セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス コンフィギュレーション クイック スタート ガイド リリース 4.1

発行日;2012/01/21 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンス コンフィギュレーション クイック スタート ガイド リリース 4.1

はじめに

Cisco NAC アプライアンスについて

このマニュアルについて

インバンド(IB)導入またはアウトオブバンド(OOB)導入

Clean Access Server の追加

トラブルシューティング

Clean Access Server の管理

DHCP の設定

デフォルトのログイン ページの追加

ログイン ページの編集

ユーザ ロールおよびローカル ユーザの作成

ユーザ ロールのトラフィック ポリシーの設定

Clean Access Agent の使用の必要性

Agent の自動アップグレードの強制

AV(アンチウィルス)要件の設定

管理対象クライアントとしてのテスト

認証サーバの設定

ユーザ認証テスト

 

Cisco NAC アプライアンス コンフィギュレーション クイック スタート ガイド リリース 4.1

OL-8010-02-J

はじめに

Cisco NAC アプライアンスについて

Cisco® NAC アプライアンス(従来の Cisco Clean Access)は、ユーザがネットワークにアクセスする前に、ネットワーク管理者が有線、無線、およびリモート ユーザとマシンを認証、許可、評価、および修復できる Network Admission Control(NAC)製品です。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)の Web コンソールから管理し、Clean Access Server(CAS)を介して実行し、Clean Access Agent クライアント ソフトウェアからクライアントに適用される統合ネットワーク ソリューションです。Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。

Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスで、CAM (MANAGER) または CAS (SERVER) のどちらかのアプリケーション、オペレーティング システム、および関連するすべてのコンポーネントと一緒に専用サーバ マシンに事前にインストールされています。オペレーティング システムは Fedora コア ベースの強固な Linux カーネルで構成されています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンにその他のパッケージやアプリケーションをインストールできません。

このマニュアルについて

Cisco NAC アプライアンス コンフィギュレーション クイック スタート ガイド リリース 4.1 (このマニュアル)では、『 Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1 』の説明に従って Cisco NAC アプライアンスのアンパック、インストール、ライセンス供与が行われていることを前提としています。したがって、 Clean Access Manager の Web 管理コンソールを使用して Cisco NAC アプライアンス システムを設定する方法についてのみ説明します。ローカル認証を介して Clean Access Agent を使用し、Clean Access Manager と Clean Access Server をシステム上のネットワーク クライアントとしてテストするための最低限必要な設定手順を説明します。

包括的な設定情報については、ご使用のリリース(4.1(1) または4.1(2) など)の『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。

どちらのマニュアルも Cisco.com の http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html から入手できます。オンライン マニュアルを使用する場合は、ご使用の NAC アプライアンスで稼動しているソフトウェア バージョンに対応するマニュアルを参照してください。

インバンド(IB)導入またはアウトオブバンド(OOB)導入

インバンド

このマニュアルでは特記事項のない限り、インバンドまたはアウトオブバンドでの導入にかかわらず、すべての Cisco Clean Access システムで必要な基本設定について説明します。アウトオブバンドの導入では、次に示す追加設定が必要になります。

アウトオブバンド

Cisco NAC アプライアンスの従来のインバンド導入では、クライアントとの間でのすべてのネットワーク トラフィックが必ず Clean Access Server を通過します。ハイ スループット環境や複雑にルート指定された環境で Cisco NAC アプライアンスのアウトオブバンド(OOB)を導入すると、クライアント トラフィックは認証、ポスチャ アセスメント、および修正の場合のみ Clean Access ネットワークをパススルーします。正常にログオンしたユーザのデバイスのトラフィックは直接スイッチ ポートを経由するようになり、Clean Access Server をパススルーしなくなります。

OOB 導入では、スイッチを Clean Access Manager のドメインに追加し、SNMP を使用してスイッチおよび VLAN のポートへの割り当てをコントロールできます。OOB を導入するには、次の手順に従います。

Cisco Clean Access ソフトウェアの最新リリース 4.1(x) を CAM および CAS にインストールします。

CAM および CAS の製品ライセンスで OOB が有効になっていることを確認します。Clean Access Server 自体は IB または OOB のいずれかです。OOB のライセンスが有効になっている Clean Access Manager は、IB および OOB の両方の Clean Access Server をコントロールできます。

CAM からコントロールするスイッチには、サポート対象モデルおよび IOS/CatOS バージョンを使用してください。以降の設定のために、スイッチの OS が MAC-notification SNMP トラップをサポートするかどうかを知っておく必要があります。詳細については、『 Switch Support for Cisco NAC Appliance 』を参照してください。

スイッチを設定します。

CAM Web コンソールの Switch Management モジュールを使用してスイッチを追加およびコントロールするように CAM を設定します。

IB および OOB の導入オプションの詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。

Clean Access Server の追加


このセクションおよび後続の設定に関するセクションでは、Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1』の説明に従って Cisco NAC アプライアンスのアンパック、インストール、ライセンス供与が行われていることを前提としています。


有効なライセンスをインストールして Web 管理コンソールにアクセスしたら、次のようにして Clean Access Server を Clean Access Manger の管理ドメインに追加できます。


