Cisco Secure ACS コンフィギュレーション ガイド 4.2
用語集
glossary
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

glossary

 


A
AAA
認証、認可、アカウンティング(Authentication, Authorization, and Accounting)の略。AAA は「トリプル A」と発音します。AAA サーバは、1 つ以上の認証基準または認可基準、あるいはその両方を集約して単一のシステム認可基準を構築し、NAD に適用されるネットワーク アクセス プロファイルにこの基準をマッピングする中央サーバです。
Access-Accept
ユーザが認証されたことをアクセス サーバに通知する、RADIUS サーバからの応答パケット。このパケットには、ユーザに割り当てられる AAA 機能を定義したユーザ プロファイルが含まれています。
Access-Challenge
認証前に追加の情報を提示するようにユーザに要求する、RADIUS サーバからの応答パケット。
Access-Request
ユーザの認証を要求するために、アクセス サーバが RADIUS サーバに送信する要求パケット。
ACE
アクセス コントロール エントリ(Access Control Entry)の略。エントリ タイプ、このエントリが参照するユーザまたはグループの修飾子、および一連の権限を記述した ACL エントリ。エントリ タイプによっては、グループまたはユーザの修飾子が定義されていないこともあります。
ACL
アクセス コントロール リスト(Access Control List)の略。各 ACL は、一連の ACL エントリで構成されます。
APT
アプリケーション ポスチャ トークン(Application Posture Token)の略。所定のベンダーのアプリケーションに関するポスチャ確認の結果。
AV ペア
アトリビュートと値のペア(Attribute-Value pair)の略。アトリビュート値で表現された条件を満たしたときにホストで実行されるアクションを指定するため、RADIUS プロトコルで使用される符号化方式。

 


C
Cisco Trust Agent
Cisco Trust Agent。シスコによるポスチャ エージェント(PA)実装。

 


E
EAP
Extensible Authentication Protocol の略。使用すると、イーサネット ネットワーク環境に RADIUS を展開できます。EAP は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の RFC 2284 および IEEE 802.1x 標準で定義されています。
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security の略。EAP-TLS では、Secure Sockets Layer(SSL)プロトコルの最新版である TLS プロトコル(RFC 2246)を使用しています。TLS は、IETF が発表したものです。TLS を使用することで、ユーザとサーバの認証、およびダイナミック セッション キーの生成に証明書を使用できます。

 


G
GAME グループ フィードバック

汎用認可メッセージ交換(Generic Authorization Message Exchange)の略。Cisco ネットワーク アドミッション コントロール(NAC)環境で使用されるシスコ プロトコル。GAME グループ フィードバックは、MAC アドレスを認証するときのセキュリティ確認を強化するものです。ACS が MAC アドレスをユーザ グループに関連付けて決定したデバイス タイプ分類を、監査サーバ上のデータベースに保存されている情報と照合して確認します。

 


H
HCAP
Cisco Host Credentials Authorization Protocol の略。ACS が Microsoft NPS との通信に使用するプロトコルです。

 


L
LDAP
Lightweight Directory Access Protocol の略。情報ディレクトリにアクセスするための一連のプロトコル。LDAP は、X.500 標準に含まれる一連の標準に準拠していますが、大幅に簡素化されています。

 


M
MAB
MAC Authentication Bypass の略。デバイスの認証に、デバイスの IP アドレスではなく MAC アドレスを使用する認証方式。

 


N
NAC
ネットワーク アドミッション コントロール(Network Admission Control)の略。NAC は、シスコが推進する業界のイニシアティブで、ネットワーク インフラストラクチャを使用して、ネットワーク コンピューティング リソースにアクセスするすべてのデバイスにセキュリティ ポリシーを適用することによって、ウイルスやワームによる被害を最小限に食い止めます。NAC はシスコの自己防衛ネットワークの一部であり、ネットワークのインテリジェンスを強化して、セキュリティ上の脅威をネットワークが自動的に識別、防止し、それらに対処することを実現するためのイニシアティブです。
NAC/NAP
Cisco ネットワーク アドミッション コントロール/Microsoft ネットワーク アクセス保護(Cisco Network Access Control/Microsoft Network Access Protection)の略。
NAC 準拠アプリケーション
NAC クライアントを統合したアプリケーション。このようなアプリケーションの例としては、Cisco Security Agent があります。また、ウイルス定義ファイルのバージョン番号など、自身に関するアトリビュートを NAC クライアントに提供するアンチウイルス プログラムもこれに該当します。
NAD
ネットワーク アクセス デバイス(Network Access Device)の略。NAD は、ホストに付与された認可済みのネットワーク アクセス特権に関する、ポリシー適用ポイントとして機能します。
NAF
ネットワーク アクセス フィルタ(Network Access Filter)の略。ネットワークの要素である、IP アドレス、AAA クライアント(ネットワーク デバイス)、およびネットワーク デバイス グループ(NDG)を任意に 1 つ以上組み合せた、名前付きのグループ。
ユーザがネットワークのアクセスに使用する可能性のある AAA クライアントに基づき、NAF を使用してダウンロード可能 IP ACL またはネットワーク アクセス制限(NAR)を指定すると、各 AAA クライアントを明示的にリストする手間が省けます。
NAP エージェント

