Cisco Secure ACS コンフィギュレーション ガイド 4.2
エージェントレス ホスト サポートの 設定のシナリオ
エージェントレス ホスト サポートの設定のシナリオ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

エージェントレス ホスト サポートの設定のシナリオ

エージェントレス ホスト サポートの概要

監査サーバおよび GAME グループ フィードバックの使用方法

設定手順の要約

エージェントレス ホスト サポートの基本的な設定手順

ステップ 1:ACS のインストール

ステップ 2:RADIUS AAA クライアントの設定

ステップ 3:ACS セキュリティ証明書のインストールと設定

証明書の入手と ACS ホストへのコピー

Windows 証明書インポート ウィザードによる証明書のインストール(ACS for Windows)

ACS 環境でのセキュリティ証明書の有効化

CA 証明書のインストール

信頼できる証明書の追加

ステップ 4:MAB のための LDAP サポートの設定

MAB をサポートするための外部 LDAP データベースの設定

ACS での 1 つまたはそれ以上の LDAP データベース設定の作成

ステップ 5:MAB セグメント用のユーザ グループの設定

ステップ 6:エージェントレス要求処理の有効化

新しい NAP の作成

NAP でのエージェントレス要求処理の有効化

MAB の設定

ステップ 7:ロギングとレポートの設定

MAB 処理に関するレポートの設定

監査サーバをサポートするための設定手順

GAME グループ フィードバックの設定

エージェントレス ホスト サポートの設定のシナリオ

この章では、Cisco Secure Access Control Server(以降は ACS と表記)でエージェントレス ホスト機能を設定する方法について説明します。


) この章の手順では、ACS で Lightweight Directory Access Protocol(LDAP)データベースを使用してエージェントレス ホスト サポートを設定する方法について説明します。エージェントレス ホスト サポートは、ACS 内部データベースを使用して設定することもできますが、通常は LDAP データベースを使用した方が効率が良くなります。


この章は、次の項で構成されています。

「エージェントレス ホスト サポートの概要」

「設定手順の要約」

「エージェントレス ホスト サポートの基本的な設定手順」

「監査サーバをサポートするための設定手順」

エージェントレス ホスト サポートの概要

ACS が認証するホストの多くは、ネットワーク リソースへのアクセスを要求するエージェント ソフトウェアを実行して、ACS から認可を受信します。しかし、ホストの中にはエージェント ソフトウェアを実行していないものもあります。次の例を参考にしてください。

802.1x ポート セキュリティを展開している多くの環境では、Cisco Trust Agent などの適切なセキュリティ エージェント ソフトウェアを持たないホストが認証の対象です。

エージェントレス ホストがレイヤ 2 デバイスに接続されている場合、Extensible Authentication Protocol over User Datagram Protocol タイムアウト(EoU タイムアウト)が発生すると、インバンド ポスチャ確認が発生しません。

ACS では、ホストの識別と認証に、ホスト デバイスの MAC アドレスを使用することでこの問題を解決します。この技術は、MAC Authentication Bypass(MAB)と呼ばれます。

1. エージェントレス ホストがネットワーク アクセス デバイス(NAD)に接続すると、NAD はホストに適切なソフトウェア エージェントがインストールされていないことを検出し、ホストの MAC アドレスを使用してホストを識別します。

2. NAD は、ホストの MAC アドレスが calling-station-id アトリビュートに挿入された、 servicetype=10 の RADIUS 認可要求を ACS に送信します。

3. MAB を使用するように ACS を設定した場合、ACS は、当該ホストの MAC アドレスを認証データベース内で検索します。このデータベースには、次のいずれかを使用できます。

ACS 内部

LDAP(LDAP を設定した場合)

4. データベース検索では、次の処理が実行されます。

当該の MAC アドレスが、ID ストア(ACS 内部データベースまたは LDAP データベース)内で検索されます。

当該の MAC アドレスが、ACS ユーザ グループにマッピングされます。

MAC アドレスが見つかった場合は、当該のアクセス要求が ACS ユーザ グループに関連付けられます。

MAC アドレスが見つからない場合、当該のアクセス要求は、ACS が失敗した場合のために設定されたデフォルト グループに割り当てられます。この段階に達すると、他のすべてのアクセス要求と同様に、ACS は認可処理に進みます。

calling-station-id アトリビュートで前提とされる値は、MAC アドレスです。ただし、アトリビュートに別の値(IP アドレス)が含まれている場合は、その IP アドレスがアクセス データベース内で検索されます。

ネットワーク アクセス プロファイルに指定されたユーザ グループと関連ポリシーに基づいて認可規則が適用されます。

図6-1 に、MAB 情報の流れを示します。

図6-1 MAB の流れ

 

監査サーバおよび GAME グループ フィードバックの使用方法

ACS は、監査サーバを使用するように設定できます。監査サーバは、NAD が提示する情報を、事前に設定されたデバイス タイプのリストと照合して確認するデバイスです。

監査サーバでエンド デバイスを分類して、ACS に詳細な情報を提供することができます。ACS は、このデバイス分類に基づいてグループ割り当てを決定できます。たとえば、デバイスがプリンタである場合は、プリンタを保持するためのユーザ グループにデバイスを割り当てることができます。

Cisco Network Admission Control(NAC; ネットワーク アドミッション コントロール)環境では、 Generic Authorization Message Exchange(GAME; 汎用認可メッセージ交換)グループ フィードバックを有効にすることで、ACS は監査サーバを利用した認証をサポートします。