ステップ 1 [Device Management] モジュールに移動し、[CCA Servers] リンクをクリックします。

 

ステップ 2 [New Server] タブをクリックします。

 

ステップ 3 [Server IP Address] フィールドに、追加する Clean Access Server の信頼できるインターフェイス(eth0)IP アドレスを入力します。

ステップ 4 [Server Location] はオプションのフィールドで、サーバの説明を入力します。ラックの場所、サーバ タイプ(NAC-3350 など)など、CAS を特定するその他の情報を入力します。

ステップ 5 [Server Type] は、CAM への追加時に CAS をブリッジとして動作させるか、またはゲートウェイとして動作させるかを設定します。表 1 を参照し、環境に適した CAS の動作モードを特定してから、このドロップダウン メニューで目的のサーバ タイプを選択します。CAS を追加した後で CAS の サーバ タイプを変更できますが、このとき CAS をアップデートしてリブートする必要があります。


) CAM はドメインに追加された IB および OOB のすべての Clean Access Server を管理できますが、CAS 自体は IB または OOB のいずれかです。


 

表 1 Clean Access Server のタイプ

サーバ タイプ 1
説明
必要な設定手順

バーチャル ゲートウェイ

CAS は非信頼ネットワークと既存のゲートウェイの間でブリッジとして機能します。


警告 バーチャル ゲートウェイ(IB または OOB)では、CAS が CAM に追加された後、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] の下で VLAN マッピングが正しく設定されるまで、CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。詳細については、該当する『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』を参照してください。


CAS のインターフェイスは CAM と異なるサブネット/VLAN 上に配置する必要があります。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)に、同じ IP アドレスを使用できます。

CAS は DHCP パススルーに対して自動的に設定されます。

Real-IP ゲートウェイ

CAS は非信頼ネットワークのゲートウェイとして機能します。

Real-IP/NAT ゲートウェイの場合、CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)は異なるサブネット/VLAN 上に配置する必要があります。

管理対象サブネットのトラフィックを個々の CAS の信頼インターフェイスにルートするには、スタティック ルートを L3 スイッチ/ルータに追加する必要があります。

NAT ゲートウェイ

CAS は非信頼ネットワークのゲートウェイとして機能して、NAT サービスを実行します。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)は異なるサブネット/VLAN 上に配置する必要があります。


) NAT ゲートウェイ(インバンドまたはアウトオブバンド)は、デモ/テスト専用です。実際の導入でサポートされるのは、バーチャル ゲートウェイまたは Real-IP ゲートウェイだけです。


アウトオブバンドのバーチャル ゲートウェイ

認証および証明を行うためにトラフィックがインバンドにある間、CAS はバーチャル ゲートウェイとして機能します。


警告 バーチャル ゲートウェイ(IB または OOB)の場合、CAS が CAM に追加された後、VLAN が正しく設定されるまで、CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。


CAS のインターフェイスは CAM と異なるサブネット/VLAN 上に配置する必要があります。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)に、同じ IP アドレスを使用できます。

CAS は DHCP パススルーに対して自動的に設定されます。

OOB バーチャル ゲートウェイの場合、CAS 管理 VLAN はユーザまたは Access VLAN と異なる VLAN 上に配置する必要があります。

アウトオブバンドの Real-IP ゲートウェイ

認証および証明を行うためにトラフィックがインバンドにある間、CAS は Real-IP ゲートウェイとして機能します。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)は異なるサブネット/VLAN 上に配置する必要があります。

管理対象サブネットのトラフィックを個々の CAS の信頼インターフェイスにルートするには、スタティック ルートを L3 スイッチ/ルータに追加する必要があります。

アウトオブバンドの NAT ゲートウェイ

認証および証明を行うためにトラフィックがインバンドにある間、CAS は NAT ゲートウェイとして機能します。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)は異なるサブネット/VLAN 上に配置する必要があります。


) NAT ゲートウェイ(インバンドまたはアウトオブバンド)は、実際の導入環境ではサポートされません。


1.アウトオブバンドのサーバ タイプの場合、認証および証明の処理中にクライアント トラフィックがインバンドになっている(NAC アプリケーション ネットワークをパススルーしている)間、CAS はバーチャル ゲートウェイ、Real-IP ゲートウェイ、または NAT ゲートウェイとして動作します。認証されて証明されたクライアントはアウトオブバンドである(今後は NAC アプライアンス ネットワークをパススルーしない)ものと見なされ、トラフィックはネットワークへのアクセスを許可されます。

ステップ 6 [Add Clean Access Server] をクリックします。


 

トラブルシューティング

Clean Access Manager が管理対象サーバのリストに Clean Access Server を追加できない場合、次の手順に従います。

CAS で ping を実行できることを確認します。ping を実行できない場合、ネットワーク設定が間違っている可能性があります。service perfigo config を使用して設定をリセットします。

CAM と CAS の共有秘密鍵が同じである必要があります。同じでない場合は、service perfigo config を使用して共有秘密鍵をリセットします。

バーチャル ゲートウェイ モードで、CAM と CAS が異なるサブネット上にあることを確認します。

Clean Access Server の管理


ステップ 1 Clean Access Manager に新しく追加された Clean Access Server は、[Device Management] > [CCA Servers] > [List of Servers] の下のリストに Connected のステータスで表示されます。

