Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
Cisco NAC アプライアンス Agent
Cisco NAC アプライアンス Agent
発行日;2012/05/08 | 英語版ドキュメント(2012/05/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Cisco NAC アプライアンス Agent

Cisco NAC Agent

Windows Cisco NAC Agent の概要

Windows Cisco NAC Agent の設定

Windows Cisco NAC Agent ユーザ ダイアログ

RADIUS のチャレンジ/レスポンス方式 Cisco NAC Agent ダイアログ

Cisco NAC Web Agent

概要

システム要件

Cisco NAC Web Agent の設定手順

Cisco NAC Web Agent ユーザ ダイアログ

Mac OS X Cisco NAC Agent

Mac OS X Cisco NAC Agent の概要

Mac OS X Cisco NAC Agent の設定手順

Mac OS X Cisco NAC Agent コンフィギュレーション ファイルの設定

Mac OS X ポスチャ評価の前提条件および制約事項

Mac OS X Agent の前提条件

Mac OS X Agent の制約事項

CAM/CAS の制約事項

Mac OS X Agent でサポートされている要件タイプ

Mac OS X Cisco NAC Agent ダイアログ

Mac OS X Cisco NAC Agent のアプリケーション ファイルのロケーション

RADIUS のチャレンジ/レスポンス方式 Mac OS X Cisco NAC Agent ダイアログ

Cisco NAC アプライアンス Agent

この章では、次の Cisco NAC アプライアンス アクセス ポータルの概要、ログイン フロー、およびセッション終了対話について説明します。

「Cisco NAC Agent」

「Cisco NAC Web Agent」

「Mac OS X Cisco NAC Agent」


リリース 4.9 でも引き続きサポートされている Windows バージョンの Clean Access Agent の詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.9』および『Release Notes for Cisco NAC Appliance, Version 4.9』を参照してください。


Cisco NAC Agent

この項では、クライアント マシンにインストールされている永続的ネットワーク アクセス アプリケーション経由でユーザに内部ネットワークへのログインを許可するように Cisco NAC Agent を設定する方法を説明します。

「Windows Cisco NAC Agent の概要」

「Windows Cisco NAC Agent の設定」

「Windows Cisco NAC Agent ユーザ ダイアログ」

Windows Cisco NAC Agent の概要

Cisco NAC Agent には、クライアント マシンに対して、ローカルマシン エージェント ベースのポスチャ評価および復旧を行う機能があります。Cisco NAC Agent は、さまざまな Windows クライアント マシン(64 ビット オペレーティング システムを実行中のクライアントを含む)でユーザがログインできるように設計されています。また、「ダブルバイト」もサポートしており、さまざまな言語にネイティブでローカライズできます。

ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Cisco NAC Agent を使用すると、Windows アップデートまたは AV(アンチウイルス)や AS(アンチスパイウェア)の定義のアップデートを実行したり、正規の復旧プログラムを起動したり、Clean Access Manager(CAM)にアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布することができます。

管理者権限のないユーザが Windows クライアント マシンを以前のバージョンの CAA(バージョン 4.5.2.0 または 4.1.10.0、およびそれ以前)から Cisco NAC Agent にアップグレードするには、 CCAAgentStub.exe Agent スタブがクライアント マシンにインストールされていることが必要です(管理者権限のあるユーザは、このファイルは不要です)。Cisco NAC Agent のインストールが成功したら、その後はクライアント マシンでの管理者権限も CCAAgentStub.exe Agent スタブ ファイルも不要です。

Cisco NAC Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Clean Access Server(CAS)から取得し、必要なパッケージを検索し、レポートを(CAS を介して)CAM に送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。

Cisco NAC Agent のポスチャ評価を CAM に設定するには、ルールおよびチェック基準(オプション)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。詳細については、「Agent ベースのポスチャ評価の設定」を参照してください。

Cisco NAC Agent のダウンロード

図 10-1 は、管理者がユーザのロールおよび OS に対して Cisco NAC Agent の使用を要求した場合に、Cisco NAC Agent の初回のダウンロードおよびインストールがどのように進行するかを示しています。

図 10-1 Cisco NAC Agent のダウンロード

 

Cisco NAC Agent ソフトウェアは、CAM ソフトウェアに、その一部として必ず含まれています。CAM がインストールされていれば、Agent のインストール ファイルはすでに存在しており、自動的に CAM から CAS へ発行されます。Agent は、該当するユーザ ロールまたは OS(オペレーティング システム)に対して CAM Web コンソールで Agent の使用を必須にすることによって、簡単にクライアントに配布できます。この Agent をダウンロードしてインストールすると、CAM に設定した要件に従って、Agent がクライアントを検査します。

ユーザは、ネットワークにログインするために Web ブラウザを開くことによって、Agent のダウンロードとインストールを行うことができます。ユーザのログイン資格情報から、Agent を必要とするロールにそのユーザが関連付けられると、そのユーザは Agent ダウンロード ページにリダイレクトされます。Agent のダウンロードとインストール後、ユーザは Agent ダイアログを使用してすぐにネットワークにログインするよう促され、要件のスキャンを受けます。ユーザのロールおよびオペレーティング システムに設定されている条件を満たし、スキャンに合格すれば(イネーブルの場合)、そのユーザはネットワークへのアクセスが許可されます。


) Cisco NAC Agent は、CAA とは異なり、Nessus ベースのネットワーク スキャンをサポートしていません。


Web コンソールで自動更新オプションを設定すれば、クライアントに Agent アップグレード ファイルを配布することもできます。CAM での Agent アップグレードの取得は、「Cisco NAC アプライアンスのアップデートの取得」に従って行われます。

Windows Cisco NAC Agent の設定

Windows Cisco NAC Agent を設定するために必要な基本手順は、次のとおりです。

1. 「Agent 設定手順」の手順に従って、Cisco NAC Agent の配布とダウンロードをイネーブルにします。

2. 「Agent ベースのポスチャ評価の設定」の手順に従って Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「Windows Server Update Services 要件の設定」

c. 「Windows Update 要件の設定」

d. 「カスタム チェック、ルール、および要件の設定」

e. 「Launch Programs 要件の設定」

f. 「要件とルールのマッピング」

g. 「ユーザ ロールへの要件の適用」

h. 「要件の検証」

i. 「Optional および Audit 要件の設定」

Windows Cisco NAC Agent ユーザ ダイアログ


FIPS 準拠の Cisco NAC アプライアンス ネットワークにアクセスするクライアント マシンのブラウザは、ネットワークと「対話する」ために TLSv1 が必要ですが、これは、Microsoft Internet Explorer バージョン 6 のデフォルトではディセーブルになっています。このオプションを Internet Explorer バージョン 6 でイネーブルにするには、IE バージョン 6 で CAM/CAS Web コンソールにアクセスする管理者と同じ手順を実行します。『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』で、インストールのトラブルシューティングに関する項にある「Enabling TLSv1 on Internet Explorer Version 6」を参照してください。


ここでは、ネットワークに Cisco NAC アプライアンスがインストールされていて、Cisco NAC Agent が必要で、ユーザ ロール用に設定されている場合のユーザ操作を示します。


) VPN コンセントレータの背後の Single Sign-On(SSO)用に設定された Cisco NAC Agent の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。


1. ユーザが最初に Web ブラウザを開くと、Web ログイン ページにリダイレクトされます(図 10-40)。

図 10-2 ログイン ページ

 

2. ユーザは Web ログイン ページにログインすると、Cisco NAC Agent インストール ファイルのワンタイム ダウンロードを実行できる [Agent Download] ページ(図 10-3)にリダイレクトされます。

図 10-3 [Cisco NAC Agent Download] ページ

 

3. ユーザは、[Launch Cisco NAC Windows Agent Installer] ボタンをクリックします(このボタンには、ダウンロードされる Agent のバージョンが示されます)。


) [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Cisco NAC Agent or Cisco NAC Web Agent] オプションが選択されている場合、[Agent Download] ページには、[Get Restricted Network Access] ボタンおよび関連テキストが表示されます。詳細については、「Agent ログイン」を参照してください。



) 既存の CAS 証明書がクライアント側で信頼されない場合は、Agent をダウンロードする前に、表示される [Security Alert] ダイアログでオプションの証明書を受け入れる必要があります。


図 10-4 ActiveX インストール通知

 

4. クライアント マシンに対する ActiveX コントロールのインストールなどのアクションを確認するようユーザの Web ブラウザが設定されている場合、ユーザはアクションを確認する必要がある場合があります。たとえば、Microsoft IE の場合は、ブラウザ ウィンドウに表示されるステータス バーをクリックし、その結果表示されるポップアップで [Install ActiveX Control] オプションを選択して ActiveX プロセスを確認する必要がある場合があります。ActiveX コントロールを初期化できない場合は、ActiveX のインストール通知が表示され、Cisco NAC アプライアンス システムが Java アプレットを通じて Agent インストール ファイルのダウンロードを試みます(Cisco NAC アプライアンス システムがそのように設定されている場合)。


) [Administration] > [User Pages] > [Login Page] 設定画面で [Web Client (ActiveX/Applet)] オプションを使用して Java アプレット方式を優先することを指定した場合は、これらの事象が発生する順序が逆になります。ユーザが Java アプレットの失敗通知を受け取ってから ActiveX コントロールによるクライアント マシンでの Agent ファイルのインストールが試行されます。


図 10-5 Java インストール通知

 


) CAM からダウンロードされる Agent のバージョンが「署名されていない」場合(シスコのサポートからパッチ バージョンとして直接渡された場合など)、図 10-6 のような Java セキュリティ通知が表示されることがあります。


図 10-6 Java Applet セキュリティ通知

 

