手動でリストに追加されていなければ、新しい CAS で再度 Clean Access 認証を受けなければなりません。したがって、あるCAS の Clean Access 要件を別の CAS より厳しくするといったことも可能です。

CAM には、認証元 CAS に従ってデバイス情報を格納する、中央の Certified Devices リストが保持されます。CAM は各 CAS の認証済みデバイスを該当する CAS にパブリッシュし、さらにすべての CAS にグローバルに免除デバイスをパブリッシュします。

デバイスの認証およびリストへの追加は CAS 単位でしか実行できませんが、認証済みデバイスの削除はすべての CAS にグローバルに実行したり、特定の CAS にローカルに実行することができます。認証済みデバイスを削除すると、そのデバイスに Clean Access のスキャニング/要件チェックを強制的に繰り返すことができます。

グローバル レベル(自動) -- Certified Devices Timer フォーム( Device Management > Clean Access > Certified Devices > Timer) を使用して、定期的にリストを削除できます。

グローバル レベル(手動) -- グローバル フォーム( Device Management > Clean Access > Certified Devices )を使用して、Certified Devices リストを手動で削除できます。

ローカル レベル(手動) -- ローカル フォーム( Device Management > CCA Servers > Manage [CAS_IP] > Filter > Clean Access > Certified Devices )を使用して、特定の CAS の認証済みデバイスを手動で削除できます。


) • Certified Devices リストを手動または自動的に削除すると、ユーザはネットワークからログオフされます。

Monitoring > Online Users > View Online Users でユーザを削除しても、Certified Devices リストからクライアントは削除されません。したがって、クリーンとみなされているクライアント デバイスは Clean Access 証明プロセスを強制されずに、ユーザは再度ログインできます。


 

特定の CAS のリストから手動でデバイスを削除する手順は、次のとおりです。

1. Device Management > CCA Servers > Manage [CAS_IP] > Filter > Clean Access > Certified Devices の順番に進みます(図12-1 を参照)。

2. Clear Exempt をクリックして、( Add Exempt を使用して)手動で追加されたデバイスを削除します。

3. Clear Certified をクリックして、Clean Access 基準を満たしてリストに追加されたデバイスを削除します。

4. Clear All をクリックして、両方のタイプのデバイスを削除します。

5. ユーザの MAC アドレスの横にあるチェックボックスを選択し、 Kick Individual User ボタンをクリックして、ユーザを個別に削除します。


) ローカル リストに表示されるのは、特定の CAS に対応する認証済みデバイスのみです。すべての CAS の認証済みデバイスを表示するには、Device Management > Clean Access の順番に進みます。


フローティング デバイスの指定

フローティング デバイスの認証が有効なのは、1 回のユーザ セッションの間だけです。ユーザがログアウトすると、そのデバイスの次のユーザは再度認証プロセスを受けなければなりません。フローティング デバイスは、kiosk コンピュータや図書館で貸し出される無線カードなどの共用機器を管理する場合に便利です。

認証要件から免除されないデバイスは、MAC アドレスで指定することもできます。これは、非信頼(管理対象)ネットワークからマルチユーザ トラフィックをチャネリングするダイヤルアップ ルータなど、マルチユーザ デバイスの場合に役立ちます。この場合、CAS は信頼ネットワークのトラフィック送信元アドレスとして、そのデバイスの MAC アドレスだけを認識します。そのデバイスがフローティング デバイスとして設定されていない場合は、最初のユーザが認証されたあとに、別のユーザは意図せずに認証を免除されます。認証されないフローティング デバイスとしてルータの MAC アドレスを設定すれば、そのデバイスを通じてネットワークにアクセスする各ユーザは個別に、脆弱性/要件に適合しているかどうか評価されます。

その場合、ユーザは IP アドレスで区別されるので、ユーザごとに異なる IP アドレスを設定する必要があります。ルータが Network Address Translation(NAT; ネットワーク アドレス変換)サービスを実行する場合、CAM はユーザを区別できず、最初のユーザだけが認証されます。

「フローティング デバイスとしての VPN コンセントレータの追加」も参照してください。

ローカル フローティング デバイスを指定する手順は、次のとおりです。

1. Device Management > CCA Servers > Manage [CAS_IP] > Filter > Clean Access > Floating Devices の順番に進みます。

図12-2 フローティング デバイス(ローカル)

 

2. フローティング デバイスを次の形式の MAC アドレスで指定します。

<MAC> <type> <description>
 

上記で

MAC はデバイスの MAC アドレスです( 00:16:21:23:4D:00 などの標準 16 進 MAC アドレス形式)。

type は、次のいずれかです。

0 -- セッション範囲での認証の場合

1 -- そのデバイスを認証済みとはみなさない場合

description は、そのデバイスの説明です(任意)。

各要素の区切りにはスペースを入力し、複数のエントリ間の区切りには改行を使用します。次の例を参考にしてください。

00:16:21:23:4D:00 0 LibCard1
00:16:34:21:4C:00 0 LibCard2
00:16:11:12:4A:00 1 Router1
 

3. Add Device をクリックして、設定値を保存します。

フローティング MAC アドレスを削除する場合は、そのアドレスの横にある Delete アイコンをクリックします。