 

ステップ 2 [List of Servers] で、対応する Clean Access Server の [Manage] ボタンをクリックすると、Clean Access Server(CAS)の管理ページ(図 1)が開きます。

ステップ 3 デフォルトでは、Clean Access Server の [Status] タブが表示されます。[Status] ページには、サーバのコンポーネントが実行中であるかどうかが示されます。

図 1 CAS の管理ページ([Status] タブ)

 


) このマニュアルでは、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] では、[Device Management] > [List of Servers] > [Manage] からアクセスされる CAS 管理ページと同じものを表示します。


ステップ 4 [Network] タブをクリックし、信頼インターフェイスおよび非信頼インターフェイスの IP ページの設定を『 Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1 』での設定と比較して検証します。

 

ステップ 5 このフォームで設定を変更する必要がある場合は、必ず [Update] をクリックしてから [Reboot] をクリックします。リブートしている間、CAS のステータスは「Not connected」です。ステータスが「Connected」になってから、次の手順に進みます。


 

DHCP の設定

サーバに Real-IP ゲートウェイまたは NAT ゲートウェイの設定を使用している場合は、次のようにして DHCP 設定を設定します。DHCP サーバが環境内にすでに存在している場合は、初期テストでそのサーバを使用するのが一番簡単です。CAS での DHCP 設定の詳細については、該当する『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。


ステップ 1 CAS の管理ページで [Network] タブをクリックし、[DHCP] サブメニュー リンクをクリックします。デフォルトで [DHCP Status] タブが表示されます。

 

ステップ 2 DHCP タイプのドロップダウン メニューには、Clean Access Server で使用できる操作モードが示されます。選択できるオプションは次のとおりです。

a. [DHCP Passthrough](バーチャル ゲートウェイ CAS のデフォルト):CAS はインターフェイスを介して DHCP ブロードキャスト メッセージを変更せずに伝播します。ネットワーク セグメントに DHCP サーバがすでに存在する場合は、このモードのままにします。

b. [DHCP Relay]:CAS はクライアントから別の DHCP サーバにメッセージを転送します。このタイプを選択する場合は、[Select DHCP Type] ボタンをクリックしてページがリフレッシュされてから、外部 DHCP サーバの IP アドレスを [Relay to DHCP Server] フィールドに指定して [Update] をクリックします。

c. [DHCP Server]:CAS は非信頼(管理対象)ネットワークにクライアント IP アドレスを割り当てます。

ステップ 3 たとえば、[DHCP Server] を操作タイプとして選択し、[Select DHCP Type] ボタンをクリックします(CAS が DHCP サーバとして設定されると、このボタンは [Select DHCP Type and Reboot] に切り替わります)。

ステップ 4 [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] を選択し、[Subnet List] タブをクリックして [New] サブリンクをクリックします。

 

ステップ 5 [New] 範囲フォームで、次のフィールドを入力します。

[IP Range]:クライアントに割り当てられる IP アドレス プール。

[Default Gateway]:クライアントに渡されるデフォルト ゲートウェイの IP アドレス(『 Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1 』で設定した CAS の非信頼(eth1)IP アドレスにする必要があります)。

[Default/Max Lease Time (seconds)]:クライアントに IP アドレスが割り当てられる秒単位でのデフォルトの最大期間(3600 など)。クライアントが特定のリース タイムを要求しない場合は、デフォルトのリース タイムが使用されます。

[DNS Suffix]:アドレスとともにクライアントに渡される DNS サフィックス(組織名 .comなど)。

[DNS Servers]:クライアント環境内の 1 つまたは複数の DNS サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[WIN Servers]:クライアント環境内の 1 つまたは複数の WIN サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[Restrict range to VLAN ID]:このオプションは、複数の管理対象サブネットを追加し、複数の VLAN を設定する場合に使用します。この例ではブランクのままにしておきます。

[Subnet/Netmask]:IP プールに対してサブネットおよびネットマスクの値を計算する方法を選択します。次のオプションがあります。

Calculate from existing managed subnets

Calculate smallest subnet for IP range entered

Manually enter subnet and mask:このオプションを選択すると、[Subnet] フィールドと [Netmask] フィールドが下に表示されます。

この例では、[Calculate smallest subnet for IP range entered] を選択します。

ステップ 6 操作を終了したら [Update] をクリックします。エラー メッセージが表示された場合は、指示に従って設定を修正してから、もう一度プールを作成します。

ステップ 7 新しいサブネット リストは、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Subnet List] > [List] の下に表示されます。

 

ステップ 8 [DHCP Status] タブをクリックすると、新しいサブネット リストに対して設定された動的 IP の総数([Dynamic IPs])と、サブネット リストに残っていてクライアントに対して使用可能な IP の数([Available IPs])が表示されます。この例では、割り当てられているアドレスは 1 つだけです。

 

ステップ 9 IP アドレスがクライアントに割り当てられたら、[DHCP Status] ページ の [View MAC] ボタン(虫メガネのアイコン)をクリックしてクライアント情報を表示します。

 

