Cisco Secure ACS コンフィギュレーション ガイド 4.2
NAC の設定シナリオ
NAC の設定シナリオ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

NAC の設定シナリオ

ステップ 1:ACS のインストール

ステップ 2:ネットワーク設定タスクの実行

RADIUS AAA クライアントの設定

AAA サーバの設定

ステップ 3:システム設定の入力

ACS セキュリティ証明書のインストールと設定

証明書の入手と ACS ホストへのコピー

ACS 認証局の設定

証明書信頼リストの編集

CA 証明書のインストール

ACS 証明書のインストール

グローバル設定の入力

グローバル認証の設定

EAP-FAST 認証の設定

ロギング レベルの設定

ログとレポートの設定

ステップ 4:Administration Control の設定

リモート管理者アクセスの追加

ステップ 5:共有プロファイル コンポーネントの設定

ネットワーク アクセス フィルタの設定(オプション)

ダウンロード可能 IP ACL の設定

ACL の追加

ACE の追加

dACL の保存

RADIUS 認可コンポーネントの設定

ステップ 6:外部ポスチャ確認監査サーバの設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認監査サーバの設定

ステップ 7:NAC 用のポスチャ確認の設定

内部ポスチャ確認ポリシーの設定

外部ポスチャ確認ポリシーの設定

外部ポスチャ確認監査サーバの設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認監査サーバの設定

ポリシーと NAC 監査の認可

ステップ 8:NAP を作成するテンプレートの設定

サンプル NAC プロファイル テンプレート

サンプル NAC レイヤ 3 プロファイル テンプレート

プロファイルの設定

NAC レイヤ 3 テンプレートのプロトコル ポリシー

認証ポリシー

サンプル ポスチャ確認規則

サンプル NAC レイヤ 2 テンプレート

プロファイルの設定

プロトコルの設定

認証ポリシー

サンプル ポスチャ確認規則

サンプル NAC レイヤ 2 802.1x テンプレート

プロファイルの設定

プロトコル ポリシー

認可ポリシー

サンプル ポスチャ確認規則

サンプル無線(NAC L2 802.1x)テンプレート

プロファイルの設定

プロトコル ポリシー

認可ポリシー

サンプル ポスチャ確認規則

サンプル エージェントレス ホスト テンプレートの使用法

プロファイルの設定

プロトコル ポリシー

認証ポリシー

ステップ 9:プロファイルへのポスチャ確認コンポーネントのマッピング

ステップ 10:プロファイルへの監査サーバのマッピング

ステップ 11(オプション):GAME グループ フィードバックの設定

CSUtil を使用した監査ベンダー ファイルのインポート

CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート

NAC のアトリビュートと値のペアのインポート

エージェントレス ホスト プロセスのデータベース サポートの設定

ポスチャ確認の有効化

外部監査サーバの設定

外部ポスチャ確認監査サーバの設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認監査サーバの設定

GAME グループ フィードバックの有効化

NAC の設定シナリオ

この章では、Cisco Secure Access Control Server 4.2(以降は、ACS と呼ぶ)を設定して、Cisco Network Admission Control 環境で動作させる方法について説明します。この章は、次の項で構成されています。

「ステップ 1:ACS のインストール」

「ステップ 2:ネットワーク設定タスクの実行」

「ステップ 3:システム設定の入力」

「ステップ 4:Administration Control の設定」

「ステップ 5:共有プロファイル コンポーネントの設定」

「ステップ 6:外部ポスチャ確認監査サーバの設定」

「ステップ 7:NAC 用のポスチャ確認の設定」

「ステップ 8:NAP を作成するテンプレートの設定」

「ステップ 9:プロファイルへのポスチャ確認コンポーネントのマッピング」

「ステップ 10:プロファイルへの監査サーバのマッピング」

「ステップ 11(オプション):GAME グループ フィードバックの設定」

ステップ 1:ACS のインストール

この項では、ACS を実行するためのインストール手順について説明します。ACS は、Windows 2003 サーバまたは Cisco Secure ACS Solution Engine(ACS SE)で動作します。

ACS のインストールの詳細については、次のマニュアルを参照してください。

Installation Guide for Cisco Secure ACS for Windows Release 4.2

Installation Guide for Cisco Secure ACS Solution Engine Release 4.2

ACS をインストールするには、次の手順を実行します。


ステップ 1 ACS のインストールを開始します。

ACS for Windows をインストールする場合は、次の手順を実行します。

a. ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。

b. ACS CD をコンピュータの CD-ROM ドライブに挿入します。

c. CD-ROM ドライブで Windows の自動実行機能がサポートされている場合は、ACS for Windows ダイアログボックスが表示されます。サポートされていない場合は、ACS CD のルート ディレクトリにある setup.exe を実行してください。

d. Cisco Secure ACS for Windows ダイアログボックスの Install をクリックします。

ACS SE を設置する場合は、『Installation Guide for Cisco Secure ACS Solution Engine 4.2』の説明に従います。第 3 章「Installing and Configuring Cisco Secure ACS SE 4.2」に、詳細な設置手順が説明されています。

インストールの過程で、内部データベースを暗号化するためのパスワードを入力するように求められます。

ステップ 2 英字および数字を含んだ、8 文字以上のパスワードを入力します。

ACS for Windows の ACS インストール プロセスによって、ACS 管理用 GUI へのショートカットがデスクトップに自動的に作成されます。

ステップ 3 アイコンをダブルクリックして、ACS 管理 GUI のブラウザ ウィンドウを開きます。

ステップ 4 デスクトップにアイコンが表示されていない場合は、ACS をインストールしたマシンからブラウザを開き、次のいずれかのアドレスにアクセスします。

http:// IP_address :2002

http:// hostname :2002

IP_address は、ACS を実行しているホストの IP アドレスです。 hostname は、ACS を実行しているホストのホスト名です。


 

ステップ 2:ネットワーク設定タスクの実行

この項では、次の内容を説明します。

「RADIUS AAA クライアントの設定」

「AAA サーバの設定」

RADIUS AAA クライアントの設定

NAC サポートを設定するには、あらかじめ RADIUS AAA クライアントを設定しておく必要があります。

RADIUS AAA クライアントを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合は、AAA クライアントの割り当て先の NDG の名前をクリックします。次に、AAA Clients テーブルの下の Add Entry をクリックします。

NDG が有効になっていない場合に AAA クライアントを追加するには、 Not Assigned をクリックし、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが開きます(図9-1 を参照)。

図9-1 Add AAA Client ページ

 

ステップ 3 AAA Client Hostname ボックスに、この AAA クライアントに割り当てる名前(最大 32 文字の英数字)を入力します。

ステップ 4 AAA Client IP Address ボックスに、AAA クライアントの IP アドレス(複数可)を入力します。


) IP アドレスのワイルドカード(たとえば、*.*.*.*)を入力することで、すべてのネットワーク アクセス デバイス(NAD)を 1 つの AAA クライアントとして定義できます。ただし、AAA クライアントに対して設定されている認証方式にかかわらず、ワイルドカードを使用した AAA クライアント定義を他の AAA クライアント定義と重複させることはできません。


ステップ 5 Shared Secret ボックスに、AAA クライアントの共有秘密鍵を入力します。

共有秘密鍵は、管理者が決定する文字列です。たとえば、 mynet123 と入力します。共有秘密鍵は、AAA クライアントと ACS で同じでなければなりません。鍵では大文字と小文字が区別されます。共有秘密情報が一致しない場合、そのネットワーク デバイスからのパケットはすべて ACS によって破棄されます。

ステップ 6 NDG を使用している場合は、Network Device Group リストから、この AAA クライアントが属する NDG の名前を選択します。または、 Not Assigned をクリックして、この AAA クライアントを NDG から独立させます。

ステップ 7 EAP-TLS 認証での RADIUS キー ラップの共有秘密鍵を入力します。

各鍵は固有でなければならず、RADIUS 共有鍵とは別個である必要もあります。この共有鍵は、各 AAA クライアントと各 NDG に設定できます。NDG キーの設定は、AAA クライアント設定を無効にします。鍵のエントリがヌルの場合、ACS では AAA クライアントの鍵が使用されます。NAP Authentication Settings ページのキー ラップ機能を有効にして、この共有鍵を EAP-TLS 認証に実装する必要があります。

a. Key Encryption Key (KEK) :Pairwise Master Key(PMK)の暗号化に使用します。最大長は 20 文字です。

b. Message Authenticator Code Key (MACK) :RADIUS メッセージの鍵付きハッシュ メッセージ認証コード(HMAC)の計算に使用します。最大長は 16 文字です。

c. Key Input Format :鍵のフォーマットをクリックします。ASCII または 16 進文字列です(デフォルトは ASCII)。

ステップ 8 Authenticate Using リストから RADIUS (IOS/PIX) を選択します。

ステップ 9 必要に応じて、その他の AAA クライアント設定を指定します。

ステップ 10 Submit + Apply をクリックします。


 

AAA サーバの設定

AAA サーバには、ACS のインストール時にデータが自動的に入力されます。このデータの自動入力では、Windows 2003 システムに割り当てられたホスト名が使用されます。サーバが AAA クライアントと通信できるようにするには、追加の設定情報を指定する必要があります。

AAA サーバを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 AAA Servers テーブルの AAA Server Name カラムで、AAA サーバの名前をクリックします。

AAA Server Setup ページが開きます(図9-2 を参照)。

図9-2 AAA Server Setup ページ

 

ステップ 3 Key フィールドに、AAA クライアントを設定するために使用した共有秘密鍵を入力します。

ステップ 4 Submit and Apply をクリックします。


 

ステップ 3:システム設定の入力

この項では、次のタスクについて説明します。

「ACS セキュリティ証明書のインストールと設定」

「グローバル設定の入力」

ACS セキュリティ証明書のインストールと設定

ACS がクライアントにクレデンシャルを求める場合に、クライアントの信頼を確立できるようにするには、ACS にデジタル証明書を設定する必要があります。次の点に注意してください。

