Cisco Secure ACS コンフィギュレーション ガイド 4.2
ACS 4.2 の新機能の設定
ACS 4.2 の新機能の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ACS 4.2 の新機能の設定

グローバル EAP-FAST 設定の新しいオプション

ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化

NetBIOS の無効化

ACS 4.2 の拡張ロギング機能の設定

NAP レベルのグループ フィルタリングの設定

ダイナミック ユーザを記録(保存)しないようにするオプション

Active Directory のマルチフォレストのサポート

ACS 4.2 でのsyslog の時間形式の設定

ACS SE の RSA サポート

RSA ノード シークレット ファイルの消去

RSA SecurID トークンと LDAP グループ マッピングの設定

ping のオン/オフ

ACS 4.2 の新機能の設定

この章では、ACS 4.2 で提供されるいくつかの新機能を設定する方法について説明します。

ACS for Windows および ACS SE の両方で提供される新機能については、次の項を参照してください。

「グローバル EAP-FAST 設定の新しいオプション」

「ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化」

「NetBIOS の無効化」

「ACS 4.2 の拡張ロギング機能の設定」

「NAP レベルのグループ フィルタリングの設定」

「ダイナミック ユーザを記録(保存)しないようにするオプション」

「Active Directory のマルチフォレストのサポート」

ACS SE のみで提供される新機能については、次の項を参照してください。

「ACS 4.2 でのsyslog の時間形式の設定」

「ACS SE の RSA サポート」

「ping のオン/オフ」

グローバル EAP-FAST 設定の新しいオプション

Global Authentication Setup セクションの EAP-FAST Configuration ページに、いくつかの新しいオプションがあります。図3-1 に、EAP-FAST Configuration ページの新しいオプションを示します。

図3-1 グローバル EAP-FAST 設定の新しいオプション

 

表3-1 に、EAP-FAST の新しい設定の説明を示します。

 

表3-1 Release 4.2 で提供される、グローバル EAP-FAST 設定の新しいオプション

オプション
説明

Allow Full TLS Renegotiation in Case of Invalid PAC

このオプションでは、PAC が無効または有効期限切れの場合が処理されます。この状況で、EAP サーバは、無効な PAC とともに通常使用される暗号とは異なる暗号を選択して、完全な TLS ハンドシェークと認証を開始できます。

非常に古い証明書を使用して認証を試みる可能性のあるクライアントが存在する場合は、Allow Full TLS Renegotiation in Case of Invalid PAC チェックボックスをオンにします。

Allow Anonymous In-band PAC Provisioning

ACS は、EAP-FAST フェーズ 0 を使用してエンドユーザ クライアントに PAC をプロビジョニングします。このチェックボックスをオンにすると、ACS は、エンドユーザ クライアントと安全な接続を確立してクライアントに新しい PAC を提供します。

Enable anonymous TLS renegotiation

Allow Anonymous in-band PAC Provisioning チェックボックスをオンにした場合は、Enable anonymous TLS renegotiation チェックボックスもオンにすることができます。

ネットワーク内に Vista クライアントが存在する場合は、Enable anonymous TLS renegotiation チェックボックスをオンにして、Vista ユーザがパスワードの入力を 2 回求められないようにします。

ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化

EAP-FAST を使用するがトンネルやマシンの PAC の発行や受け入れは行わないように ACS に指示する Network Access Profile(NAP; ネットワーク アクセス プロファイル)を NAP 設定の Protocols セクションで設定できるようになりました。

図3-2 に、ACS 4.2 の NAP Protocols ページの EAP-FAST セクションを示します。

図3-2 Use PAC オプションと Do Not Use PAC オプション

 

表3-2 に、NAP Protocols ページの新しいオプションを示します。

 

表3-2 NAP Protocols ページの新しいオプション

オプション
説明

Use PACs

この NAP を適用されたクライアントが、PAC が有効の状態で EAP-FAST を使用して ACS で認証されるようにする場合は、Use PACs オプション ボタンをクリックします。

Use PACs オプション ボタンをクリックすると、グローバル EAP-FAST 設定で使用可能な EAP-FAST 設定オプションと同じものが使用可能になります。

Do Not Use PACs

この NAP を適用されたクライアントが、PAC が無効の状態で EAP-FAST を使用して ACS で認証されるようにする場合は、Do Not Use PACs オプション ボタンをクリックします。