ステップ 10 CAS で DHCP モジュールが稼動していることを確認するには、Clean Access Server の [Status] タブをクリックします。DHCP Server モジュールのステータスが [Started] になっていることを確認してください。


 

デフォルトのログイン ページの追加

すべての管理対象ユーザ(Web ログインまたは Clean Access Agent)を認証できるためには、デフォルトのログイン ページが必要です。ログイン ページは、Web ログイン ユーザが Web ブラウザを開いてネットワークにアクセスする際に必ず表示されます。完全に導入する前に、組織に合わせてログイン ページをカスタマイズすることができます。


ステップ 1 コンソールで [Administration] > [User Pages] をクリックします。

 

ステップ 2 [Login Page] タブをクリックします。デフォルトでは、[List] サブメニューのページが表示されます。

ステップ 3 [Add] サブメニュー リンクをクリックします。

 

ステップ 4 デフォルトの設定(*)のまま [Add] ボタンをクリックして、すべてのユーザに表示されるデフォルトのログイン ページを追加します

ステップ 5 新しいページは、[Login Page] > [List] の下に表示されます。

 

ログイン ページの編集

ログイン ページの設定を後で変更するには、[Administration] > [User Pages] > [Login Page] > [List] のページの横にある [Edit] ボタンをクリックします。次の設定オプションが表示されます。

[General] サブリンクでは、VLAN、サブネット、またはオペレーティング システムのユーザを対象に、フレームベースのページ(組織のロゴを追加できる)またはフレームのないページを作成できます。

[Content] サブリンクでは、デフォルトの認証サーバ、説明文、ボタンのラベルなどのログイン ページの要素をカスタマイズしたり、[Administration] > [User Pages] > [File Upload] を使用してアップロードしたロゴ ファイルを CAM に追加することができます。[Content] ページには、エンド ユーザに表示されるページを確認できる [Preview] ボタンもあります。

[Style] サブリンクでは、ページの背景色、前景色、およびスタイルを変更できます。

詳細については、該当する『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』を参照してください。


 

ユーザ ロールおよびローカル ユーザの作成

Cisco Clean Access は、Clean Access ネットワークへのログイン時にユーザにロールを割り当てます(アウトオブバンドのユーザはインバンドにいる間にロールを割り当てられます)。ユーザ ロールとは、トラフィック、帯域幅、ネットワーク スキャン プラグインのアプリケーション、Clean Access Agent のホスト要件など、システムにおける各種ユーザ ポリシーをまとめたものです。次の手順は、標準のログイン ロールを作成してから、テスト用ローカル ユーザを作成してそのロールを認証する方法を示します (ローカル ユーザは Clean Access Manager で検証され、主にテスト用に使用されます)。ロールを作成したら、そのロールを持つユーザの関連ポリシーを設定できます。


ステップ 1 [User Management] > [User Roles] に移動します。

 

ステップ 2 [New Role] タブをクリックして [New Role] フォームを開きます。

 

ステップ 3 [Role Name] にユーザ名(たとえば user )を入力し、オプションで [Role Description] も入力します。この例では、その他のフィールドにはデフォルト値を使用します。

ステップ 4 [Create Role] をクリックします。新しいロールは、[User Management] > [User Roles] > [List of Roles] の下に表示されます。

ステップ 5 次に [User Management] > [Local Users] に移動します。

 

ステップ 6 [New Local User] タブをクリックして、次の手順でフォームのフィールドを入力します。

 

a. [User Name] にユーザ名(たとえば TestUser )を入力します。

b. [Password] および [Confirm Password] フィールドにパスワードを入力します。

c. オプションで、[Description] にユーザの説明を入力します。

d. 前の手順で作成したロール user を [Role] ドロップダウン メニューから選択します。

e. [Create User] をクリックします。

ステップ 7 新しいユーザは、[User Management] > [Local Users] > [List of Local Users] の下に表示されます。


 

ユーザ ロールのトラフィック ポリシーの設定

デフォルトでは、標準のログイン ロールが新しく作成されると、非信頼ネットワークからのクライアント側のトラフィックはすべてブロックされ、信頼ネットワークからの CAM/CAS 側のトラフィックはすべて許可されます。標準のログイン ユーザ ロールを作成した後で、非信頼ネットワークから信頼されるネットワークへのトラフィック コントロール ポリシーを設定して、該当するロールでのログイン中にユーザがトラフィックを送受信できるようにする必要があります。Clean Access Agent を使用してユーザがネットワークにログインすると、ユーザはホスト要件を満たしているかどうかの判別処理の間、システムの Temporary(一時)ロールを割り当てられます。ホスト要件を満たす場合、ユーザは、ユーザ認定証が関連付けられた標準ログイン ロールでネットワークにログインできます。要件を満たさない場合は、要件を満たすまで、またはセッションがタイムアウトになるまで Temporary(一時)ロールのままです (ネットワーク スキャンを使用している場合、スキャン プラグインに失敗したクライアントは Quarantine(検疫)ロールを割り当てられるか、またはネットワークからブロックされます。ネットワーク スキャンの詳細については、該当する『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。


ステップ 1 [User Management] > [User Roles] > [List of Roles] に移動し、新しく作成したロール user の [Policies] ボタンをクリックします。