EAP-FAST のための認証済みのインバンド Protected Access Credential(PAC)プロビジョニングを行う場合は、ACS にインストールされている証明書と一致する証明書をクライアントが持っている必要があります。

ほとんどの場合、拡張性のある NAC 環境には、実稼働の認証局(CA)または登録局(RA)が署名する実稼働の公開鍵インフラストラクチャ(PKI)が推奨されます。

この項では、ACS for Windows プラットフォームでの手順を簡単に説明します。証明書のインストールの詳細、および Cisco Secure ACS Solution Engine プラットフォームに証明書をインストールする方法については、『 User Guide for Cisco Secure ACS 4.2 』の第 9 章「System Configuration: Authentication and Certificates」を参照してください。

証明書の入手と ACS ホストへのコピー

証明書を ACS ホストにコピーするには、次の手順を実行します。


ステップ 1 セキュリティ証明書を入手します。

ステップ 2 ACS サーバ上に \ certs ディレクトリを作成します。

a. DOS コマンド ウィンドウを開きます。

b. 次のように入力して、証明書のディレクトリを作成します。

mkdir <selected_drive>:\certs
 

selected_drive は、現在選択しているドライブです。

ステップ 3 たとえば、次のファイルを \ certs ディレクトリにコピーします。

ACS-1.nac.cisco.com.cer (サーバ証明書)

ACS-1.PrivateKey.txt (サーバ証明書の秘密鍵)

ca.nac.cisco.com.cer (CA 証明書)

これで、ACS 認証局を設定できる状態になりました。


 

ACS 認証局の設定

ACS 認証局を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

ACS Certificate Setup ページが開きます。

ステップ 3 ACS Certification Authority Setup をクリックします。

ACS Certificate Authority Setup ページが開きます(図9-3 を参照)。

図9-3 ACS Certificate Authority Setup ページ

 

ステップ 4 認証局証明書のパスとファイル名を入力し、 Submit をクリックします。

ステップ 5 ACS を再起動します。

System Configuration > Service Control を選択し、 Restart をクリックして、ACS を再起動します。


 

証明書信頼リストの編集

ACS 認証局を設定したら、CA 証明書を ACS の証明書信頼リストに追加する必要があります。

証明書を証明書信頼リストに追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup > Edit Certificate Trust List を選択します。

Edit Certificate Trust List ページが開きます。

ステップ 3 証明書のリストで、インストールした CA 証明書を見つけて、その隣のチェックボックスをオンにします。

ステップ 4 Submit をクリックします。

ステップ 5 ACS を再起動します。

System Configuration > Service Control を選択し、 Restart をクリックして、ACS を再起動します。


 

CA 証明書のインストール

CA 証明書をインストールするには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > ACS Certification Authority Setup を選択します。

ステップ 2 ACS Certification Authority Setup ページが表示されます(図9-4 を参照)。

図9-4 ACS Certification Authority Setup ページ

 

ステップ 3 CA certificate file ボックスに、CA 証明書の場所(パスと名前)を入力します。たとえば、 c:\Certs\ca.cer と入力します。

ステップ 4 Submit をクリックします。


 

ACS 証明書のインストール

ACS 環境でセキュリティ証明書を有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Install ACS Certificate をクリックします。

ステップ 4 Install ACS Certificate ページが開きます(図9-5 を参照)。

図9-5 Install ACS Certificate ページ

 

ステップ 5 Read certificate from file オプション ボタンをクリックします。

ステップ 6 Certificate file テキスト ボックスに、サーバ証明書の場所(パスと名前)を入力します。たとえば、 c:\Certs\server.cer と入力します。

ステップ 7 Private key file テキスト ボックスに、サーバ証明書の秘密鍵の場所(パスと名前)を入力します。たとえば、 c:\Certs\server.pvk と入力します。

ステップ 8 Private Key password テキスト ボックスに、秘密鍵のパスワードを入力します。たとえば、 cisco123 と入力します。

ステップ 9 Submit をクリックします。

ステップ 10 証明書がインストールされたことを示すメッセージが表示され、ACS のサービスを再起動するように求められます。

ステップ 11 ACS を再起動します。

System Configuration > Service Control を選択し、 Restart をクリックして、ACS を再起動します。


 

グローバル設定の入力

この項では、次のタスクについて説明します。

「グローバル認証の設定」

「EAP-FAST 認証の設定」

グローバル認証の設定

グローバル認証の設定では、ACS が認証および認可のためにホストからクレデンシャルを転送するときに使用するプロトコルを指定します。展開環境が制限されていたり、セキュリティに関する特別な懸念がない限り、すべてのプロトコルをグローバルで有効にしてください。グローバル認証の設定でプロトコルを有効にしないと、後でそれらのプロトコルをネットワーク アクセス プロファイル設定インターフェイスで使用することができません。

グローバル認証を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Global Authentication Setup をクリックします。

Global Authentication Setup ページが表示されます(図9-6 を参照)。

図9-6 Global Authentication Setup ページ

 

ステップ 3 PEAP グローバル認証のパラメータを NAP 設定で使用できるようにするには、次のチェックボックスをオンにします。

Allow EAP-MSCHAPv2 .

EAP-MSCHAP は、Protected Extensible Access Protocol(PEAP)とともに使用される Microsoft Challenge and Response Protocol の一種です。EAP-MSCHAPv2 プロトコルの説明については、『 User Guide for Cisco Secure ACS, 4.2 』の第 1 章「Overview」の「Authentication」の項を参照してください。

Allow EAP-GTC .

EAP Generic Token Card(EAP-GTC)プロトコルの説明については、『 User Guide for Cisco Secure ACS 4.2 』の第 9 章「System Configuration: Authentication and Certificates」の「EAP-FAST Authentication」を参照してください。

Allow Posture Validation .

ポスチャ確認の説明については、『 User Guide for Cisco Secure ACS, 4.2 』の第 13 章「Posture Validation」の「What Is Posture Validation?」の項を参照してください。

ステップ 4 EAP-TLS セクションで、次の作業を行います。

a. Allow EAP-TLS チェックボックスをオンにします。

b. Certificate SAN comparison チェックボックスおよび Certificate Binary comparison チェックボックスをオンにします。

c. EAP-TLS timeout フィールドの設定は、デフォルト(120 分)のままにします。

ステップ 5 EAP-MD5 セクションの Allow EAP-MD5 チェックボックスをオンにします。

ステップ 6 MS-CHAP configuration セクションまでスクロール ダウンし、 Allow MS-CHAP Version 1 Authentication チェックボックスおよび Allow MS-CHAP Version 2 Authentication チェックボックスをオンにします(図9-7 を参照)。

図9-7 MS-CHAP 認証の選択内容

 

ステップ 7 Submit + Restart をクリックします。

ステップ 8 「EAP-FAST 認証の設定」を参照し、EAP-FAST 認証を設定します。


 

EAP-FAST 認証の設定

ACS が NAC で機能し、ポスチャ確認で EAP-FAST を使用するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Global Authentication Setup をクリックします。

Global Authentication Setup ページが表示されます(図9-6 を参照)。

ステップ 3 EAP-FAST Configuration をクリックします。

EAP FAST Configuration ページが表示されます(図9-8 を参照)。

図9-8 EAP-FAST Configuration ページ

 

ステップ 4 Allow EAP-FAST チェックボックスをオンにします。

ステップ 5 Client Initial Message テキスト ボックスにメッセージを入力します。たとえば、 Welcome と入力します。

ステップ 6 Authority ID Info フィールドに、認証権限サーバの名前を入力します。図9-8 に示した例では、 ACS NAC Server がその名前です。任意の文字列を入力できます。

ステップ 7 Allow anonymous in-band PAC provisioning チェックボックスおよび Allow authenticated in-band PAC provisioning チェックボックスをオンにします。

ステップ 8 Accept client on authenticated provisioning チェックボックスおよび Require client certificate for provisioning チェックボックスをオンにします。

ステップ 9 EAP-GTC、EAP-MSCHAPv2、および EAP-TLS 内部方式のチェックボックスをオンにします。

EAP-FAST Master Server チェックボックスが自動的にオン(有効)になります。

Certificate SAN comparison チェックボックスおよび Certificate Binary comparison チェックボックスをオンにして、これらの EAP-TLS 比較方式を有効にします。

ステップ 10 Submit + Restart をクリックします。


 

ロギング レベルの設定

ACS でフル ロギング機能を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Service Control をクリックします。

ステップ 3 Level of Detail 下の Full オプション ボタンをクリックします。


) ロギング レベルを Full に設定すると、システム パフォーマンスに影響を及ぼす可能性があります。ロギング レベルを Full に設定するのは、初期の展開で詳細なトラブルシューティングが必要な場合に限ることをお勧めします。ネットワークが安定したら、ロギング レベルを Normal に設定してください。


ステップ 4 Manage Directory チェックボックスをクリックして、ログを保持する日数を選択します(ハード ディスク上のスペース容量に基づいて日数を入力します。7 日を指定することをお勧めします)。

ステップ 5 Restart をクリックして、ACS を再起動します(ブラウザの進行状況バーに、ページが完全にリロードされたことが示されるまで待ちます)。


 

ログとレポートの設定

ACS は、ネットワーク アクセスを許可されたユーザまたはネットワーク アクセスを拒否されたユーザのレコードおよびその他のアクションのレコードをログに記録します。ログ内の情報は、ACS GUI で表示するレポートに出力できます。このレポートを保存または印刷して内容を確認できます。このレポートに、ログの要約と、問題のデバッグおよび追跡に役立つ情報が提供されます。

ACS のログとレポートの詳細については、『 User Guide for Cisco Secure ACS 4.2 』の第 10 章「Logs and Reports」を参照してください。

