Cisco Secure ACS 4.1 コンフィギュレーション ガイド
NAC の設定シナリオ
NAC の設定シナリオ
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

NAC の設定シナリオ

ステップ 1:ACS のインストール

ステップ 2:RADIUS AAA クライアントの設定

ステップ 3:ロギング レベルの設定

ステップ 4:ACS セキュリティ証明書のインストールと設定

証明書を入手して ACS ホストにコピー

Windows の証明書のインポート ウィザードを実行して証明書をインストール(ACS for Windows)

ACS インストールでのセキュリティ証明書の有効化

CA 証明書のインストール

信頼できる証明書の追加

ステップ 5:リモート Web アクセスの設定

ステップ 6:ダウンロード可能 ACL とネットワーク アクセス フィルタの有効化

ステップ 7:PEAP 用の ACS の設定

ステップ 8: EAP-FAST 用の ACS の設定

ステップ 9:ネットワーク アクセス フィルタの設定

ステップ 10:ログとレポートの設定

ステップ 11:ネットワーク アクセス プロファイルの設定

NAP の作成

ステップ 12:プロファイルベースのポリシーの設定

プロトコルの設定

認証の設定

ポスチャ確認の設定

認可の設定

認可ポリシーの作成

ACL の定義

RAC の作成

ステップ 13:NAC 用のポスチャ確認の設定

内部ポスチャ確認ポリシーの設定

外部ポスチャ確認ポリシーの設定

外部ポスチャ確認監査サーバの設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認監査サーバの設定

ポリシーと NAC 監査の認可

ステップ 14:NAP を作成するテンプレートの設定

サンプル NAC プロファイル テンプレート

サンプル NAC レイヤ 3 プロファイル テンプレート

プロファイルの設定

NAC レイヤ 3 テンプレートのプロトコル ポリシー

認証ポリシー

サンプル ポスチャ確認規則

サンプル NAC レイヤ 2 テンプレート

プロファイルの設定

プロトコル設定

認証ポリシー

サンプル ポスチャ確認規則

サンプル NAC レイヤ 2 802.1x テンプレート

プロファイルの設定

プロトコル ポリシー

認可ポリシー

サンプル ポスチャ確認規則

サンプル無線(NAC L2 802.1x)テンプレート

プロファイルの設定

プロトコル ポリシー

認可ポリシー

サンプル ポスチャ確認規則

サンプル エージェントレス ホスト テンプレートの使用法

プロファイルの設定

プロトコル ポリシー

認証ポリシー

ステップ 15:プロファイルへのポスチャ確認コンポーネントのマッピング

ステップ 16:プロファイルへの監査サーバのマッピング

ステップ 17(オプション):GAME グループ フィードバックの設定

CSUtil を使用した監査ベンダー ファイルのインポート

CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート

NAC のアトリビュートと値のペアのインポート

エージェントレス ホスト プロセスのデータベース サポートの設定

ポスチャ確認の有効化

外部監査サーバの設定

GAME グループ フィードバックの有効化

NAC の設定シナリオ

この章では、Cisco Secure Access Control Server 4.1(以降は、ACS と呼ぶ)を設定して、Cisco Network Admission Control(NAC; ネットワーク アドミッション コントロール)環境で動作させる方法について説明します。この章は、次の項で構成されています。

「ステップ 1:ACS のインストール」

「ステップ 2:RADIUS AAA クライアントの設定」

「ステップ 3:ロギング レベルの設定」

「ステップ 4:ACS セキュリティ証明書のインストールと設定」

「ステップ 5:リモート Web アクセスの設定」

「ステップ 6:ダウンロード可能 ACL とネットワーク アクセス フィルタの有効化」

「ステップ 7:PEAP 用の ACS の設定」

「ステップ 8: EAP-FAST 用の ACS の設定」

「ステップ 9:ネットワーク アクセス フィルタの設定」

「ステップ 10:ログとレポートの設定」

「ステップ 11:ネットワーク アクセス プロファイルの設定」

「ステップ 12:プロファイルベースのポリシーの設定」

「ステップ 13:NAC 用のポスチャ確認の設定」

「ステップ 14:NAP を作成するテンプレートの設定」

「ステップ 15:プロファイルへのポスチャ確認コンポーネントのマッピング」

「ステップ 16:プロファイルへの監査サーバのマッピング」

「ステップ 17(オプション):GAME グループ フィードバックの設定」

ステップ 1:ACS のインストール

この項では、ACS を実行するためのインストール プロセスについて説明します。ACS は、Windows 2000 Server、Windows 2003、または Cisco Secure ACS Solution Engine(ACS SE)で動作します。

ACS インストールの詳細については、次を参照してください。

Installation Guide for Cisco Secure ACS for Windows Release 4.1

Installation Guide for Cisco Secure ACS Solution Engine Release 4.1

ACS をインストールするには、次の手順を実行します。


ステップ 1 ACS のインストールを開始します。

インストール プロセスでは、内部データベースを暗号化するためのパスワードの入力を求めるプロンプトが表示されます。

ステップ 2 最低 8 文字の、英字と数字を含むパスワードを入力します。

ACS for Windows の ACS インストール プロセスでは、ACS 管理 GUI へのショートカットがデスクトップ上に自動的に作成されます。


) ACS SE 上に ACS をインストールする場合は、CLI から add-guiadmin コマンドを使用して管理 GUI ユーザを手動で作成し、GUI アカウントを作成する必要があります。このコマンドの詳細については、『Installation Guide for Cisco Secure ACS Solution Engine 4.1』の付録 A 「Command Reference」を参照してください。その後、サポートされるブラウザを使用して、管理 GUI にアクセスできます。サポートされるブラウザの一覧については、『Supported and Interoperable Devices and Software Tables for Cisco Secure ACS Release 4.1』を参照してください。次のサイトから入手できます。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_device_support_tables_list.html


ステップ 3 アイコンをダブルクリックして、ACS 管理 GUI のブラウザ ウィンドウを開きます。

ステップ 4 デスクトップ上にアイコンが表示されていない場合は、ACS をインストールしたマシンからブラウザを開き、次のいずれかのアドレスにアクセスします。

http:// IP_address :2002

http:// hostname :2002

IP_address は、ACS が動作しているホストの IP アドレスです。 hostname は、ACS が動作しているホストのホスト名です。


 

ステップ 2:RADIUS AAA クライアントの設定

エージェントレス ホストのサポートを設定するには、事前に RADIUS AAA クライアントを設定しておく必要があります。

RADIUS AAA クライアントを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが開きます。

ステップ 2 次のいずれか 1 つを実行します。

Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合は、AAA クライアントの割り当て先の NDG の名前をクリックします。次に、AAA Clients テーブルの下の Add Entry をクリックします。

NDG が有効になっていない場合に AAA クライアントを追加するには、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが開きます(図7-1 を参照)。

図7-1 Add AAA Client ページ

 

ステップ 3 AAA Client Hostname ボックスに、この AAA クライアントに割り当てる名前(最大 32 文字の英数字)を入力します。

ステップ 4 AAA Client IP Address ボックスに、AAA クライアントの IP アドレス(複数可)を入力します。

ステップ 5 Shared Secret ボックスに、AAA クライアントの共有秘密鍵を入力します。共有秘密鍵は、AAA クライアントと ACS で同じでなければなりません。鍵では大文字と小文字が区別されます。共有秘密情報が一致しない場合、そのネットワーク デバイスからのパケットはすべて ACS によって破棄されます。

ステップ 6 NDG を使用している場合は、Network Device Group リストから、この AAA クライアントが属する NDG の名前を選択するか、 Not Assigned を選択して、この AAA クライアントを NDG から独立させます。