NAP クライアント上で動作するプロセス。NAP エージェントにより SoH または正常性証明書が ACS に送信されます。

NAP クライアント

Windows Vista または Windows Server 2008 を実行するコンピュータ。NAP クライアントは、健全性を示すクレデンシャルを Statement of Health(SoH; 正常性ステートメント)または正常性証明書として送信します。

NDG
ネットワーク デバイス グループ(Network Device Group)の略。1 つの論理グループとして機能するネットワーク デバイスの集合。
NPS

ネットワーク ポリシー サーバ(Network Policy Server)の略。NAP クライアントからの正常性証明書を確認し、必要に応じて修正方法を提供する Microsoft サーバ。

 


P
PA
ポスチャ エージェント(Posture Agent)の略。ポスチャ プラグイン(複数の場合あり)からポスチャ クレデンシャルを収集してネットワークと通信する上で、ホスト上の単一接続ポイントとして機能するアプリケーション。
PAC
Protected Access Credential の略。EAP-FAST(Flexible Authentication via Secure Tunneling)で使用されるセキュリティ クレデンシャルです。証明書の代わりに EAP-FAST を使用すると、相互認証が PAC を使用して実現されます。PAC は、認証サーバでダイナミックに管理できます。PAC は、手動または自動でクライアントにプロビジョニング(一度だけ配布)できます。手動プロビジョニングでは、ディスクまたは安全なネットワーク配布方式でクライアントに配布されます。自動プロビジョニングでは、インバンドの無線ネットワーク経由で配布されます。
PDP
ポリシー デシジョン ポイント(Policy Decision Point)の略。ポリシーの管理と条件フィルタに関する機能を提供します。
PEAP
Protected Extensible Authentication Protocol の略。無線 LAN(WLAN)で使用される 802.1x 認証方式の 1 つ。PEAP は強力なセキュリティとユーザ データベース拡張性を提供し、ワンタイム トークン認証、パスワードの変更とエージングをサポートします。PEAP は、シスコシステムズ、Microsoft、および RSA Security が IETF に提案したインターネット ドラフトに基づいています。
PEP
ポリシー適用ポイント(Policy Enforcement Point)の略。ACS は、ポリシー管理におけるポリシー適用ポイントとして機能します。
PV
ポスチャ確認(Posture Validation)の略。ユーザのマシン(ホスト)の状態と健全性全般について記述した、一連のアトリビュートを確認すること。
PVS
ポスチャ確認サーバ(Posture Validation Server)の略。ポスチャ確認サーバは、ネットワーク アドミッション コントロール(NAC)においてアプリケーション固有のポリシー デシジョン ポイントとして機能し、一連のポスチャ クレデンシャルを一連のポリシー規則と照合して、認可を実行します。

 


R
RAC
RADIUS アトリビュート コンポーネント(RADIUS Attribute Component)の略。
RADIUS
ネットワーク アクセスについて、中央集約型の認証、認可、アカウンティングを可能にする広く普及したプロトコル。

 


S
SoH
正常性ステートメント(Statement of Health)の略。NAP クライアントから NPS に送信される、クライアントの健全性を示すメッセージ。

 


V
VSA
ベンダー固有アトリビュート(Vendor Specific Attribute)の略。ほとんどのベンダーは、付加価値となる機能をサポートするために VSA を使用しています。

 


アカウンティング
ネットワーク管理サブシステムにおいて、リソースの使用状況に関するネットワーク データを収集すること。

 


エージェントレス ホスト処理
認証エージェント(Cisco Trust Agent など)がインストールされていないホストからの認証要求に対して、ACS で使用される処理方式。
エンドポイント デバイス
ネットワーク リソースへの接続、またはネットワーク リソースの使用を試みるすべてのマシン。ホストとも呼ばれます。

 


外部ポスチャ確認サーバ
ポスチャ確認の実行に使用される、シスコまたはサードパーティ製のサーバ。ポスチャ確認サーバは、ネットワーク アドミッション コントロール(NAC)においてアプリケーション固有のポリシー デシジョン ポイントとして機能し、一連のポスチャ クレデンシャルを一連のポリシー規則と照合して、認可を実行します。
監査サーバ
ホスト上にポスチャ エージェント(PA)が存在しない場合でも、ホストのポスチャ クレデンシャルを判別することができるサーバ。このサーバは、ホストのポスチャ クレデンシャルを判別し、ポスチャ確認サーバとして動作できる必要があります。

 


正常性登録機関

正常性証明書を公開鍵インフラストラクチャ(PKI)から NAP クライアントの代わりに取得する Microsoft 証明書サーバ。

 


認証
ネットワーク管理のセキュリティにおいて、使用者またはプロセスの ID を確認すること。

 


ポスチャ クレデンシャル
ハードウェアおよびソフトウェア(OS とアプリケーション)に関する情報を表現した、特定の時点でのネットワーク エンドポイント状態情報。
ポスチャ プラグイン
ホストのポスチャ クレデンシャルを、エンドポイントのポスチャ確認およびネットワーク認可のために、同じエンドポイント上にあるポスチャ エージェントに提供するサードパーティ DLL。
ホスト
エンドポイント デバイスの別名。