Require Client Certificate

Do Not Use PACs オプション ボタンをクリックすると、Require Client Certificate オプションが使用可能になります。EAP-FAST トンネルを確立するためにクライアント証明書を要求するには、このオプションを選択します。

Disable Client Certificate Lookup and Comparisons

Do Not Use PACs オプション ボタンをクリックした場合は、Disable Client Certificate Lookup and Comparisons チェックボックスをオンにしてクライアント証明書の検索を無効にし、EAP-FAST PKI 認可バイパスを有効にできます。

Disable Client Certificate Lookup and Comparisons チェックボックスをオンにすると、ACS は、ユーザ データベース内のユーザ グループ データまたは公開鍵インフラストラクチャ(PKI)証明書に基づいてユーザを認可することなく(その代わりに、あらかじめ設定されているユーザ グループにユーザをマッピングして)、EAP-FAST トンネルを確立します。

Assign Group

Disable Client Certificate Lookup and Comparisons チェックボックスをオンにした場合は、Assign Group フィールドにあるユーザ グループのドロップダウン リストから、クライアントに適用するユーザ グループを選択します。

NetBIOS の無効化

NetBIOS を無効にした方がよい場合があるので、ACS 4.2 は NetBIOS を無効にして実行できるようになっています。

ACS SE 4.2 は、Windows 2003 のサービスが全部ではなく一部だけ含まれている、Windows 2003 のカスタマイズ バージョンで動作します。


) Windows 2000、Windows XP、および Windows Server 2003 を使用して NetBIOS over TCP/IP(NetBT)を無効にできますが、多くの企業ネットワークでは無効にしていません。ほとんどの場合、企業ネットワークにはレガシー(Windows 9.x または Windows NT)マシンが残っているからです。このようなマシンは、NetBIOS を使用して、ドメインへのログイン、相互検出、共有リソースへアクセスするためのセッションの確立を実行するので、ネットワークで正常に機能するために NetBIOS が必要です。


Windows 2000、Windows XP、または Windows 2003 で NetBIOS over TCP/IP を無効にするには、次の手順を実行します。


ステップ 1 My Network Places を右クリックし、 Properties を選択します。

ステップ 2 適切な Local Area Connection アイコンを右クリックし、 Properties をクリックします。

ステップ 3 Internet Protocol (TCP/IP) をクリックし、 Properties を選択します。

ステップ 4 Advanced をクリックし、 WINS タブをクリックします。

ステップ 5 WINS タブで、NetBIOS over TCP/IP を有効または無効にします。

この変更は、システムをリブートしなくても、すぐに反映されます。


 

NetBIOS 設定を DHCP オプションのタイプによって選択的に有効または無効にできる DHCP サーバを使用している場合は、必要に応じて、Use NetBIOS setting from the DHCP server を選択できます。Windows 2000/2003 を実行しているコンピュータの NetBIOS over TCP/IP は、Windows 2000/2003 DHCP Server サービスによってサポートされている拡張 DHCP オプション タイプを使用して無効にすることもできます。


) Windows 2000 より前のオペレーティング システムを実行しているコンピュータからは、NetBIOS を無効にしている Windows 2000/XP/2003 コンピュータに対するファイルの参照、検索、または作成、および印刷共有接続を実行できません。


ACS 4.2 の拡張ロギング機能の設定

ACS 4.2 では、いくつかの新しいロギング機能が提供されます。CSV 形式の Failed Attempts レポートおよび Passed Authentications レポートを設定するときに、次のフィールドを追加できるようになりました。

Response Time :ACS が認証要求を受信してからクライアントに応答するまでに要した時間の長さを示します。

Framed-IP-address :Access-Request メッセージを受信したときに IP アドレスを割り当てるように ACS が設定されている場合、または着信 Access-Request に IP アドレスが含まれている場合に、フレーム化された IP アドレスを示します。

Session-ID :ユーザ セッションのセッション ID を示します。

CSV 形式の Failed Attempts レポートまたは Passed Authentications レポートにフィールドを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 CSV カラムで、設定するレポートの名前の隣にある Configure をクリックします。

選択したレポートの設定ページが開きます。

ステップ 4 レポートにフィールドを追加するには、Attributes カラムでフィールド名をクリックし、右矢印ボタンをクリックして Logged Attributes カラムに移動します。