Agent をダウンロードしてインストールする方法として、ActiveX と Java アプレットの両方とも失敗する場合は、Windows ダイアログが表示され、Cisco NAC Agent ログインが失敗したので Cisco NAC アプライアンス ネットワーク管理者に連絡して、インストール プロセスに関する問題のトラブルシューティングの試行と支援を受けるか、(ユーザのログイン ロールでイネーブルにしてある場合)Agent のインストールの問題が解決するまでの間、「制限付き」ネットワーク アクセスを受け入れるようにと指示されます。

5. ActiveX コントロールに Agent ファイルのインストールを許可するか、Java 証明書セキュリティ警告に同意して Java アプレット コンテンツを受け入れると、クライアント マシンは Agent インストーラおよび必要な関連ファイルのダウンロードを開始してクライアント マシンに保存し、ブラウザ ウィンドウには「Cisco NAC Agent was successfully installed!」というメッセージが表示されます(図 10-7)。

図 10-7 Cisco NAC Agent のインストールの成功

 

このプロセスでのインストール手順は、接続速度に応じて、数秒で終わることもあれば、数分かかることもあります。一般に、10/100 Ethernet LAN リンクなどの接続速度の速いリンクではほとんど時間がかからない一方、ISDN など相対的に遅いリンクではずっと長時間かかります。

6. クライアント マシンのダウンロード フォルダに Update.exe を 保存 してから、実行可能ファイルを 実行 します。


) CAS 証明書がクライアント側で信頼されない場合は、Agent のインストールを次に進める前に表示される [Security Alert] ダイアログで証明書を受け入れる必要があります。


7. [Cisco NAC Agent Client - Welcome to the InstallShield Wizard] ダイアログボックスが表示されます(図 10-8)。

図 10-8 Cisco NAC Agent InstallShield Wizard:[Welcome]

 

8. Agent のインストール プロセスを続行するには、まず、[End User License Agreement] ダイアログで [I accept the terms in the license agreement] オプションをクリックし、[Next] をクリックする必要があります(図 10-9)。

図 10-9 Cisco NAC Agent のインストール:[License Agreement]

 

9. Cisco NAC Agent のすべてのファイルをインストールするか、[Custom] オプションを選択して 1 つまたは複数のファイルを指定するかを選択し、[Next] をクリックします(図 10-10)。

図 10-10 Cisco NAC Agent のインストール:[Setup Type]

 

10. [Cisco NAC Agent Client - InstallShield Wizard] ダイアログボックスが表示されます(図 10-11)。

図 10-11 Cisco NAC Agent InstallShield Wizard:[Ready to Install]

 

11. Cisco NAC Agent を C: ¥ Program Files ¥ Cisco ¥ Cisco NAC Agent にインストールするための簡単なインストール手順がセットアップ ウィザードによって示されます。

図 10-12 進行中の Cisco NAC Agent のインストール

 

図 10-13 完了した Cisco NAC Agent のインストール

 

12. InstallShield Wizard が完了し、ユーザが [Finish] をクリックすると、Cisco NAC Agent ログイン ダイアログがポップアップし(図 10-14)、システム トレイに Cisco NAC Agent タスクバー アイコンが表示されます。

図 10-14 Cisco NAC Agent ログイン ダイアログ

 

13. 資格情報を入力してネットワークにログインします。Web ログイン ページと同様に、複数の認証プロバイダーが設定されている場合は、[Server] リストから 1 つを選択できます。


) セッション ベースの [Remember Me] チェックボックスをクリックすると、ユーザがアプリケーションを終了またはアップグレードしたり、マシンをリブートしたりしない場合、ログイン/ログアウトを何回実行しても [User Name] および [Password] フィールドに、直前に入力した値が読み込まれます。マシンを共有している場合は、[Remember Me] チェックボックスをオフにして、マシン上の複数のユーザが個々のユーザ名とパスワードを常に入力するようにします。

Cisco NAC アプライアンスがユーザ認証で RADIUS サーバを使用しており、追加の資格情報を使用してユーザを認証するようにサーバが設定されている場合、「RADIUS のチャレンジ/レスポンス方式 Cisco NAC Agent ダイアログ」のようにユーザに、1 つ以上の追加のチャレンジ/レスポンス方式ダイアログが表示される場合があります。


14. ユーザはシステム トレイの Cisco NAC Agent アイコンを右クリックして、Agent のタスクバー メニューを起動できます(図 10-15)。

図 10-15 Cisco NAC Agent タスクバー メニュー

 

タスクバー メニュー オプションの内容は、次のとおりです。

[Login/Logout]:このトグルは、ユーザのログイン ステータスを反映します。[Login] は、ユーザが Clean Access Server の背後に存在し、ログインしていない場合に表示されます。[Logout] は、ユーザがすでに Cisco NAC アプライアンスにログインしている場合に表示されます。ディセーブル(グレー表示)の [Login] は、CAS から Cisco NAC Agent への SWISS 応答が存在しない場合に発生します。次の場合にこの状態になります。

Cisco NAC Agent がログイン先の CAS を発見できないか、Agent がログインしていても CAS との接続が失われた場合

OOB 配置:Cisco NAC Agent ユーザが CAS 経由ですでにログインしており、現在アクセス VLAN 上にいる場合

SSO を使用するマルチホップ レイヤ 3(VPN/WLC)配置:ユーザが VPN コンセントレータ経由で認証されており、したがって、すでに Cisco NAC アプライアンスに自動でログインしている場合

デバイス フィルタ:MAC アドレス ベースの認証がこのユーザのマシンに設定されており、ユーザ ログインが必要ない場合

[Popup Login Window]:このオプションは Cisco NAC Agent が最初にインストールされたときにデフォルトで設定されており、これにより、ユーザが Clean Access Server の背後に存在してログインしていないことを検出したときに、Agent ログイン ダイアログが自動的にポップアップします。

[Properties]:[Properties] を選択すると [Agent Properties and Information] ダイアログ(図 10-16)が起動し、レイヤ 3 配置のクライアント マシンおよび Discovery Host にインストールされたすべての AV 製品および AS 製品が表示されます。

次のようなキーボード ショートカットを使用して、上記のオプションにアクセスできます。

L:Login/Logout

A:About

X:Exit

R:Properties

P:Popup Login Window


) [Discovery Host] フィールドは、Agent コンフィギュレーション XML ファイルの DiscoveryHostEditable パラメータを変更して、編集可能または編集不可にすることができます。詳細については、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。


図 10-16 Properties

 

[About]:Cisco NAC Agent のバージョンが表示されます(図 10-17)。

図 10-17 About

 

[Exit]:アプリケーションの終了、タスクバーの Cisco NAC Agent アイコンの削除、インバンド モードおよびアウトオブバンド モードでのユーザの自動ログオフを行います。アウトオブバンド モードのユーザがログオフされるのは、CAM Web コンソールを使用して OOB ログオフ機能がイネーブルになっている場合だけです。


) タスクバー メニューで [Popup Login Window] がディセーブルの場合、ユーザはいつでもシステム トレイから Agent アイコンを右クリックし、[Login] を選択することにより、ログイン ダイアログを起動できます。


インストール済み Agent の自動アップグレード: Cisco NAC Agent がすでにインストールされている場合、アップグレード通知をディセーブルにしていないかぎり、ログインするたびに自動アップグレードのプロンプトがユーザに表示されます。オプションでマシンのシャットダウン時に強制的にログアウトすることもできます(デフォルトでは、マシン シャットダウン時もユーザはログインしたままです)。自動アップグレードは必須またはオプションに設定できます。自動アップグレードが必須の状態で、新しいバージョンの Agent を CAM から使用できる場合、既存の Agent ユーザにはログイン時に次のアップグレード プロンプトが表示されます(図 10-18)。

図 10-18 自動アップグレード プロンプトの例(必須)

 

アップグレードが任意で、新しいバージョンの Agent を CAM から使用できる場合、ユーザはアップグレードを [Cancel] キャンセル)してログイン プロセスを続行することができます(図 10-19)。

図 10-19 自動アップグレード プロンプトの例(任意)

 

上のどちらのダイアログでも、[OK] をクリックすると、Cisco NAC Agent を新しいバージョンにアップグレードするセットアップ ウィザードが表示されます(図 10-8)。Agent がアップグレードし、ユーザがログインすると、要件のチェックが続行されます。

コンプライアンス モジュール機能がイネーブルになっていると、NAC Agent コンプライアンス モジュールのインストールを求めるメッセージが表示されます(図 10-20 を参照)。

図 10-20 NAC Agent コンプライアンス モジュールのインストール - プロンプト

上記のダイアログで [OK] をクリックすると、Cisco NAC Agent を最新バージョンの NAC Agent コンプライアンス モジュールのにアップグレードするセットアップ ウィザードが表示されます。

15. ユーザが資格情報を送信すると、Cisco NAC Agent はユーザ ロール用に設定された要件をクライアント システムが満たすかどうかを自動的にチェックします(図 10-21)。

図 10-21 Cisco NAC Agent によるシステムの検証

 

16. 要求されたソフトウェアが存在しない場合は、[Temporary Network Access] ダイアログが表示されます(図 10-22)。ダイアログで指定されたセッション タイムアウト中は、ユーザに Agent Temporary ロールが割り当てられます。Temporary ロール セッション タイムアウトはデフォルトで 4 分に設定されており、ユーザが Web リソースにアクセスして、必要なソフトウェアのインストール パッケージをダウンロードできる十分な時間が設定されている必要があります。

図 10-22 Temporary アクセス:要件に違反

 

ユーザが [Show Details] をクリックすると、Cisco NAC Agent によって要件のリストが表示されます。これは、ユーザに割り当てられたロールに基づいて Cisco NAC アプライアンスがクライアント マシンにネットワーク アクセスを許可するために解決する必要がある要件です(図 10-23)。

図 10-23 [Temporary Network Access]:詳細の表示

 