ステップ 7 EAP-TLS 認証での RADIUS キー ラップの共有秘密鍵を入力します。

各鍵は固有でなければならず、RADIUS 共有鍵とは別個である必要もあります。この共有鍵は、各 AAA クライアントと各 NDG に設定できます。NDG キーの設定は、AAA クライアント設定より優先されます。鍵のエントリがヌルの場合、ACS では AAA クライアントの鍵が使用されます。NAP Authentication Settings ページのキー ラップ機能を有効にして、この共有鍵を EAP-TLS 認証に実装する必要があります。

a. Key Encryption Key (KEK):Pairwise Master Key(PMK)の暗号化に使用します。最大長は 20 文字です。

b. Message Authenticator Code Key (MACK):RADIUS メッセージの鍵付きハッシュ メッセージ認証コード(HMAC)の計算に使用します。最大長は 16 文字です。

c. Key Input Format:鍵のフォーマットをクリックします。ASCII または 16 進文字列です(デフォルトは ASCII)。

ステップ 8 Authenticate Using リストから RADIUS (IOS/PIX) を選択します。

ステップ 9 必要により、追加の AAA クライアント設定値を指定します。

ステップ 10 Submit + Apply をクリックします。


 

ステップ 3:ロギング レベルの設定

ACS でフル ロギング機能を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Service Control をクリックします。

ステップ 3 Level of Detail 下の Full オプション ボタンをクリックします。

ステップ 4 Manage Directory チェックボックスをクリックして、ログを保持する日数を選択します(ハード ディスク上のスペース容量に基づいて日数を選択します。7 日を指定することをお勧めします)。

ステップ 5 Restart をクリックして、ACS を再起動します(ブラウザの進行状況バーに、ページが完全にリロードされたことが示されるまで待ちます)。


 

ステップ 4:ACS セキュリティ証明書のインストールと設定

この項では、Windows プラットフォームでの、ACS に関する単純化された手順を説明します。証明書のインストールの詳細、および Cisco Secure ACS Solution Engine プラットフォームに証明書をインストールする方法の詳細については、『 User Guide for Cisco Secure ACS 4.1 』の第 9 章「Advanced Configuration: Authentication and Certificates」を参照してください。

証明書を入手して ACS ホストにコピー

証明書を ACS ホストにコピーするには、次の手順を実行します。


ステップ 1 セキュリティ証明書を入手します。

ステップ 2 ACS サーバに \ Certs ディレクトリを作成します。

a. DOS コマンド ウィンドウを開きます。

b. 証明書ディレクトリを作成するには、次のコマンドを入力します。

mkdir < selected_drive >:\Certs

selected_drive は、現在選択されているドライブです。

ステップ 3 次のファイルを \ Certs ディレクトリにコピーします。

server.cer (サーバ証明書)

server.pvk (サーバ証明書の秘密鍵)

ca.cer (CA 証明書)


 

Windows の証明書のインポート ウィザードを実行して証明書をインストール(ACS for Windows)

Windows の証明書のインポート ウィザードを実行して、証明書をサーバにインストールするには、次の手順を実行します。


ステップ 1 Windows エクスプローラを開きます。

ステップ 2 < selected_drive >: \Certs に進みます。

ステップ 3 \ Certs\ca.cer ファイルをダブルクリックします。

Certificate ダイアログが表示されます。

ステップ 4 Install Certificate を選択します。

Windows の証明書のインポート ウィザードが開始します。

ステップ 5 ウィザードに表示される指示に従って、証明書をインストールします。

ステップ 6 ウィザードのデフォルト オプションを受け入れます。


) このプロセスは、Windows 2000 Server で 1 回のみ実行します。



 

ACS インストールでのセキュリティ証明書の有効化

ACS インストールでセキュリティ証明書を有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

ステップ 3 Install ACS Certificate をクリックします。

ステップ 4 Install ACS Certificate ページが開きます(図7-2 を参照)。

図7-2 Install ACS Certificate ページ

 

ステップ 5 Read certificate from file オプション ボタンをクリックします。

ステップ 6 Certificate file テキスト ボックスに、サーバ証明書の場所(パスと名前)を入力します。
例: c:\Certs\server.cer

ステップ 7 Private key file テキスト ボックスに、サーバ証明書の秘密鍵の場所を入力します(パスと名前)。
例: c:\Certs\server.pvk

ステップ 8 Private Key password テキスト ボックスに、 1111 と入力します。

ステップ 9 Submit をクリックします。

ステップ 10 ACS は、証明書がインストールされたことを示すメッセージを表示し、ACS サービスを再起動するように指示します。

ステップ 11 この時点では、サービスを再起動しないでください。

後で、信頼できる証明書を追加する手順が完了したら、サービスを再起動します。「信頼できる証明書の追加」を参照してください。


 

CA 証明書のインストール

CA 証明書をインストールするには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > ACS Certification Authority Setup を選択します。

ステップ 2 ACS Certification Authority Setup ページが表示されます(図7-3 を参照)。

図7-3 ACS Certification Authority Setup ページ

 

ステップ 3 CA certificate file ボックスに、CA 証明書の場所(パスと名前)を入力します。例: c:\Certs\ca.cer

ステップ 4 Submit をクリックします。


 

信頼できる証明書の追加

信頼できる証明書を追加するには、次の手順を実行します。


ステップ 1 System Configuration > ACS Certificate Setup > Edit Certificate Trust List を選択します。

Edit Certificate Trust List が表示されます。

ステップ 2 インストールする信頼できる証明書を見つけて、証明書名に対応するチェックボックスをオンにします。たとえば、Stress 証明書を見つけて、対応するチェックボックスをオンにします。

ステップ 3 Submit をクリックします。

ステップ 4 System Configuration > Service Control を選択して、 Restart をクリックして、ACS を再起動します。


 

ステップ 5:リモート Web アクセスの設定

リモート管理用に ACS を準備するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

System Configuration ページが開きます。

ステップ 2 Add Administrator をクリックします。

Administration Control ページが開きます(図7-4 を参照)。

図7-4 Administration Control ページ

 

ステップ 3 管理者を追加するために、 Add Administrator をクリックします。

Add Administrator ページが開きます。

ステップ 4 Administrator Details 領域に、次の説明に従って入力します。

 

オプション
説明

Administrator Name

ACS 管理者アカウントのログイン名を入力します。管理者の名前は、1 ~ 32 文字の範囲で入力できます。ただし、左山カッコ(<)、右山カッコ(>)、およびバックスラッシュ(\)を含めることはできません。ACS 管理者の名前は、ネットワーク ユーザ名と同じものにする必要はありません。

Password

管理者が ACS の Web インターフェイスにアクセスするためのパスワードを入力します。

このパスワードは、管理者がダイヤルイン認証で使用するパスワードと同じものにすることも、別のパスワードにすることもできます。ACS は、Administrator Password Policy ページの Password Validation Options セクションで設定したオプションを適用します。

パスワードは 4 文字以上にし、数字を少なくとも 1 文字含める必要があります。パスワードには、ユーザ名を含めることや、ユーザ名を反転した文字列を含めることはできません。最近使用した 4 つのパスワードと同じものは使用できません。また、ASCII 文字で入力する必要があります。パスワードが条件を満たしていない場合は、パスワードの基準が表示されます。

パスワード ポリシーが変更された場合、パスワードを変更しなくても、管理者はログインしたまま作業を続けることができます。新しいパスワード ポリシーが適用されるのは、次回のログイン時です。

Confirm Password

Password フィールドに入力したパスワードを、もう一度入力します。

Account Never Expires

Administrator Password Policy ページで設定したロックアウト オプションを上書きするには(手動ロックアウトを除く)、Account Never Expires の隣にあるチェックボックスをオンにします。このオプションをオンにした場合、アカウントは無期限になりますが、パスワード変更ポリシーは引き続き有効です。デフォルト値はオフ(無効)です。

Account Locked

Password Policy ページで指定したアカウント ポリシー オプションに基づいてアクセスを拒否された管理者をロックアウトするには、 Account Locked チェックボックスをオンにします。チェックボックスをオフにすると(オプションを無効にすると)、ロックアウトされた管理者のロックが解除されます。

Administration Control 特権を付与された管理者は、このオプションを使用して、アカウントを手動でロックアウトすることや、ロックされたアカウントをリセットすることができます。システムは、ロックアウトの理由を説明するメッセージを表示します。

管理者がアカウントのロックを解除すると、Last Password Change フィールドと Last Activity フィールドの値は、管理者がアカウントのロックを解除した日付にリセットされます。