GAME グループ フィードバックは、MAC アドレスを認証するときのセキュリティ確認を強化するものです。ACS が MAC アドレスをユーザ グループに関連付けて決定したデバイス タイプ分類を、監査サーバ上のデータベースに保存されている情報と照合して確認します。

GAME グループ フィードバック機能を使用するには、NAC のアトリビュートと値のペアを ACS の RADIUS ディレクトリに追加した後で、GAME グループ フィードバックを使用するポスチャ確認ポリシーを設定する必要があります。

次に、デバイス タイプ認証を監査サーバに対して要求するポスチャ確認ポリシーを、ネットワーク アクセス プロファイル(NAP)内に設定します。ポスチャ確認の設定の詳細については、「ポスチャ確認の有効化」を参照してください。

GAME グループ フィードバックを設定する詳細な手順については、「NAC の設定シナリオ」「GAME グループ フィードバックの有効化」で説明しています。

設定手順の要約

ACS でエージェントレス ホスト サポートを設定するには、次の手順を実行します。


ステップ 1 ACS for Windows をインストールします。または、ACS Solution Engine(ACS SE)を設置します。

詳細については、「ステップ 1:ACS のインストール」を参照してください。

ステップ 2 RADIUS AAA クライアントを設定します。

詳細については、「ステップ 2:RADIUS AAA クライアントの設定」を参照してください。

管理者ユーザのパスワードに関する制約事項を設定します。

ステップ 3 ACS セキュリティ証明書をインストールし、設定します。


) この手順は、ポスチャ確認およびネットワーク アクセス プロファイルを有効にするために必要です。


a. 証明書を入手し、ACS ホストにコピーします。

b. Windows 証明書インポート ウィザードを実行して、証明書をインストールします。

c. ACS システム上でセキュリティ証明書を有効にします。

d. CA 証明書をインストールします。

e. 信頼できる証明書を追加します。

詳細については、「ステップ 3:ACS セキュリティ証明書のインストールと設定」を参照してください。

ステップ 4 MAB のための LDAP サポートを設定します。

a. MAB をサポートするための外部 LDAP データベースを設定します。

b. ACS で、1 つまたはそれ以上の LDAP データベース設定を作成します。

詳細については、「ステップ 4:MAB のための LDAP サポートの設定」を参照してください。

ステップ 5 MAB セグメント用のユーザ グループを設定します。

詳細については、「ステップ 5:MAB セグメント用のユーザ グループの設定」を参照してください。

ステップ 6 エージェントレス要求処理を有効にします。

a. 新しいネットワーク アクセス プロファイルを作成します。

b. プロファイルで、エージェントレス ホストの処理を有効にします。

c. MAB を設定します。

詳細については、「ステップ 6:エージェントレス要求処理の有効化」を参照してください。

ステップ 7 ロギングとレポートを設定します。

Passed Authentications レポートと Failed Attempts レポートに、 Bypass Info アトリビュートを追加します。「ステップ 7:ロギングとレポートの設定」を参照してください。


 


) ACS を NAC とともに使用する場合は、監査サーバのサポートを設定し、必要に応じて GAME グループ フィードバックを設定します。詳細については、「GAME グループ フィードバックの設定」を参照してください。


エージェントレス ホスト サポートの基本的な設定手順

この項では、エージェントレス ホスト サポートを設定するための基本的な手順について説明します。

ステップ 1:ACS のインストール

この項では、ACS(Windows 2000 Server または Windows 2003 システムで動作)または Cisco Secure ACS SE を動作させるためのインストール手順を説明します。

ACS をインストールするには、次の手順を実行します。


ステップ 1 ACS のインストールを開始します。

ACS のインストールの詳細については、次のマニュアルを参照してください。

Installation Guide for Cisco Secure ACS for Windows 4.2

Installation Guide for Cisco Secure ACS Solution Engine 4.2

インストールの過程で、内部データベースを暗号化するためのパスワードを入力するように求められます。

ステップ 2 英字および数字を含んだ、8 文字以上のパスワードを入力します。

ACS for Windows の ACS インストール プロセスによって、ACS 管理用 GUI へのショートカットがデスクトップに自動的に作成されます。


) ACS SE 上に ACS をインストールする場合は、管理用 GUI のユーザを手動で作成する必要があります。add guiadmin コマンドを使用して、GUI アカウントを作成します。このコマンドについては、『Installation Guide for Cisco Secure ACS Solution Engine 4.2』の付録 A「Command Reference」を参照してください。手順を完了すると、サポートされているブラウザを使用して管理用 GUI にアクセスできます。サポートされているブラウザのリストについては、『Supported and Interoperable Devices and Software Tables for Cisco Secure ACS Solution Engine Release 4.1』を参照してください。


ステップ 3 ACS Admin アイコンをダブルクリックして、ACS 管理用 GUI を参照するブラウザ ウィンドウを開きます。

ステップ 4 デスクトップに ACS Admin アイコンが表示されていない場合は、ACS をインストールしたコンピュータ上でブラウザを開いて、次のいずれかの URL を参照します。

http:// IP_address :2002

http:// hostname :2002

IP_address は、ACS を実行しているホストの IP アドレスです。 hostname は、ACS を実行しているホストのホスト名です。


 

