Cisco Secure ACS コンフィギュレーション ガイド 4.2
パスワード ポリシーの設定のシナリオ
パスワード ポリシーの設定のシナリオ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

パスワード ポリシーの設定のシナリオ

管理者によるパスワード変更に対する制限

設定手順の要約

ステップ 1:新しい管理者アカウントの追加と編集

ステップ 2:パスワード ポリシーの設定

Password Validation Options の指定

Password Lifetime Options の指定

Password Inactivity Options の指定

Incorrect Password Attempt Options の指定

ステップ 3:セッション ポリシーの設定

ステップ 4:アクセス ポリシーの設定

管理者資格レポートの表示

特権レポートの表示

パスワード ポリシーの設定のシナリオ

Cisco Secure ACS(以降は ACS と表記)では、2002 年に成立した Sarbanes-Oxley Act(SOX 法; 米国企業改革法)によって課される企業要件に対応するために、新しいパスワード機能が導入されています。SOX 法により、パスワードに関する制約事項をさらに厳格に適用することが要求されます。

ACS は、次の SOX サポートを提供します。

パスワード有効期間ポリシーの適用

非アクティブ期限の適用

パスワード制約の強化

これらの新しい機能を含んだパスワード設定を使用できるようにするために、ACS には新しいパスワード ポリシー ページが用意されています。

どの管理者ログインも、Account Never Expires チェックボックスをオンにしない限り、パスワードおよびアカウントについて設定したポリシーに従うことになります。たとえば、パスワードの有効期間とパスワードに関する操作、およびパスワード入力ミスの許容回数を制限できます。これらのオプションを利用して、パスワードの変更を強制し、アカウントを自動的にロックアウトできます。必要な特権を付与された管理者は、アカウントをロックアウトすることもできます。また、各管理者の最後のパスワード変更、および最後のアカウント操作を監視することができます。

管理者によるパスワード変更に対する制限

完全な管理アクセスを許可されていない管理者が実行できるのは、自分のパスワードの変更だけです。

設定手順の要約

ACS でパスワード ポリシーを設定するには、次の手順を実行します。


ステップ 1 新しい管理者アカウントを追加します。

新しい管理者アカウントを追加し、管理者名とパスワードを指定して、アクセス特権を付与します。詳細については、「ステップ 1:新しい管理者アカウントの追加と編集」を参照してください。

ステップ 2 パスワード ポリシーを設定します。

管理者ユーザのパスワードに関する制約事項を設定します。詳細については、「ステップ 2:パスワード ポリシーの設定」を参照してください。

ステップ 3 セッション ポリシーを設定します。

管理者ユーザのセッションに関する制約事項を設定します。詳細については、「ステップ 3:セッション ポリシーの設定」を参照してください。

ステップ 4 アクセス ポリシーを設定します。

管理者がログインに使用できる IP アドレスなど、管理アクセスに関する制約事項を設定します。詳細については、「ステップ 4:アクセス ポリシーの設定」を参照してください。


 

ステップ 1:新しい管理者アカウントの追加と編集

新しい管理者アカウントを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます(図5-1 を参照)。

図5-1 Administration Control ページ

 

Administration Control ページには、最初は管理者が表示されません。すでに管理者を設定した場合は、設定済みの管理者が表示されます。

ステップ 2 管理者を追加するには、 Add Administrator をクリックします。

Add Administrator ページが開きます。

ステップ 3 Administrator Details 領域に、次の情報を入力します。

 

オプション
説明

Administrator Name

ACS 管理者アカウントのログイン名を入力します。管理者の名前は、1 ~ 32 文字の範囲で入力できます。ただし、左山カッコ(<)、右山カッコ(>)、およびバックスラッシュ(\)を含めることはできません。ACS 管理者の名前は、ネットワーク ユーザ名と同じものにする必要はありません。

Password

管理者が ACS の Web インターフェイスにアクセスするためのパスワードを入力します。

このパスワードは、管理者がダイヤルイン認証で使用するパスワードと同じものにすることも、別のパスワードにすることもできます。ACS は、Administrator Password Policy ページの Password Validation Options セクションで設定したオプションを適用します。

パスワードは 4 文字以上にし、数字を少なくとも 1 文字含める必要があります。パスワードには、ユーザ名を含めることや、ユーザ名を反転した文字列を含めることはできません。最近使用した 4 つのパスワードと同じものは使用できません。また、ASCII 文字で入力する必要があります。パスワードが条件を満たしていない場合は、パスワードの基準が表示されます。

パスワード ポリシーが変更された場合、パスワードを変更しなくても、管理者はログインしたまま作業を続けることができます。新しいパスワード ポリシーが適用されるのは、次回のログイン時です。