Failed Attempts レポートと RADIUS Accounting レポートは、NAC/NAP ネットワークのパフォーマンスを監視するために役立ちます。また、Passed Authentications レポートは、NAC 対応ネットワークに特に役立ちます。このレポートには、ポスチャ確認要求ごとのグループ マッピングが示されます。デフォルトでは、Passed Authentication レポートはオフ(無効)です。

Passed Authentications レポートを有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

CSV Passed Authentications File Configuration ページが開きます(図9-9 を参照)。

図9-9 CSV Passed Authentications File Configuration ページ

 

ステップ 3 Log to CSV Passed Authentications Report チェックボックスをオンにします。

ステップ 4 ログに記録するアトリビュートを、Attributes リストから Logged Attributes リストに移動します。

ログに記録できる便利なアトリビュートには、次のものが含まれます。

Message-Type

User-Name

Caller-ID

NAS-Port

NAS-IP-Address

AAA Server

Filter Information

Network Device Group

Access Device

PEAP/EAP-FAST-Clear-Name

Logged Remotely

EAP Type

EAP Type Name

Network Access Profile Name

Outbound Class

Shared RAC

Downloadable ACL

System-Posture-Token

Application-Posture-Token

Reason

Profile Name

ステップ 5 Submit をクリックします。

ステップ 6 ACS Reports テーブルから、CSV RADIUS Accounting レポートの Configure リンクをクリックします。

CSV RADIUS Accounting File Configuration ページが表示されます。

Log to CSV RADIUS Accounting Report チェックボックスをオンにします。

ステップ 7 ログに記録するアトリビュートを、Attributes リストから Logged Attributes リストに移動します。

ログに記録できる便利なアトリビュートには、次のものが含まれます。

User-Name

Group-Name

Calling-Station-Id

Acct-Status-Type

Acct-Session-Id

Acct-Session-Time

Acct-Input-Octets

Acct-Output-Octets

Acct-Input-Packets

Acct-Output-Packets

Framed-IP-Address

NAS-Port

NAS-IP-Address

Class

Termination-Action

Called-Station-Id

Acct-Delay-Time

Acct-Authentic

Acct-Terminate-Cause

Event-Timestamp

NAS-Port-Type

Port-Limit

NAS-Port-Id

AAA Server

ExtDB Info

Network Access Profile Name

cisco-av-pair

Access Device

Logged Remotely

ステップ 8 Submit をクリックします。


 

ステップ 4:Administration Control の設定

この項では、リモート管理者アクセスの追加方法について説明します。

リモート管理者アクセスの追加

リモート管理用に ACS を準備するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

System Configuration ページが開きます。

ステップ 2 Add Administrator をクリックします。

Add Administrator ページが開きます(図9-10 を参照)。

図9-10 Add Administrator ページ

 

ステップ 3 Administrator Details 領域で、次の情報を指定します。

 

オプション
説明

Administrator Name

ACS 管理者アカウントのログイン名を入力します。管理者名には 1 ~ 32 文字の範囲で入力できます。ただし、左角カッコ(<)、右角カッコ(>)、またはバック スラッシュ(\)を含めることはできません。ACS 管理者の名前は、ネットワーク ユーザ名と同じものにする必要はありません。

Password

管理者が ACS の Web インターフェイスにアクセスするためのパスワードを入力します。

このパスワードは、管理者がダイヤルイン認証で使用するパスワードと同じものにすることも、別のパスワードにすることもできます。ACS により、Administrator Password Policy ページの Password Validation Options セクションで設定したオプションが適用されます。

パスワードは 4 文字以上にし、数字を少なくとも 1 文字含める必要があります。パスワードには、ユーザ名を含めることや、ユーザ名を反転した文字列を含めることはできません。最近使用した 4 つのパスワードと同じものは使用できません。また、ASCII 文字で入力する必要があります。パスワードが条件を満たしていない場合は、パスワードの基準が表示されます。

パスワード ポリシーが変更された場合、パスワードを変更しなくても、管理者はログインしたまま作業を続けることができます。新しいパスワード ポリシーが適用されるのは、次回のログイン時です。

Confirm Password

Password フィールドに入力したパスワードを、もう一度入力します。

Account Never Expires

Administrator Password Policy ページで設定したロックアウト オプションを上書きするには(手動ロックアウトを除く)、Account Never Expires の隣にあるチェックボックスをオンにします。このオプションをオンにした場合、アカウントは無期限になりますが、パスワード変更ポリシーは引き続き有効です。デフォルト値はオフ(無効)です。

Account Locked

Password Policy ページで指定したアカウント ポリシー オプションに基づいてアクセスを拒否された管理者をロックアウトするには、 Account Locked チェックボックスをオンにします。チェックボックスをオフにすると(オプションを無効にすると)、ロックアウトされた管理者のロックが解除されます。

Administration Control 特権を付与された管理者は、このオプションを使用して、アカウントを手動でロックアウトすることや、ロックされたアカウントをリセットすることができます。システムは、ロックアウトの理由を説明するメッセージを表示します。

管理者がアカウントのロックを解除すると、Last Password Change フィールドと Last Activity フィールドの値は、管理者がアカウントのロックを解除した日付にリセットされます。

ロックされたアカウントをリセットしても、失敗したログインに関するロックアウト/ロック解除メカニズムの設定は変更されません。

ステップ 4 Grant All をクリックします。

これによって、新しい管理者にすべての特権を認可するか、この管理者がアクセスを認可されるグループまたはアクションを指定します。


) 管理特権の詳細については、『User Guide for Cisco Secure Access Control Server 4.2』の第 11 章「Administrators and Administrative Policy」の「Add Administrator and Edit Administrator Pages」の項を参照してください。


ステップ 5 Submit をクリックします。

この手順が完了すると、リモート ホストから、ACS を管理するブラウザを開くことができます。

リモート アクセスの URL は、次のとおりです。

http:// IP_address :2002

http:// hostname :2002


 

ステップ 5:共有プロファイル コンポーネントの設定

ネットワーク アクセス プロファイル(NAP)を設定するには、あらかじめ共有プロファイル コンポーネントを設定しておく必要があります。

共有プロファイル コンポーネントは、ACS 内でのフィルタリングを設定したり、RADIUS 内でのネットワーク認可を制御するために、多数の異なる NAP にわたって再使用できる設定です。

NAP は、一般的なポリシーを適用するために、ネットワーク アクセス要求を分類するものです。NAP を使用すると、ネットワーク内の特定の場所に対してアクティブにする必要のあるポリシー、または、指定されたプロトコルでネットワークに接続するユーザに対してアクティブにする必要のあるポリシーをすべて集約できます。プロトコルには、EAP over UDP(EoU)や 802.1x などを指定できます。

NAP の詳細については、『 User Guide for Cisco Secure ACS, 4.2 』の第 14 章「Network Access Profiles」を参照してください。

この項では、次のタスクについて説明します。

「ネットワーク アクセス フィルタの設定(オプション)」

「ダウンロード可能 IP ACL の設定」

「RADIUS 認可コンポーネントの設定」

ネットワーク アクセス フィルタの設定(オプション)

ネットワーク アクセス フィルタ(NAF)は、いくつかのデバイスを 1 つのグループにまとめる ACS 機能です。デバイスは、ACS クライアント、ACS サーバ、ACS ネットワーク デバイス グループ(NDG)、または特定の IP アドレスのいずれでもかまいません。NAF は、NAP を定義するときに特に役立ちます。

ダウンロード可能 IP ACL を設定する際に、次の作業を行うことができます。

デフォルトの NAF( All AAA Clients )を割り当てる。

このデフォルトでは、すべてのクライアントにアクセスが許可されます。

NAF を設定して、特定のクライアントにアクセスを制限する。

NAF を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが開きます。

ステップ 2 Network Access Filtering をクリックします。

Network Access Filtering テーブルが表示されます。最初は、このテーブルには共有プロファイル コンポーネントは含まれていません。

ステップ 3 Add をクリックします。

Edit Network Access Filtering ページが開きます(図9-11 を参照)。

図9-11 Edit Network Access Filtering ページ

 

ステップ 4 Name テキスト ボックスに、ネットワーク アクセス フィルタの名前を入力します。

ステップ 5 デバイスまたはデバイス グループを Selected Items リストに移動します。

デバイスまたはデバイス グループを移動するには、移動する項目を選択し、右矢印ボタンをクリックしてその項目を Selected Items リストに移動します。

ステップ 6 Submit をクリックします。


 

ダウンロード可能 IP ACL の設定

Downloadable IP Access Control List(dACL; ダウンロード可能 IP アクセス制御リスト)は、ホストのネットワーク認可を強化するためにダウンロードできるアクセス リストです。ダウンロード可能 ACL を使用すると、レイヤ 3 およびレイヤ 4 の Access Control Entry(ACE; アクセス コントロール エントリ)がルータにダイナミックにダウンロードされます。または、VPN コンセントレータにダイナミックにダウンロードされ、デフォルトのインターフェイス ACL とマージされます。

ACS 4.2 では、特定のデバイスまたはデバイス グループにアクセス リストをダウンロードできます。

1 つ以上の dACL が含まれるアクセス リストを定義して、後で、ユーザ グループへの割り当てに基づいてネットワーク デバイスにリストをダウンロードできます。dACL を定義する前に、dACL を有効にしてください。

各 Assessment Result(システム ポスチャ トークン)には、その定義に従って、独自の ACL があります。この ACL には、Access Control Entries(ACE; アクセス コントロール エントリ)が含まれます。ACE により、パケットが特定の宛先に送信されるのをブロックするか、パケットが特定の宛先に到達するのを許可するかが NAC ネットワーク デバイス(ルータ)に指示されます。

dACL および NAF(NAP を作成するために必要)を有効にするには、次の作業を行います。

新しいポスチャ ACL を追加する。

ACL の ACE エントリを追加する。

ポスチャ ACL を保存する。


) このような ACL は、ポスチャ確認で使用される NAP のコンポーネントなので、ポスチャ ACL と呼ばれます。


ACL の追加

新しい ACL を追加するには、次の手順を実行します。


ステップ 1 Shared Profile Components > Downloadable IP ACLs を選択します。

dACL のリストが表示されます(図9-12 を参照)。

図9-12 Downloadable IP ACL のリスト

 