ステップ 2:RADIUS AAA クライアントの設定

エージェントレス ホスト サポートを設定するには、あらかじめ RADIUS AAA クライアントを設定しておく必要があります。

RADIUS AAA クライアントを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合は、AAA クライアントの割り当て先の NDG の名前をクリックします。次に、AAA Clients テーブルの下の Add Entry をクリックします。

NDG が有効になっていない場合に AAA クライアントを追加するには、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが開きます(図6-2 を参照)。

図6-2 Add AAA Client ページ

 

ステップ 3 AAA Client Hostname ボックスに、この AAA クライアントに割り当てる名前(最大 32 文字の英数字)を入力します。

ステップ 4 AAA Client IP Address ボックスに、AAA クライアントの IP アドレス(複数可)を入力します。

ステップ 5 NDG を使用している場合は、Network Device Group リストから、この AAA クライアントが属する NDG の名前を選択します。または、 Not Assigned を選択して、この AAA クライアントを NDG から独立させます。

ステップ 6 Authenticate Using リストから、 RADIUS (IOS/PIX) を選択します。

ステップ 7 必要に応じて、その他の AAA クライアント設定を指定します。

ステップ 8 Submit + Apply をクリックします。


 

ステップ 3:ACS セキュリティ証明書のインストールと設定

この項では、ACS for Windows プラットフォームでの手順を簡単に説明します。証明書のインストールの詳細、および Cisco Secure ACS SE プラットフォームに証明書をインストールする方法については、『 User Guide for Cisco Secure ACS 4.2 』の第 9 章「System Configuration: Authentication and Certificates」を参照してください。

この項の手順は、ネットワーク アクセス プロファイルで使用されるポスチャ確認を有効にするために必要です。

証明書の入手と ACS ホストへのコピー

証明書を ACS ホストにコピーするには、次の手順を実行します。


ステップ 1 セキュリティ証明書を入手します。

ステップ 2 ACS サーバ上に \ Certs ディレクトリを作成します。

a. DOS コマンド ウィンドウを開きます。

b. 次のように入力して、証明書のディレクトリを作成します。

mkdir <selected_drive>:\Certs
 

selected_drive は、現在選択しているドライブです。

ステップ 3 次のファイルを \ Certs ディレクトリにコピーします。

server.cer (サーバ証明書)

server.pvk (サーバ証明書の秘密鍵)

ca.cer (CA 証明書)


 

Windows 証明書インポート ウィザードによる証明書のインストール(ACS for Windows)

Windows 証明書インポート ウィザードを実行して証明書をサーバにインストールするには、次の手順を実行します。


ステップ 1 Windows エクスプローラを起動します。

ステップ 2 < selected_drive >: \Certs に移動します。

selected_drive は、現在選択しているドライブです。

ステップ 3 \ Certs\ca.cer ファイルをダブルクリックします。

Certificate ダイアログボックスが表示されます。

ステップ 4 Install Certificate を選択します。

Windows 証明書インポート ウィザードが起動します。

ステップ 5 ウィザードに表示される指示に従って、証明書をインストールします。

ステップ 6 ウィザードでは、デフォルトのオプションをそのまま使用します。


) この手順は、Windows 2000 Server 上で 1 回だけ実行します。



 

ACS 環境でのセキュリティ証明書の有効化

セキュリティ証明書を有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Install ACS Certificate をクリックします。

ステップ 4 Install ACS Certificate ページが開きます(図6-3 を参照)。

図6-3 Install ACS Certificate ページ

 

ステップ 5 Read certificate from file オプション ボタンが選択されていることを確認します。

ステップ 6 Certificate file テキストボックスに、サーバ証明書の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\server.cer と入力します。

ステップ 7 Private Key File テキストボックスに、サーバ証明書の秘密鍵の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\server.pvk と入力します。

ステップ 8 Private Key password テキストボックスに、1111 と入力します。

ステップ 9 Submit をクリックします。

ステップ 10 証明書がインストールされたことを示すメッセージが表示され、ACS のサービスを再起動するように求められます。

ステップ 11 この段階では、ACS のサービスを再起動しないでください。

後で、信頼できる証明書を追加する手順が完了したら、ACS のサービスを再起動します。「信頼できる証明書の追加」を参照してください。


 

CA 証明書のインストール

CA 証明書をインストールするには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > ACS Certification Authority Setup を選択します。

ステップ 2 ACS Certification Authority Setup ページが表示されます(図6-4 を参照)。

図6-4 ACS Certification Authority Setup ページ

 

ステップ 3 CA certificate file ボックスに、CA 証明書の場所(パスおよび名前)を入力します。たとえば、 c:\Certs\ca.cer と入力します。

ステップ 4 Submit をクリックします。


 

信頼できる証明書の追加

サーバ証明書を追加して認証局を設定した後は、信頼できる証明書をインストールします。

信頼できる証明書を追加するには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > Edit Certificate Trust List を選択します。

Edit Certificate Trust List が表示されます。

ステップ 2 インストールする信頼できる証明書を見つけて、証明書名に対応するチェックボックスをオンにします。たとえば、Stress 証明書を見つけて、対応するチェックボックスをオンにします。

ステップ 3 Submit をクリックします。

ステップ 4 System Configuration > Service Control を選択し、 Restart をクリックして ACS を再起動します。


 