 

ステップ 2 指定したロールでフィルタ処理された [Traffic Control] タブが開きます。[Traffic Control] タブには [IP]、[Host]、[Ethernet] 3 つのサブリンクがあり、それぞれ IP ベース、ホストベース、レイヤ 2 のトラフィック ポリシーのリストに移動します。どのリストでも、システム内のすべてのユーザ ロールについてトラフィック ポリシーを表示したり、ドロップダウン メニューから選択した 1 つのロールについてのみ表示したりできます。デフォルトでは、トラフィックの方向が [Untrusted -> Trusted](管理対象クライアントから保護対象のバックエンド ネットワークに移動するトラフィック)に設定された状態で IP ポリシー リストが最初に表示されます。


) [User Management] > [User Roles] > [Traffic Control] > [Ethernet] タブはバーチャル ゲートウェイ導入の場合にのみ該当するため、このマニュアルではレイヤ 2 イーサネット トラフィック ポリシーの設定例は示しません。


ステップ 3 [User Management] > [User Roles] > [Traffic Control] > [IP] を選択し、作成した「 user 」ロールがドロップダウン メニューで選択された状態で、ロールの [Add Policy] リンク(ページの右側にある)をクリックします。

 

ステップ 4 user ロールに関する IP ベースの [Add Policy] フォームが表示されるので、次のオプションを設定します。

 

a. [Priority] は [2] のままにしておきます。

b. [Action] は [Allow] のままにしておきます。

c. すべてのアクセスをイネーブルにするには、[Category] ドロップダウン メニューで [ALL TRAFFIC] を選択します。

d. [Add Policy] をクリックします。[User Management] > [User Roles] > [Traffic Control] > [IP] の下に、 user ロールのポリシーが表示されます。


) [Priority] フィールドは、最初に適用される IP トラフィック ポリシーを決定します。この値は、ポリシー リストの [Move] カラムで上向き/下向き矢印を使用していつでも変更できます。


ステップ 5 [User Management] > [User Roles] > [Traffic Control] > [Host] に移動します。

ステップ 6 ドロップダウン リストから [Temporary Role] を選択して [Select] をクリックするか、Temporary ロールのポリシーまで設定ウィンドウをスクロール ダウンします。

 

ステップ 7 フォームの一番下で、[Trusted DNS Server] テキスト ボックスにデフォルトのアスタリスク(*)が付いていることを確認して、エントリの右側にある [Add] ボタンをクリックします。これで、あらゆる DNS サーバのトラフィックが許可され、Temporary ロールのクライアントに対して信頼されるネットワーク間との UDP トラフィックを許可する IP ベースのトラフィック ポリシーが追加されます。

ステップ 8 次に、事前に設定されている Allowed Hosts の [Enable] チェックボックスをクリックして、Clean Access Agent の要件を満たさなかったクライアントが Temporary(一時)ロールの状態にある間にシステムを修正し、これらのサイトにアクセスできるようにします。[Allowed Host] および [Description] のテキスト ボックスに情報を入力し、演算子( contains など)を選択して [Add] ボタンをクリックすることにより、独自のホストを追加することもできます。


 

Clean Access Agent の使用の必要性

新規ユーザは、Web ブラウザを開いて Web ログインを初めて実行する際に表示される Web ページから setup 実行可能ファイルをダウンロードし、Clean Access Agent をインストールします(図 3を参照)。Clean Access Agent をクライアントにダウンロードしたら、Web 管理コンソールを介してクライアント上の Agent を自動更新するように設定できます(「Agent の自動アップグレードの強制」を参照)。


ステップ 1 [Device Management] > [Clean Access] に移動します。

 

ステップ 2 [General Setup] > [Agent Login] サブタブをクリックします。

 

ステップ 3 [User Role] ドロップダウン メニューから user ロールを選択します。

ステップ 4 クライアントの [Operating System] ドロップダウンは、デフォルト設定の [All] のままにしておきます。

ステップ 5 [Require use of Clean Access Agent] チェックボックスをオンにします。

ステップ 6 [Update] をクリックします。これで、 user ロールを関連付ける認定証で Web ログインするユーザに対して、Clean Access Agent のダウンロード ページが表示されるようになります。


 

Agent の自動アップグレードの強制

すべての Clean Access Agent ユーザに対して、Agent の自動アップグレードを必須またはオプションに設定することができます。Agent の自動アップグレードを必須にするには、次の手順に従います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に移動します。

 

ステップ 2 [Current Clean Access Agent Patch is a mandatory upgrade] チェックボックスをオンにします。

ステップ 3 [Update] ボタンをクリックします。

ステップ 4 [Device Management] > [Clean Access] > [Clean Access Agent] > [Updates] > [Update] に移動します。

 

ステップ 5 [Check for Windows CCA Agent upgrade patches] チェックボックスをオンにします。

ステップ 6 [Update] ボタンをクリックします。

ユーザが Clean Access Agent をリブートするか、終了して再起動すると、アップグレード パッチが CAM にダウンロードされて CAS に対して使用できる場合、新しい Agent へのアップグレードを確認するメッセージが表示されます。アップグレードが必須の場合、ユーザは [OK] をクリックする必要があります。これで新しい Agent がクライアントに自動インストールされます。自動アップグレードがオプションの場合でも、Agent をリブートするか、終了して再起動した場合にメッセージが表示されます。ただし、[Yes] をクリックしてすぐにインストールするか、[No] をクリックして後でアップグレードするかを選択できます。