ロックされたアカウントをリセットしても、失敗したログインに関するロックアウト/ロック解除メカニズムの設定は変更されません。

ステップ 5 Grant All をクリックします。

これによって、新しい管理者にすべての特権を認可するか、この管理者がアクセスを認可されるグループまたはアクションを指定します。


) 管理特権の詳細については、『User Guide for Cisco Secure Access Control Server 4.1』の第 11 章「Administrators and Administrative Policy」の「Add Administrator and Edit Administrator Pages」の項を参照してください。


ステップ 6 Submit をクリックします。

この手順が完了すると、リモート ホストから、ACS を管理するブラウザを開くことができます。

リモート アクセスの URL は、次のとおりです。

http:// IP_address :2002

http:// hostname :2002


 

ステップ 6:ダウンロード可能 ACL とネットワーク アクセス フィルタの有効化

downloadable access control list(dACL; ダウンロード可能アクセス制御リスト)と Network Access Filter(NAF; ネットワーク アクセス フィルタ)を有効にするには、次の手順を実行します。これらは、Network Access Profile(NAP; ネットワーク アクセス プロファイル)を作成するために必要です。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 ACS Certificate Setup をクリックします。

Advanced Options ページが表示されます(図7-5 を参照)。

図7-5 ネットワーク アクセス プロファイルの有効化に必要な Advanced Options

 

ステップ 3 次のチェックボックスをオンにします。

Group-Level Downloadable ACLs

Network Access Filtering

ステップ 4 Submit をクリックします。


 

ステップ 7:PEAP 用の ACS の設定

PEAP が NAC ポスチャ確認で適切に機能するように ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Global Authentication Setup をクリックします。

Global Authentication Setup ページが表示されます(図7-6 を参照)。

図7-6 Global Authentication Setup ページ

 

ステップ 3 Allow EAP-MSCHAPv2 または Allow EAP-GTC チェックボックスのいずれかまたは両方をオンにします。

ステップ 4 PEAP セクションの Allow Posture Validation チェックボックスをオンにします。

ステップ 5 Submit + Restart をクリックします。


 

ステップ 8: EAP-FAST 用の ACS の設定

ACS が NAC で機能し、ポスチャ確認で EAP-FAST を使用するように設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Global Authentication Setup をクリックします。

Global Authentication Setup ページが表示されます(図7-6 を参照)。

ステップ 3 EAP-FAST Configuration をクリックします。

EAP FAST Configuration ページが表示されます(図7-7 を参照)。

図7-7 EAP-FAST Configuration ページ

 

ステップ 4 Allow EAP-FAST チェックボックスをオンにします。

ステップ 5 Client Initial Message テキスト ボックスにメッセージを入力します。たとえば、 Welcome と入力します。

ステップ 6 Authority ID Info フィールドに、 ACS NAC Server と入力します。

ステップ 7 Allow authenticated in-band PAC provisioning チェックボックスをオンにします。

ステップ 8 Accept client on authenticated provisioning チェックボックスをオンにします。

ステップ 9 EAP-GTC と EAP-MSCHAPv2 内部方式のチェックボックスをオンにします。

EAP-FAST Master Server チェックボックスが自動的にオン(有効)になります。

ステップ 10 Submit + Restart をクリックします。


 

ステップ 9:ネットワーク アクセス フィルタの設定

NAC 環境で ACS を使用するには、Network Access Filtering(NAF; ネットワーク アクセス フィルタ)を設定します。

NAF は、いくつかのデバイスを 1 つのグループにまとめる ACS 機能です。デバイスは、ACS クライアント、ACS サーバ、ACS ネットワーク デバイス グループ(NDG)、または特定の IP アドレスのいずれでもかまいません。NAF は、特にネットワーク アクセス プロファイル(NAP)の定義に役立ちます。

NAF を使用するように ACS を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Interface Configuration をクリックします。

Interface Configuration ページが開きます。

ステップ 2 Advanced Options をクリックします。

ステップ 3 Network Access Filtering チェックボックスをオンにします。

Submit をクリックします。

ステップ 4 ナビゲーション バーの Shared Profile Components をクリックします。

Shared Profile Components ページが開きます。

ステップ 5 Network Access Filtering をクリックします。

Network Access Filtering テーブルが表示されます。最初は、このテーブルには共有プロファイル コンポーネントは含まれていません。

ステップ 6 Add をクリックします。

Edit Network Access Filtering ページが開きます(図7-8 を参照)。

図7-8 Edit Network Access Filtering ページ

 

ステップ 7 Name テキスト ボックスに、ネットワーク アクセス フィルタの名前を入力します。

ステップ 8 デバイスまたはデバイス グループを Selected Items リストに移動します。

デバイスまたはデバイス グループを移動するには、移動する項目を選択し、右矢印ボタンをクリックしてその項目を Selected Items リストに移動します。

ステップ 9 Submit をクリックします。


 

ステップ 10:ログとレポートの設定

ACS は、ネットワーク アクセスを許可されたユーザまたはネットワーク アクセスを拒否されたユーザのレコードをログに記録します。ACS レポートに、このログの要約と、問題のデバッグおよび追跡に役立つ情報が提供されます。

Passed Authentications レポートは、NAC 対応ネットワークに特に役立ちます。このレポートには、ポスチャ確認要求ごとのグループ マッピングが示されます。デフォルトでは、Passed Authentication レポートはオフ(無効)です。

Passed Authentication レポートを有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

System Configuration ページが開きます。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルから、CSV Passed Authentications レポートの Configure リンクをクリックします。

CSV Passed Authentications File Configuration ページが開きます(図7-9 を参照)。

図7-9 CSV Passed Authentications File Configuration ページ

 

ステップ 4 Log to CSV Passed Authentications Report チェックボックスをオンにします。

ステップ 5 ログに記録するアトリビュートを、Attributes リストから Logged Attributes リストに移動します。

ログに記録できる便利なアトリビュートには、次のものが含まれます。

PA および A で始まる、cisco-av-pair アトリビュート

プロファイル名

理由

システム ポスチャ トークン

アプリケーション ポスチャ トークン

ステップ 6 Submit をクリックします。


 

ステップ 11:ネットワーク アクセス プロファイルの設定

NAP はプロファイルとも呼ばれ、アクセス要求を分類する 1 つの方法です。分類は、AAA クライアントの IP アドレス、ネットワーク デバイス グループのメンバーシップ、プロトコル タイプ、またはユーザが接続に使用するネットワーク デバイスにより送信された他の特定の RADIUS アトリビュート値に従って行われます。

NAP を設定すると、ACS はアクティブなプロファイルの順序付きリストを調べ、RADIUS トランザクションの最初のアクセス要求時に最初に一致するプロファイルに RADIUS トランザクションをマッピングします。

プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリシーのセットをプロファイルに関連付けます。このような関連付けは、プロファイルベースのポリシーと呼ばれます。プロファイル ベースのポリシーの設定には、次の規則を作成する作業が含まれます。

プロトコル

認証

ポスチャ確認

認可

プロファイルとは、一般的なポリシーを適用するために、ネットワーク アクセス要求を分類するものです。

プロファイルは、次の 2 つの方法で作成できます。

NAP 設定ページでオプションを選択して、手動で作成する。

ACS 4.1 に用意されているサンプル NAC テンプレートを使用してプロファイルを開始し、その後、インストールの必要に応じてプロファイルを編集する。

NAP の設定では、次の項目を設定できます。

プロファイル名

説明

Active フラグ(このプロファイルがアクティブか非アクティブかどうかを判別します)

NAF 選択による分類

プロトコル選択による分類

拡張フィルタによる分類(RADIUS のアトリビュートと値で構成されるブール式)

ACS は、これらの 3 つの条件を使用して、アクセス要求を分類してプロファイルにマップする方法を決定します。3 つの条件がすべて一致すると、ACS はプロファイルを選択します。各条件で、常に条件に一致させるために、値 Any を代入することができます。

既存の NAF のリストから NAF を選択して、ユーザ要求を分類(フィルタリング)できます。Shared Profile Components ページで、NAF オブジェクトを設定します。