Confirm Password

Password フィールドに入力したパスワードを、もう一度入力します。

Account Never Expires

Administrator Password Policy ページで設定したロックアウト オプションを上書きするには(手動ロックアウトを除く)、Account Never Expires の隣にあるチェックボックスをオンにします。このオプションをオンにした場合、アカウントは無期限になりますが、パスワード変更ポリシーは引き続き有効です。デフォルト値はオフ(無効)です。

Account Locked

Password Policy ページで指定したアカウント ポリシー オプションに基づいてアクセスを拒否された管理者をロックアウトするには、 Account Locked チェックボックスをオンにします。チェックボックスをオフにすると(オプションを無効にすると)、ロックアウトされた管理者のロックが解除されます。

Administration Control 特権を付与された管理者は、このオプションを使用して、アカウントを手動でロックアウトすることや、ロックされたアカウントをリセットすることができます。システムは、ロックアウトの理由を説明するメッセージを表示します。

管理者がアカウントのロックを解除すると、Last Password Change フィールドと Last Activity フィールドの値は、管理者がアカウントのロックを解除した日付にリセットされます。

ロックされたアカウントをリセットしても、失敗したログインに関するロックアウト/ロック解除メカニズムの設定は変更されません。

ステップ 4 すべての特権をグローバルに追加または削除するには、 Grant All または Revoke All をクリックします。

ステップ 5 管理者に特定の特権を付与する場合は、付与する特権に対応したチェックボックスをオンにします。


) 管理者特権の詳細については、『User Guide for Cisco Secure Access Control Server 4.2』の第 11 章「Administrators and Administrative Policy」の「Add Administrator and Edit Administrator Pages」の項を参照してください。


ステップ 6 「ステップ 2:パスワード ポリシーの設定」(次の項)に進み、手順に従ってパスワードに関する制約事項を指定します。


 

ステップ 2:パスワード ポリシーの設定

パスワード ポリシーを設定するには、次の手順を実行します。


ステップ 1 Administration Control ページで、 Password Policy をクリックします。

Administrator Password Policy Setup ページが表示されます(図5-2 を参照)。

図5-2 Administrator Password Policy Setup ページ

 

ステップ 2 Password Policy Setup ページで、次の項目を指定します。

Password Validation Options

「Password Validation Options の指定」を参照してください。

Password Lifetime Options

「Password Lifetime Options の指定」を参照してください。

Password Inactivity Options

「Password Inactivity Options の指定」を参照してください。

Incorrect Password Attempt Option

「Incorrect Password Attempt Options の指定」を参照してください。


 

Password Validation Options の指定

Password Validation Options セクションで、次の項目を設定します。

Password may not contain the username :有効にすると、ユーザ名、およびユーザ名を反転した文字列をパスワードに含めることができなくなります。

Minimum length n characters :n には、パスワードの長さの下限(デフォルトは 4、範囲は 4 ~ 20)を指定します。

Uppercase alphabetic characters :有効にすると、パスワードに英大文字を含めることが必須条件になります。

Lowercase alphabetic characters :有効にすると、パスワードに英小文字を含めることが必須条件になります。

Numeric characters :有効にすると、パスワードに数字を含めることが必須条件になります。

Non alphanumeric characters :有効にすると、パスワードに英数字以外の記号(アットマーク(@)など)を含めることが必須条件になります。

Password must be different from the previous n versions :有効にすると、最近使用した n 個のパスワードを使用できなくなります(デフォルトは 10、範囲は 0 ~ 99)。

Password Lifetime Options の指定

Password Lifetime Options セクションでは、次の項目を設定します。

The password will require change after n days :このオプションを有効にして n に日数を指定すると、パスワードが変更された時点から、パスワードの有効期間に基づいて ACS がパスワードの変更を要求します(デフォルト値は 30 日)。範囲は 1 ~ 365 です。このオプションをオン(有効)にすると、The Administrator will be locked out after n days オプションの期間に達したときに 2 つのパスワード有効期間オプションが比較され、2 つのうち大きい方の値が使用されます。

The Administrator will be locked out after n days :このオプションを有効にして n に日数を指定すると、パスワードが変更された時点から、パスワードの有効期間に基づいて ACS が当該の管理者アカウントをロックアウトします。デフォルト値は 30 日、範囲は 1 ~ 365 日です。

Password Inactivity Options の指定

Password Inactivity Options セクションでは、次の項目を設定します。

The password will require change after n days :このオプションを有効にして n に日数を指定すると、アカウントが最後に使用された後、パスワードの非アクティブ期間がこの日数に達したときに ACS がパスワードの変更を要求します。デフォルト値は 30 日、範囲は 1 ~ 365 日です。このオプションをオン(有効)にすると、The Administrator will be locked out after n days オプションの期間に達したときに 2 つのパスワード非アクティブ オプションが比較され、2 つのうち大きい方の値が使用されます。