ステップ 5 Submit をクリックして、レポートの設定を保存します。


 

NAP レベルのグループ フィルタリングの設定

ACS 4.2 を使用して、LDAP データベースにより認証されたユーザに対し、ユーザが属する LDAP グループに基づいてアクセスを許可および拒否できます。この機能は、NAP レベルのグループ フィルタリングと呼ばれます。

NAP レベルのグループ フィルタリングを設定するには、次の手順を実行します。


ステップ 1 ACS サーバに LDAP を設定します。

ステップ 2 ネットワーク アクセス プロファイルを設定します。

a. ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profile ページが開きます。

b. プロファイルの Authentication リンクをクリックします。

選択したプロファイルの Authentication ページが表示されます。Authentication ページの上部に、Group Filtering for LDAP database セクションがあります(図3-3 を参照)。

図3-3 Group Filtering for LDAP Database の設定

 

c. LDAP データベースのドロップダウン リストから、ユーザ アクセスのフィルタリングに使用する LDAP データベースを選択します。

d. Available Groups リストにある LDAP ユーザ グループの一覧から、アクセスを許可するグループを選択します。

Available Groups リストでグループを選択し、右矢印(-->)ボタンをクリックして、そのグループを Selected Groups のリストに移動します。

e. リストをソートするには、 Up ボタンまたは Down ボタンをクリックして、グループをリストの上方または下方に移動します。

ステップ 3 Submit をクリックします。


 

ダイナミック ユーザを記録(保存)しないようにするオプション

Active Directory や LDAP などの外部データベースを使用して ACS でユーザを認証する場合、ユーザが外部データベースで正常に認証されると、デフォルトでは、そのユーザの情報が ACS 内部データベースに保存されます。この方法で作成されたユーザは、ダイナミック ユーザと呼ばれます。

ACS 4.2 では、ダイナミック ユーザのデータを作成(保存)しないように ACS を設定できます。

ACS 内部データベースへのダイナミック ユーザの作成を無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーで、 External User Databases > Unknown User Policy を選択します。

Configure Unknown User Policy ページが開きます。

ステップ 2 Configure Caching Unknown Users セクションまでスクロール ダウンします(図3-4 を参照)。

図3-4 ダイナミック ユーザの作成の無効化

 

ステップ 3 Disable Dynamic users チェックボックスをオンにします。

ステップ 4 Submit をクリックします。


 

Active Directory のマルチフォレストのサポート

ACS は、マルチフォレスト環境でのマシン認証をサポートします。マシン認証は、プライマリ ACS フォレストと、要求されたドメインのフォレストとの間に適切な信頼関係が存在する限り成功します。要求されたユーザまたはマシンのドメインが、信頼できるフォレストに含まれている場合、マシン認証は成功します。

ACS は、EAP-FAST バージョン 1a(PEAP、MSPEAP を使用)および EAP-TLS に対して、複数のフォレスト間のユーザ認証をサポートします。


) マルチフォレスト機能は、ユーザ名にドメイン情報が含まれている場合に限り機能します。


ACS 4.2 でのsyslog の時間形式の設定

ACS SE 4.2 では、ACS が syslog サーバへのメッセージの送信に使用する時間形式を設定するための新しいオプションが提供されます。

以前のリリースでは、ACS SE デバイスは、デバイス自身に設定されている現地時間を使用してのみ、syslog メッセージを送信できました。リリース 4.2 では、現地時間の設定またはグリニッジ標準時(GMT)を使用して syslog メッセージを送信するように ACS SE を設定できます。

syslog サーバに送信されるイベントで使用される時間形式を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーで、 System Configuration > Date Format Control を選択します。

Date Format Control ページが開きます。

ステップ 2 Time Zone Selection for syslog セクションで、syslog サーバに送信されるイベントの日付形式を指定します。次のようにして指定します。

現地時間を使用する場合は、 Use Local Time オプション ボタンをクリックします。

GMT 時間を使用する場合は、 Use GMT Time オプション ボタンをクリックします。

ステップ 3 Submit and Restart をクリックします。


 

ACS SE の RSA サポート

ACS 4.2 では、RSA トークン サーバに対するサポートを ACS SE に追加できます。このサポートを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

External User Databases ページが開きます。

ステップ 2 Database Configuration をクリックします。

External User Databases Configuration ページが開きます(図3-5 を参照)。

図3-5 External User Databases Configurationページ(ACS SE)