ステップ 4:MAB のための LDAP サポートの設定

エージェントレス ホスト機能で使用される MAB は、ACS 内部データベースで管理するように設定できます。ただし、処理の対象となる MAC アドレスの数が多い場合は(たとえば、数千以上)、ACS の GUI を使用して MAC アドレスのマッピングを手動で設定するよりも、外部の LDAP データベースを使用した方が効率的です。

MAB のための LDAP サポートを設定するには、次の手順を実行します。


ステップ 1 MAB をサポートするための外部 LDAP データベースを設定します。

詳細については、「MAB をサポートするための外部 LDAP データベースの設定」を参照してください。

ステップ 2 ACS で、1 つまたはそれ以上の LDAP データベース設定を作成します。

詳細については、「ACS での 1 つまたはそれ以上の LDAP データベース設定の作成」を参照してください。


 

MAB をサポートするための外部 LDAP データベースの設定

MAB をサポートするための外部 LDAP データベースを 1 つまたはそれ以上設定します。それぞれの LDAP データベースについて、次の項目を作成します。

ACS で認証の対象になるエージェントレス ホストについて記述したデバイス レコード。

エージェントレス ホスト サポートで MAB を有効にするための LDAP スキーマを定義した LDAP グループ。

例6-1 に、エージェントレス ホスト サポート用の LDAP データベースを定義した Lightweight Directory Interchange Format(LDIF)ファイルの例(抜粋)を示します。

例6-1 MAB をサポートするための LDAP スキーマの例

dn: ou=MAB Segment, o=mycorp
ou: MAB Segment
objectClass: top
objectClass: organizationalUnit
description: MAC Authentication Bypass Sub-Tree
 
dn: ou=MAC Addresses, ou=MAB Segment, o=mycorp
ou: MAC Addresses
objectClass: top
objectClass: organizationalUnit
 
dn: ou=MAC Groups, ou=MAB Segment, o=mycorp
ou: MAC Groups
objectClass: top
objectClass: organizationalUnit
 
dn: cn=user00-wxp.emea.mycorp.com,ou=MAC Addresses, ou=MAB Segment, o=mycorp
ipHostNumber: 10.56.60.100
objectClass: top
objectClass: ipHost
objectClass: ieee802Device
macAddress: 00:11:22:33:44:55
cn: user00-wxp.emea.mycorp.com
 
dn: cn=user11-wxp.emea.mycorp.com,ou=MAC Addresses, ou=MAB Segment, o=mycorp
ipHostNumber: 10.56.60.111
objectClass: top
objectClass: ipHost
objectClass: ieee802Device
macAddress: 11-22-33-44-55-66
cn: user11-wxp.emea.mycorp.com
 
dn: cn=Group_1_colon,ou=MAC Groups, ou=MAB Segment, o=mycorp
objectClass: top
objectClass: groupofuniquenames
description: group of delimited MAC Addresses
uniqueMember: cn=user00-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment,
o=mycorp
uniqueMember: cn=user77a-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment
, o=mycorp
uniqueMember: cn=user88-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment,
o=mycorp
cn: Group_1_colon
 
dn: cn=Group_2_dash,ou=MAC Groups, ou=MAB Segment, o=mycorp
objectClass: top
objectClass: groupofuniquenames
description: group of - delimited MAC Addresses
uniqueMember: cn=user11-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment,
o=mycorp
uniqueMember: cn=user77b-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment
, o=mycorp
cn: Group_2_dash
 

サンプル LDAP スキーマに含まれている設定値の説明

図6-5 は、例6-1 に示した LDAP スキーマのツリー構造を示しています。

図6-5 MAB をサポートする LDAP スキーマのツリー構造

 

サブツリーの機能

例6-1 に示したサンプル LDAP スキーマには、2 つのサブツリーを定義する次のコードが含まれています。

dn: ou=MAC Addresses, ou=MAB Segment, o=mycorp
ou: MAC Addresses
objectClass: top
objectClass: organizationalUnit
 
dn: ou=MAC Groups, ou=MAB Segment, o=mycorp
ou: MAC Groups
objectClass: top
objectClass: organizationalUnit
 

LDAP サブツリーの内容は、次のとおりです。

MAC Addresses :エージェントレス ホスト(ACS によるエージェントレス ホスト認証が必要な IEEE 802.1x デバイス)の MAC アドレスを指定したデバイス レコードを保持するためのユーザ ディレクトリ サブツリー。

ACS ユーザ インターフェイスでの LDAP の設定でユーザ ディレクトリ サブツリーを指定するときに、LDAP スキーマ内のユーザ ディレクトリ サブツリーに割り当てられている名前を User Directory Subtree テキストボックスに入力します。

MAC Groups :デバイス レコードに記述により指定されている MAC デバイスから接続するユーザの LDAP ユーザ グループを保持するためのグループ ディレクトリ サブツリー。

ACS ユーザ インターフェイスでの LDAP の設定でグループ ディレクトリ サブツリーを指定するときに、LDAP スキーマ内のグループ ディレクトリ サブツリーに割り当てられている名前を Group Directory Subtree テキストボックスに入力します。

LDAP ユーザ グループの機能

個々の LDAP ユーザ グループ レコードにより LDAP ユーザ グループが設定されます。LDAP ユーザ グループにより、指定されたグループにユーザ(1 台またはそれ以上のデバイスを通じて接続)がマッピングされます。