 

AV(アンチウィルス)要件の設定

Clean Access Agent をロールベースで使用する場合は、さまざまな要件を設定して、特定のロールでログインしようとしているユーザのシステムに必要なパッケージ(ホットフィックス、アンチウィルス ソフトウェア、ウィルス定義ファイルなど)が備わっていることを確認したり、望ましくないソフトウェアがインストールされているユーザをブロックすることができます。次の例は、Windows Vista、XP、または 2000 クライアント上で Sophos Plc. アンチウィルス定義ファイルが最新であるかどうかを確認する Clean Access Agent AV 定義アップデート要件の設定方法を示します。Clean Access Agent AV およびカスタム要件を Web 管理コンソールで設定する詳細方法については、該当する『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』を参照してください。この例では、次の一般的な設定手順について説明します。

1. CAM のアップデート

2. 新しい AV ルールの作成

3. 新しい AV 定義アップデート要件の作成

4. AV 定義アップデート要件の AV 定義ルールへのマップ

5. AV 定義アップデート要件のユーザ ロールへの マップ

CAM のアップデート


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Updates] の順に移動して、最新バージョンのサポート対象アンチウィルス製品リスト、シスコのチェックとルール、CCA Agent アップグレード パッチで CAM を確実にアップデートします。

ステップ 2 アップデートを行う前に [Check for CCA Agent upgrade patches along with Checks, Rules and AV List] オプションがオンになっていることを確認して、クライアントにインストールされているすべての Agent が最新のパッチで確実にアップデートされるようにします。

ステップ 3 自動アップデートを設定するには、[Check for updates every [] hours] チェックボックスをオンにします(推奨間隔は 1 時間です)。

ステップ 4 [Update] をクリックします。アップデートが完了すると、ページの一番下にステータス メッセージが表示されます。

新しい AV ルールの作成

ステップ 5 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AV Rule] に移動します。

 

ステップ 6 [Rule Name] フィールドに名前(たとえば TestRule )を入力します。名前にスペースは使用できません。

ステップ 7 [Antivirus Vendor] ドロップダウン メニューから [Sophos Plc.] を選択します。フォームの [Checks for Selected Operating Systems] テーブルに、選択したベンダーの製品が表示されます(この時点では、[Type] と [Operating System] はデフォルトの [Installation] と [Windows Vista/XP/2K] のままです)。


) 特定の OS で、あらゆるベンダーのサポート対象アンチウィルス製品についてクライアントをチェックする AV ルールを設定するには、[Antivirus Vendor] ドロップダウンで [ANY] を選択します。


ステップ 8 [Type] ドロップダウン メニューから [Virus Definition] を選択します。これにより、フォームの [Installation] チェックボックスが無効(グレイアウト)になります。

ステップ 9 [Operating System] ドロップダウン メニューで [Windows Vista/XP/2K] を選択します。該当するクライアント OS に対応するベンダー製品のバージョンが表示されます。

ステップ 10 必要に応じて、任意フィールドの [Rule Description] を入力します。

ステップ 11 フォームの [Checks for Selected Operating Systems] テーブルで、特定の製品(Sophos AntiVirus 5.x や Sophos AntiVirus 6.など)のチェックボックスをオンにするか、[ANY] チェックボックスをオンにして、Sophos Plc. のあらゆるサポート対象製品についてクライアントのウィルス定義ファイルをチェックする AV ルールを設定します。


) 特定のベンダーおよび OS のサポート対象製品すべてについてクライアントをチェックする AV ルールを設定するには、[Checks for Selected Operating Systems] テーブルで [ANY] を選択します。


ステップ 12 フォームの一番下までスクロール ダウンして、[Latest Virus Definition Version/Date for Selected Vendor] テーブルを確認します。AV ベンダーから選択した製品の最新バージョンまたは日付値が示されています。クライアントをテストするときに、これらの値をクライアント AV ソフトウェアの表示値と比較して、ウィルス定義ファイルが最新であることを確認します。


) この情報は、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Agent-AV Support Info] から表示することもできます。


ステップ 13 [Add Rule] をクリックします。[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] の一番下に、新しい AV 定義ルールが追加されます。


) テスト クライアントに別の AV パッケージがインストールされている場合は、別のアンチウィルス ベンダーを選択してください。[New AV Rule] フォームには、選択したベンダー、OS、確認するタイプ(Installation または Virus Definition)について、最新のアップデートで使用できるサポート対象 AV 製品が表示されます。この例では、[Type] に [Virus Definition] が選択されていることを確認してください。


新しい AV 定義アップデート要件の作成

ステップ 14 AV 定義アップデート要件を作成するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] の順に選択します。

 