 

ステップ 3 RSA SecureID Token Server をクリックします。

Database Configuration Creation ページが表示されます。

ステップ 4 Create New Configuration をクリックします。

Create a New External Database Configuration ページが表示されます(図3-6 を参照)。

図3-6 Create a New External Database Configuration ページ

 

ステップ 5 RSA SecureID トークン サーバの名前を入力し、 Submit をクリックします。

トークン サーバで実行する処理を選択するように求められます。

ステップ 6 Configure をクリックします。

sdconf.rec ファイルをアップロードするように求められます。

ステップ 7 Upload scconf.rec をクリックします。

ステップ 8 Cisco Secure ACS to RSA SecurID Configuration ページが表示されます(図3-7 を参照)。

図3-7 Cisco Secure ACS to RSA SecurID Configuration ページ

 

ステップ 9 Cisco Secure ACS to RSA SecurID Configuration ページで、 表3-3 に示されている情報を入力します。

 

表3-3 RSA SecureID サーバの設定

フィールド
説明

FTP Server:

sdconf.rec ファイルがある FTP サーバの IP アドレス。このファイルは、RSA TokenID インストレーションの設定ファイルです。

Login:

FTP サーバ用のログイン名。

Password:

FTP サーバ用のパスワード。

Directory:

sdconf.rec ファイルがある、FTP サーバ上のディレクトリ。

ステップ 10 Submit をクリックします。


 

RSA ノード シークレット ファイルの消去

RSA トークン サーバの設定を変更した場合は、既存のノード シークレット ファイルを消去する必要があります。ノード シークレット ファイルを消去するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

External User Databases ページが開きます。

ステップ 2 Database Configuration をクリックします。

External User Databases Configuration ページが開きます。

ステップ 3 RSA SecurID Token Server をクリックします。

External User Database Configuration ページが開きます。

ステップ 4 Configure をクリックします。

Cisco Secure ACS to RSA SecurID Configuration ページが開きます。

ステップ 5 Purge Node Secret をクリックします。


 

RSA SecurID トークンと LDAP グループ マッピングの設定

認証は、ネイティブ モードの RSA で実行することも、LDAP グループ マッピングを RSA と併用して実行することもできます。RSA と LDAP グループ マッピングを使用する場合は、ユーザの LDAP グループ メンバーシップによって認可が制御されます。RSA ネイティブ モードでの認証が成功すると、LDAP でグループ マッピングが実行されます。ユーザのグループは、グループ マッピングの設定に基づいて適用されます。


) LDAP グループ マッピングを使用する RSA 認証を設定する前に、このタイプの外部データベースをサポートするために必要なサードパーティ DLL が適切にインストールまたは設定されていることを確認してください。


LDAP グループ マッピングを使用する RSA 認証を設定するには、次の手順を実行します。


ステップ 1 「ACS SE の RSA サポート」の説明に従って、RSA サポートを有効にします。

ステップ 2 ナビゲーション バーの External User Databases をクリックします。

ステップ 3 Database Configuration をクリックします。

選択できる外部ユーザ データベース タイプがすべてリストされます。

ステップ 4 RSA SecurID Token and LDAP Group Mapping をクリックします。

External Database Configuration ページが表示されます。

ステップ 5 Configure をクリックします。

LDAP Native RSA Configuration ページが開きます。

ステップ 6 Configure LDAP をクリックします。

RSA SecurID Token and LDAP Group Mapping Configuration ページが開きます(図3-8 を参照)。

図3-8 RSA SecurID Token and LDAP Group Mapping Configuration ページ

 

ステップ 7 LDAP 認証要求に対してユーザ名によるフィルタリングを ACS が行わないようにするには、Domain Filtering の Process all usernames を選択します。

ステップ 8 この LDAP 設定によって処理される認証を、特定のドメイン修飾を持つユーザ名に制限するには、次の手順を実行します。


) ドメイン フィルタリングについては、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の「Domain Filtering」を参照してください。


a. Domain Filtering の Only process usernames that are domain qualified オプション ボタンをクリックします。

b. Qualified by リストから、適切なドメイン修飾タイプ(Suffix または Prefix)を選択します。サポートされるドメイン修飾タイプは、1 つの LDAP 設定につき 1 つだけです。