プロトコル タイプを使用して、1 つ以上のプロトコル タイプをフィルタとして選択できます。プロトコル タイプは、ネットワーク アクセス サーバがサポートするベンダー固有アトリビュート(VSA)のサブセットです。ACS 4.1 は、NAP には TACACS+ プロトコルをサポートしません。

Advance Filtering を使用して、1 つ以上の RADIUS のアトリビュートと値を含む特定の規則を作成できます。Advanced Filtering 規則は、RADIUS アトリビュートを使用して要求パケットを調べるブール AND 式に基づいています。

各 NAP には、名前、説明、アクティブ フラグ、およびさまざまなパラメータに基づいてアクセス要求をランク付けするのに使用する分類セットが含まれています。

NAP の作成

NAP を作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。最初は、Network Access Profiles のリストは空です。

ステップ 2 Add をクリックします。

Profile Setup ページが開きます(図7-10 を参照)。

図7-10 Profile Setup ページ

 

ステップ 3 プロファイルの名前を入力します。

ステップ 4 プロファイルを今すぐアクティブにする場合は、 Active チェックボックスをオンにします。

ステップ 5 プロファイルを使用するプロトコルを選択するため、Allow Selected Protocol types のオプション ボタンをクリックして、1 つ以上のプロトコルを Selected 領域に移動します。

ステップ 6 Submit をクリックします。


 

ステップ 12:プロファイルベースのポリシーの設定

プロファイルを作成したら、そのファイルに関連付けるポリシーを設定します。使用可能なポリシーは次のとおりです。

Protocols :選択されたプロファイルを使用するプロトコル。

Authentication :認証メカニズムに関連する設定ポリシーのセット。

Posture Validation :ポスチャ確認を実行する方法を定義する設定。

Authorization :認可規則のオプション セット。認可ポリシーが指定されていない場合、ACS では、デフォルトで、ユーザ グループによる認可のグローバル設定が設定されます。

プロファイルベースのポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Edit Network Access Profiles ページが開きます(図7-11 を参照)。

図7-11 Edit Network Access Profiles ページ

 

ステップ 2 設定するプロファイル オプションをクリックします。

Protocols :プロトコルを設定する場合は、「プロトコルの設定」を参照してください。

Authentication :認証設定を設定する場合は、「認証の設定」を参照してください。

Posture Validation :ポスチャ確認を設定する場合は、「ポスチャ確認の設定」を参照してください。

Authorization :認可を設定する場合は、「認可の設定」を参照してください。


 

プロトコルの設定

プロトコルを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページで、 Protocols をクリックします。

選択したプロファイルの Protocols Settings ページが開きます。

ステップ 2 EAP セクションの Allow Posture Validation チェックボックスをオンにします。

ステップ 3 Enable EAP-FAST チェックボックスをオンにします。

ステップ 4 エージェントレス ホスト プロセスを使用している場合は、 Allow Agentless Host Processing チェックボックスをオンにします。

ステップ 5 Submit をクリックします。


 

認証の設定

指定されたプロファイルの Authentication ページでは、一致した要求をプロファイルが認証する方法、および ACS が認証に使用するユーザ検証データベースを制御します。

Authentication ページに、External User Databases セクションに設定されたデータベースが一覧表示されます。このデータベースは、External User Databases > Databases Group Mapping で定義されたマッピング規則に基づいて、ACS ユーザ グループにマッピングされます。

プロファイルの認証を設定するには、次の手順を実行します。


ステップ 1 編集するプロファイルの Edit Network Access Profiles ページで、 Authentication をクリックします。

選択したプロファイルの Edit Authentication ページが開きます。図7-12 に例を示します。

図7-12 選択したプロファイルの Edit Authentication ページ

 

ステップ 2 Available Databases のリストから 1 つ以上のデータベースを選択し、右矢印ボタンをクリックして、それを Selected databases リストに移動します。

ステップ 3 MAC Authentication Bypass(MAB)を設定する場合、MAB の設定の手順については、「MAB の設定」を参照してください。


 

ポスチャ確認の設定

ポスチャ確認規則では、ACS がポスチャ確認を実行する方法を定義します。それぞれのポスチャ確認規則で、条件および関連アクションを指定します。条件には、必要なクレデンシャル タイプのセットが含まれ、アクションには、外部ポスチャ確認サーバ(オプション)と内部ポスチャ確認ポリシーのリストが含まれます。

ポスチャ確認規則には、次の項目も含まれます。

規則の名前

この規則をアクティブにする必須クレデンシャル タイプを定義する、必須クレデンシャル

ローカル ポリシー

ACS がポスチャ トークンの計算に使用する情報を、ACS が問い合せる外部サーバのリスト

各トークンのクライアントを返すポスチャ エージェント(PA)メッセージ

トークンごとにネットワーク アクセス デバイスに送信される URL リダイレクト情報

ACS は、最初に一致する規則を採用する方法でポスチャ規則を評価します。ACS は、選択された内部ポリシーと、外部ポスチャ サーバから送信された情報に基づいて、戻される「最悪の」トークンを計算します。

クライアントが応答しないホスト(NRH)の場合、ACS は指定された監査サーバを使用してクライアントを監査します。

監査サーバ とは、PA の存在に依存することなく、ホストに関するポスチャ情報を判別するシスコおよびサードパーティ製のサーバです。このタイプのホストは、エージェントレス ホストとも呼ばれます。Cisco PA は、Cisco Trust Agent と呼ばれます。ACS では、監査サーバを使用して、組織のセキュリティ ポリシーに基づいてポスチャ確認を評価します。

認可の設定

プロファイル ベースの認可ポリシーとは、ACS が、ネットワークにアクセスするユーザを認証するために使用する、条件のセットです。ACS によって、認可ポリシーで指定された条件と、ネットワーク デバイスに戻される RAC とダウンロード可能 ACL を決定するアクションが関連付けられます。

認可ポリシーを設定するときに、特定のユーザ グループについてネットワークへのアクセスを拒否するかどうかを指定できます。NAC ネットワークの場合、戻されたポスチャ トークンに基づいて拒否するかどうかを指定することもできます。許可ポリシーはユーザ ID だけでなく、ユーザがマッピングされるプロファイル タイプと、ネットワークへのアクセスに使用されるマシンのポスチャにも関連付けられます。


) NAC 以外のネットワークの場合は、アセスメント結果を単に Any(デフォルト)のままにします。


認可規則の形式は、次のとおりです。

If (user-group = selected-user-group and posture-token = selected-posture-token),

then provision (selected-RAC and selected-dACL)

また、アクションとして明示的に拒否(access-reject を送信)するために認可規則を使用することもできます。 Include RADIUS attributes from user-group/user チェックボックスをオンにすると、ACS は、ユーザ設定、ユーザ グループ、および RAC で定義されている RADIUS アトリビュートをマージします。このプロセスは、次のとおりです。

1. ACS によって、すべてのソースからの競合しないアトリビュートがすべて追加されます。

2. RADIUS アトリビュート間で競合が発生すると、ACS は、優先度(高から低)が割り当てられているソースの、優先度の最も高いソースのアトリビュートを使用します。

a. User

b. RAC

c. User-group

認可ポリシーの作成

プロファイルの認可ポリシーを作成するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページで、 Authorization をクリックします。

選択したプロファイルの Edit Authorization Rules ページが開きます。図7-13 に例を示します。

図7-13 Edit Authorization Rules ページ

 

ステップ 2 Add Rule をクリックして、行を追加します。

ステップ 3 User Group、System Posture Token、Shared RAC、および Downloadable ACL を選択します。


Include RADIUS attributes from user's group Include RADIUS attributes from user record チェックボックスをオンにしない場合は、デフォルトの認可規則を編集する必要があります。


ステップ 4 必要に応じて、認可規則を追加します。

ステップ 5 Submit をクリックします。

ステップ 6 Apply and Restart をクリックします。


 

ACL の定義

ACS 4.1 では、特定のデバイスまたはデバイス グループにアクセス リストをダウンロードできます。

1 つ以上の ACL が含まれるアクセス リストを定義して、後で、ユーザ グループへの割り当てに基づいてネットワーク デバイスにリストをダウンロードできます。ACLS を定義する前に、ダウンロード可能 ACL を有効にしてください。