ステップ 2 Add をクリックします。

Downloadable IP ACLs ページが開きます(図9-13 を参照)。

図9-13 Downloadable IP ACLs ページ

 

ステップ 3 Downloadable IP ACLs ページで、ACL の Name と Description(オプション)に入力します(図9-13 を参照)。


) ACL の名前に、スペースを使用しないでください。IOS は、スペースが使用されている ACL 名は受け入れません。



 

ACE の追加

ACE を追加するには、次の手順を実行します。


ステップ 1 Downloadable IP ACLs ページで、Add(ACL コンテンツのリストの下)をクリックして新しい ACE を ACL に追加し、それを NAF に割り当てます。

Downloadable IP ACL Content ページが開きます(図9-14 を参照)。

図9-14 Downloadable IP ACL Content ページ

 

ステップ 2 Name テキスト ボックスに、ACL 名を入力します。

ステップ 3 ACL Definitions 入力ボックスに、ACL の定義を入力します。

ACL 定義は、指定されたホストへのアクセスを許可または拒否する、一連の permit および deny ステートメントで構成されます。ACL 定義の構文の詳細については、『 User Guide for Cisco Secure Access Control Server 4.2 』の第 4 章「Shared Profile Components」の「Downloadable IP ACLs」の項を参照してください。

ステップ 4 Submit をクリックします。


) ACS に ACL を設定する前に、デバイスについての構文をテストして、各 ACE が有効であることを確認する必要があります。


ACL Contents リストに新しい ACL が含まれている、Downloadable IP ACLs ページが表示されます(図9-15 を参照)。

図9-15 新しい内容が含まれた Downloadable ACL Contents のリスト

 

ステップ 5 ACL Contents テーブルの Network Access Filtering カラムのドロップダウン リストから、この ACL の正しい NAF を選択します。

デフォルトの NAF(All AAA Clients)を選択することも、あらかじめ設定した NAF を指定することもできます。設定した NAF により、さまざまなデバイスやデバイス グループに対するアクセス設定が制御されます。

たとえば、ルータの ACE での構文は、Project Information Exchange(PIX)ファイアウォールでの構文とは異なります。NAF を使用すると、ダウンロードされる実際の ACE が異なっていても、PIX とルータに同じ ACL を割り当てることができます。

ステップ 6 Submit をクリックします。

新しい ACL が、ダウンロード可能 ACL のリストに表示されます。


 

dACL の保存

dACL への ACE の追加を終了したら、 Submit をクリックします。dACL が保存および送信されます。

RADIUS 認可コンポーネントの設定

共有 RADIUS 認可コンポーネント(RAC)は、ネットワーク認可時に ACS がネットワーク アクセス デバイス(NAD)に適用する RADIUS アトリビュートのセットです。各 RAC には、ベンダー RADIUS アトリビュートが 1 つまたはそれ以上含まれます。Cisco IOS.PIX 6.0、IETF、Ascend などのアトリビュートがあります。

RAC を設定すると、ポリシーに基づいて RADIUS アトリビュートをユーザ セッションにダイナミックに割り当てることができます。たとえば、VLAN を定義するために RADIUS アトリビュートを収集する RAC を作成できます。スイッチを介してネットワークにアクセスするユーザの場合ならば、そのユーザの認可および認証の内容に応じて、特定の VLAN へのアクセスを許可することができます。

この項のサンプル RAC では、NAC 環境で最も重要な次のサービスを処理する RADIUS 設定が作成されます。

EoU (NAC L2 IP)

NAC L2 802.1x

サンプル RAC は、次のとおりです。

Cisco_FullAccess: シスコ ネットワークへの完全なアクセスを提供します。この RAC は、healthy と認められたクライアントにアクセスを許可するときに使用します。

Cisco_Restricted :シスコ ネットワークへの制限付きアクセスを提供します。この RAC は、healthy と認められないクライアントに部分的(検疫)アクセスを許可するときに使用します。

RAC を定義するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが開きます。

ステップ 2 RADIUS Authorization Components をクリックします。

RADIUS Authorization Components テーブルが表示されます。最初は、このテーブルには RAC が含まれていません。

ステップ 3 Add をクリックします。

RADIUS Authorization Components ページが開きます(図9-16 を参照)。

図9-16 RADIUS Authorization Components ページ

 

ステップ 4 RADIUS Authorization Components ページ の Name と Description に、それぞれ名前と説明を入力します。

ステップ 5 Add New Attribute セクションで、RAC の RADIUS アトリビュートを追加します。

a. アトリビュートを追加するには、Cisco IOS/PIX 6.0、IETF、および Ascend のドロップダウン リストから、必要なアトリビュートを選択し、 Add をクリックします。

たとえば、IETF ドロップダウン リストから Session-Timeout (27) を選択し、 Add をクリックします。

RAC Attribute Add/Edit ページが開きます。図9-17 に、 Session-Timeout (27) の RAC Attribute Add/Edit ページを示します。

図9-17 RAC Attribute Add/Edit ページ

 

b. アトリビュートの Value フィールドに、適切な値を入力します。各アトリビュートは、どのように定義されているかに応じて、固有の値タイプを持っています。

たとえば、 Session-Timeout (27) アトリビュートの場合は、タイムアウト値を秒単位で入力します。

c. Submit をクリックします。

ステップ 6 アトリビュートの追加が終了したら、Submit をクリックします。

ステップ 7 RAC を有効にするには、ナビゲーション バーから System Configuration > Service Control を選択し、 Restart をクリックします。

図9-18 に、Cisco_FullAccess RAC のアトリビュート選択内容を示します。また、図9-19 に、Cisco_Restricted RAC のアトリビュート選択内容を示します。

図9-18 Cisco_FullAccess RAC のアトリビュート選択内容

 

図9-19 Cisco_Restricted RAC のアトリビュート選択内容

 

VLAN 割り当てを有効にするために、サンプル RAC には次の RADIUS アトリビュートが含まれています。

Session-Timeout(アトリビュート番号 27) :セッション タイムアウトを有効にします。サンプル RAC では、タイムアウト値は 3600 秒(6 時間)に設定されています。セッション タイムアウトおよび再確認では、多くのネットワーク リソースが使用されます。したがって、これより長いタイムアウト期間(たとえば、8 ~ 24 時間)が許容されるようにタイムアウト値を設定するとよい場合があります。

Termination-Action(アトリビュート番号 29) :セッション タイムアウトに対するスイッチ ポートの対応を決定します。このアトリビュートが使用されるのは、Access-Accept パケット内だけです。セッション タイムアウトが発生すると、再認証が完了するまで、ポートはスイッチ上のすべてのトラフィックをドロップします。サンプル RAC では、このアトリビュートは RADIUS-Request (1) に設定されています。この設定により、再認証の進行中に、スイッチで現在の VLAN 割り当てとネットワーク接続が確実に維持されます。

Tunnel-Type(アトリビュート番号 64) :接続するユーザに対して設定されるトンネルのタイプを指定します。サンプル RAC では、この値はタイプ 10( VLAN )に設定されています。タイプ 10 は、スイッチ上に設定された VLAN へのアクセスがユーザに許可されることを示しています。

Tunnel-Medium-Type(アトリビュート番号 65) :トンネルで使用するプロトコルを示します。サンプル RAC では、このアトリビュートはタイプ 6 に設定されています。この設定により、802 プロトコルが指定されます。NAC/NAP 環境では、802.1x プロトコルが指定されます。

Tunnel-Private-Group-ID(アトリビュート番号 81) :VLAN トンネルのグループ ID を示します。サンプル RAC では、このアトリビュートは Quarantine に設定されています。この設定により、デバイスが割り当てられる検疫 VLAN が指定されます。実際には、この値は、スイッチに設定されている値に設定する必要があります。


 

参考として、ACS が送信できるすべてのアトリビュートを 表9-1 に示します。NAC-L2-802.1x 列、NAC-L2-IP 列、または NAC-L3-IP 列の x は、この技術で使用される RADIUS Accept-Response で、ACS が指定のアトリビュートを送信できることを示しています。

 

表9-1 RADIUS-Accept Response で送信できるアトリビュート

NAC-L2 -802.1x
NAC-L2-IP
NAC-L3-IP
アトリビュート番号
アトリビュート名
説明

x

1

User-Name

アクセス要求の EAP アイデンティティ応答からコピーされます。

x

x

8

Framed-IP-Address

ホストの IP アドレス。

x

x

26

Vendor-Specific

Cisco (9,1)

CiscoSecure-Defined-ACL

ACL 名。

ACS は、このアトリビュートを RADIUS パケットの一部として NAD に自動的に送信します。

x

26

Vendor-Specific

Cisco (9,1)

sec:pg

ポリシーベースの ACL 割り当て。Catalyst 6000 のみに適用されます。
sec:pg = <group-name>

x

x

26

Vendor-Specific

Cisco (9,1)

url-redirect

リダイレクト URL。

url-redirect = <URL>

x

x

26

Vendor-Specific

Cisco (9,1)

url-redirect-acl

リダイレクト URL の名前付き ACL を適用します。ACL は NAD でローカルに定義されている必要があります。IOS 搭載スイッチのみで機能します。

url-redirect-acl =< ACL-Name>

x

x

x

26

Vendor-Specific

Cisco (9,1)

posture-token

ポスチャ トークン/状態名。

ACS によって自動的に送信されます。

x

x

26

Vendor-Specific

Cisco (9,1)

status-query-timeout

ステータス クエリー タイマーを設定します。

x

x

26

Vendor-Specific

Cisco (9,1)

host-session-id

監査に使用されるセッション ID。

ACS によって自動的に送信されます。

x

x

x

26

Vendor-Specific

Microsoft = 311

ステータス クエリーのキー:MS-MPPE-Recv-Key

ACS によって自動的に送信されます。

x

x

x

27

Session-Timeout

再確認タイマーを秒単位で設定します。

x

x

x

29

Termination-Action

セッション タイムアウト時の処理:

(0)デフォルト:セッションを終了します。

(1)Radius-Request:再認証を行います。

x

64

Tunnel-Type

13 = VLAN

x

65

Tunnel-Medium-Type

6 = 802

x

x

x

79

EAP Message

Access-Request と Access-Challenge での EAP 要求/応答パケット:

- Access Accept 応答では EAP Success

- Access Reject 応答では EAP Failure

x

x

x

80

Message Authenticator

パケットの整合性を保証するための HMAC-MD5

x

81

Tunnel-Private-Group-ID

VLAN 名

ステップ 6:外部ポスチャ確認監査サーバの設定

NAC 対応ネットワークには、NAC クライアント ソフトウェアがインストールされていないエージェントレス ホストが存在する場合があります。ACS では、エージェントレス ホストのポスチャ確認を監査サーバで行うようにできます。監査サーバは、ポスチャ エージェント(PA)の存在に依存することなく、ホストのポスチャ クレデンシャルを判別します。

外部監査サーバの設定は、次の 2 つの作業を伴います。

ACS 内部ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバ(監査サーバ)の設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバを作成するには、事前に 1 つ以上のベンダー アトリビュートを ACS 内部データ ディクショナリに追加しておく必要があります。このためには、 bin\CSUtil ツールを使用します。このツールは、ACS インストール ディレクトリにあります。

ポスチャ アトリビュートを追加するには、次の手順を実行します。


ステップ 1 \Utils ディレクトリに、次のフォーマットでテキスト ファイルを作成します。

[attr#0]
vendor-id=[your vendor id]
vendor-name=[The name of you company]
application-id=6
application-name=Audit
attribute-id=00003
attribute-name=Dummy-attr
attribute-profile=out
attribute-type=unsigned integer
 

ベンダー ID は、ポスチャ トークン アトリビュート名([vendor]:6)の最初のセクションである、Internet Assigned Numbers Authority(IANA)で割り当てられた番号でなければなりません。

ステップ 2 テキスト ファイルで指定されたアトリビュートをインストールするには、次の手順を実行します。

a. DOS コマンド ウィンドウを開きます。

b. 次のコマンドを入力します。

\<ACS_Install_Dir>\bin\CSUtil -addAVP [file_name]
 

ACS_Install_Dir は、ACS インストール ディレクトリの名前です。 file_name は、ベンダー アトリビュートが含まれているテキスト ファイルの名前です。

ステップ 3 CSAdmin サービス、CSLog サービス、および CSAuth サービスを再起動します。


 

外部ポスチャ確認監査サーバの設定

監査サーバは、1 度設定すると、その後他のプロファイルで使用できます。

監査サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Audit Setup をクリックします。

ステップ 2 Add Server をクリックします。

External Posture Validation Audit Server Setup ページが表示されます(図9-20 を参照)。

図9-20 External Posture Validation Audit Server Setup ページ

 

ステップ 3 監査サーバを設定するには、次の手順を実行します。

a. Name および Description(オプション)に入力します。

b. Which Hosts Are Audited で、監査するホストを選択します。監査するホストまたは監査しないホストの IP アドレスまたは MAC アドレスを、入力することができます。

c. 監査しないホストの場合は、ドロップダウン リストからポスチャ トークンを選択します。

d. Use These Audit Servers セクションまでスクロール ダウンします。

図9-21 に、External Posture Validation Audit Server Setup ページの Use These Audit Servers セクションを示します。

図9-21 Use These Audit Servers セクション

 

e. Use These Audit Servers セクションに、Audit Validation Server 情報、Audit Server Vendor、URL、およびパスワードを入力します。

図9-22 に、Audit Flow Settings セクションと GAME Group Feedback セクションを示します。

図9-22 Audit Flow Settings セクションと GAME Group Feedback セクション

 

f. 必要に応じて、Audit Flow Setting セクションに、監査フロー パラメータを設定します。

g. NAC 環境内のエージェントレス ホスト設定をサポートするために GAME グループ フィードバックを設定する場合は、GAME Group Feedback セクションに設定値を設定します。

GAME Group Feedback の設定の詳細については、「GAME グループ フィードバックの有効化」を参照してください。

h. Submit をクリックします。


 

ステップ 7:NAC 用のポスチャ確認の設定

この項では、NAC 対応ネットワークの単純なポスチャ確認を設定する方法について説明します。ポスチャ データの確認に ACS が使用する内部ポリシーを作成できます。または、外部ポスチャ確認サーバにポスチャ データを送信するように ACS を設定できます。

内部ポスチャ確認ポリシーの設定

内部ポスチャ確認ポリシー とは、複数のプロファイルに使用できる内部アトリビュート ポリシーです。内部ポスチャ確認ポリシーの結果からは、設定された規則に従って、ポスチャ アセスメント(トークン)が戻されます。

内部ポスチャ確認ポリシーを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Posture Validation をクリックします。

Posture Validation Components Setup ページが開きます。

ステップ 2 Internal Posture Validation Setup をクリックします。

Posture Validation ページが開きます。このページには、すべての既存のポスチャ確認ポリシーが一覧表示されます。

ステップ 3 Add Policy をクリックします。

Edit Posture Validation ページが開きます。

ステップ 4 ポリシーの名前を入力します。

ステップ 5 Description(オプション)を入力します。

ステップ 6 Submit をクリックします。

新しい内部ポリシーがデフォルトの規則で作成されます。図9-23 にサンプル ポリシーを示します。

図9-23 新しいポスチャ確認ポリシーの作成

 

ステップ 7 デフォルトの規則を編集するには、次の手順を実行します。

a. Default リンクをクリックします。

b. デフォルトの規則の、新しい Posture Assessment と Notification String を選択します。

ステップ 8 新規の規則を追加するには、次の手順を実行します。

a. Add Rule をクリックします。

Edit Posture Validation Rule ページが表示されます(図9-24 を参照)。最初は、この規則には条件は使用できません。

図9-24 Edit Posture Validation Rule ページ

 

b. Add Condition Set をクリックします。

c. Add/Edit Condition ページが表示されます(図9-25 を参照)。

図9-25 Add/Edit Condition ページ

 

d. Attribute ドロップダウン リストから Attribute 値を選択します。

e. Operator ドロップダウン リストから条件を選択します。

f. Value テキスト ボックスに、条件の値を入力します。

g. Enter キーを押します。

指定された規則が Add/Edit Condition ページに表示されます(図9-25 を参照)。

h. 必要に応じて、追加条件を入力します。

i. Submit をクリックします。

j. Apply and Restart をクリックして、新規ポスチャ確認規則を適用します。


 

外部ポスチャ確認ポリシーの設定

外部ポスチャ確認ポリシーでは、外部サーバを使用します。外部サーバは、ACS が外部サーバに転送したデータに従って、ポスチャ アセスメント(トークン)を ACS に戻します。

外部ポスチャ確認サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Setup をクリックします。

ステップ 2 Edit External Posture Validation Servers ページが開きます(図9-26 を参照)。

図9-26 Edit External Posture Validation Servers ページ

 

最初は、External Posture Validation Servers のリストは空です。

ステップ 3 Add Server をクリックします。

Add/Edit External Posture Validation Server ページが表示されます(図9-27 を参照)。

図9-27 Add/Edit External Posture Validation Server ページ

 

ステップ 4 Name および Description(オプション)に入力します。

ステップ 5 サーバ詳細、URL、ユーザ名、パスワード、タイムアウト値、および証明書(アンチウイルス サーバによって要求された場合)を入力します。

ステップ 6 Submit をクリックします。


 

外部ポスチャ確認監査サーバの設定

NAC 対応ネットワークには、NAC クライアント ソフトウェアがインストールされていないエージェントレス ホストが存在する場合があります。ACS では、エージェントレス ホストのポスチャ確認を監査サーバで行うようにできます。監査サーバは、ポスチャ エージェント(PA)の存在に依存することなく、ホストのポスチャ クレデンシャルを判別します。

外部監査サーバの設定は、次の 2 つの作業を伴います。

ACS 内部ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバ(監査サーバ)の設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバを作成するには、事前に 1 つ以上のベンダー アトリビュートを ACS 内部データ ディクショナリに追加しておく必要があります。このためには、 bin\CSUtil ツールを使用します。このツールは、ACS インストール ディレクトリにあります。

ポスチャ アトリビュートを追加するには、次の手順を実行します。


ステップ 1 \Utils ディレクトリに、次のフォーマットでテキスト ファイルを作成します。

[attr#0]
vendor-id=[your vendor id]
vendor-name=[The name of you company]
application-id=6
application-name=Audit
attribute-id=00003
attribute-name=Dummy-attr
attribute-profile=out
attribute-type=unsigned integer
 

ベンダー ID は、ポスチャ トークン アトリビュート名([vendor]:6)の最初のセクションである、Internet Assigned Numbers Authority(IANA)で割り当てられた番号でなければなりません。

ステップ 2 テキスト ファイルで指定されたアトリビュートをインストールするには、次の手順を実行します。

a. DOS コマンド ウィンドウを開きます。

b. 次のコマンドを入力します。

\<ACS_Install_Dir>\bin\CSUtil -addAVP [file_name]
 

ACS_Install_Dir は、ACS インストール ディレクトリの名前です。 file_name は、ベンダー アトリビュートが含まれているテキスト ファイルの名前です。

ステップ 3 CSAdmin サービス、CSLog サービス、および CSAuth サービスを再起動します。


 