たとえば、この LDAP 設定を使用して、特定のドメイン名で始まるユーザ名を認証する場合は、 Prefix を選択します。この LDAP 設定を使用して、特定のドメイン名で終わるユーザ名を認証する場合は、 Suffix を選択します。

c. Domain Qualifier ボックスに、この LDAP 設定でユーザ名を認証するドメインの名前を入力します。ユーザ ID とドメイン名を区切るデリミタを含めます。デリミタが適切な位置にあることを確認してください。Qualified by リストで Prefix を選択した場合はドメイン名の終わりに、Qualified by リストで Suffix を選択した場合はドメイン名の始めに置く必要があります。

サポートされるドメイン名は、1 つの LDAP 設定につき 1 つだけです。512 文字まで入力できます。

d. LDAP データベースに送信する前にドメイン修飾子を削除するように ACS を設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオンにします。

e. ドメイン修飾子を削除 せずに ユーザ名を LDAP データベースに渡すように ACS を設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオフにします。

ステップ 9 ACS がユーザ名からドメイン修飾子を削除してから LDAP サーバにユーザ名を送信できるようにするには、次の手順を実行します。


) ドメイン フィルタリングについては、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の「Domain Filtering」を参照してください。


a. Domain Filtering の Process all usernames after stripping domain name and delimiter オプション ボタンをクリックします。

b. 前に置かれたドメイン修飾子を削除するように ACS を設定するには、 Strip starting characters through the last X character チェックボックスをオンにし、ドメイン修飾子デリミタを X ボックスに入力します。


) ポンド記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)は、X ボックスに入力できません。ACS では、これらの文字をユーザ名に使用できません。これらの文字のいずれかが X ボックスに入力されていると、削除が失敗します。


c. 後ろに置かれたドメイン修飾子を削除するように ACS を設定するには、 Strip ending characters from the first X character チェックボックスをオンにし、ドメイン修飾子デリミタを X ボックスに入力します。


) ポンド記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)は、X ボックスに入力できません。ACS では、これらの文字をユーザ名に使用できません。これらの文字のいずれかが X ボックスに入力されていると、削除が失敗します。


ステップ 10 Common LDAP Configuration の User Directory Subtree ボックスに、すべてのユーザが含まれているツリーの DN を入力します。

ステップ 11 Group Directory Subtree ボックスに、すべてのグループが含まれているサブツリーの DN を入力します。

ステップ 12 UserObjectType ボックスに、ユーザ名を含むユーザ レコード内のアトリビュートの名前を入力します。このアトリビュート名は、ディレクトリ サーバから入手できます。詳細については、ご使用の LDAP データベースのマニュアルを参照してください。


) UserObjectType と後続のフィールドのデフォルト値には、Netscape Directory Server のデフォルト設定が反映されます。LDAP サーバの設定とマニュアルを参照して、これらのフィールドの値をすべて確認します。


ステップ 13 UserObjectClass ボックスに、レコードをユーザとして識別する LDAP objectType アトリビュートの値を入力します。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあります。共有されていない値を選択します。

ステップ 14 GroupObjectType ボックスに、グループ名を含むグループ レコード内のアトリビュートの名前を入力します。

ステップ 15 GroupObjectClass ボックスに、レコードをグループとして識別するグループ レコード内の LDAP objectType アトリビュートの値を入力します。

ステップ 16 GroupAttributeName ボックスに、そのグループのメンバーであるユーザ レコードのリストを含むグループ レコードのアトリビュートの名前を入力します。

ステップ 17 Server Timeout ボックスに、ACS が LDAP サーバとの接続に失敗したと判断するまでに ACS が LDAP サーバからの応答を待つ秒数を入力します。

ステップ 18 LDAP 認証試行のフェールオーバーを有効にするには、 On Timeout Use Secondary チェックボックスをオンにします。

ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザ認証に失敗してから、プライマリ LDAP サーバへ先に認証要求を送信するのを ACS が再開するまでの経過時間(分単位)を入力します。