ステップ 15 [Requirement Type] ドロップダウン メニューから [AV Definition Update] を選択します。

ステップ 16 [Antivirus Vendor Name] ドロップダウン メニューから [Sophos Plc.] を選択します。

ステップ 17 [Requirement Name] テキスト ボックスに TestRequirement と入力します(スペースは入れないでください)。

ステップ 18 [Description] テキスト ボックスに、ユーザに対する指示を入力します。 例:インストールされているアンチウィルス ソフトウェアのウィルス定義ファイルをアップデートするには、[Update] ボタンをクリックしてください。アップデートが完了するまで、しばらくお待ちください。 (テキスト ボックスでは、引用符および特殊文字は使用できません。)

ステップ 19 [Operating System] で、[Windows 2000] [Windows XP (All)]、[Windows Vista (All)] のチェックボックスをオンにします。

ステップ 20 [Add Requirement] をクリックします。新しい要件 TestRequirement は、[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] の下に表示されます。

AV 定義アップデート要件の AV 定義ルールへのマップ

ステップ 21 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

 

ステップ 22 [Requirement Name] ドロップダウン リストで TestRequirement を選択します。

ステップ 23 [Operating System] ドロップダウン メニューで [Windows Vista (All)] を選択します。選択した要件と OS に関連するすべての AV ルールおよび事前に設定されているシスコのルールが表示されます。

ステップ 24 [Requirement met if:] は、デフォルト設定 ([All selected rules succeed]) のままにしておきます。

ステップ 25 [Rules for Selected Operating System] テーブルを一番下までスクロール ダウンして、 TestRule のチェックボックスをオンにします。

ステップ 26 [Update] をクリックします。

ステップ 27 ステップ 23ステップ 26 を繰り返し、[Windows XP (All)] [Windows 2000] の要件にも同じ AV ルールをマップします。

AV 定義アップデート要件のユーザ ロールへの マップ

ステップ 28 [Device Management] > [Clean Access] > [Clean Access Agent] > [Role-Requirements] に移動します。

 

ステップ 29 [Role Type] ドロップダウン メニューは [Normal Login Role] が選択されたままにしておきます。

ステップ 30 [User Role] ドロップダウン メニューから user を選択します。

ステップ 31 [Select requirements to associate with the role] テーブルに、設定した要件がすべて表示されます。 TestRequirement のチェックボックスをオンにします。

ステップ 32 [Update] をクリックします。これで Clean Agent の要件が設定されました。この例の設定では、 user ロールに関連付けられているユーザ認定証でログインする Windows Vista/XP/2000 ユーザには、選択した Sophos Plc. 製品の最新の AV 定義ファイルが要求されます。この要件を満たさない場合は、クライアント ファイルのアップデートを要求するメッセージがユーザに出されます。


 

管理対象クライアントとしてのテスト

実際のユーザとして Clean Access をテストする一番簡単な方法は、Clean Access Server の非信頼インターフェイス(eth1)に接続されたスイッチにクライアント コンピュータを接続して、次のテストを実行する方法です。


ステップ 1 DHCP モジュールに動的 IP アドレスが正しく割り当てられていることを確認します。

a. クライアント コンピュータを接続したら、再起動してコマンドライン ウィンドウを開きます。

b. コマンド ツールに ipconfig /all と入力し、割り当てた IP アドレスと DHCP 情報を確認します。IP アドレスは、DHCP モジュールに対して設定したアドレス範囲内である必要があります。


) 適切な範囲内でクライアント IP アドレスが返されない場合は、コマンド ツールで ipconfig /release を入力した後で ipconfig /renew を入力してみます。


ステップ 2 Web アクセスを確認します。

a. コンピュータのブラウザから、任意の Web ページにナビゲートしてみます。

b. [Security Alert] のダイアログで [Yes] をクリックして、一時証明書を受け入れます。

c. デフォルトの Web ログイン ページ(図 2)にリダイレクトされます。


) ログイン ページの要素は、実際に導入する前に組織に合わせてカスタマイズしておく必要があります。詳細については、「ログイン ページの編集」を参照してください。


図 2 Web ログイン ページ

 


) ドメイン名を URL で入力してログイン ページが表示されない場合は、DNS 設定が正しく設定されていない可能性があります。この場合は、URL として 1.1.1.1 を入力すると Web ログイン ページにリダイレクトされます。


ステップ 3 ローカル ユーザ用に作成したユーザ名とパスワードでログインします。

ステップ 4 [Continue] をクリックします。Clean Access Agent のダウンロード ページが表示されます(図 3)。

図 3 Clean Access Agent のダウンロード ページ

 

ステップ 5 [Download] ボタンをクリックして、setup 実行ファイルをアクセス可能なフォルダに保存します。ファイルを実行します。

ステップ 6 Clean Access Agent Install Shield ウィザードが表示されます。インストールの指示に従って、Clean Access Agent をクライアント マシンにインストールします。クライアント上での Clean Access Agent のインストール ディレクトリは C:¥Program Files¥Cisco Systems¥Clean Access Agent¥ です。

 

ステップ 7 インストールが終了すると、Clean Access Agent システムのトレイ アイコン、デスクトップ ショートカット、ログイン ダイアログが表示されます。

 

ステップ 8 Clean Access Agent のシステム トレイ アイコンを右クリックすると、タスクバー メニューが表示されます。

 