ACL を定義するには、次の手順を実行します。


ステップ 1 Shared Profile Components > Downloadable IP AC Ls を選択します。

ダウンロード可能な IP ACL のリストが表示されます(図7-14 を参照)。

図7-14 Downloadable IP ACL リスト

 

ステップ 2 Add をクリックします。

Edit Downloadable IP ACLs ページが開きます(図7-15 を参照)。

図7-15 Downloadable IP ACL ページ

 

各 Assessment Result(システム ポスチャ トークン)には、その定義に従って、独自の ACL があります。この ACL には、パケットが特定の宛先に送信されるのをブロックするか、パケットが特定の宛先に到達するのを許可するかを NAC ネットワーク デバイス(ルータ)に指示する、1 つまたは複数の Access Control Entries(ACE; アクセス コントロール エントリ)が含まれます。

ステップ 3 Downloadable IP ACLs ページで、ACL の Name と Description(オプション)に入力します。


) ACL の名前に、スペースを使用しないでください。IOS は、スペースが使用されている ACL 名は受け入れません。


ステップ 4 Add(ACL 目次の下)をクリックして新しい ACE を ACL に追加し、それを NAF に割り当てます。

Downloadable IP ACL Content ページが開きます(図7-16 を参照)。

図7-16 Downloadable IP ACL Content ページ

 

ステップ 5 Name テキスト ボックスに、ACL 名を入力します。

ステップ 6 ACL Definitions 入力ボックスに、ACL の定義を入力します。

ACL 定義は、指定されたホストへのアクセスを許可または拒否する、一連の permit および deny ステートメントで構成されます。ACL 定義の構文の詳細については、『 User Guide for Cisco Secure Access Control Server 4.1 』の第 4 章「Shared Profile Components」の「Downloadable ACLs」の項を参照してください。

ステップ 7 Submit をクリックします。


) ACS に ACL を設定する前に、デバイスについての構文をテストして、各 ACE が有効であることを確認する必要があります。


ACL Contents リストに新しい ACL が含まれている、Downloadable ACL ページが表示されます(図7-17 を参照)。

図7-17 新しい内容が含まれた Downloadable ACL Contents リスト

 

ステップ 8 ACL Contents テーブルの Network Access Filtering 列のドロップダウン リストから、この ACL の正しい NAF を選択します。

このアクションを実行すると、デバイスまたはデバイス グループごとに別の ACE をダウンロードできるようになります。たとえば、ルータの ACE での構文は、Project Information Exchange(PIX)ファイアウォールでの構文とは異なります。NAF を使用すると、ダウンロードされる実際の ACE が異なっていても、PIX とルータに同じ ACL を割り当てることができます。

ステップ 9 Submit をクリックします。

新しい ACL が、ダウンロード可能 ACL のリストに表示されます。


 

RAC の作成

共有 RADIUS 認可コンポーネント(RAC)には、ポリシーに基づいてユーザ セッションにダイナミックに割り当てることができる RADIUS アトリビュートのグループが含まれています。たとえば、VLAN を定義するために RADIUS アトリビュートを収集する RAC を作成できます。NAP 設定を使用すると、ネットワーク アクセス フィルタ(グループ化された NDG)とポスチャ アセスメント規則に指定された条件を、ACS が共有 RAC に適用するために使用するポリシーを定義できます。

RAC を定義するには、次の手順を実行します。


ステップ 1 Advanced Options ページから、該当する Tunneling RADIUS アトリビュートを選択します。

a. Interface Configuration > RADIUS (IETF) を選択します。

b. Tunnel アトリビュートを選択します(図7-18 を参照)。

図7-18 NAC 設定で使用される RAC の Tunnel アトリビュート

 

c. Submit をクリックします。

d. ACS を再起動して、新しい設定を有効にします。

システムを再起動するには、 System Configuration > Service Control を選択し、 Restart をクリックします。

ステップ 2 RAC を追加するには、次の手順を実行します。

a. Shared Profile Components > RADIUS Authorization Components を選択します。

Tunnel type (64) の RADIUS Authorization Components ページが開きます(図7-19 を参照)。

図7-19 RADIUS Authorization Components ページ

 

b. RADIUS Authorization Component ページ の Name と Description に、それぞれ名前と説明を入力します。

c. IETF リストから、 Tunnel type (64) を選択して Add をクリックします。

RAC Attribute Add/Edit ページが開きます(図7-20 を参照)。

図7-20 RAC Attribute Add/Edit ページ

 

d. Submit をクリックします。

ステップ 3 Tunnel-Medium-Type = 802(6)、Tunnel-Prate-Group-ID = <vlan name>、または VLAN の定義に必要な他のすべてのアトリビュートを追加します。

ステップ 4 Submit をクリックします。


 

ステップ 13:NAC 用のポスチャ確認の設定

この項では、NAC 対応ネットワークの単純なポスチャ確認を設定する方法について説明します。ACS がポスチャ データの確認に使用する内部ポリシーを作成するか、ACS が外部ポスチャ確認サーバにポスチャ データを送信するように設定できます。

内部ポスチャ確認ポリシーの設定

内部ポスチャ確認ポリシーとは、複数のプロファイルに使用できる内部アトリビュート ポリシーです。内部ポスチャ確認ポリシーの結果により、設定された規則に従って、ポスチャ アセスメント(トークン)が戻されます。

内部ポスチャ確認ポリシーを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Posture Validation をクリックします。

Posture Validation Components Setup ページが開きます。

ステップ 2 Internal Posture Validation Setup をクリックします。

Posture Validation ページが開きます。このページには、すべての既存のポスチャ確認ポリシーが一覧表示されます。

ステップ 3 Add Policy をクリックします。

Edit Posture Validation ページが開きます。

ステップ 4 ポリシーの名前を入力します。

ステップ 5 Description(オプション)を入力します。

ステップ 6 Submit をクリックします。

新しい内部ポリシーがデフォルトの規則で作成されます。図7-21 にサンプル ポリシーを示します。

図7-21 新しいポスチャ確認ポリシーの作成

 

 

ステップ 7 デフォルトの規則を編集するには、次の手順を実行します。

a. Default リンクをクリックします。

b. デフォルトの規則の、新しい Posture Assessment と Notification String を選択します。

ステップ 8 新規の規則を追加するには、次の手順を実行します。

a. Add Rule をクリックします。

Edit Posture Rule ページが表示されます(図7-22 を参照)。最初は、この規則には条件は使用できません。

図7-22 Edit Posture Validation Rule ページ

 

b. Add Condition Set をクリックします。

c. Add/Edit Condition ページが表示されます(図7-23 を参照)。

図7-23 Add/Edit Condition ページ

 

d. Attribute ドロップダウン リストから Attribute 値を選択します。

e. Operator ドロップダウン リストから条件を選択します。

f. Value テキスト ボックスに、条件の値を入力します。

g. Enter キーを押します。

指定された規則が Add/Edit Condition ページに表示されます(図7-23 を参照)。

h. 必要であれば、追加条件を入力します。

i. Submit をクリックします。

j. Apply and Restart をクリックして、新規ポスチャ確認規則を適用します。

拡張規則の作成の詳細については、「ポスチャ確認の設定」を参照してください。


 

外部ポスチャ確認ポリシーの設定

外部ポスチャ確認ポリシーでは、外部サーバを使用します。外部サーバは、ACS が外部サーバに転送したデータに従って、ポスチャ アセスメント(トークン)を ACS に戻します。

外部ポスチャ確認サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Setup をクリックします。

ステップ 2 Edit External Posture Validation Servers ページが開きます(図7-24 を参照)。

図7-24 Edit External Posture Validation Servers ページ

 

最初は、External Posture Validation Servers のリストは空です。

ステップ 3 Add Server をクリックします。

Add/Edit External Posture Validation Server ページが表示されます(図7-25 を参照)。

図7-25 Add/Edit External Posture Validation Server ページ

 

ステップ 4 Name および Description(オプション)に入力します。

ステップ 5 サーバ詳細、URL、User、Password、Timeout、および証明書(アンチウィルス サーバによって要求された場合)を入力します。

ステップ 6 Submit をクリックします。


 