) ACS が常にプライマリ LDAP サーバを先に使用するように指定するには、Failback Retry Delay ボックスにゼロ(0)を入力します。


ステップ 20 Max. Admin Connection ボックスに、LDAP 管理者アカウント権限での同時接続の最大数を入力します。

ステップ 21 Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルで、次の手順を実行します。


On Timeout Use Secondary チェックボックスをオンにしなかった場合は、Secondary LDAP Server テーブルのオプションを設定する必要はありません。


a. Hostname ボックスに、LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを入力します。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

b. Port ボックスに、LDAP サーバが受信している TCP/IP ポート番号を入力します。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、通常はポート 636 が使用されます。

c. ACS が LDAP バージョン 3 を使用して LDAP データベースと通信するように指定するには、 LDAP Version チェックボックスをオンにします。LDAP Version チェックボックスをオンにしない場合、ACS では LDAP バージョン 2 が使用されます。

d. SSL を使用して LDAP サーバに接続するように ACS を設定するには、 Use secure authentication チェックボックスをオンにし、次の 3 つのステップを実行します。SSL を使用しない場合、ユーザ名とパスワードのクレデンシャルは、通常、クリア テキストでネットワークを経由して LDAP ディレクトリに渡されます。

e. ACS SE のみ: Use Secure Authentication チェックボックスをオンにした場合は、次のいずれかの手順を実行します。まず、次のチェックボックスをオンにします。

Trusted Root CA チェックボックス。次に、隣のドロップダウン リストで、信頼できるルート CA を選択します。

Certificate Database Path チェックボックス。次に、 cert7.db ファイルをダウンロードします。


cert7.db 証明書データベース ファイルを ACS に今すぐダウンロードするには、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の「Downloading a Certificate Database (Solution Engine Only)」の手順を完了してから、ステップ f に進みます。証明書データベースは、後でダウンロードすることもできます。現在の LDAP サーバ用の証明書データベースがダウンロードされていないと、この LDAP サーバでの安全な認証は失敗します。


f. ACS for Windows のみ:Use Secure authentication チェックボックスをオンにした場合は、次のいずれかの手順を実行します。まず、次のボタンをクリックします。

Trusted Root CA オプション ボタン。次に、隣のドロップダウン リストで、信頼できるルート CA を選択します。

Certificate Database Path オプション ボタン。次に、隣のボックスに、Netscape cert7.db ファイルへのパスを入力します。このファイルには、照会されるサーバおよび信頼できる CA の証明書が含まれています。

g. Admin DN ボックスには、管理者の完全修飾認定者名(DN)、つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウントを入力する必要があります。

Admin DN ボックスに、LDAP サーバにある次の情報を入力します。

uid=user id,[ou=organizational unit,]
[ou=next organizational unit]o=organization

user id は、ユーザ名です。

organizational unit は、ツリーの一番下のレベルです。

next organizational unit は、ツリーの 1 つ上のレベルです。

次の例を参考にしてください。

uid=joesmith,ou=members,ou=administrators,o=cisco

ヒント Netscape DS を LDAP ソフトウェアとして使用している場合は、この情報を Netscape コンソールからコピーできます。

h. Password ボックスに、Admin DN ボックスで指定した管理者アカウントのパスワードを入力します。大文字と小文字の区別は、サーバによって決定されます。

ステップ 22 Submit をクリックします。


) 作成した全般的な LDAP 設定は ACS によって保存されます。この時点で、設定を Unknown User Policy に追加するか、特定のユーザ アカウントを割り当てることにより、このデータベースを認証に使用できます。



 

ping のオン/オフ

ACS 4.2 では、ACS SE デバイスの ping を有効または無効にできます。リリース 4.2 より前のリリースでは、リモート デバイスが ping 要求を SE デバイスに送信すると、ping は常に拒否されました。デフォルトでは、Cisco Security Agent(CSA)が ACS SE デバイス上で実行されているからです。CSA は、リモート ping 要求を自動的に拒否します。

ACS 4.2 では、CSA のポリシーを更新することによって ping をオンまたはオフにする次のソフトウェア パッチが提供されます。

Ping Turn On Patch :このパッチにより、CSA の ping オプションがオンにされます。その結果、ACS SE への ping が可能になります。

Ping Turn Off Patch :このパッチにより、CSA の ping オプションがオフにされます。その結果、ACS SE は ping を拒否するようになります。

これらのパッチのインストール方法の詳細は、『 Installation Guide for Cisco Secure ACS Solution Engine, 4.2 』の第 3 章「Installing and Configuring Cisco Secure ACS Solution Engine 4.2」の「Turning Ping On and Off」を参照してください。