次の例では、ホスト 10.56.60.100 およびその他の 2 つのホストから接続するユーザをマッピングするための LDAP ユーザ グループが、 cn=Group_1_colon という名前で設定されます。

dn: cn=Group_1_colon,ou=MAC Groups, ou=MAB Segment, o=mycorp
objectClass: top
objectClass: groupofuniquenames
description: group of delimited MAC Addresses
uniqueMember: cn=user00-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment,
o=mycorp
uniqueMember: cn=user77a-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment
, o=mycorp
uniqueMember: cn=user88-wxp.emea.mycorp.com, ou=MAC Addresses, ou=MAB Segment,
o=mycorp
cn: Group_1_colon
 

ACS は、指定された MAC アドレスのホストから接続するユーザの割り当て先となるユーザ グループを決定するために LDAP データベースに問い合せます。次に、指定された ACS ユーザ グループ(管理者が設定)に LDAP ユーザ グループ内のユーザを ACS が割り当てます。

上のサンプル LDAP グループのアトリビュートについて、 表6-1 で説明します。

 

表6-1 エージェントレス ホスト サポートのための LDAP ユーザ グループのアトリビュート

アトリビュート名
説明

objectClass

この例に含まれている値は、このグループが「一意の名前を持つグループ」であることを示します。ここに指定する値は、ACS での LDAP の設定で Common LDAP Configuration を指定するときに GroupObjectClass テキストボックスで指定した名前と同じものにする必要があります。

LDAP を設定する方法については、「MAB をサポートするための外部 LDAP データベースの設定」を参照してください。

uniqueMember

この例の値は、uniqueMember です。1 つまたはそれ以上の uniqueMember エントリを使用して、1 つまたはそれ以上のデバイス タイプ レコードを指定します。デバイス タイプ レコードは、指定された MAC アドレスを持つエージェントレス ホストを定義するために LDAP スキーマ内に設定されています。上のコード例で示した LDAP ユーザ グループの objectClass フィールドには、user00、user77a、および user88 が含まれています。

このフィールドに指定する LDAP スキーマ内の名前は、ACS での LDAP の設定で Common LDAP Configuration を指定するときに Group Attribute Name テキストボックスに入力した値と同じものにする必要があります。

LDAP を設定する方法については、「MAB をサポートするための外部 LDAP データベースの設定」を参照してください。

ACS での 1 つまたはそれ以上の LDAP データベース設定の作成

MAB をサポートするための LDAP データベースを 1 つまたはそれ以上設定した後は、その LDAP データベースに対して問い合せを実行するように ACS を設定します。

次の手順で使用する設定は、前の項(「MAB をサポートするための外部 LDAP データベースの設定」)で説明した LDAP スキーマに基づいています。実際の ACS 環境では、使用しているネットワーク用に設定したスキーマに基づいて ACS を設定してください。

ACS で LDAP 設定を作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

External User Databases ページが開きます。

ステップ 2 Database Configuration をクリックします。

External User Database Configuration ページが開きます。

ステップ 3 Generic LDAP をクリックします。

Database Configuration Creation テーブルが表示されます。LDAP 設定が存在する場合は、External User Database Configuration テーブルも表示されます。

ステップ 4 次のいずれか 1 つを実行します。

既存の LDAP データベース設定がない場合は、 Create New Configuration をクリックします。

External User Database テーブルが表示された場合は、 Configure をクリックします。

ステップ 5 新しい LDAP 設定を作成する場合は、LDAP 全般に使用する新しい設定の名前を入力し、 Submit をクリックします。

ステップ 6 Configure をクリックします。

次の 4 つのセクションで構成された Generic LDAP Configuration ページが表示されます。

Domain Filtering :オプション設定であるドメイン フィルタリングを設定する場合に使用します。

Common LDAP Configuration :このセクションでは、ACS が LDAP データベースに問い合せるための設定情報を指定します。

Primary LDAP Server :このセクションでは、プライマリ LDAP サーバを指定します。

Secondary LDAP Server :LDAP フェールバックを設定する場合は、このセクションに値を設定します。

ステップ 7 ドメイン フィルタリングを設定する場合は、『 User Guide for Cisco Secure Access Control Server 4.2 』の第 12 章にある「Configuring a Generic LDAP External User Database」の項を参照してください。

ステップ 8 一般的な LDAP 設定を指定します。

図6-6 に、Common LDAP Configuration セクションを示します。

図6-6 Common LDAP Configuration セクション

 

次の値を指定する必要があります。

User Directory Subtree :すべてのユーザを含むユーザ ディレクトリ サブツリーの認定者名(DN)を入力します。MAB 設定の場合、ユーザは実際にはホスト デバイスです。

例6-1 に示した LDAP スキーマでは、ユーザ ディレクトリ サブツリーの DN は ou=MAC Addresses, ou=MAB Segment, o=mycorp です。

Group Directory Subtree :LDAP スキーマで定義されたすべてのユーザ グループを保持する、グループ ディレクトリ サブツリーの DN を入力します。MAB 設定の場合、ユーザ グループのメンバーは、実際には一連の MAC アドレスです。

例6-1 に示した LDAP スキーマでは、グループ ディレクトリ サブツリーの DN は ou=MAC Groups, ou=MAB Segment, o=cisco です。

UserObjectType :LDAP スキーマで定義されたユーザ オブジェクト タイプの名前を入力します。例6-1 に示した LDAP スキーマでは、ユーザ オブジェクト タイプに macAddress が指定されています。