[Security Compliance Summary] ダイアログを終了するには、[Hide Details] をクリックします。

17. [Repair] をクリックすると、ユーザ ロールに対して最も高いプライオリティが設定された要件の Cisco NAC Agent ダイアログが表示され、要件タイプに応じた適切なアクションを取るように要求されます。

[AV Definition Update] 要件(図 10-24)の場合は、[Update] ボタンをクリックして、システムのクライアント AV ソフトウェアを更新します。

図 10-24 AV Definition Update 要件の例

 

[AS Definition Update] 要件(図 10-25)の場合は、[Update] ボタンをクリックして、クライアント システムの AS ソフトウェアの定義ファイルを更新します。

図 10-25 AS Definition Update 要件の例

 

[Windows Update] 要件(図 10-26)の場合、ユーザは [Update] ボタンをクリックして、要件に [Automatically Download and インストール] が設定されている場合に Windows Update を設定し、クライアント システムのアップデートを強制します。

図 10-26 Windows Update 要件の例

 

[Windows Server Update Service] 要件(図 10-27)の場合、[Update] ボタンをクリックして、[Windows Server Update Service] を設定し、クライアント システムのアップデートを強制します。

図 10-27 Windows Server Update Service 要件の例

 

[Launch Program] 要件(図 10-28)の場合、[Launch] ボタンをクリックして、要件が満たされない場合に復旧するために、認定されたプログラムを自動起動します。


) シグニチャ処理は、管理者ユーザ用の config ファイルの設定(<SignatureCheck>0|1</SignatureCheck>)に基づいて行われます。シグニチャの確認は、管理者以外のユーザの config ファイルの設定には関係なく実行されます。


図 10-28 Launch Programs 要件の例

 

File Distribution 要件(図 10-29)の場合、ボタンをクリックすると、[Go To Link] でなく [Download] が表示されます。[Download] をクリックすると、[Save file to] ダイアログが表示されます。インストール ファイルをローカル フォルダに保存し、そこから実行可能ファイルを実行する必要があります( File Distribution によってユーザに提供できる最大ファイル サイズは 500MB です)。

図 10-29 File Distribution 要件の例

 

Link Distribution 要件(図 10-30)の場合は、[Go To Link] をクリックして、必要なソフトウェア インストール ファイルの Web サイトにアクセスできます。ブラウザが開き、Location フィールドで指定された URL が表示されます。

図 10-30 Link Distribution 要件の例

 

18. この段階で [Cancel] をクリックすると、ログイン プロセスが停止します。

19. 要件ごとに、必要な処理([Update]、[Go To Link]、[Download])が完了したら、[Skip] をクリックして次に進む必要があります。Cisco NAC Agent はシステムを再スキャンして、要件が満たされていることを確認します。満たされている場合、Agent はロールに設定された次の要件に進みます。


) 要件が [Optional] の場合、ユーザが Cisco NAC Agent で任意の要件について [Skip] をクリックし、他のすべての要件が満たされていると、次の必須要件のダイアログまたはログイン成功のダイアログが表示されます(図 10-32)。


20. [Network Policy] ページがロールに対応するように設定されている場合、要件が満たされていれば、次のダイアログが表示されます(図 10-31)。(CAM または外部サーバにアップロードされた)[network usage policy] HTML ページを表示するには、[Network Usage Terms & Conditions] リンクをクリックします。正常にログインするには、[Accept] ボタンをクリックする必要があります。

図 10-31 ネットワーク ポリシー ダイアログ

 

このダイアログの設定の詳細については、「Agent ユーザ用の [Network Policy] ページ(AUP)の設定」を参照してください。

21. すべての要件が満たされている場合(およびネットワーク ポリシーが設定されている場合はそれを受け入れた場合)、ユーザは Temporary ロールから標準ログイン ロールに転送され、ログイン成功ダイアログが表示されます(図 10-32)。ユーザは標準ログイン ロールで許可されたネットワークに自由にアクセスできます。


) 管理者は Login および Logout 成功ダイアログが指定した秒数のあとに自動的に閉じるように設定したり、どちらのダイアログも表示されないように設定したりできます。詳細については、「Agent ログイン」を参照してください。


図 10-32 ログイン成功:クライアント マシンの準拠

 

22. [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Cisco NAC Agent or Cisco NAC Web Agent] オプションをオンにしてあるか、現在 Agent が必須要件を満たしていない場合は、Cisco NAC Agent 認証ダイアログに [Get Restricted Network Access] ボタンが表示され、ユーザは制限付きネットワーク アクセスを受け入れるかどうかを選択できます。[Get Restricted Network Access] ボタンをクリックした場合、ユーザは、制限の少ない標準のネットワーク アクセス ロールの代わりに「制限付き」ユーザ ロールで Cisco NAC アプライアンス システムにログインし、図 10-33 に示されているようなログイン確認ダイアログが提示されます。制限付きネットワーク アクセスのイネーブル化に関する詳細は、html?bid=0900e4b1827e13f8#87267" CLASS="cXRef_Color">「Agent ログイン」を参照してください。

図 10-33 制限付きネットワーク アクセス

 

23. ネットワークからログオフするには、システム トレイ内の Cisco NAC Agent アイコンを右クリックして、[Logout] を選択します。ログアウト画面が表示されます(図 10-34)。管理者がユーザをネットワークから削除する場合、[Popup Login Window] が設定されている場合には、[Login] ダイアログが代わりに再表示されます。


) 管理者は Login および Logout 成功ダイアログが指定した秒数のあとに自動的に閉じるように設定したり、どちらのダイアログも表示されないように設定したりできます。詳細については、「Agent ログイン」を参照してください。


図 10-34 ログアウト成功

 

24. 要件を満たしたユーザは、自身のコンピュータまたは Cisco NAC Agent 要件に変更がないかぎり、次のログイン時にこれらの Cisco NAC Agent チェックに合格します。

25. 要求されたソフトウェア インストールでコンピュータの再起動が必要な場合は、ネットワークをログアウトしてから、再起動する必要があります。そうしないと、ユーザはセッションがタイムアウトするまで Temporary ロールにとどまります。セッション タイムアウトおよびハートビート チェックを設定すると、ネットワークのログアウトに失敗したユーザを手動で切断できます。

RADIUS のチャレンジ/レスポンス方式 Cisco NAC Agent ダイアログ

リモート ユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、エンド ユーザの Cisco NAC Agent ログイン セッションでは、標準のユーザ ID とパスワードに加えて、他のダイアログ セッションでは利用できない追加の認証チャレンジ/レスポンス ダイアログも使用できます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の資格情報を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。

次の項では、Windows Cisco NAC Agent ユーザ認証用の対話のやりとりの例を紹介します。

1. リモート ユーザは通常どおりにログインし、ユーザ名とパスワードを入力します(図 10-35 を参照)。

図 10-35 Windows Agent のログイン ダイアログ

 

2. 関連付けられた RADIUS サーバが追加の資格情報でユーザを認証するように設定されている場合、図 10-36 に表示されたパスワードの更新シナリオと同じような追加のチャレンジ/レスポンス方式ダイアログが 1 つ以上ユーザに表示されます。ユーザは、追加の資格情報を追加して、認証と接続を実行する必要があります。

図 10-36 追加の Windows RADIUS チャレンジ/レスポンス方式セッション ダイアログ

 

3. 追加のチャレンジ/レスポンス方式ダイアログが検証されると、RADIUS サーバは、ユーザが正常に認証され、リモート アクセスを許可する必要があることを CAM に通知します。

図 10-37 Windows RADIUS チャレンジ/レスポンス方式認証が成功した場合

 

Cisco NAC Web Agent

この章では、クライアント マシンに恒久的で専用のネットワーク アクセス アプリケーションを必要とすることなく、ユーザにネットワークへのログインを許可するよう Cisco NAC Web Agent を設定する方法を説明します。

「概要」

「Cisco NAC Web Agent の設定手順」

「Cisco NAC Web Agent ユーザ ダイアログ」

概要


警告 56 キロビット/秒より遅いリンク速度で接続されているクライアント マシンでは、Cisco NAC Web Agent の使用をお勧めしません。


Cisco NAC Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。ユーザが Cisco NAC Web Agent 実行ファイルを起動すると、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。ユーザが Web Agent セッションを終了すると、Web Agent がこのユーザをネットワークからログオフさせ、このユーザのユーザ ID が [Online Users] リストから消えます。

ユーザが Cisco NAC Web Agent にログインした後で、Web Agent では、そのユーザ ロールおよび OS に設定されている要件を Clean Access Server から取得し、ホスト レジストリ、プロセス、アプリケーション、およびサービスを調べて、必要なパッケージを確認し、レポートを CAM に返送します(CAS 経由)。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。あるいは、指定された要件が満たされない場合、ユーザは「制限付き」ネットワーク アクセスを受け入れ([Device Management] > [Clean Access] > [General Setup] > [Agent Login] ページでイネーブル化した場合)、クライアント マシンにユーザ ログイン ロールの要件を満たさせるために修復を試みることができます。管理者は、「新しいユーザ ロールの追加」に示されているガイドラインに従い、標準のユーザ ログイン ロールを設定する場合と同じ方法で「制限付き」ユーザ ロールを設定して、限られたアプリケーションとネットワークのリソースだけへのアクセスを提供することができます。

Cisco NAC Web Agent のポスチャ評価を CAM に設定するには、ルールおよびチェック基準(オプション)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。この章では、これらの要件の設定方法について説明します。

図 10-38 は、ユーザのロールおよびオペレーティング システムに対して、Cisco NAC Web Agent を使用するように要求する場合の Cisco NAC Web Agent の起動の流れを示しています。

図 10-38 Cisco NAC Web Agent のユーザ対話/ユーザ体験

 