外部ポスチャ確認監査サーバの設定

NAC 対応ネットワークには、NAC クライアント ソフトウェアがインストールされていないエージェントレス ホストが存在する場合があります。ACS は、エージェントレス ホストのポスチャ確認を監査サーバで行うように延期させることができます。監査サーバは、PA の存在に依存することなく、ホストのポスチャ クレデンシャルを判別します。

外部監査サーバの設定には、次の 2 つのステージが関係します。

ACS 内部ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバ(監査サーバ)の設定

ACS ディクショナリへのポスチャ アトリビュートの追加

外部ポスチャ確認サーバを作成するには、事前に 1 つ以上のベンダー アトリビュートを ACS 内部データ ディクショナリに追加しておく必要があります。このためには、 bin\CSUtil ツールを使用します。このツールは、ACS インストール ディレクトリにあります。

ポスチャ アトリビュートを追加するには、次の手順を実行します。


ステップ 1 \Utils ディレクトリに、次のフォーマットでテキスト ファイルを作成します。

[attr#0]
vendor-id=[your vendor id]
vendor-name=[The name of you company]
application-id=6
application-name=Audit
attribute-id=00003
attribute-name=Dummy-attr
attribute-profile=out
attribute-type=unsigned integer
 

ベンダー ID は、ポスチャ トークン アトリビュート名([vendor]:6)の最初のセクションである、Internet Assigned Numbers Authority(IANA)で割り当てられた番号でなければなりません。

ステップ 2 テキスト ファイルで指定されたアトリビュートをインストールするには、次の手順を実行します。

a. DOS コマンド ウィンドウを開きます。

b. 次のコマンドを入力します。

\< ACS_Install_Dir >\bin\CSUtil -addAVP [ file_name ]

ACS_Install_Dir は、ACS インストール ディレクトリの名前です。 file_name は、ベンダー アトリビュートが含まれているテキスト ファイルの名前です。

ステップ 3 CSAdmin、CSLog、および CSAuth サービスを再起動します。


 

外部ポスチャ確認監査サーバの設定

監査サーバは、1 度設定すると、その後他のプロファイルで使用できます。

監査サーバを設定するには、次の手順を実行します。


ステップ 1 Posture Validation Components Setup ページで、 External Posture Validation Audit Setup をクリックします。

ステップ 2 Add Server をクリックします。

External Posture Validation Audit Server Setup ページが表示されます(図7-26 を参照)。

図7-26 External Posture Validation Audit Server Setup ページ

 

ステップ 3 監査サーバを設定するには、次の手順を実行します。

a. Name および Description(オプション)に入力します。

b. Which Hosts Are Audited で、監査するホストを選択します。監査するホストまたは監査しないホストの IP アドレスまたは MAC アドレスを、入力することができます。

c. 監査しないホストの場合は、ドロップダウン リストからポスチャ トークンを選択します。

d. Use These Audit Servers セクションまでスクロール ダウンします。

図7-27 に、External Posture Validation Server Setup ページの Use These Audit Servers セクションを示します。

図7-27 Use These Audit Servers セクション

 

e. Use These Audit Servers セクションに、Audit Validation Server 情報、Audit Server Vendor、URL、およびパスワードを入力します。

図7-28 に、Audit Flow Settings セクションと GAME Group Feedback セクションを示します。

図7-28 Audit Flow Settings セクションと GAME Group Feedback セクション

 

f. 必要であれば、Audit Flow Setting セクションに、監査フロー パラメータを設定します。

g. NAC 環境内のエージェントレス ホスト設定をサポートするために GAME グループ フィードバックを設定する場合は、GAME Group Feedback セクションに設定値を設定します。

GAME Group Feedback の設定の詳細については、「GAME グループ フィードバックの有効化」を参照してください。

h. Submit をクリックします。


 

ポリシーと NAC 監査の認可

監査サーバで、2 つのタイプのポスチャ アセスメント(トークン)を定義します。

一時ポスチャ アセスメントは、進行中アセスメントとして使用されます。ACS は、監査サーバがホストについての監査を処理中で、最終結果が得られていないときに、進行中ポスチャ アセスメントをエージェントレス ホストに認可します。

最終ポスチャ アセスメントとは、監査処理を完了した後に監査サーバが戻すポスチャ アセスメントです。


) 監査サーバで使用できる認可ポリシーを設定するには、少なくとも 2 つの RAC またはダウンロード可能 ACL が必要です。1 つは進行中ポスチャ アセスメント用、もう 1 つは最終ポスチャ アセスメント用です。トークンごとに、別個の RAC またはダウンロード可能 ACL を使用する必要があります。


ステップ 14:NAP を作成するテンプレートの設定

ACS 4.1 には、一般的な使用可能プロファイルの設定に使用できるプロファイル テンプレートがいくつか用意されています。NAC 対応ネットワークでは、これらの事前定義プロファイル テンプレートを使用して、一般的に使用されるプロファイルを設定できます。この項では、ACS 4.1 に用意されているテンプレートについて説明します。

サンプル NAC プロファイル テンプレート

ACS 4.1 には、NAC 用の次のサンプル プロファイル テンプレートが用意されています。

NAC レイヤ 3 プロファイル テンプレート(NAC L3 IP)

NAC レイヤ 2 プロファイル テンプレート(NAC L2 IP)

NAC レイヤ 2 802.1x テンプレート(NAC L2 802.1x)

無線(NAC L2 802.1x)テンプレート

これらのテンプレートに加えて、ACS 4.1 には、NAC インストールで使用できるエージェントレス ホスト プロセス用の、次の 2 つのテンプレートが用意されています。

レイヤ 3 のエージェントレス ホスト用プロファイル テンプレート

レイヤ 2 (802.1x) のエージェントレス ホスト用プロファイル テンプレート

サンプル NAC レイヤ 3 プロファイル テンプレート

このテンプレートで、レイヤ 3 NAC 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 3 NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 Global Authentication Setup ページで、次のオプションのチェックボックスをオンにします。

Allow Posture Validation

EAP-FAST

EAP-FAST MS-CHAPv2

EAP-FAST GTC

ステップ 2 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 3 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図7-29 を参照)。

図7-29 Create Profile from Template ページ

 

ステップ 4 Name および Description(オプション)に入力します。

ステップ 5 Template ドロップダウン リストから NAC L3 IP を選択します。

ステップ 6 Active チェックボックスをオンにします。

ステップ 7 Submit をクリックします。

エラーが表示されない場合、レイヤ 3 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name 列に新しいプロファイルが表示されます。

レイヤ 3 NAC テンプレートの事前定義値には、次のものがあります。

Profile Setup オプション

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 8 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートから Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図7-30 を参照)。

図7-30 レイヤ 3 NAC テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。これは、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。これは、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタ処理用のプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

NAC レイヤ 3 テンプレートのプロトコル ポリシー

図7-31 に、NAC レイヤ 3 テンプレートのプロトコル設定を示します。

図7-31 NAC レイヤ 3 テンプレートのプロトコル設定

 

EAP Configuration セクションでは、Posture Validation が有効になっています。

認証ポリシー

認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 Policies 列から Authentication リンクを選択します。

プロファイルの認証ページが開きます(図7-32 を参照)。

図7-32 レイヤ 3 NAC プロファイル テンプレートの認証ページ

 

このページで、認証のレイヤ 3 NAC テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図7-33 に、NAC レイヤ 3 テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図7-33 NAC レイヤ 3 テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル NAC レイヤ 2 テンプレート

このテンプレートで、レイヤ 2 NAC 要求用のプロファイルを作成します。

レイヤ 2 NAC プロファイル テンプレートを作成する前に、次の手順を実行します。

1. Global Authentication Settings の EAP-FAST Configuration を選択します。

2. Allow authenticated in-band PAC provisioning をオン(有効)にします。

3. EAP-GTC と EAP-MSCHAPv2 をオン(有効)にします。

レイヤ 2 NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから NAC L2 IP を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、レイヤ 2 NAC ホストを認証できるプロファイルが作成されてています。レイヤ 2 NAC テンプレートの Profile Setup ページが表示されます。