外部ポスチャ確認監査サーバの設定

監査サーバは、1 度設定すると、その後他のプロファイルで使用できます。

監査サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Audit Setup をクリックします。

ステップ 2 Add Server をクリックします。

External Posture Validation Audit Server Setup ページが表示されます(図9-28 を参照)。

図9-28 External Posture Validation Audit Server Setup ページ

 

ステップ 3 監査サーバを設定するには、次の手順を実行します。

a. Name および Description(オプション)に入力します。

b. Which Hosts Are Audited で、監査するホストを選択します。監査するホストまたは監査しないホストの IP アドレスまたは MAC アドレスを、入力することができます。

c. 監査しないホストの場合は、ドロップダウン リストからポスチャ トークンを選択します。

d. Use These Audit Servers セクションまでスクロール ダウンします。

図9-29 に、External Posture Audit Validation Server Setup ページの Use These Audit Servers セクションを示します。

図9-29 Use These Audit Servers セクション

 

e. Use These Audit Servers セクションに、Audit Validation Server 情報、Audit Server Vendor、URL、およびパスワードを入力します。

図9-30 に、Audit Flow Settings セクションと GAME Group Feedback セクションを示します。

図9-30 Audit Flow Settings セクションと GAME Group Feedback セクション

 

f. 必要に応じて、 Audit Flow Setting セクションに、監査フロー パラメータを設定します。

g. NAC 環境内のエージェントレス ホスト設定をサポートするために GAME グループ フィードバックを設定する場合は、GAME Group Feedback セクションに設定値を設定します。

GAME Group Feedback の設定の詳細については、「GAME グループ フィードバックの有効化」を参照してください。

h. Submit をクリックします。


 

ポリシーと NAC 監査の認可

監査サーバでは、次の 2 つのタイプのポスチャ アセスメント(トークン)が定義されます。

一時ポスチャ アセスメントは、 進行中 アセスメントとして使用されます。監査サーバがホストについての監査を処理中で、最終結果が得られていないときに、ACS は進行中ポスチャ アセスメントをエージェントレス ホストに認可します。

最終 ポスチャ アセスメントは、監査処理を完了した後に監査サーバが戻すポスチャ アセスメントです。

監査サーバで使用できる認可ポリシーを設定するには、少なくとも 2 つの RAC またはダウンロード可能 ACL が必要です。1 つは進行中ポスチャ アセスメント用、もう 1 つは最終ポスチャ アセスメント用です。トークンごとに、別個の RAC またはダウンロード可能 ACL を使用する必要があります。

ステップ 8:NAP を作成するテンプレートの設定

ACS 4.1 には、一般的な使用可能プロファイルの設定に使用できるプロファイル テンプレートがいくつか用意されています。NAC 対応ネットワークでは、これらの事前定義プロファイル テンプレートを使用して、一般的に使用されるプロファイルを設定できます。この項では、ACS 4.1 に用意されているテンプレートについて説明します。

サンプル NAC プロファイル テンプレート

ACS 4.1 には、NAC 用の次のサンプル プロファイル テンプレートが用意されています。

NAC レイヤ 3 プロファイル テンプレート(NAC L3 IP)

NAC レイヤ 2 プロファイル テンプレート(NAC L2 IP)

NAC レイヤ 2 802.1x テンプレート(NAC L2 802.1x)

無線(NAC L2 802.1x)テンプレート

これらのテンプレートに加えて、ACS 4.1 には、NAC インストールで使用できるエージェントレス ホスト プロセス用の、次の 2 つのテンプレートが用意されています。

レイヤ 3 のエージェントレス ホスト用プロファイル テンプレート

レイヤ 2 (802.1x) のエージェントレス ホスト用プロファイル テンプレート

サンプル NAC レイヤ 3 プロファイル テンプレート

このテンプレートで、 レイヤ 3 NAC 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 3 NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 Global Authentication Setup ページで、次のオプションのチェックボックスをオンにします。

Allow Posture Validation

EAP-FAST

EAP-FAST MS-CHAPv2

EAP-FAST GTC

ステップ 2 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 3 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図9-31 を参照)。

図9-31 Create Profile from Template ページ

 

ステップ 4 Name および Description(オプション)に入力します。

ステップ 5 Template ドロップダウン リストから NAC L3 IP を選択します。

ステップ 6 Active チェックボックスをオンにします。

ステップ 7 Submit をクリックします。

エラーが表示されない場合、レイヤ 3 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name カラムに新しいプロファイルが表示されます。

レイヤ 3 NAC テンプレートの事前定義値には、次のものがあります。

Profile Setup オプション

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 8 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図9-32 を参照)。

図9-32 レイヤ 3 NAC テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

NAC レイヤ 3 テンプレートのプロトコル ポリシー

図9-33 に、NAC レイヤ 3 テンプレートのプロトコル設定を示します。

図9-33 NAC レイヤ 3 テンプレートのプロトコル設定

 

EAP Configuration セクションでは、ポスチャ確認が有効になっています。

認証ポリシー

認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 Policies カラムから Authentication リンクを選択します。

プロファイルの認証ページが開きます(図9-34 を参照)。

図9-34 レイヤ 3 NAC プロファイル テンプレートの認証ページ

 

このページで、認証のレイヤ 3 NAC テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図9-35 に、NAC レイヤ 3 テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図9-35 NAC レイヤ 3 テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル NAC レイヤ 2 テンプレート

このテンプレートで、レイヤ 2 NAC 要求用のプロファイルを作成します。

レイヤ 2 NAC プロファイル テンプレートを作成する前に、次の手順を実行します。

1. Global Authentication Settings の EAP-FAST Configuration を選択します。

2. Allow authenticated in-band PAC provisioning をオン(有効)にします。

3. EAP-GTC と EAP-MSCHAPv2 をオン(有効)にします。

レイヤ 2 NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから NAC L2 IP を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、レイヤ 2 NAC ホストを認証できるプロファイルが作成されてています。レイヤ 2 NAC テンプレートの Profile Setup ページが表示されます。

レイヤ 2 NAC テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル設定

認証ポリシー

サンプル ポスチャ確認規則

このポリシーの名前は、NAC-EXAMPLE-POSTURE-EXAMPLE です。

ステップ 7 設定オプションを選択するには、オプション名をクリックします。


 

プロファイルの設定

プロファイルの設定を有効にするには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 作成したプロファイルを選択します。

Profile Setup ページが表示されます(図9-36 を参照)。

図9-36 レイヤ 2 NAC テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場合にオンにします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。

このテンプレートにより、レイヤ 2 NAC IP 設定で Advanced Filtering プロパティおよび Authentication プロパティが自動的に設定されます。


 

アトリビュートと値のペアと ACS

NAC レイヤ 2 IP 確認を有効にした場合、ACS は RADIUS を使用して NAC AAA サービスを提供します。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入手し、エンドポイントのアンチウイルスの状態を確認します。

RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)を使用して、これらの Attribute-Value(AV; アトリビュート値)のペアを ACS に設定できます。

Cisco Secure-Defined-ACL :ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。

#ACL#-IP-name-number

name は ACL 名、 number は 3f783768 などのバージョン番号です。

ACS は、Auth-Proxy ポスチャ コードを使用して、スイッチが、指定されたダウンロード可能 ACL の Access-Control Entry(ACE; アクセス コントロール エントリ)をダウンロードしたかどうかを確認します。スイッチが ACES をダウンロードしていない場合、ACS は、ダウンロード可能な ACL 名をユーザ名とする AAA 要求を送信して、スイッチが ACE をダウンロードするようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。この ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポスチャ確認の完了後にダウンロード可能 ACL がインターフェイスに割り当てられると、送信元アドレスは any からホストの送信元 IP アドレスに変更されます。ACE は、エンドポイント デバイスの接続先であるスイッチ インターフェイスに適用されるダウンロード可能 ACL にプリペンドされます。

トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、ACS では、適切な NAC アクションが実行されます。

url redirect と url-redirect-acl :スイッチにローカル URL ポリシーを指定します。スイッチはこれらの cisco-av-pair VSA を使用します。

-- url-redirect = <HTTP または HTTPS URL>

-- url-redirect-acl = switch ACL name

これらの AV ペアにより、スイッチは、エンドポイント デバイスからの HTTP または Secure HTTP(HTTPS)要求を代行受信して、最新のアンチウイルス ファイルをダウンロードできる、指定のリダイレクト アドレスにクライアントの Web ブラウザを転送できます。ACS 上の url-redirect AV ペアには、Web ブラウザのリダイレクト先となる URL が含まれます。 url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを指定する ACL の名前が含まれます。ACL はスイッチに定義する必要があります。リダイレクト ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

ホストのポスチャが healthy でない場合、ACS はこの AV ペアを送信することがあります。

Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行されるソフトウェア リリースのマニュアルを参照してください。

デフォルト ACL

スイッチ ポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチ ポート上にデフォルト ポート ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィックに、デフォルト ACL を適用することも必要です。

スイッチにデフォルト ACL を設定し、ホストのアクセス ポリシーがこの ACL によってスイッチに送信されると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用します。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリシーが適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホストのアクセス ポリシーを ACS から取得した場合にデフォルト ACL が設定されていないと、NAC レイヤ 2 IP 設定は有効になりません。

ポリシーマップ アクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS によってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリシーよりも優先されます。デフォルト ポート ACL がスイッチに設定されていない場合でも、スイッチは ACS からのダウンロード可能 ACL を適用できます。

このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのアクセス要求に対して使用します。Authentication Bypass(802.1x フォールバック)テンプレートは、クライアント以外の認証プロセスをバイパスするために、アクセス要求に対して使用されます。ユーザは ID に基づいてユーザ グループにマッピングされます。


Populate from Global ボタンは使用しないでください。使用した場合、この認証フィールドの設定値は System Configuration の Global Authentication Setup の設定値から継承されます。