システム要件

Cisco NAC Web Agent に対応するには Cisco NAC アプライアンス ネットワークが次の要件を満たす必要があります。

オペレーティング システムの互換性とブラウザのサポート

ActiveX および Java アプレットの要件

Windows Vista での Microsoft Internet Explorer 7

オペレーティング システムの互換性とブラウザのサポート

Windows 7 環境で Internet Explorer にプロキシ接続を設定しているユーザが Web Agent 経由でログインしている場合は、クライアント マシンで Web Agent のダウンロードを可能にするために、ブラウザのセキュリティ設定で「保護モード」をイネーブルにする必要があります。

すべての Cisco NAC アプライアンス Agent におけるオペレーティング システムの互換性とブラウザのサポートに関する詳しい情報については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

ActiveX および Java アプレットの要件

Java アプレット バージョンを使用して Web Agent ファイルをインストールするには、クライアントに Java バージョン 1.5 以上がすでにインストールされている必要があります。

ActiveX を使用して Web Agent ファイルをインストールするには、クライアント マシンで Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインストールすることはできません。

ActiveX コントロールをインストールできるようにするには、ユーザは、クライアント マシンにおいて ActiveX をダウンロードする権限か admin 権限を持つ必要があります。


) クライアント マシンの CPU 負荷が 100% 近くなっていると Web Agent Java アプレットを起動できない場合があります(ActiveX は、これらの条件でも正常に実行されます)。



) Windows Vista オペレーティング システムの「Guest」ユーザ プロファイルでは、セキュリティ制限により、ActiveX コントロールおよび Java アプレットが適切に実行されません。したがって、Web Agent 経由で Cisco NAC アプライアンスにログインするには、既知のユーザ(「Guest」でない)として Windows Vista クライアントにログインする必要があります。


Windows Vista での Microsoft Internet Explorer 7

デフォルトでは、Windows Vista では、サーバ証明書失効リストをチェックして、クライアント マシンでの Web Agent の起動を阻止します。この機能をディセーブルにするには、次の手順を行います。


ステップ 1 Internet Explorer 7 で [Menu] > [Tools] > [Internet Options] に移動します。

ステップ 2 [Advanced] タブをクリックします。

ステップ 3 [Security] にある [Check for server certificate revocation] オプションをオフ(ディセーブル)にします。

ステップ 4 [OK] をクリックします。


 

Cisco NAC Web Agent の設定手順

Cisco NAC Web Agent をイネーブルにし、使用するために Cisco NAC アプライアンス システムを設定するために必要な基本手順は次のとおりです。

1. 必ず「Agent 設定手順」の手順に従って Cisco NAC Web Agent をイネーブルにし、インストーラ ダウンロード パラメータを指定してください。

2. (オプション)「新しいユーザ ロールの追加」の説明に従って、「Restricted Access」ロールを設定します。

3. 「Agent ベースのポスチャ評価の設定」の手順に従って Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「Windows Server Update Services 要件の設定」

c. 「Windows Update 要件の設定」

d. 「カスタム チェック、ルール、および要件の設定」

e. 「Launch Programs 要件の設定」

f. 「要件とルールのマッピング」

g. 「ユーザ ロールへの要件の適用」

h. 「要件の検証」

i. 「Optional および Audit 要件の設定」

上記内容に対応した後で、ユーザは、システム設定に定義されたパラメータおよび要件に従って Cisco NAC アプライアンス システム経由でログインし、ネットワーク アクセスを得ることができます。

Cisco NAC Web Agent ユーザ ダイアログ

この項では、ユーザが Cisco NAC Web Agent 経由でネットワークにアクセスするときのユーザ体験について説明します。


) クライアント マシンにおけるユーザの権限レベル(Administrator、Privileged User、User など)および Web ブラウザのセキュリティ設定に応じて、ダウンロード プロセスおよびインストール プロセスの重要なポイントで、「警告」またはメッセージ ダイアログがユーザにさらに表示されたり、表示されなかったりします(たとえば、ユーザは、インストール プロセスがユーザを特定の URL の宛先にリダイレクトすることに同意したり、Web Agent 実行ファイルが後続のクライアント スキャンを起動することを承認したりする必要がある場合があります)。


1. ユーザが最初に Web ブラウザを開くと、Web ログイン ページにリダイレクトされます(図 10-39)。

図 10-39 ログイン ページ

 

2. ユーザは Web ログイン ページで資格情報を入力し、Cisco NAC Web Agent 起動ページ(図 10-40)にリダイレクトされます。このページで、ユーザは、Cisco NAC Web Agent の ActiveX インストーラまたは Java アプレット インストーラを選択して起動できます。インストーラの起動方式は、[Administration] > [User Pages] > [Login Page] 設定画面の [Web Client (ActiveX/Applet)] オプションを使用して決定します。


) ActiveX を使用して Web Agent ファイルをインストールするには、クライアント マシンで Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインストールすることはできません。


図 10-40 Cisco NAC Web Agent 起動ページ

 

3. ユーザは、[Launch Cisco NAC Web Agent] ボタンをクリックします(このボタンは、インストールする Web Agent のバージョンを表示します)。


) [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Cisco NAC Web Agent] オプションが選択されている場合、[Get Restricted Network Access] ボタンと関連するテキストが [Download Clean NAC Web Agent] ページに表示されます。詳細については、「Agent ログイン」を参照してください。



) 既存の CAS 証明書がクライアント側で信頼されない場合、ユーザは、Web Agent の起動を正常に次に進める前に表示される [Security Alert] ダイアログでオプションの証明書を受け入れる必要があります。


図 10-41 ActiveX インストール通知

 

4. クライアント マシンに対する ActiveX コントロールのインストールなどのアクションを確認するようユーザの Web ブラウザが設定されている場合、ユーザはアクションを確認する必要がある場合があります。たとえば、Microsoft IE の場合は、ブラウザ ウィンドウに表示されるステータス バーをクリックし、その結果表示されるポップアップで [Install ActiveX Control] オプションを選択して ActiveX プロセスを確認する必要がある場合があります。

ActiveX コントロールが初期化できない場合は、図 10-42にあるような ActiceX のインストール通知がユーザに表示されます。さらに ActiveX 方式が失敗したときに Java アプレットによって Web Agent ファイルのダウンロードを試行するように Cisco NAC アプライアンス システムが設定されている場合は、Cisco NAC アプライアンス システムは Java アプレットを使用して Web Agent インストール ファイルをダウンロードしようと試みます。

または、ユーザは Cisco NAC Web Agent をログインのために使用できず、Cisco NAC アプライアンス ネットワーク管理者に連絡して、インストール プロセスの問題のトラブルシューティングを試行および支援するよう依頼するか、Web Agent のインストールの問題を修正できるまで当面は「制限付き」ネットワーク アクセスを受け入れるかのいずれかを行う必要があります。


) [Administration] > [User Pages] > [Login Page] 設定画面で [Web Client (ActiveX/Applet)] オプションを使用して Java アプレット方式を優先することを指定した場合は、これらの事象が発生する順序が逆になります。ユーザが Java アプレットの失敗通知を受け取ってから ActiveX コントロールによるクライアント マシンでの Web Agent ファイルのインストールが試行されます。


図 10-42 ActiveX インストール通知

 


) CAM からダウンロードされる Agent のバージョンが「署名されていない」場合(シスコのサポートからパッチ バージョンとして直接渡された場合など)、図 10-43 のような Java セキュリティ通知が表示されることがあります。


図 10-43 Java Applet セキュリティ通知

 

ActiveX と Java アプレットの両方に方式よる Web Agent のダウンロードおよびインストールが失敗すると、図 10-44 にあるような通知画面がユーザに示され、Cisco NAC Web Agent のログインに失敗したことをユーザに通知する Windows ダイアログ(図 10-45)が表示されます。


) ActiveX コントロールまたは Java アプレットが Cisco NAC アプライアンス システムに戻すステータス コードおよびエラー コードについて詳しくは、表 11-4 を参照してください。


図 10-44 ActiveX および Java のインストール失敗通知

 

図 10-45 Cisco NAC Web Agent ログイン失敗通知

 

5. ユーザが ActiveX コントロールによる Web Agent ファイルのインストールを許可するか、Java 証明書セキュリティ警告に同意し、Java アプレット コンテンツを受け入れると、Web Agent インストーラの処理が開始されて Web Agent 実行ファイルおよびすべての必須関連ファイルがクライアント マシンの一時ディレクトリ(たとえば C: ¥ Temp ¥)にインストールされ、ブラウザ ウィンドウに図 10-46 で示されているような「Downloading Cisco NAC Web Agent...」というメッセージが表示されます。

図 10-46 Cisco NAC Web Agent 実行ファイルのダウンロード

 

このプロセスでのダウンロード ステップは、接続速度に応じて、ほんの数秒で終わることもあれば、数分かかることもあります。一般に、10/100 Ethernet LAN リンクなどの接続速度の速いリンクではほとんど時間がかからない一方、ISDN など相対的に遅いリンクではずっと長時間かかります。


警告 56 キロビット/秒より遅いリンク速度で接続されているクライアント マシンでは、Cisco NAC Web Agent の使用をお勧めしません。


実行ファイルがクライアント マシンのローカル一時ファイル ディレクトリにダウンロードされると、自己解凍式インストーラによりクライアント マシンでの Web Agent の起動が自動で開始され、図 10-47 に示されているようなステータス ウィンドウがユーザに表示されます。

図 10-47 Cisco NAC Web Agent のインストール

 

6. ActiveX コントロールまたは Java アプレットのセッションが完了すると、Cisco NAC Web Agent では、クライアント システムが、ユーザ ロールに設定されている要件を満たしているかどうかを自動でチェックします(図 10-48を参照)。

図 10-48 Cisco NAC Web Agent スキャン ダイアログ

 