次の 4 つのオプションがあります。

[Login/Logout]:このオプションは、ユーザのログイン ステータスに応じて表示が切り替わります。ユーザはメニューを右クリックし、[Logout] を選択して自分でログアウトできます。

[Popup Login Window]:これはデフォルトで有効になり、クライアントが CAS の背後に隠れてログインされていない場合に、CCC Agent のログイン ダイアログをポップアップ表示します。

[About]:CCC Agent のバージョン情報を表示します。

[Exit]:Clean Access Agent を終了します。ユーザはログアウトされません。アプリケーションを再起動してシステム トレイに表示するには、Clean Access Agent のデスクトップ ショートカットをダブルクリックします。

 


) [Exit] を選択しても、ネットワークからのユーザのログオフおよびクライアント コンピュータのリブートは行われません。ユーザがネットワークから自分でログオフできるのは、タスクバー メニューを右クリックして [Logout] を選択した場合に限られます。


ステップ 9 ポップアップ表示された Clean Access Agent のログイン ダイアログボックスで、ローカル ユーザ用に作成した ユーザ名 パスワード を入力してログインします。

 

ステップ 10 このユーザ ロールに対して AV 定義要件を設定したため、クライアントの AV 定義ファイルが最新でない場合は、一時アクセス ダイアログが表示されます。

 

ステップ 11 [Continue] をクリックします。設定した AV 要件が [Required Antivirus Update] ダイアログに表示されます。Temporary(一時)ロールのデフォルトのセッション時間は 4 分です。その間に要求(ここでは AV 定義ファイルの更新)を満たすために必要な処理を実行します。

 

ステップ 12 [Required Antivirus Update] ダイアログの [Update] ボタンをクリックします。アンチウィルス ソフトウェアのウィルス定義ファイルが、Clean Access Agent により直接アップデートされます。

ステップ 13 アップデートが完了すると、確認のダイアログが表示されます。[OK] をクリックします。

 

ステップ 14 [Required Antivirus Update] ダイアログの [Next] ボタンをクリックします。正常にログインできた確認メッセージが表示されます。

 

ステップ 15 [OK] をクリックします。これで、 user ロールとそのトラフィック ポリシーでネットワークにアクセスできます。


) Temporary(一時)セッションがタイムアウトした場合は、[Temporary access to the network has expired] というダイアログが表示されます。この場合は [OK] をクリックし、ログイン ダイアログが表示されるのを待ってからもう一度ログインします。


ステップ 16 クライアントのアンチウィルス ソフトウェアを開き、ウィルス定義ファイルのバージョン/日付情報がアップデートされたことを確認します。


ヒント CAM の自動アップデートを使用している場合は、[AV/AS Support Info] ページまたは [New AV Rule] ページで該当するベンダー/製品を選択して、各種アンチウィルス製品のシステム ウィルス定義の最新バージョン/日付を確認できます。



 

認証サーバの設定

Cisco Clean Access を既存の認証サーバに統合するには、使用する認証サーバのタイプに関する設定パラメータについて理解しておく必要があります。これには、認証サーバの場所、接続文字列なども含まれます。ご使用の認証ソースに関する情報を収集したら、次の手順を実行します。


ステップ 1 [User Management] > [Auth Servers] に移動します。

 

ステップ 2 [New] サブタブをクリックします。

ステップ 3 使用している認証ソースのタイプを [Authentication Type] スクロール リストから選択します。オプションは次のとおりです。

 

ステップ 4 認証タイプに固有のパラメータがフォームに表示されます。

 

ステップ 5 ソース名を [Provider Name] フィールドに入力します。この名前はログイン ページの [Provider] リストに表示されます。

ステップ 6 認証ソースに該当するその他のパラメータを入力して [Add Server] をクリックします。

ステップ 7 新しい外部認証サーバが [User Management] > [Auth Servers] > [List] の下に表示されます。


 

VLAN または LDAP/RADIUS の認証サーバ属性に基づいてユーザをユーザ ルールにマップするマッピング ルールの設定の詳細については、該当する『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』を参照してください。

ユーザ認証テスト

外部認証サーバを実際のユーザとしてテストする前に、認証サーバのパラメータを Web 管理コンソールですぐに検証できる簡単なユーザ認証テストがあります。


ステップ 1 [User Management] > [Auth Servers] > [Auth Test] に移動します。

ステップ 2 [Provider] を選択します。Clean Access Manager がデフォルトのローカル プロバイダーです。

ステップ 3 ユーザ名とパスワードを入力して [Test] ボタンをクリックします。結果はページの一番下に表示されます。ユーザ名とパスワードが有効な場合は、ユーザ名に割り当てられているロールがコンソールに表示されます。

 


) [Administration] > [User Pages] > [Login Page] > [Edit] > [Content] > [Default Provider] で、必ず [Default Provider] をローカル DB から、設定した新しい認証サーバに変更して、クライアントが、Clean Access Manager 内でローカルに認証されるのではなく、外部で認証されるようにしてください。


ステップ 4 これでユーザは、設定した認証ソースに保存されているログイン認定証を使用して管理対象ユーザにアクセスできるようになります。「管理対象クライアントとしてのテスト」 の説明に従ってクライアントをテストします。