レイヤ 2 NAC テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル設定

認証ポリシー

サンプル ポスチャ確認規則

このポリシーの名前は、NAC-EXAMPLE-POSTURE-EXAMPLE です。

ステップ 7 設定オプションを選択するには、オプション名をクリックします。


 

プロファイルの設定

プロファイルの設定を有効にするには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 作成したプロファイルを選択します。

Profile Setup ページが表示されます(図7-34 を参照)。

図7-34 レイヤ 2 NAC テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。これは、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。これは、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタ処理でプロトコル タイプを指定する場合にオンにします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

このテンプレートにより、レイヤ 2 NAC IP 設定で Advanced Filtering プロパティおよび Authentication プロパティが自動的に設定されます。

ACS と、アトリビュートと値のペア

NAC レイヤ 2 IP 確認を有効にした場合、ACS は RADIUS を使用して NAC AAA サービスを提供します。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入手し、エンドポイントのアンチウイルスの状態を確認します。

RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)を使用して、これらの Attribute-Value(AV; アトリビュート値)のペアを ACS に設定できます。

Cisco Secure-Defined-ACL :ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。

#ACL#-IP-name-number

name は ACL 名、 number は 3f783768 などのバージョン番号です。

ACS は、Auth-Proxy ポスチャ コードを使用して、スイッチが、指定されたダウンロード可能 ACL の Access-Control Entry(ACE; アクセス コントロール エントリ)をダウンロードしたかどうかを確認します。スイッチが ACES をダウンロードしていない場合、ACS は、ダウンロード可能な ACL 名をユーザ名とする AAA 要求を送信して、スイッチが ACE をダウンロードするようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。この ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポスチャ確認の完了後にダウンロード可能 ACL がインターフェイスに割り当てられると、送信元アドレスは any からホストの送信元 IP アドレスに変更されます。ACE は、エンドポイント デバイスの接続先であるスイッチ インターフェイスに適用されるダウンロード可能 ACL にプリペンドされます。

トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、ACS では、適切な NAC アクションが実行されます。

url redirect url-redirect-acl :スイッチにローカル URL ポリシーを指定します。スイッチはこれらの cisco-av-pair VSA を使用します。

-- url-redirect = <HTTP または HTTPS URL>

-- url-redirect-acl = switch ACL name

これらの AV ペアにより、スイッチは、エンドポイント デバイスからの HTTP または Secure HTTP(HTTPS)要求を代行受信して、最新のアンチウイルス ファイルをダウンロードできる、指定のリダイレクト アドレスにクライアントの Web ブラウザを転送できます。ACS 上の url-redirect AV ペアには、Web ブラウザのリダイレクト先となる URL が含まれます。url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを指定する ACL の名前が含まれます。ACL はスイッチに定義する必要があります。リダイレクト ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

ホストのポスチャが healthy でない場合、ACS はこの AV ペアを送信することがあります。

Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行されるソフトウェア リリースのマニュアルを参照してください。

デフォルト ACL

スイッチ ポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチ ポート上にデフォルト ポート ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィックに、デフォルト ACL を適用することも必要です。

スイッチにデフォルト ACL を設定し、ホストのアクセス ポリシーがこの ACL によってスイッチに送信されると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用します。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリシーが適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホストのアクセス ポリシーを ACS から取得した場合にデフォルト ACL が設定されていないと、NAC レイヤ 2 IP 設定は有効になりません。

ポリシーマップ アクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS によってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリシーよりも優先されます。デフォルト ポート ACL がスイッチに設定されていない場合でも、スイッチは ACS からのダウンロード可能 ACL を適用できます。

このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのアクセス要求に対して使用します。Authentication Bypass(802.1x フォールバック)テンプレートは、クライアント以外の認証プロセスをバイパスするために、アクセス要求に対して使用されます。ユーザは ID に基づいてユーザ グループにマッピングされます。


Populate from Global ボタンは使用しないでください。使用した場合、この認証フィールドの設定値は System Configuration の Global Authentication Setup の設定値から継承されます。


プロトコル設定

図7-35 に、NAC レイヤ 2 テンプレートのプロトコル設定を示します。

図7-35 NAC レイヤ 2 テンプレートのプロトコル設定

 

このページで、プロトコルのレイヤ 2 NAC テンプレート設定を表示できます。デフォルトの設定は次のとおりです。

EAP Configuration 領域では、ポスチャ確認が有効になっています。

Allow EAP-Fast がオンになっています。これは、このプロファイルでは EAP-FAST 認証が可能なことを意味します。

認証ポリシー

認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 Policies 列から Authentication リンクを選択します。

NAC レイヤ 2 テンプレートの Authentication Settings ページが開きます(図7-36 を参照)。

図7-36 NAC レイヤ 2 テンプレートの認証設定

 

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図7-37 に、NAC レイヤ 2 テンプレートに用意されているサンプル ポスチャ確認規則を示します。

図7-37 NAC レイヤ 2 テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル NAC レイヤ 2 802.1x テンプレート

このテンプレートで、レイヤ 2 NAC 802.1x 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 2 NAC 802.1x プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図7-38 を参照)。

図7-38 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから NAC L2 802.1x を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、レイヤ 2 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name 列に新しいプロファイルが表示されます。

レイヤ 2 NAC 802.1x テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図7-39 を参照)。

図7-39 NAC レイヤ 2 802.1x テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。これは、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。これは、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタ処理でプロトコル タイプを指定する場合にオンにします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。

プロトコル ポリシー

図7-40 に、NAC レイヤ 2 802.1x テンプレートのプロトコル設定を示します。

図7-40 NAC レイヤ 2 802.1x テンプレートのプロトコル設定

 

EAP Configuration セクションでは、ポスチャ確認が有効になっています。

認可ポリシー

NAC レイヤ 2 802.1x テンプレートの認可ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 Policies 列から Authorization リンクを選択します。

NAC レイヤ 2 802.1x テンプレート プロファイルの Authentication ページが表示されます(図7-41 を参照)。

図7-41 NAC レイヤ 2 802.1x テンプレート プロファイルの Authentication ページ

 

このページで、認可のレイヤ 2 NAC 802.1x テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図7-42 に、NAC レイヤ 2 802.1x テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図7-42 NAC レイヤ 2 802.1x テンプレートのサンプル ポスチャ確認ポリシー

 

サンプル無線(NAC L2 802.1x)テンプレート

このテンプレートで、無線ネットワークでのレイヤ 2 NAC 802.1x 要求用のプロファイルを作成します。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

無線(NAC L2 802.1x)NAC プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図7-43 を参照)。

図7-43 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから Wireless (NAC L2 802.1x) を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、無線 NAC レイヤ 2 802.1x ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name 列に新しいプロファイルが表示されます。

NAC レイヤ 2 802.1x テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートから Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図7-44 を参照)。

図7-44 無線(NAC L2 802.1x)テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。これは、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。これは、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタ処理でプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

プロトコル ポリシー

図7-45 に、無線(NAC L2 802.1x) テンプレートのプロトコル設定を示します。

図7-45 無線 NAC 802.1x テンプレートのプロトコル設定

 

EAP Configuration セクションでは、Posture Validation が有効になっています。

認可ポリシー

無線 NAC レイヤ 2 802.1x テンプレートの認可ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 Policies 列から Authorization リンクを選択します。

プロファイルの認証ページが開きます(図7-46 を参照)。

図7-46 無線(NAC L2 802.1x)プロファイル テンプレートの認可ページ

 

このページで、認証の無線(NAC L2 802.1x) テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

サンプル ポスチャ確認規則

図7-47 に、無線(NAC L2 802.1x)テンプレートに用意されているサンプル ポスチャ確認ポリシーを示します。

図7-47 無線(NAC L2 802.1x)テンプレートのサンプル ポスチャ確認ポリシー

 