7. Web Agent によるスキャンにより、「必須」のアプリケーション、プロセス、または重要なアップデートが欠落していると判定されると、「Host is not compliant with network security policy」というメッセージ(図 10-49 から図 10-54 の例を参照)が示され、ダイアログに示されているセッション タイムアウト(通常は、デフォルトにより 4 分)まで Cisco NAC Web Agent Temporary ロールがユーザに割り当てられます。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては表 11-5 を参照してください。


8. ユーザは次の 1 つ以上を選択して実行できます。

Web Agent の起動を打ち切るには [Cancel] をクリックします。

ユーザが Web Agent のログインに関するものである可能性のある問題のトラブルシューティングを支援してもらうために Cisco NAC アプライアンス管理者に転送できる Web Agent セッション レポートのローカル コピーを保存するには [Save Report] をクリックします。

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)


) レポート ダイアログでは IFRAME が使用されているため、レポート データとアクセス制限されたデータは、別々の HTML ファイルに保存されます。[HTML Only] オプションおよび [Text] オプションを使用した場合は、レポートおよび制限されたデータは、保存されるファイルに含まれません。


制限の少ない標準のネットワーク アクセス ロールの代わりに「制限付き」ユーザ ロールを使用して Cisco NAC アプライアンス システムにログインするには、[Get Restricted Network Access] をクリックします。

手動修復の実行:ユーザは、必要なソフトウェアのインストール パッケージをダウンロードし、表示された Remediation Suggestion エントリに従ってその他の必要な修復作業を行ってから、[Re-Scan] をクリックして、実行した変更によりクライアント マシンが容認される程度まで適合したかどうかを確認できます。


) Temporary ロール セッションのタイムアウトは、デフォルトでは 4 分に設定されていますが、ユーザが Web リソースにアクセスし、必要なソフトウェアのインストール パッケージをダウンロードし、場合によってはその他の修正作業を実行してから、クライアント マシンの適合性を [Re-Scan] してみることができる十分な時間を設定することをお勧めします。


図 10-49 必須の AV Definition 要件に違反

 

図 10-50 必須の AS Definition Update 要件に違反

 

図 10-51 必須の File Distribution 要件に違反

 

図 10-52 必須の Link Distribution 要件に違反

 

図 10-53 必須の Local Check 要件に違反

 

図 10-54 必須の Windows アップグレード要件に違反

 

9. Web Agent によるスキャンにより、「オプション」のアプリケーション、プロセス、またはアップデートが欠落していると判定されると、「Host is compliant with network security polic」というメッセージ(図 10-55)が示され、ダイアログに示されているセッション タイムアウト(通常は、デフォルトにより 4 分)まで Cisco NAC Web Agent Temporary ロールがユーザに割り当てられます。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては表 11-5 を参照してください。


10. ユーザは、次の 1 つを選択して実行できます。

Web Agent の起動を完了するには [Continue] をクリックします。

ユーザが Web Agent のログインに関するものである可能性のある問題のトラブルシューティングを支援してもらうために Cisco NAC アプライアンス管理者に転送できる Web Agent セッション レポートのローカル コピーを保存するには [Save Report] をクリックします。次の形式のレポートが入手可能です。

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)


) レポート ダイアログでは IFRAME が使用されているため、レポート データとアクセス制限されたデータは、別々の HTML ファイルに保存されます。[HTML Only] オプションおよび [Text] オプションを使用した場合は、レポートおよび制限されたデータは、保存されるファイルに含まれません。


手動修復の実行:ユーザは、必要なソフトウェアのインストール パッケージをダウンロードし、表示された Remediation Suggestion エントリに従ってその他の必要な修復作業を行ってから、[Re-Scan] をクリックして、実行した変更によりクライアント マシンが完全に適合したかどうかを確認できます。


) Temporary ロール セッションのタイムアウトは、デフォルトでは 4 分に設定されていますが、ユーザが Web リソースにアクセスし、必要なソフトウェアのインストール パッケージをダウンロードし、場合によってはその他の修正作業を実行してから、クライアント マシンの適合性を [Re-Scan] してみることができる十分な時間を設定することをお勧めします。


図 10-55 オプション要件に違反

 

11. Web Agent によるスキャンにより、クライアント マシンが、ユーザ ロールに設定されている Agent 要件に準拠していると判定された場合は、グリーンのバナーを使用して「Host is compliant with network security policy」というメッセージがユーザに示されます(図 10-56)。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては表 11-5 を参照してください。


12. ユーザは、次の 1 つを選択して実行できます。

Web Agent の起動を完了するには [Continue] をクリックします。

ユーザが Web Agent のログインに関するものである可能性のある問題のトラブルシューティングを支援してもらうために Cisco NAC アプライアンス管理者に転送できる Web Agent セッション レポートのローカル コピーを保存するには [Save Report] をクリックします。次の形式のレポートが入手可能です。

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)

図 10-56 要件に適合

 

13. [Device Management] > [Clean Access] > [General Setup] > [Agent Login] ページで、ユーザに Network Usage Policy の表示と受け入れを要求するよう Cisco NAC アプライアンス システムを設定してあり、ユーザに [Full UI Direct Installation Option] を表示するよう [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] ページを設定してある場合は、図 10-57 にあるようなダイアログがユーザに表示される場合があります。ユーザが、Network Usage Policy を受け入れない場合はインストール プロセスが停止され、ユーザはインストールと起動のプロセスを再開するか、「制限付き」ネットワーク アクセスを受け入れるかのいずれかを選択する必要があります。


) ユーザがクライアント マシンで Cisco NAC Web Agent を初めて起動したとき、Network Usage Policy の先に進むために [Accept] をクリックすると、通常はポップアップ ブロッカーのメッセージがブラウザ ウィンドウの一番上に表示されます。


図 10-57 (オプション)Network Usage Policy ダイアログ

 

14. ユーザが手動修復を実行し、クライアント マシンの「再スキャン」を正常に実行し、オプションの Network Usage Policy すべてを受け入れ、オプションの要件項目を識別および認識するか、このユーザ ログイン セッションで「制限付き」アクセスを受け入れることを選択すると、[Successfully logged on to the network] ダイアログ(図 10-58)がユーザに表示されます。続いて、Web Agent セッション ステータス情報と、ユーザがクリックして Web Agent セッションを終了できる [Logout] ボタンのある Clean Access Authentication ブラウザ ウィンドウ(図 10-60)が表示されます。

図 10-58 Cisco NAC Web Agent への正常ログイン

 

Cisco NAC Web Agent が起動され、インストールされ、なんの問題もなくログイン セッションが開始されるか、ユーザが手動修復を行いクライアント マシンを準拠させてクライアントの「再スキャン」を正常に実行できた後であっても、別の問題が原因で Cisco NAC Web Agent がユーザをネットワークにログインさせない場合があります。この結果、図 10-59 にあるような「You will not be allowed to access the network...」というメッセージが表示されます。この状況の既知の原因はいくつかありますが、たとえば同じユーザの前回の Web Agent セッションが CAM で適切に「切断」されなかった場合や、ユーザがアクティブ Cisco NAC Agent セッションに現在ログインしている場合があります。

このいずれかのメッセージが表示された場合は、[OK] をクリックし、Cisco NAC Web Agent を再起動してみてください。問題が続く場合は、Cisco NAC アプライアンス システム管理者に連絡してください。

図 10-59 Cisco NAC Web Agent へのログインに失敗

 

図 10-60 Cisco NAC Web Agent 接続状態ウィンドウ( [Logout] ボタンを含む)

 

15. Cisco NAC アプライアンス ユーザ セッションからログアウトし、Cisco NAC Web Agent を解放するには、ユーザは [Logout] ボタンをクリックします。Web インターフェイスが、ユーザをネットワークからログアウトし、セッションをクライアント マシンから削除して、ユーザ ID が Online Users リストに表示されなくなります。


) ネットワークからログオフして Cisco NAC Web Agent を解放するには、システム トレイにある Agent アイコンを右クリックして [Logout] を選択する方法もあります。


システムから「ログアウト」しないで Web Agent 接続ブラウザ ウィンドウを閉じた場合は、割り当てられたユーザ ロールでのユーザ セッションがアクティブなままになります。この状態は、クライアント マシンが有効でないことを CAM が検出するか、セッション タイムアウトが発生するか、その他のなんらかのイベントが発生してクライアント マシンの正しい状態が明らかになるまで続きます。


) 管理者は指定した秒数の後で Web Agent Login 成功ダイアログが自動で閉じるように設定するか、まったく表示されないようすることができます。詳細については、「Agent ログイン」を参照してください。


Mac OS X Cisco NAC Agent

この項では、クライアント マシンにインストールされている持続的ネットワーク アクセス アプリケーション経由でユーザに内部ネットワークへのログインを許可するように Mac OS X Cisco NAC Agent を設定する方法を説明します。

「Mac OS X Cisco NAC Agent の概要」

「Mac OS X Cisco NAC Agent の設定手順」

「Mac OS X Cisco NAC Agent コンフィギュレーション ファイルの設定」

「Mac OS X ポスチャ評価の前提条件および制約事項」

「Mac OS X Agent でサポートされている要件タイプ」

「Mac OS X Cisco NAC Agent ダイアログ」

「Mac OS X Cisco NAC Agent のアプリケーション ファイルのロケーション」

Mac OS X Cisco NAC Agent の概要

Mac OS X Cisco NAC Agent には、クライアント マシンに対して、ローカル マシン エージェント ベースのポスチャ評価および修復を行う機能があります。ユーザは Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールします。これにより、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。

Cisco NAC Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Clean Access Server(CAS)から取得し、必要なパッケージを検索し、レポートを(CAS を介して)CAM に送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。

Mac OS X Cisco NAC Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(任意)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。詳細については、「Agent ベースのポスチャ評価の設定」を参照してください。