プロトコルの設定

図9-37 に、NAC レイヤ 2 テンプレートのプロトコル設定を示します。

図9-37 NAC レイヤ 2 テンプレートのプロトコル設定

 

このページで、プロトコルのレイヤ 2 NAC テンプレート設定を表示できます。デフォルトの設定は次のとおりです。

EAP Configuration 領域では、ポスチャ確認が有効になっています。

Allow EAP-Fast がオンになっています。この設定は、このプロファイルでは EAP-FAST 認証が可能なことを意味します。

認証ポリシー

認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 Policies カラムから Authentication リンクを選択します。

NAC レイヤ 2 テンプレートの Authentication Settings ページが開きます(図9-38 を参照)。

図9-38 NAC レイヤ 2 テンプレートの認証設定

 

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図9-39 に、NAC レイヤ 2 テンプレートに用意されているサンプル ポスチャ確認規則を示します。

図9-39 NAC レイヤ 2 テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル NAC レイヤ 2 802.1x テンプレート

このテンプレートで、レイヤ 2 NAC 802.1x 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 2 NAC 802.1x プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図9-40 を参照)。

図9-40 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから NAC L2 802.1x を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、レイヤ 2 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name カラムに新しいプロファイルが表示されます。

レイヤ 2 NAC 802.1x テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図9-41 を参照)。

図9-41 NAC レイヤ 2 802.1x テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場合にオンにします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

プロトコル ポリシー

図9-42 に、NAC レイヤ 2 802.1x テンプレートのプロトコル設定を示します。

図9-42 NAC レイヤ 2 802.1x テンプレートのプロトコル設定

 

EAP Configuration セクションでは、ポスチャ確認が有効になっています。

認可ポリシー

NAC レイヤ 2 802.1x テンプレートの認可ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 Policies カラムから Authorization リンクを選択します。

NAC レイヤ 2 802.1x プロファイル テンプレートの Authentication ページが表示されます(図9-43 を参照)。

図9-43 NAC レイヤ 2 802.1x プロファイル テンプレートの Authentication ページ

 

このページで、認可のレイヤ 2 NAC 802.1x テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図9-44 に、NAC レイヤ 2 802.1x テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図9-44 NAC レイヤ 2 802.1x テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル無線(NAC L2 802.1x)テンプレート

このテンプレートで、無線ネットワークでのレイヤ 2 NAC 802.1x 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

無線(NAC L2 802.1x)NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図9-45 を参照)。

図9-45 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから Wireless (NAC L2 802.1x) を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、無線 NAC レイヤ 2 802.1x ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name カラムに新しいプロファイルが表示されます。

NAC レイヤ 2 802.1x テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図9-46 を参照)。

図9-46 無線(NAC L2 802.1x)テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

プロトコル ポリシー

図9-47 に、無線(NAC L2 802.1x)テンプレートのプロトコル設定を示します。

図9-47 無線 NAC 802.1x テンプレートのプロトコル設定

 

EAP Configuration セクションでは、ポスチャ確認が有効になっています。

認可ポリシー

無線 NAC レイヤ 2 802.1x テンプレートの認可ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 Policies カラムから Authorization リンクを選択します。

プロファイルの認可ページが開きます(図9-48 を参照)。

図9-48 無線(NAC L2 802.1x)プロファイル テンプレートの認可ページ

 

このページで、認証の無線(NAC L2 802.1x)テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図9-49 に、無線(NAC L2 802.1x)テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図9-49 無線(NAC L2 802.1x)テンプレートのサンプル ポスチャ確認ポリシー

 


) 無線 NAC L2 802.1x テンプレートのポスチャ確認ポリシーは、NAC L2 802.1x テンプレートの場合と同じです。


サンプル エージェントレス ホスト テンプレートの使用法

ACS 4.1 には、エージェントレス ホスト プロセス用の次の 2 つのサンプル テンプレートが用意されています。

L3 のエージェントレス ホスト

L2(802.1x フォールバック)のエージェントレス ホスト

この 2 つのテンプレートは、ほぼ同一です。この項では、レイヤ 3 のエージェントレス ホスト テンプレートを使用する手順について説明します。


L2(802.1x フォールバック)のエージェントレス ホスト プロファイル テンプレートを使用すると、スイッチが送信する RADIUS 要求と一致するプロファイルを作成できます。プロファイルが作成されたら、プロファイルと完全に一致するものを作成するために Catalyst 6500 から送信される RADIUS パケットの分析を完了する必要があります。スイッチから送信される RADIUS 要求には、Service Type 値 10(NAC-L2-IP と同様)が含まれますが、キーワード service が指定された Cisco Attribute Value Pair(AVP; AV ペア)は含まれません。したがって、テンプレートでは、Advanced Filtering セクションの 2 つのエントリが有効になります。


レイヤ 3 のエージェントレス ホスト テンプレートにより、エージェントレス ホスト プロセスに関係するレイヤ 3 要求のプロファイルが作成されます。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 3 のエージェントレス ホスト プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図9-50 を参照)。

図9-50 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから Agentless Host for L3 を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合、レイヤ 3 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name カラムに新しいプロファイルが表示されます。

レイヤ 3 のエージェントレス ホスト テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図9-51 を参照)。

図9-51 レイヤ 3 のエージェントレス ホスト テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

プロトコル ポリシー

図9-52 に、レイヤ 3 のエージェントレス ホスト テンプレートのプロトコル設定を示します。

図9-52 レイヤ 3 のエージェントレス ホスト テンプレートのプロトコル設定

 

Authentication Protocols セクションの Agentless Host processing をオンにします。

認証ポリシー

レイヤ 3 のエージェントレス ホスト テンプレートの認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 Policies カラムから Authentication リンクを選択します。

プロファイルの認証ページが開きます(図9-53 を参照)。

図9-53 レイヤ 3 のエージェントレス ホスト プロファイル テンプレートの認証ページ

 

このページで、認証のレイヤ 3 のエージェントレス ホスト テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

ステップ 9:プロファイルへのポスチャ確認コンポーネントのマッピング

内部ポスチャ確認ポリシー、外部ポスチャ確認サーバ、またはその両方をプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するプロファイルの Posture Validation ポリシーを選択します。

ステップ 3 Add Rule をクリックします。

ステップ 4 規則の名前を入力します。

指定された規則の Add/Edit Posture Validation Rule ページが表示されます(図9-54 を参照)。

図9-54 Add/Edit Posture Validation Rule ページ

 

ステップ 5 Required Credential Types を選択します。

ステップ 6 Select External Posture Validation Sever セクションで、このプロファイルにマッピングするポリシーまたはサーバを選択します。次の操作を行います。

ポスチャ サーバを選択するには、サーバ名の横のチェックボックスをオンにします。

ポリシーを選択するには、Failure Action カラムのポリシーの横のチェックボックスをオンにします。

ステップ 7 Submit をクリックします。

ステップ 8 Back をクリックして、ポスチャ確認ポリシーに戻ります。

ステップ 9 Apply + Restart をクリックします。


 

ステップ 10:プロファイルへの監査サーバのマッピング

外部ポスチャ確認監査サーバをプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関係するポスチャ確認ポリシーの Protocols リンクをクリックします。

選択したポリシーの Protocols Settings ページが開きます。

ステップ 3 Allow Agentless Request Processing チェックボックスをオンにします。

ステップ 4 Submit をクリックします。

ステップ 5 関係するプロファイル ポスチャ確認ポリシーの Posture Validation リンクをクリックします。

ステップ 6 Select Audit をクリックします。

Select External Posture Validation Audit Server ページが開きます(図9-55 を参照)。

図9-55 Select External Posture Validation Audit Server ページ

 

ステップ 7 使用する監査サーバを選択します。

ステップ 8 監査に失敗した場合に使用する Fail Open Configuration を指定するには、次の手順を実行します。

a. Do not reject when Audit failed チェックボックスをオンにします。

b. Use this Posture Token when unable to retrieve posture data ドロップダウン リストから、監査に失敗した場合に適用するポスチャ トークンを選択します。

c. タイムアウト値を秒単位で入力します。

d. 監査に失敗したときにサプリカントを割り当てる先のユーザ グループを指定する場合は、
Assign a User Group
チェックボックスをオンにして、Assign a User Group ドロップダウン リストからユーザ グループを選択します。

ステップ 9 Submit をクリックします。

ステップ 10 Done をクリックします。

ステップ 11 Apply and Restart をクリックします。


 

ステップ 11(オプション):GAME グループ フィードバックの設定

エージェントレス ホストが置かれた NAC 環境で ACS を使用している場合は、Generic Authorization Message Exchange(GAME; 汎用認可メッセージ交換)グループ フィードバックを設定する必要があります。

GAME グループ フィードバックを設定するには、次の手順を実行します。


ステップ 1 CSUtil を使用して、監査ベンダー ファイルをインポートします。

詳細については、「CSUtil を使用した監査ベンダー ファイルのインポート」を参照してください。

ステップ 2 CSUtil を使用して、デバイス タイプ アトリビュート ファイルをインポートします。

詳細については、「CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート」を参照してください。

ステップ 3 NAC のアトリビュートと値のペアをインポートします。

詳細については、「NAC のアトリビュートと値のペアのインポート」を参照してください。

ステップ 4 エージェントレス ホスト プロセスのデータベース サポートを設定します。

使用するデータベースは、外部 LDAP データベース(推奨)でも ACS 内部データベースでもかまいません。詳細については、「エージェントレス ホスト プロセスのデータベース サポートの設定」を参照してください。