UserObjectClass :ユーザを示すレコードであることを指定する LDAP objectType アトリビュートの値。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあります。例6-1 に示した LDAP スキーマでは、ユーザ オブジェクト クラスに ieee802Device が指定されています。

GroupObjectType :グループ名を含むグループ レコード内のアトリビュート名。例6-1 に示した LDAP スキーマでは、この値は cn です。

GroupObjectClass :MAB 設定の場合は、LDAP スキーマ内に設定したデバイス レコードの名前を指定します。たとえば、例6-1 の場合、グループ オブジェクト クラスは ieee802Device です。

GroupAttributeName :MAB 設定の場合は、LDAP ユーザ グループを指定する LDAP アトリビュートの名前を指定します。たとえば、例6-1 の場合、LDAP ユーザ グループの各メンバーは uniqueMember アトリビュート内に指定されています。

Server Timeout :LDAP サーバとの接続に失敗したと判断するまでに ACS が LDAP サーバからの応答を待つ秒数。

On Timeout Use Secondary :ACS が LDAP 認証試行のフェールオーバーを行うかどうかを指定します。

Failback Retry Delay :プライマリ LDAP サーバがユーザ認証に失敗してから、プライマリ LDAP サーバへ先に認証要求を送信するのを ACS が再開するまでの経過時間(分単位)。0(ゼロ)を入力すると、ACS は常にプライマリ LDAP サーバを先に使用します。

Max. Admin Connections:特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 以上)。これらの接続は、User Directory Subtree および Group Directory Subtree の下にあるユーザおよびグループのディレクトリの検索に使用されます。

次に、LDAP サーバの設定情報を指定します。

図6-7 に、Primary LDAP Server および Secondary LDAP Server の設定セクションを示します。

図6-7 LDAP Server Configuration セクション

 

a. プライマリ LDAP サーバについて、次の値を指定します。

Hostname :LDAP ソフトウェアを実行しているサーバの名前または IP アドレス。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を入力できます。

Port :LDAP サーバが受信している TCP/IP ポート番号。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれらのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する場合、ポート 636 がデフォルトです。

LDAP Version :ACS は、LDAP データベースとの通信に LDAP バージョン 3 とバージョン 2 のいずれかを使用します。このチェックボックスがオンの場合、ACS は LDAP バージョン 3 を使用します。このチェックボックスがオフの場合、ACS は LDAP バージョン 2 を使用します。

Security :ACS で、SSL を使用して ACS と LDAP サーバ間の通信を暗号化します。SSL がイネーブルになっていない場合、ユーザ クレデンシャルはクリア テキストで LDAP サーバに渡されます。このオプションがオンの場合、 Trusted Root CA または Certificate Database Path を選択する必要があります。ACS は、LDAP サーバを使用した SSL 通信のサーバ側の認証だけをサポートします。

ACS SE のみ

Port ボックスに、LDAP サーバ上で SSL に使用されるポート番号が入力されていることを確認する必要があります。

Trusted Root CA:LDAP over SSL には、Netscape cert7.db ファイル以外の認証データベース ファイルを使用する認証オプションがあります。このオプションは、ACS 環境における他の SSL インストールと同じメカニズムを使用します。LDAP サーバ上にインストールされたサーバ証明書を発行した認証局を選択します。

Certificate DB Path:ACS for Windows の場合、Netscape cert7.db ファイルのパスを入力します。ACS SE の場合、このオプションには Download Certificate Database ページへのリンクを入力します。

このフィールドの詳細については、『 User Guide for Cisco Secure Access Control Server 』の第 12 章「User Databases」の「LDAP Configuration Options」の項を参照してください。

Admin DN :管理者の DN。つまり、User Directory Subtree 内の必要なすべてのユーザの検索が許されている LDAP アカウント。これには、LDAP サーバに関する次の情報が含まれている必要があります。

uid=user id,[ou=organizational unit,][ou=next organizational unit]o=organization
 

user id はユーザ名、 organizational unit はツリーの一番下のレベル、 next organizational unit はツリーの次に高いレベルです。

次の例を参考にしてください。

uid=joesmith,ou=members,ou=administrators,o=cisco

匿名のクレデンシャルによる検索でグループ名アトリビュートが表示されるように LDAP サーバが設定されている場合は、管理者ユーザ名に匿名のクレデンシャルを使用できます。それ以外の場合は、検索でのグループ名アトリビュートの表示が許可された管理者ユーザ名を指定する必要があります。


) 指定した管理者 username に対して、検索での group name アトリビュートの表示が許可されていない場合、LDAP が認証したユーザのグループ マッピングは失敗します。


Password :Admin DN ボックスで指定した管理者アカウントのパスワード。大文字と小文字の区別は、LDAP サーバによって決定されます。

b. LDAP サーバ フェールバックを設定する場合は、Secondary LDAP Server セクションにフェールバック LDAP サーバの識別情報を指定します。

Secondary LDAP Server セクションのオプションおよびテキスト入力ボックスは、Primary LDAP Server セクションと同じものです。

ステップ 9 Submit をクリックします。


 

ステップ 5:MAB セグメント用のユーザ グループの設定

エージェントレス要求処理を有効にするネットワーク アクセス プロファイルを設定するとき、指定した MAC アドレスを持つデバイスを、ACS に用意されているいずれかのデフォルト ユーザ グループにマッピングするように求められます。