) CAM Web コンソールでは、[Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に Mac OS X Cisco NAC Agent の配布オプションを表示できます。詳細については、「Agent の配布」を参照してください。


Mac OS X Cisco NAC Agent の設定手順

Mac OS X Cisco NAC Agent を設定するために必要な基本手順は、次のとおりです。

1. 「Agent 設定手順」の手順に従って、「クライアント マシンへの Agent ログインの要求」および「Agent の配布およびインストールの設定」を含む Mac OS X Cisco NAC Agent の配布とダウンロードをイネーブルにします。

2. 「Agent ベースのポスチャ評価の設定」の手順に従って、Mac OS X Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「カスタム チェック、ルール、および要件の設定」

c. 「要件とルールのマッピング」

d. 「ユーザ ロールへの要件の適用」

e. 「要件の検証」

f. 「Optional および Audit 要件の設定」

Mac OS X Cisco NAC Agent コンフィギュレーション ファイルの設定

次のファイルにパラメータを設定することで、Mac OS X Cisco NAC Agent 機能をイネーブルにできます。

~/Library/Application Support/Cisco Systems/CCAAgent/preference.plist

/Applications/CCAAgent/Contents/Resources/setting.plist

表 10-1 に、サポートされるコンフィギュレーション パラメータを示します。

Mac OS X ポスチャ評価の前提条件および制約事項

Mac OS X Cisco NAC Agent を使用してポスチャ評価を実行するには、Macintosh クライアント マシンおよび CAM/CAS が次の要件を満たす必要があります。

Mac OS X Agent の前提条件

Mac OS X Agent インストーラ(Apple の「Package Maker」システム アプリケーションにより作成)では、クライアントに Mac OS X Cisco NAC Agent を起動する CCAAgent.app と IP アドレス更新手順を簡易化する dhcp_refresh の 2 つのアプリケーション ファイルをインストールします。

Macintosh クライアント ポスチャ評価をサポートするには、クライアント マシンで最新リリースの Mac OS 10.5(リリース 10.5.2)以降が稼動している必要があります。Mac OS 10.2 および 10.3 は、ポスチャ評価および修復に対応していません。詳細については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

Mac OS X Agent の自動アップグレードは、Cisco NAC アプライアンスのバージョン 4.1.3.0 以降でサポートされています。ユーザは、Web ログイン経由で Agent をダウンロードし、Agent インストールを実行することにより、クライアント マシンを最新の Mac OS X Agent にアップグレードできます。詳細については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』を参照してください。

Link Distribution 要件タイプによりブラウザが起動される場合は、ユーザが Safari ブラウザの [Preference] 設定で設定できるデフォルトのブラウザが使用されます。ユーザは、Safari、Firefox、Opera など必要に応じて任意のブラウザを選択できます。

Mac OS X Agent では、UTF-8 をフル サポートしています。したがって、CAM からの要件が英語以外の任意の言語(繁体字中国語など)で設定されていても、Mac OS X Agent では、引き続き Agent テキストを正しく表示できます。管理者に必要な作業は、Apple の Interface Builder を使用して別のユーザ インターフェイス ファイル(.nib)を作成し、クライアント マシンの System Preferences でロケールを変更することだけです。この機能を実装するためにコードは必要ありません。

ユーザ インターフェイスをローカライズするには、次の手順を実行します。

a. Interface Builder でローカライズされた新しい .nib ファイルを追加し、Mac OS X Agent(zh_TW は、繁体字中国語の場合の言語コード)を再コンパイルします。

b. クライアント マシンの System Preferences でロケールを変更します。

c. これにより、Mac OS X Agent では、新しいロケール設定に基づいて、ローカライズされたユーザ インターフェイスを表示します。

ユーザ プリファレンス設定オプション
(~/Library/Application Support/Cisco Systems/CCAAgent/preference.plist):

a. CAS 検出時にログイン ウィンドウが自動ポップアップされないようにします。

b. Agent が終了されるまで、ユーザの資格情報をメモリに保存することを許可します。

c. VLAN 検出間隔を変更します(デフォルトは 5 秒、0 はディセーブル)。

リリース 4.9 では、クライアント マシンが VPN で接続している場合、VLAN 検出機能は自動的にディセーブルになります。次の VPN クライアントがサポートされています。

Cisco VPN Client

AnyConnect

Apple Native VPN Client(Cisco IPSEC 対応)

Shimo(Cisco IPSEC クライアント用ユーザ インターフェイス)


) [Auto Popup Login Window] または [Remember Me] オプションの少なくとも 1 つが Mac Agent 用に切り替えられると、Mac Agent は自動的に preference.plist ファイルを作成します。どちらのオプションも Agent 用に変更されない場合、ユーザは Mac OS X で手動で preferences.plist ファイルを作成する必要があります。


preference.plist ファイル テンプレート例:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AutoPopup</key>
<string>yes</string>
<key>RememberMe</key>
<string>yes</string>
<key>VlanDetectInterval</key>
<string>5</string>
</dict>
</plist>
 

) すべてのコンフィギュレーション パラメータの詳細については、表 10-1 を参照してください。


 

Agent 設定のコンフィギュレーション オプションは、 /Applications/CCAAgent/Contents/Resources/setting.plist で設定します。 setting.plist を使用して、すべてのユーザ用のパラメータをグローバルに設定します(「RememberMe」オプションと「AutoPopup」オプション以外)。

setting.plist ファイル テンプレート例:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>RetryDetection</key>
<string>3</string>
<key>PingArp</key>
<string>2</string>
<key>LogFileSize</key>
<string>5</string>
</dict>
</plist>

) すべてのコンフィギュレーション パラメータの詳細については、表 10-1 を参照してください。


 

表 10-1 Mac OS X Cisco NAC Agent コンフィギュレーション パラメータ

パラメータ
デフォルト値
有効な範囲
説明/動作

RememberMe 1

yes

yes または no

この設定が yes の場合、ユーザは、ログイン資格情報は 1 回入力するだけで済みます。Mac OS X Agent は、セッションの終了/タイムアウト後もユーザ資格情報を記憶しています。

ユーザがユーザ名とパスワードを必要とする接続から SSO セッションに移動し、また戻った場合、資格情報は削除されます。

AutoPopup 1

yes

yes または no

この設定が yes の場合、ユーザがログアウトすると Agent のログイン ダイアログが自動的に表示されます。

この設定が no の場合、ユーザは [Tools] メニュー オプションを使用して手動でログインを開始する必要があります。

LogFileSize

5

0 以上

この設定は、クライアント マシン上の Mac OS X Agent ログ ファイルのファイル サイズ(メガバイト)を指定します。

この設定が 0 の場合、Agent は、クライアント マシン上のユーザ セッションに関するログインまたは操作の情報を記録しません。

管理者がそれ以外の整数を指定すると、Agent は、指定された数値(MB 単位)までログインとセッションの情報を記録します。

DiscoveryHost

--

IP アドレスまたは FQDN

この設定は、レイヤ 3 配置で Cisco NAC アプライアンス システムに接続するために Agent が使用する Discovery Host アドレスを指定します。

RetryDetection

3

0 以上

ICMP または ARP ポーリングが失敗した場合、クライアント IP アドレスの更新の前に、この設定は Agent が <x> 回再試行するよう設定します。

HttpDiscoveryTimeout

5

3 以上

デフォルトのタイムアウト値は 5 秒です。これは、Agent からの HTTPS ディスカバリが Clean Access Server からの応答を待機する時間です。指定された時間内に応答がないと、ディスカバリはタイムアウトになります。

設定可能な最小値は 3 です。値が 1 または 2 に設定されると、タイムアウトは 3 秒として認識されます。

この値がゼロ(0)に設定されると、Windows のデフォルトのタイムアウト設定値が使用されます。

HttpTimeout

5

3 以上

デフォルトのタイムアウトは 120 秒です。これは、Agent からの HTTP 要求が応答を待機する時間です。指定された時間内に応答がないと、要求はタイムアウトになります。

設定可能な最小値は 3 です。値が 1 または 2 に設定されると、タイムアウトは 3 秒として認識されます。

この値がゼロ(0)に設定されると、Windows のデフォルトのタイムアウト設定値が使用されます。

PingArp 2

2

0 ~ 2

この値が 0 に設定されている場合は、ICMP を使用してポーリングします。

この値が 1 に設定されている場合は、ARP を使用してポーリングします。

この値が 2 に設定されている場合は、まず ICMP を使用してポーリングしてから、(ICMP が失敗した場合は)ARP を使用します。

PingMaxTimeout

1

1 ~ 10

ICMP を使用してポーリングし、 <x> 秒内に応答がない場合は、ICMP ポーリング失敗を宣言します。

VlanDetectInterval 34

5

5 ~ 900

この設定が 0 の場合、認証 VLAN 変更機能へのアクセスはディセーブルにされます。

デフォルトでは 5 に設定され、Agent は 5 秒ごとに ICMP/ARP クエリを送信します。

この設定が 6 ~ 900 の場合は、 <x> 秒ごとに ICMP/ARP クエリを送信します

1.RememberMe パラメータと AutoPopup パラメータの設定は、preference.plist ファイルで行います。

2.PingArp の値が「1」であると、Gateway エントリが削除されて VPN 接続が切断されます。値が「0」であると、インバンドの管理対象サブネットを使用してネットワーク接続が切断されます。値は「2」に設定することをお勧めします。

3.リリース 4.9 では、クライアント マシンが VPN で接続している場合、VLAN 検出機能は自動的にディセーブルになります。次の VPN クライアントがサポートされています。
- Cisco VPN Client
- AnyConnect
- Apple Native VPN Client(Cisco IPSEC 対応)
- Shimo(Cisco IPSEC クライアント用ユーザ インターフェイス)