ステップ 5 ポスチャ確認を有効にします。

詳細については、「ポスチャ確認の有効化」を参照してください。

ステップ 6 外部監査サーバを設定します。

詳細については、「外部監査サーバの設定」を参照してください。

ステップ 7 GAME グループ フィードバックを有効にします。

GAME グループ フィードバックを有効にするには、外部監査サーバのポスチャ確認設定セクションで、次を設定します。

監査対象のホスト

GAME グループ フィードバック

RADIUS ディクショナリにデバイス アトリビュートを持つベンダーについての、デバイス タイプの検索およびマッピング

詳細については、「GAME グループ フィードバックの有効化」を参照してください。

ステップ 8 デバイス グループ ポリシーを設定します。

詳細については、「GAME グループ フィードバックの有効化」を参照してください。


 

CSUtil を使用した監査ベンダー ファイルのインポート

CSUtil を使用して監査ベンダー ファイルをインポートする方法の詳細については、『 User Guide for Cisco Secure Access Control Server 4.2 』の付録 C 「CSUtil Database Utility」の「Adding a Custom RADIUS Vendor and VSA Set」の項を参照してください。

CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート

GAME グループ フィードバックを設定するには、事前にデバイス タイプ アトリビュートが格納されているアトリビュート ファイルをインポートしておく必要があります。

デバイス タイプ アトリビュートを設定するテキスト ファイルのフォーマットは、次のとおりです。

[attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
attribute-id=00012
attribute-name=Device-Type
attribute-profile=in out
atribute-type=string
 

ファイルをインポートするには、次の手順を実行します。


ステップ 1 デバイス タイプ アトリビュートの設定に使用するテキスト ファイルを、適切なディレクトリに保存します。

ステップ 2 DOS コマンド ウィンドウを開きます。

ステップ 3 次のコマンドを入力します。

CSUtil -addAVP <device-type filename>

device-type filename は、デバイス タイプ アトリビュートが格納されているテキスト ファイルの名前です。

ステップ 4 ACS を再起動します。

a. ナビゲーション バーの System Configuration をクリックします。

b. Service Control をクリックします。

c. Restart をクリックします。


 

NAC のアトリビュートと値のペアのインポート

NAC のアトリビュートと値のペアをインポートするには、次の手順を実行します。


ステップ 1 テキスト エディタを使用して、NAC のアトリビュートと値のペアのファイルを作成します。

ステップ 2 CSUtil を使用して、ファイルをインポートします。その後、次の作業を行います。

a. DOS コマンド ウィンドウを開始します。

b. 次のコマンドを入力します。

CSUtil -addAVP <NAC AV-pair filename>
 

NAC AV-pair filename は、デバイス タイプ アトリビュートが格納されているテキスト ファイルの名前です。

ステップ 3 ACS を再起動します。

a. ナビゲーション バーの System Configuration をクリックします。

b. Service Control をクリックします。

c. Restart をクリックします。


 

エージェントレス ホスト プロセスのデータベース サポートの設定

使用するデータベースは、外部 LDAP データベース(推奨)でも ACS 内部データベースでもかまいません。

エージェントレス ホスト プロセスのデータベース サポートの設定の詳細については、「ステップ 4:MAB のための LDAP サポートの設定」を参照してください。

ポスチャ確認の有効化

2 つの場所のポスチャ確認を有効にする必要があります。

Global Authentication ページ(PEAP の設定の一部として)。

エージェントレス ホスト サポートを有効にする NAP のプロトコル ページの EAP 設定セクション。

外部監査サーバの設定

外部監査サーバの設定方法の詳細については、「外部ポスチャ確認監査サーバの設定」を参照してください。

外部ポスチャ確認監査サーバの設定

NAC 対応ネットワークには、NAC クライアント ソフトウェアがインストールされていないエージェントレス ホストが存在する場合があります。ACS では、エージェントレス ホストのポスチャ確認を監査サーバで行うようにできます。監査サーバは、PA の存在に依存することなく、ホストのポスチャ クレデンシャルを判別します。

外部監査サーバの設定は、次の 2 つの作業を伴います。

ACS 内部ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバ(監査サーバ)の設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバを作成するには、事前に 1 つ以上のベンダー アトリビュートを ACS 内部データ ディクショナリに追加しておく必要があります。このためには、 bin\CSUtil ツールを使用します。このツールは、ACS インストール ディレクトリにあります。

ポスチャ アトリビュートを追加するには、次の手順を実行します。


ステップ 1 \Utils ディレクトリに、次のフォーマットでテキスト ファイルを作成します。

[attr#0]
vendor-id=[your vendor id]
vendor-name=[The name of you company]
application-id=6
application-name=Audit
attribute-id=00003
attribute-name=Dummy-attr
attribute-profile=out
attribute-type=unsigned integer
 

ベンダー ID は、ポスチャ トークン アトリビュート名([vendor]:6)の最初のセクションである、Internet Assigned Numbers Authority(IANA)で割り当てられた番号でなければなりません。

ステップ 2 テキスト ファイルで指定されたアトリビュートをインストールするには、次の手順を実行します。

a. DOS コマンド ウィンドウを開きます。

b. 次のコマンドを入力します。

\<ACS_Install_Dir>\bin\CSUtil -addAVP [file_name]
 

ACS_Install_Dir は、ACS インストール ディレクトリの名前です。 file_name は、ベンダー アトリビュートが含まれているテキスト ファイルの名前です。

ステップ 3 CSAdmin サービス、CSLog サービス、および CSAuth サービスを再起動します。


 

外部ポスチャ確認監査サーバの設定

監査サーバは、1 度設定すると、その後他のプロファイルで使用できます。

監査サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Audit Setup をクリックします。

ステップ 2 Add Server をクリックします。

External Posture Validation Audit Server Setup ページが表示されます(図9-56 を参照)。

図9-56 External Posture Validation Audit Server Setup ページ

 

ステップ 3 監査サーバを設定するには、次の手順を実行します。

a. Name および Description(オプション)に入力します。

b. Which Hosts Are Audited で、監査するホストを選択します。監査するホストまたは監査しないホストの IP アドレスまたは MAC アドレスを、入力することができます。

c. 監査しないホストの場合は、ドロップダウン リストからポスチャ トークンを選択します。

d. Use These Audit Servers セクションまでスクロール ダウンします。

図9-57 に、External Posture Validation Server Audit Setup ページの Use These Audit Servers セクションを示します。

図9-57 Use These Audit Servers セクション

 

e. Use These Audit Servers セクションに、Audit Validation Server 情報、Audit Server Vendor、URL、およびパスワードを入力します。

図9-58 に、Audit Flow Settings セクションと GAME Group Feedback セクションを示します。

図9-58 Audit Flow Settings セクションと GAME Group Feedback セクション

 

f. 必要に応じて、Audit Flow Setting セクションに、監査フロー パラメータを設定します。

g. NAC 環境内のエージェントレス ホスト設定をサポートするために GAME グループ フィードバックを設定する場合は、GAME Group Feedback セクションに設定値を設定します。

GAME Group Feedback の設定の詳細については、「GAME グループ フィードバックの有効化」を参照してください。

h. Submit をクリックします。


 

GAME グループ フィードバックの有効化

GAME グループ フィードバックを有効にするには、次の手順を実行します。


ステップ 1 External Posture Validation Audit Server Setup ページで、GAME Group Feedback セクションの Request Device Type from Audit Server チェックボックスをオンにします。

このチェックボックスが使用できない場合は、ベンダーの監査デバイス タイプ アトリビュートを内部 ACS ディクショナリに定義します。

ACS for Windows の場合:

ACS for Windows の場合は、CSUtil コマンドを使用します。詳細については、『 User Guide for Cisco Secure ACS 4.2 』の 付録 C の「Posture Validation Attributes」 を参照してください。

ACS Solution Engine の場合:

ACS Solution Engine の場合は、Web インターフェイスの NAC Attributes Management ページを使用します。詳細については、『 User Guide for Cisco Secure ACS 4.2 』の第 8 章の「 NAC Attribute Management (ACS Solution Engine Only) 」を参照してください。

ステップ 2 監査サーバがデバイス タイプを戻さない場合に ACS が使用するデフォルトの宛先グループを設定する場合は、Assign This Group if Audit Server Did not Return a Device-Type チェックボックスをオンにします。

ここで、グループ割り当てテーブルにエントリを追加します。グループ割り当てテーブルとは、監査サーバから戻される特定のデバイス タイプの割り当て先のユーザ グループを決定するための条件を設定する規則のリストです。

ステップ 3 Add をクリックしてグループ割り当てテーブルを表示し、デバイス タイプ フィードバック規則を追加します。

グループ割り当てテーブルが表示されます(図9-59 を参照)。

図9-59 グループ割り当てテーブルが表示される GAME Group Feedback セクション

 

ステップ 4 グループ割り当てテーブルで、次の指定を行います。

User Group :すべてのユーザ グループ(Any を含む)を一覧表示します。MAC 認証で戻されるデバイス タイプは、最初に、このデバイス タイプのリストと比較されます。

Match Condition :演算子に有効な値は、次のとおりです。

match-all

=

! =

contains

starts-with

regular-expression

Device Type :演算子およびデバイス タイプを使用して、User Group の比較条件を定義します。デバイス タイプ ドロップダウン リストに有効な値の例を次に示します。

Printer

IP Phone

Network Infrastructure

Wireless Access Point

Windows

UNIX

Mac

Integrated Device

PDA

Unknown


) デバイス タイプ ドロップダウン リストに具体的なデバイスが含まれていない場合は、テキスト ボックスにデバイス タイプを入力します。


Assign User Group :管理者が定義したユーザ グループのドロップダウン リスト。最初の User Group と Device Type との比較が正常に終了すると、ACS はこのユーザ グループを割り当てます。

ステップ 5 ポリシーを追加する場合は、 Add をクリックします。

ステップ 6 ポリシーを削除する場合は、そのポリシーを選択して Delete をクリックします。

ステップ 7 ポリシーをグループ割り当てテーブル内で上下に移動する場合は、 Up および Down ボタンをクリックします。

ステップ 8 グループ割り当てのポリシーの設定が終了したら、 Submit をクリックします。

ステップ 9 Apply and Restart をクリックします。