ユーザ グループを割り当てる前に、ユーザ グループをどのように設定するかを計画しておきます。たとえば、ユーザ グループに割り当てたユーザを次のように運用できます。

ネットワークへのアクセスを拒否する。

ネットワーク アクセス制限(NAR)を適用する。

指定したパスワード設定を適用する。

ユーザ グループを設定する方法の詳細については、『 User Guide for Cisco Secure ACS 4.2 』の第 5 章「User Group Management」を参照してください。

ステップ 6:エージェントレス要求処理の有効化

エージェントレス要求処理を有効にするには、この機能を有効にするネットワーク アクセス プロファイル(NAP)を設定する必要があります。エージェントレス要求処理を有効にする NAP を作成するには、次の手順を実行します。


ステップ 1 新しい NAP を作成します。

詳細については、「新しい NAP の作成」を参照してください。

ステップ 2 Protocols ページで、 Allow Agentless Request Processing チェックボックスをオンにします。

ステップ 3 Authentication セクションで、MAB を設定します。

詳細については、「MAB の設定」を参照してください。

ステップ 4 エージェントレス要求処理を NAC 環境で使用する場合は、NAP でポスチャ確認を設定します。

詳細については、「NAP でのエージェントレス要求処理の有効化」を参照してください。


 

新しい NAP の作成

新しい NAP を作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます(図6-8 を参照)。

図6-8 Network Access Profiles ページ

 

ステップ 2 Add Profile をクリックします。

Profile Setup ページが開きます(図6-9 を参照)。

図6-9 Profile Setup ページ

 

ステップ 3 Name テキストボックスに、NAP の名前を入力します。

ステップ 4 設定済みのネットワーク アクセス フィルタ(NAF)がある場合、フィルタを適用するには、NAF のドロップダウン リストから適切な NAF を選択します。

ステップ 5 Protocol types セクションで、RADIUS プロトコル タイプを 1 つ以上選択します。

ステップ 6 必要に応じて、その他の NAP 設定を入力します。

ステップ 7 Submit をクリックします。

新しいプロファイルの Edit Network Access Protocols ページが表示されます(図6-10 を参照)。

図6-10 Edit Network Access Protocols ページ

 

これで、エージェントレス要求処理を有効にできる状態になりました。


 

NAP でのエージェントレス要求処理の有効化

NAP でエージェントレス要求処理を有効にするには、次の手順を実行します。


ステップ 1 Edit Network Access Profiles ページで、 Protocols をクリックします。

選択した NAP の Protocols Settings ページが開きます。図6-11 に、Protocols Settings ページの先頭部分を示します。

図6-11 Protocols Settings ページ

 

ステップ 2 Allow Agentless Request Processing チェックボックスをオンにします。

ステップ 3 必要に応じて、この他のプロトコル設定オプションを設定します。

ステップ 4 ACS を NAC 環境で使用する場合は、EAP Configuration 領域の Allow Posture Validation チェックボックスをオンにします。

ステップ 5 Submit をクリックします。

これで、MAB の設定を入力できる状態になりました。


 

MAB の設定

MAB を設定するには、次の手順を実行します。


ステップ 1 Edit Network Access Profiles ページで、 Authentication をクリックします。

選択した NAP の Authentication Settings ページが開きます。図6-12 に、Authentication Settings ページを示します。

図6-12 Authentication Settings ページ

 

ステップ 2 Credential Validation Databases セクションで、ACS がエージェントレス ホストの認証に使用するデータベース(複数可)を選択します。


Generic LDAP またはその他の LDAP データベースをクリックした場合は、External User Databases > External User Database Configuration を選択し、LDAP データベースを設定します。


ステップ 3 Credential Validation Databases セクションで LDAP データベースを指定した場合は、 LDAP Server をクリックし、 External User Databases > External User Database Configuration ページで設定した LDAP データベースを選択します。

ステップ 4 MAC アドレスの確認に ACS 内部データベースを使用する場合は、次の手順を実行します。

a. Internal ACS DB をクリックします。

b. Add をクリックします。

MAC アドレスを入力するためのテキストボックス、およびマッピング対象となる関連ユーザ グループが表示されます(図6-13 を参照)。

図6-13 MAC アドレスの入力領域

 

c. MAC アドレスの入力領域に、エージェントレス ホストの認証で使用される MAC アドレスを 1 つまたはそれ以上入力します。

MAC アドレスは、MAC-48 アドレスを可読形式で表現した、次のいずれかの形式で入力できます。

送信する順にハイフン(-)で 2 つずつ 6 グループに区切った 16 進数(例: 01-23-45-67-89-ab )。

コロン(:)で 2 つずつ 6 グループに区切った 16 進数(例: 01:23:45:67:89:ab )。

ドット(.)で 4 つずつ 3 グループに区切った 16 進数(例: 0123.4567.89ab )。

d. User Group 領域のユーザ グループのドロップダウン リストから、指定したいずれかの MAC アドレスを持つデバイスのマッピング先となるユーザ グループを選択します。

e. MAC アドレスのグループをさらに追加するには、 Add をクリックし、必要な追加グループと関連付けるユーザ グループを入力します。

ステップ 5 Default Action 領域(If Agentless request was not assigned a user-group)にあるユーザ グループのドロップダウン リストから、MAC アドレスが LDAP サーバまたは ACS 内部データベース内に見つからない場合、あるいは LDAP サーバに到達できない場合に MAC アドレスの割り当て先となるグループを選択します。