4.検出中、すべての VLAN 検出パラメータはデフォルト値に設定されます。これらの値は上書きできません。該当するパラメータは、RetryDetection, PingArp、PingMaxTimeout、VlanDetectInterval です。これらのパラメータのデフォルト値については、表 10-1 を参照してください。

Mac OS X Agent の制約事項

Mac OS X Cisco NAC Agent では、Windows Clean Access Agent で使用できるポスチャ評価機能の一部だけをサポートしています(Link Distribution、AV Definition Update、AS Definition Update、およびローカル チェックだけをサポート)。

Mac OS X Agent では自動修復に対応していません。ユーザが、必須要件すべてを手動で修復して、クライアント マシンをネットワーク セキュリティ ガイドラインに準拠させる必要があります。

Mac OS X Agent では、認証のための IP ベースの証明書をサポートしていません。

ログ ファイル(~/Library/Application Support/Cisco Systems/CCAAgent/event.log)は暗号化されています。復号化については Technical Assistance Center にお問い合せください。

CAM/CAS の制約事項

Cisco NAC アプライアンスは、10.5 以降のみをサポートします。Mac OS 10.2、10.3、10.4 はサポートされません。詳細については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

Mac OS X Agent では、カスタム チェックおよびカスタム ルールをサポートしていません。AV ルールおよび AS ルールを割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。

スタブ インストーラを使用して Mac OS X Agent をインストールするように CAM を設定することはできません。

Mac OS X Agent でサポートされている要件タイプ

Mac OS X Cisco NAC Agent では、Windows Clean Access Agent でサポートされているポスチャ評価機能の一部だけを実行します。現在 Mac OS X Agent では、次のポスチャ評価機能をサポートしています。

Link Distribution :この要件タイプでは、ソフトウェアが入手可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(および HTTPS の両方またはいずれか一方)はアクセスを許可するように Temporary ロールが設定されていることを確認します。

Local Check :この要件タイプは、クライアント マシンに存在している必要のあるソフトウェアまたは存在していてはいけないソフトウェアを検索するチェックを作成するために使用できます。Mac OS X Agent では、Local Check は、主に、特定の要件が満たされているか満たされていない場合に、ユーザに必要な作業を通知するメッセージ メディアとして使用されます。Mac OS X Agent Assessment Report ウィンドウでは、Message アイコンを使用して、Local Check 要件が表示されます。

AV Definition Update および AS Definition Update :これらの要件タイプは、サポートされているアンチウイルス製品またはアンチスパイウェア製品についてのクライアント上の定義ファイルをレポートするためおよび更新するために使用されます。


) サポート AV/AS アプリケーションのリストについては、『Release Notes for Cisco NAC Appliance, Version 4.9』の「Clean Access Supported AV/AS Product List」を参照してください。


Windows Agent では「自動修復」に対応していますが、Mac OS X Agent ユーザは、セキュリティ要件を満たすようにクライアント マシンを手動で修復する必要があります。

Mac OS X Cisco NAC Agent ダイアログ


) Mac OS X Cisco NAC Agent は、VPN 配置による SSO をサポートしていますが、Active Directory による SSO はサポートしていません。


詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「SSL Requirements for Mac OS/CAS Communication」も参照してください。

Mac OS X Cisco NAC Agent のユーザ シーケンスは次のとおりです。

1. ユーザが CAS の非信頼インターフェイス アドレスに移動し、ログイン ページ(図 10-61)にリダイレクトされます。

図 10-61 ログイン ページ - Mac OS X

 

2. ユーザは [Download Cisco NAC Agent] ページに誘導されます(図 10-62)。

図 10-62 [Download Cisco NAC Agent]:Mac OS X

 

3. [Download] ボタンをクリックすると、CCAAgent_Mac OSX.tar.gz.tar ファイルがデスクトップにダウンロードされ(図 10-63)、解凍されます。

図 10-63 Cisco NAC Agent セットアップ実行可能ファイルのデスクトップへのダウンロード

 

4. CCAAgent.pkg ファイルをダブルクリックすると、Cisco NAC Agent の Mac OS インストーラが起動します(図 10-64)。

図 10-64 CCAAgent.pkg をダブルクリックし Cisco NAC Agent Installer を起動

 

5. [Continue] ボタンをクリックし、インストーラの [Read Me] 画面(図 10-65)に進みます。

図 10-65 Mac OS X Agent のインストール:[Read Me]

 

6. [Continue] ボタンをクリックし、インストーラの [Select a Destination] 画面(図 10-66)に進みます。

図 10-66 Mac OS X Agent のインストール:[Select a Destination]

 

図 10-67 Mac OS X Agent のインストール:[Install]/[Upgrade] ボタン

 

7. [Instal] または [Upgrade] ボタンをクリックして、インストールを実行します(図 10-67)。終了したら、[Close] をクリックします。


) Cisco NAC Agent がマシンに一度もインストールされていない場合、[Installation] 画面に [Install] ボタンが表示されます。一度でも Agent がインストールされている場合は、インストーラが起動された現時点でシステムに Agent が存在していなくても、[Upgrade] ボタンが表示されます。


図 10-68 Mac OS X Agent インストールの経過表示

 

図 10-69 Mac OS X Agent インストール:正常終了

 

8. インストール後、Cisco NAC Agent ログイン ダイアログが表示されます。Agent アイコンは、ツール メニュー(図 10-70)から使用できるようになります。Agent アイコンを右クリックすると、メニューの選択肢が表示されます。

Login/Logout (ログイン ステータスに応じて切り替わります)


) Cisco Clean Access がユーザ認証で RADIUS サーバを使用しており、追加の資格情報を使用してユーザを認証するようにサーバが設定されている場合、「RADIUS のチャレンジ/レスポンス方式 Mac OS X Cisco NAC Agent ダイアログ」のようにユーザに、1 つ以上の追加のチャレンジ/レスポンス方式ダイアログが表示される場合があります。


Auto Popup Login Window (デフォルトでイネーブル)

About (Cisco NAC Agent とコンプライアンス モジュールのバージョン画面が表示されます)

Quit (Cisco NAC Agent アプリケーションを終了します)

図 10-70 [Tool] メニューから使用できる Cisco NAC Agent ログイン ポップアップ/デスクトップ アイコン

 

9. インストール済み Agent の自動アップグレード: Mac OS X Agent がすでにインストールされている場合、アップグレード通知をディセーブルにしていないかぎり、ログインするたびに自動アップグレードのプロンプトがユーザに表示されます。オプションでマシンのシャットダウン時に強制的にログアウトすることもできます(デフォルトでは、マシン シャットダウン時もユーザはログインしたままです)。自動アップグレードは必須またはオプションに設定できます。自動アップグレードが任意の状態で、新しいバージョンの Agent を CAM から使用できる場合、既存の Mac OS X Agent ユーザにはログイン時に次のアップグレード プロンプトが表示されます(図 10-71)。

図 10-71 Mac OS X Agent:新バージョンの Agent を利用可能

 

10. 上記のダイアログで [OK] をクリックすると、Mac OS X Agent を新しいバージョンにアップグレードするセットアップ ウィザードが表示されます(図 10-65)。Agent がアップグレードし、ユーザがログインすると、要件のチェックが続行されます。アップグレードが任意で、新しいバージョンの Agent を CAM から使用できる場合、ユーザはアップグレードを [Cancel] キャンセル)してログイン プロセスを続行することができます(図 10-72)。

11. Cisco NAC アプライアンス システムにサインインするための認証資格情報を Mac OS X Agent ログイン ダイアログで指定します。

図 10-72 Mac OS X Agent ログイン ダイアログ

 

12. ログインの際、Macintosh デスクトップの上部にある Macintosh クライアント マシン メニュー バーの Mac OS X Agent アイコンは、ログイン プロセスの関連状態およびセグメントに基づいて表示が変わります。

a. [Searching]:Agent は現在接続されておらず、CAS を検出するために SWISS パケットを送信しています。

 

b. [Ready and waiting]:Agent は CAS に接続されており、ログインする準備ができています。

 

c. [Lost focus]:Agent ウィンドウがデスクトップの最前面のアプリケーションでない場合、状態アイコンには「CLICK」と「FOCUS」が反復表示されます。ユーザが状態アイコンをクリックすると、Agent ウィンドウがデスクトップのアクティブ ウィンドウになります。このシグナルは、Agent ウィンドウが他の多数のウィンドウやアプリケーションに「埋もれて」いるときに有用です。特に、修復リンクにより Agent の前面にブラウザがポップアップされ、ユーザがアプリケーションまたはアップデートをダウンロードした後で Agent に戻る場合に有用です。

 

 

d. [Quarantined]:Agent がポスチャ評価および修復の間に Temporary ロールにある場合は、メニュー バーにこのアイコンが表示されることにより、ネットワークへのアクセスが制限されていることがユーザに通知されます。

 

e. [Logged in]:ユーザのログイン プロセスが完了しており、ネットワークを使用することができます。

 

f. [Logged in via VPN]:ユーザは VPN または VPN SSO 接続経由でサインインしており、正常にログインしています。

 

g. [Error]:エラーが発生(クライアントが CAS 証明書を検証できない、無効な CAS 証明書が検出された、ドメイン名を解決できないなど)すると、状態アイコンが感嘆符(!)アイコンに変わります。

 

13. ユーザ ログインの後で、必須またはオプションのいずれかの要件が満たされていない場合は、ユーザにデフォルトの Temporary ロールが割り当てられ、レポートに含まれる要件ごとに次の情報を含んだ [Assessment Report] ウィンドウ(図 10-73を参照)が表示されます。

[Run]:このカラムは、ユーザが選択するか未選択にするかを選択できるチェックボックスを含むか(要件がオプションの場合)、「グレー アウトされた」チェックボックスを含みます(要件が必須の場合)。これにより、ユーザは、[Remediate] ボタンをクリックして Assessment Report ウィンドウに表示されている要件すべてに対応する 前に 修復するオプション要件を選択できます。