) セキュリティを強化するために、ACS はパスワードの非アクティブ期間が許容限度に近づいているユーザに警告しません。


The Administrator will be locked out after n days :このオプションを有効にして n に日数を指定すると、アカウントが最後に使用された後、パスワードの非アクティブ期間がこの日数に達したときに ACS が当該の管理者アカウントをロックアウトします(デフォルトは 30、範囲は 1 ~ 365)。


) セキュリティを強化するために、ACS はアカウントの非アクティブ期間が許容限度に近づいているユーザに警告しません。


Incorrect Password Attempt Options の指定

Incorrect Password Attempt Options セクションでは、次の項目を設定します。

Lock out Administrator after n successive failed attemptsこのオプションをオン(有効)にする場合は、n にパスワード入力ミスの許容回数を指定します。オンにした場合、n には 0 を設定できません。オフ(無効)にした場合は、ACS でログインの失敗が無制限に許容されます。デフォルト値は 3 回、範囲は 1 ~ 98 回です。


) セキュリティを強化するため、ACS は失敗回数が許容限度に近づいているユーザに警告しません。個々の管理者の Account Never Expires オプションをオン(有効)にした場合、このオプションは無視されます。


ステップ 3:セッション ポリシーの設定

セッション ポリシーを設定するには、次の手順を実行します。


ステップ 1 Administration Control ページで、 Session Policy をクリックします。

Session Policy Setup ページが開きます(図5-3 を参照)。

図5-3 Session Policy Setup ページ

 

ステップ 2 Session Policy Setup ページで、必要に応じてセッションのオプションを設定します。

次のオプションを指定できます。

Session idle timeout (minutes) :ACS が接続を終了する前に、ここで指定した時間(分)の間、管理セッションをアイドルに保ちます。最大で 4 桁まで指定できます。

管理セッションが終了されるときは、管理者に対して続行するかどうかを尋ねるダイアログボックスが表示されます。管理者が続行を希望すると、ACS によって新しい管理セッションが開始されます。

このパラメータは、ブラウザでの ACS 管理セッションにだけ適用されます。管理ダイヤルアップ セッションには適用されません。

Allow Automatic Local Login:(ACS for Windows のみ)管理者が、ACS を実行しているコンピュータ上でブラウザを使用する場合、ログインしなくても管理セッションを開始できるようにします。これらのセッションは、 local_login という名前のデフォルト管理者アカウントを使用して実行されます。

このチェックボックスをオフ(無効)にした場合、管理者は、管理者名とパスワードを使用してログインする必要があります。


) 管理者アカウントがまったく定義されていない段階でロックアウトが誤って発生することを防ぐため、ACS へのローカル アクセスでは、管理者名とパスワードが要求されません。


local_login 管理者アカウントには、Administration Control 特権が必要です。local_login アカウントを使用した管理セッションは、local_login という管理者名で Administrative Audit レポートに記録されます。

Respond to invalid IP address connections :Access Policy で無効として設定された範囲の IP アドレスを使用してリモート管理セッションを開始しようとすると、エラー メッセージが送信されます。このチェックボックスをオフにした場合、ユーザが無効なリモート接続を試行してもエラー メッセージが表示されません。このオプションは、デフォルトでオン(有効)になっています。

このオプションを無効にすると、権限のないユーザによる ACS の検出を防ぐことができます。


 

ステップ 4:アクセス ポリシーの設定

この項では、管理アクセス ポリシーの設定方法について説明します。

始める前に

管理アクセス用の SSL を有効にする場合は、「CA 証明書のインストール」、および 「信頼できる証明書の追加」の手順を実行する必要があります。SSL を有効にすると、次の管理者ログイン時に、ACS が SSL の使用を開始します。この変更は、現在の管理セッションには影響しません。証明書がインストールされていない状態で SSL を設定しようとすると、エラー メッセージが表示されます。

ACS のアクセス ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Access Policy をクリックします。

Access Policy Setup ページが表示されます(図5-4 を参照)。

図5-4 Access Policy Setup ページ

 

ステップ 3 適用する IP Address Filtering オプションをクリックします。

 

表5-1 Access Policy オプション

オプション
説明
IP Address Filtering

Allow all IP addresses to connect

Web インターフェイスに任意の IP アドレスからリモート アクセスできるようにします。

Allow only listed IP addresses to connect

IP Address Ranges で指定した IP アドレスだけが Web インターフェイスにリモート アクセスできるように制限します。

Reject connections from listed IP addresses

IP Address Ranges で指定したもの以外の IP アドレスだけが Web インターフェイスにリモート アクセスできるように制限します。

IP フィルタリングが適用されるのは、リモート管理者の Web ブラウザからの HTTP 要求で受信した IP アドレスです。ブラウザが HTTP プロキシ サーバを使用するように設定されている場合や、ネットワーク アドレス変換(NAT)を実行しているネットワーク デバイスの向こう側にあるワークステーションでブラウザが実行されている場合、IP フィルタリングが適用されるのは、HTTP プロキシ サーバまたは NAT デバイスの IP アドレスだけです。