ステップ 6 EAP プロトコルおよびポスチャ確認を有効にした場合は、Posture Validation セクションでポスチャ確認規則を設定します。

ステップ 7 必要に応じて、Authorization セクションで追加の認可規則を指定します。

ステップ 8 Submit をクリックします。


 

ステップ 7:ロギングとレポートの設定

デフォルトでは、MAB 処理に関する次の情報が CSAuth ログ ファイルに記録されます。

MAB 要求の処理の開始。および、MAB の開始に使用されたトリガー。

このメッセージの形式は、次のとおりです。

Performing Mac Authentication Bypass on <MAC_address>
 

MAC_address は、処理の対象となった MAC アドレスです。

認証データベース内のどの MAC アドレスがどのユーザ グループにマッピングされたかを示す、ユーザ グループ マッピング操作。このメッセージの形式は、次のとおりです。

<MAC_address> was (not) found in <DB_name> and mapped to <user_group> user-group
 

MAC_address はマッピングの対象となった MAC アドレス、 DB_name は MAC_address の検索に使用されたデータベースの名前、 user_group は MAC アドレスのマッピング先となったユーザ グループの名前です。


) MAC アドレス検索の結果は、ACS が NAD に返す応答に影響を与える場合があり、MAC アドレス検索が成功したかどうかによって、アクセス要求にマッピングされるユーザ グループが影響を受けます。このため、MAC アドレス検索の結果が Passed Authentications レポートまたは Failed attempts レポートに記載されることがあります。


MAB 処理に関するレポートの設定

レポートを設定するときに、 Bypass info と呼ばれる新しいアトリビュートを Passed Authentications レポートおよび Failed Attempts レポートに追加できます。

このアトリビュートを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

Logging Configuration ページに、ACS レポートの 3 つのカラム(CSV、ODBC、syslog)が表示されます。

ステップ 3 指定するレポートに Bypass info アトリビュートを追加するには、次の手順を実行します。

a. 修正するいずれかのレポートのレポート タイプの下にある Configure をクリックします。たとえば、Passed Authentications レポートの CSV レポートをクリックします。

指定したレポートの Enable Logging ページが開きます。

b. Enable Logging セクションのチェックボックスをオンにします。

c. Select Columns to Log セクションの Attributes カラムで、 Bypass Info アトリビュートを選択します。

d. 右矢印のアイコンをクリックして、このアトリビュートを Logged Attributes カラムに移動します。

e. ログに記録する、この他の任意のアトリビュートを選択します。

f. 必要に応じて、Logging Configuration ページにあるこの他の値を設定します。

g. Submit をクリックします。

ステップ 4 必要に応じて、この他のレポート タイプについてステップ 3 を繰り返します。

ステップ 5 Failed Attempts レポートについて、ステップ 3 とステップ 4 を繰り返します。


 

監査サーバをサポートするための設定手順

NAC ソリューション、または監査サーバの使用をサポートするその他のアプリケーションを ACS で使用する場合は、監査サーバを使用したエージェントレス ホスト サポートを設定できます。

監査サーバで実行するデータベースによって、エージェントレス ホスト デバイスをユーザ グループに割り当てるときに使用される情報の認証を強化できます。たとえば、LDAP スキーマでのデバイスの分類に応じて、 printer PC FAX machine などのデバイス カテゴリが設定されます。監査サーバ上のデータベースを利用すると、指定した MAC アドレスまたは IP アドレスを持つデバイスが、指定した MAC アドレスまたは IP アドレスでデータベースに関連付けられているタイプのデバイスかどうかを確認できます。適切なデバイス タイプでない場合は、指定した認証ポリシーを適用できます。

ACS 4.2 が NAC 環境で監査サーバとの通信に使用するメカニズムは、GAME グループ フィードバックと呼ばれます。GAME グループは、GAME プロトコルが定義します。NAP で使用される監査サーバについて GAME グループ フィードバックを設定するには、Request Device Type from Audit Server 機能を有効にします。この機能を有効にすると、監査サーバに対して監査機能でデバイス タイプを要求し、このデバイス タイプを、MAC 認証で返されるデバイス タイプと照合することができます。

GAME グループ フィードバックの設定

GAME グループ フィードバックを設定するには、次の手順を実行します。


ステップ 1 CSUtil を使用して、監査ベンダー ファイルをインポートします。

ステップ 2 CSUtil を使用して、デバイス タイプ アトリビュート ファイルをインポートします。

ステップ 3 NAC のアトリビュートと値のペアをインポートします。

ステップ 4 ポスチャ確認を有効にします。

ステップ 5 External Posture Validation Audit Server Setup ページで、外部監査サーバを設定します。

ステップ 6 GAME グループ フィードバックを有効にします。

ステップ 7 External Posture Validation Audit Server Setup セクションで、次の項目を設定します。

Which Hosts Are Audited セクション。

GAME グループ フィードバック。

RADIUS ディクショナリ内にデバイス アトリビュートを持つベンダーのデバイス タイプ取得およびマッピング。

ステップ 8 デバイス グループ ポリシーを設定します。

GAME グループ フィードバックを設定する詳細な手順については、「NAC の設定シナリオ」「GAME グループ フィードバックの有効化」で説明しています。