[Name]:これは管理者が CAM に設定する要件の名前です。

[Description]:このフィールドは、管理者が要件を設定するときに情報または説明のために CAM で入力する [Description] フィールドからのテキストを含みます。

[Type](アイコン):このカラムのアイコンは要件タイプ(「Link」、「Update」、または「Message」)を示します。

[Required]:要件が [Mandatory] であるのか [Optional] であるのかを指定します。

ポスチャ評価に渡されない、ユーザ ログイン セッションに関連付けられた [Mandatory] 要件が存在する場合は、ユーザがログイン資格情報を入力した後で、Mac OS X Agent によって Assessment Report ダイアログが自動で表示されます。

満たされない要件が [Optional] 要件だけである場合は、Agent により引き続き Assessment Report ダイアログがユーザに表示されますが、[Complete] ボタンをクリックして、ネットワークに正常にログインすることができます(この状況では、Agent は、[Mandatory] 要件すべて(ある場合)が満たされておりユーザは修復するかログインするかを選択できると想定します)。


) Audit 要件は、常にバックグラウントでチェックおよび検査され、「違反」している必須またはオプションの要件と一緒に、ユーザに表示される [Assessment Report] ウィンドウに表示されることはありません。


[Status](アイコン):レポート ダイアログに要件タイプの現行状態が表示されます。評価ダイアログが初めて開くときは、レポートの要件タイプはすべて「違反」(「X」アイコン)です。ユーザが順に各要件に対応すると、状態アイコンは「合格」(チェックマーク アイコンによる)に変わります。または、「Skip」(オプションの要件タイプの場合またはその時点ではユーザが修復できなかった必須要件の場合)に変わります。


) 必須要件を「Skip」することを選択した場合、ユーザは、Assessment Report の他の要件タイプおよびエントリに進み、それらに対応することができますが、クライアント マシンの修復を正常に完了し、必須要件すべてを満たさないうちは、ネットワークにログインできません(図 10-76を参照)。


[Assessment Report] ウィンドウには、Agent Temporary ロールの期限が切れ、クライアント修復ウィンドウが閉じて、ユーザにログインと修復の再開を要求するまでの残り時間も表示されます(右上隅)。

図 10-73 Mac OS X Agent [Assessment Report] ダイアログ

 

14. ユーザは [Remediate] ボタンをクリックして、要件の基準を満たすためのクライアント マシンの更新を開始します。Mac OS X Agent では、Assessment Report の最初の「違反」要件の修復プロセスを開始し、リスト内の要件すべてがポスチャ評価に「合格」するか、ユーザが 1 つ以上の必須要件を「スキップ」するまで、要件リスト内を 1 つづつ進んで行きます。要件のタイプに応じて、修復プロセスの間に次のいずれかのプロセスがユーザに示されます。

Link Distribution(「Link」)要件の場合、ユーザは、必要なソフトウェアを入手でき、ユーザがダウンロードとインストールのプロセスをすぐに開始できる、ソフトウェア ダウンロード ページなどの Web ページに誘導されます。

Live Definition Update(「Update」)要件の場合、Mac OS X Agent では、クライアント マシン上のサポート対象のアンチウイルス製品またはアンチスパイウェア製品の定義ファイルについてレポートし、(ユーザが [Remediate] をクリックすると)これを自動で更新します。

Local Check(「Message」)の場合、Mac OS X Agent では、システムにインストールされている必要があるかされていない必要があるソフトウェアを検索します(Mac OS X Agent のコンテキストでは、この機能は、主に、特定の要件が満たされているか満たされていない場合に、ユーザに必要な作業を通知するメッセージ メディアとして使用されます。ユーザは、[Assessment Report] ウィンドウ自体では、具体的な処置を一切行いません)。

15. 要件対処の間に、[Status] カラムに [Skip] ボタンが表示されていれば、ユーザは必須要件の迂回を選択できます(図 10-74を参照)。このシナリオで [Skip] をクリックした場合は、必須要件が満たされていないため、ユーザは Cisco NAC アプライアンス システムにログインできません。この機能は、ユーザが Temporary ロールの時間制約内では特定の必須要件を満たせないとわかっており、もっと簡単に対応できる必須要件に進む場合に有用です。

図 10-74 Mac OS X Agent 要件の解決

 

特定の要件の Name および Description またはこのいずれかが長すぎて [Assessment Report] ウィンドウに表示されない部分がある場合でも、ユーザは、Assessment Report のほかに表示されるポップアップ(「ドローア」)でテキスト全体を表示できます。

16. 修復中にエラーが発生した場合は、Assessment Window の要件リストの上部にエラー メッセージ テキストが表示されます。たとえば、図 10-75 には、必須の Live Definition Update の際に発生した「No product that supports def-update found!」というエラーが表示されています。

図 10-75 Mac OS X Agent 要件に違反

 

修復プロセスの後でも 1 つ以上の必須要件が満たされていない場合、ユーザが [Assessment Report] ウィンドウで選択できるのは [Cancel] だけであり、Cisco NAC アプライアンス システムへはログインできません(図 10-76を参照)。

図 10-76 前の Mac OS X Agent 必須要件に違反

 

17. ユーザは、Assessment Report のオプションの要件を [Skip] することもできます(図 10-77 を参照)。ユーザが [Skip] をクリックすると、図 10-78 に示すように Status アイコンが「違反」(「X」アイコン)に変わりますが、その要件は必須ではなくオプションであるため、ユーザはシステムへのログインを引き続き許可されます。

図 10-77 Mac OS X Agent のオプション要件

 

図 10-78 Mac OS X Agent のオプション要件に違反

 

ユーザが特定の要件エントリをディセーブル化することにより、オプションの要件タイプの修復を実行しないことを選択してから [Remediate] ボタンをクリックした場合(図 10-79を参照)、Mac OS X Agent の動作は同様です。Agent が [Assessment Report] ウィンドウでこの特定の要件に到達すると、Agent では、その要件に自動で「違反」のマークを付け、次の要件に進むか、(そのオプション要件がリスト内の最後の要件であり、他の要件すべてが満たされている場合は)[Complete] ボタンを表示します。

図 10-79 スキップされた Mac OS X Agent のオプション要件

 

18. 要件すべてが修復されると、[Assessment Report] ウィンドウの下部に [Complete] ボタンが表示され、ユーザは Cisco NAC アプライアンス システムにログインできます(図 10-80を参照)。

図 10-80 Mac OS X Agent の要件すべてに合格

 

19. 必須要件すべてが満たされた後でユーザは [Complete] ボタンをクリックして、ネットワークに正常にログインします。ユーザが Cisco NAC アプライアンス システムに正常にログインすると、Mac OS X Agent は、Assessment Report を CAS に返送します。

図 10-81 Mac OS X Agent のログインに成功

 

Mac OS X Cisco NAC Agent のアプリケーション ファイルのロケーション

Cisco NAC Agent アプリケーション自体は、[Macintosh HD] > [Applications] > [CCAAgent.app] にインストールされます(図 10-82)。

図 10-82 Cisco NAC Agent:アプリケーション インストールのロケーション

 

Cisco NAC Agent の event.log デバッグ ファイルと preference.plist ユーザ プリファレンス ファイルは、[<username>] > [Library] > [Application Support] > [Cisco Systems] > [CCAAgent] フォルダにインストールされます(図 10-83)。

図 10-83 Cisco NAC Agent:event.log および preference.plist ファイルのロケーション

 

preference.plist ファイル(図 10-84)には、次の内容が含まれています。

[AutoPopup Login Window] が Menu でチェックされているかどうか(AutoPopup)。

[Remember Me] が Login 画面でチェックされているかどうか(RememberMe)。

Agent がアクセス VLAN から認証 VLAN への変更検出を実行する頻度(VlanDetectInterval)。


) [Auto Popup Login Window] または [Remember Me] オプションの少なくとも 1 つが Mac Agent に関してイネーブルになっていると、Mac Agent は自動的に preference.plist ファイルを作成します。どちらのオプションも Agent に関してイネーブルになっていない場合、ユーザは Mac OS X で手動で preferences.plist ファイルを作成する必要があります。


図 10-84 Cisco NAC Agent:preference.plist ファイルの内容

 

RADIUS のチャレンジ/レスポンス方式 Mac OS X Cisco NAC Agent ダイアログ

リモート ユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、エンド ユーザの Cisco NAC Agent ログイン セッションでは、標準のユーザ ID とパスワードに加えて、他のダイアログ セッションでは利用できない追加の認証チャレンジ/レスポンス ダイアログも使用できます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の資格情報を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。

次の項では、Mac OS X Cisco NAC Agent ユーザ認証用の対話のやりとりの例を紹介します。

1. リモート ユーザは通常どおりにログインし、ユーザ名とパスワードを Mac OS X Cisco NAC Agent ログイン ダイアログに入力します(図 10-85 を参照)。

図 10-85 Mac OS X ログイン ダイアログ

 

2. 関連付けられた RADIUS サーバが追加の資格情報でユーザを認証するように設定されている場合、図 10-86 に表示されたパスワードの更新シナリオと同じような追加のチャレンジ/レスポンス方式ダイアログが 1 つ以上ユーザに表示されます。ユーザは、追加の資格情報を追加して、認証と接続を実行する必要があります。

図 10-86 追加の Mac OS X RADIUS チャレンジ/レスポンス方式ダイアログ

 

3. 追加のチャレンジ/レスポンスが検証されると、RADIUS サーバは、ユーザが正常に認証され、リモート アクセスを許可する必要があることを Clean Access Manager に通知します(図 10-87)。

図 10-87 Mac OS X RADIUS チャレンジおよびレスポンス方式認証が成功した場合