IP Address Ranges

IP Address Ranges テーブルには、IP アドレス範囲を設定するための 10 行が用意されています。範囲には、最初と最後の値が常に含まれます。つまり、Start IP Address と End IP Address は範囲に含まれます。

ドット付き 10 進表記を使用します。範囲を定義するための IP アドレスは、最後のオクテットだけが異なる形式(Class C 形式)でなければなりません。

Start IP Address

指定する範囲内の最初の IP アドレスを定義します(最長 16 文字)。

End IP Address

指定する範囲内の最後の IP アドレスを定義します(最長 16 文字)。

HTTP Configuration
HTTP Port Allocation

Allow any TCP ports to be used for Administration HTTP Access

Web インターフェイスへのリモート アクセスに、ACS が任意の有効な TCP ポートを使用できるようにします。

Restrict Administration Sessions to the following port range From Port n to Port n

Web インターフェイスへのリモート アクセスに ACS が使用できる TCP ポートを限定します。入力ボックスを使用して、ポート範囲を指定します。ボックスごとに最大で 5 桁まで指定できます。範囲には、最初と最後の値が常に含まれます。つまり、開始ポート番号と終了ポート番号は範囲に含まれます。指定された範囲のサイズによって、同時管理の最大数が決まります。

ACS は、ポート 2002 を使用して、すべての管理セッションを開始します。ポート 2002 は、ポート範囲に含める必要はありません。また、ACS では、ポート 2002 だけで構成される HTTP ポート範囲は定義できません。ポート範囲は、2002 以外の少なくとも 1 つのポートで構成する必要があります。

ACS の管理ポート範囲の HTTP トラフィックを許可するように設定されたファイアウォールは、ポート 2002 の HTTP トラフィックも許可する必要があります。ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポートであるからです。

ファイアウォールの外部からの ACS の管理を許可することは推奨しません。ファイアウォールの外部からの Web インターフェイスへのアクセスが必要な場合は、HTTP ポート範囲をできる限り狭くしてください。範囲を狭くすることにより、権限のないユーザがアクティブな管理ポートを偶発的に検出するのを防ぐことができます。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なホストの IP アドレスになりすます(スプーフィング)ことがあります。

Secure Socket Layer Setup

Use HTTPS Transport for Administration Access

ACS で Secure Sockets Layer(SSL)プロトコルを使用して、CSAdmin サービスと、Web インターフェイスにアクセスする Web ブラウザ間での HTTP トラフィックを暗号化できるようにします。このオプションを有効にすると、ブラウザと ACS の間の HTTP トラフィックをすべて暗号化できます。このオプションを有効にすると、URL が HTTPS で始まるようになります。ほとんどのブラウザには、SSL 暗号化接続であることを示すインジケータが用意されています。

SSL を有効にするには、まずサーバ証明書と認証局証明書をインストールします。インストール プロセスにアクセスするには、System Configuration > ACS Certificate Setup を選択します。SSL を有効にした場合は、次の管理者ログイン時に、ACS が HTTPS の使用を開始します。現在の管理セッションは、影響を受けません。証明書をインストールしていない場合は、エラー メッセージが表示されます。

ステップ 4 IP Address Filtering オプションと矛盾しない、適切な IP アドレス範囲を入力します。

ステップ 5 必要な HTTP Port Allocation オプションをクリックして、すべてのポートを許可するか、特定のポートだけがアクセスできるように制限します。アクセスを制限する場合は、使用を許可するポート範囲を入力します。

ステップ 6 ACS で SSL を使用する場合は、このオプションをオンにします。

ステップ 7 Submit をクリックします。

ACS はアクセス ポリシー設定を保存し、適用を開始します。


 

管理者資格レポートの表示

SOX 法へのコンプライアンスを支援するため、ACS では資格レポートが生成されます。このレポートは、ACS の設定から抽出されたデータを含んでおり、テキスト ベースのファイル形式で出力されます。

ACS は、管理者およびユーザについて資格レポートを生成します。生成できるレポートは、次のとおりです。

Privilege :選択した管理者に付与されている特権。

Combined Privilege :すべての管理者に付与されている特権。

Users to Groups Mapping :個々のユーザのグループ メンバーシップ。

特権レポートの表示

特権レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

Reports ページが開きます。

ステップ 2 Entitlement Reports をクリックします。

生成できる資格レポートのリストが表示されます。図5-5 に、リストの例を示します。

図5-5 資格レポートのリスト

 

ステップ 3 レポートを表示するには、レポート名をクリックします。

各レポートが、Excel スプレッドシート形式でローカル コンピュータにダウンロードされます。