) 無線 NAC L2 802.1x テンプレートのポスチャ確認ポリシーは、NAC L2 802.1x テンプレートの場合と同じです。


サンプル エージェントレス ホスト テンプレートの使用法

ACS 4.1 には、エージェントレス ホスト プロセス用の次の 2 つのサンプル テンプレートが用意されています。

L3 のエージェントレス ホスト

L2(802.1x フォールバック)のエージェントレス ホスト

この 2 つのテンプレートは、ほぼ同一です。この項では、レイヤ 3 のエージェントレス ホスト テンプレートを使用する手順について説明します。


L2(802.1x フォールバック)のエージェントレス ホスト プロファイル テンプレートを使用すると、スイッチが送信する RADIUS 要求と一致するプロファイルを作成できます。プロファイルが作成されたら、プロファイルと完全に一致するものを作成するために Catalyst 6500 から送信される RADIUS パケットの分析を完了する必要があります。スイッチから送信される RADIUS 要求には、Service Type 値 10(NAC-L2-IP と同様)が含まれますが、キーワード サービスのある Cisco Attribute Value Pair(AVP; AV のペア)は含まれません。したがって、テンプレートでは、Advanced Filtering セクションの 2 つのエントリが有効になります。


レイヤ 3 のエージェントレス ホスト テンプレートにより、エージェントレス ホスト プロセスに関係するレイヤ 3 要求のプロファイルが作成されます。このテンプレートを使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 3 のエージェントレス ホスト プロファイル テンプレートを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます(図7-48 を参照)。

図7-48 Create Profile from Template ページ

 

ステップ 3 Name および Description(オプション)に入力します。

ステップ 4 Template ドロップダウン リストから Agentless Host for L3 を選択します。

ステップ 5 Active チェックボックスをオンにします。

ステップ 6 Submit をクリックします。

エラーが表示されない場合、レイヤ 3 NAC ホストを認証できるプロファイルが作成されています。

Edit Network Access Profile ページが開き、Name 列に新しいプロファイルが表示されます。

レイヤ 3 のエージェントレス ホスト テンプレートの事前定義値には、次のものがあります。

プロファイル設定

プロトコル

サンプル ポスチャ確認ポリシー

認証ポリシー

ステップ 7 事前定義の値セットを選択するには、次のいずれかの設定オプションをクリックします。

プロファイル名(プロファイルのプロファイル設定ページを選択するため)

プロトコル

認証ポリシー

サンプル ポスチャ確認規則


 

プロファイルの設定

テンプレートからの Profile Setup 設定を使用するには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 作成したプロファイルを選択します。

ステップ 3 Profile Setup ページが表示されます(図7-49 を参照)。

図7-49 レイヤ 3 のエージェントレス ホスト テンプレートの Profile Setup ページ

 

プロファイルのデフォルト設定は、次のとおりです。

Any が Network Access Filter フィールドに表示されます。これは、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致するようにできます。

Protocol types リストに Allow any Protocol type が表示されます。これは、このプロファイルにはプロトコル タイプ フィルタが存在しないことを意味します。

Allow Selected Protocol types オプションは、フィルタ処理でプロトコル タイプを指定する場合にクリックします。

Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission
[006]Service-Type != 10
 

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各 RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS クライアントが送信する RADIUS アトリビュートを追加、削除、または編集することができます。


 

プロトコル ポリシー

図7-50 に、レイヤ 3 のエージェントレス ホスト テンプレートのプロトコル設定を示します。

図7-50 レイヤ 3 のエージェントレス ホスト テンプレートのプロトコル設定

 

Authentication Protocols セクションの Agentless Host processing をオンにします。

認証ポリシー

レイヤ 3 のエージェントレス ホスト テンプレートの認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles に進みます。

ステップ 2 Policies 列から Authentication リンクを選択します。

プロファイルの認証ページが開きます(図7-51 を参照)。

図7-51 レイヤ 3 のエージェントレス ホスト プロファイル テンプレートの認証ページ

 

このページで、認証のレイヤ 3 のエージェントレス ホスト テンプレート設定を表示できます。

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定(ACS は内部データベースを使用する)を保持する場合は、 Internal ACS DB オプション ボタンをクリックします。

b. LDAP サーバを指定する場合は、 LDAP Server オプション ボタンをクリックして、ドロップダウン リストから LDAP サーバを選択します。

c. If Agentless request was not assigned a user-group ドロップダウン リストから、ACS がユーザ グループに一致しないホストを割り当てるユーザ グループを選択します。


 

ステップ 15:プロファイルへのポスチャ確認コンポーネントのマッピング

内部ポスチャ確認ポリシー、外部ポスチャ確認サーバ、またはその両方をプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するプロファイルの Posture Validation ポリシーを選択します。

ステップ 3 Add Rule をクリックします。

ステップ 4 規則の名前を入力します。

指定された規則の Add/Edit Posture Validation Rule ページが表示されます(図7-52 を参照)。

図7-52 Add/Edit Posture Validation Rule ページ

 

ステップ 5 Required Credential Types を選択します。

ステップ 6 Select External Posture Validation Sever セクションで、このプロファイルにマッピングするポリシーまたはサーバを選択します。次の操作を行います。

ポスチャ サーバを選択するには、サーバ名の横のチェックボックスをオンにします。

ポリシーを選択するには、Failure Action 列のポリシーの横のチェックボックスをオンにします。

ステップ 7 Submit をクリックします。

ステップ 8 Back をクリックして、ポスチャ確認ポリシーに戻ります。

ステップ 9 Apply + Restart をクリックします。


 

ステップ 16:プロファイルへの監査サーバのマッピング

外部ポスチャ確認監査サーバをプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関係するポスチャ確認ポリシーの Protocols リンクをクリックします。

選択したポリシーの Protocols Settings ページが開きます。

ステップ 3 Allow Agentless Request Processing チェックボックスをオンにします。

ステップ 4 Submit をクリックします。

ステップ 5 関係するプロファイル ポスチャ確認ポリシーの Posture Validation リンクをクリックします。

ステップ 6 Select Audit をクリックします。

Select External Posture Validation Audit Server ページが開きます(図7-53 を参照)。

図7-53 Select External Validation Audit Server ページ

 

ステップ 7 使用する監査サーバを選択します。

ステップ 8 監査に失敗した場合に使用する Fail Open Configuration を指定するには、次の手順を実行します。

a. Do not reject when Audit failed チェックボックスをオンにします。

b. Use this Posture Token when unable to retrieve posture data ドロップダウン リストから、監査に失敗した場合に適用するポスチャ トークンを選択します。

c. タイムアウト値を秒単位で入力します。

d. 監査に失敗したときにサプリカントを割り当てる先のユーザ グループを指定する場合は、 Assign a User Group チェックボックスをオンにして、 Assign a User Group ドロップダウン リストからユーザ グループを選択します。

ステップ 9 Submit をクリックします。

ステップ 10 Done をクリックします。

ステップ 11 Apply and Restart をクリックします。


 

ステップ 17(オプション):GAME グループ フィードバックの設定

エージェントレス ホストが置かれた NAC 環境で ACS を使用している場合は、GAME グループ フィードバックを設定する必要があります。

GAME グループ フィードバックを設定するには、次の手順を実行します。


ステップ 1 CSUtil.exe を使用して、監査ベンダー ファイルをインポートします。

詳細については、「CSUtil を使用した監査ベンダー ファイルのインポート」を参照してください。

ステップ 2 CSUtil.exe を使用して、デバイス タイプ アトリビュート ファイルをインポートします。

詳細については、「CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート」を参照してください。

ステップ 3 NAC のアトリビュートと値のペアをインポートします。

詳細については、「NAC のアトリビュートと値のペアのインポート」を参照してください。

ステップ 4 エージェントレス ホスト プロセスのデータベース サポートを設定します。

使用するデータベースは、外部 LDAP データベース(優先)でも ACS 内部データベースでもかまいません。詳細については、「エージェントレス ホスト プロセスのデータベース サポートの設定」を参照してください。

ステップ 5 ポスチャ確認を有効にします。

詳細については、「ポスチャ確認の有効化」を参照してください。

ステップ 6 外部監査サーバを設定します。

詳細については、「外部監査サーバの設定」を参照してください。

ステップ 7 GAME グループ フィードバックを有効にします。

GAME グループ フィードバックを有効にするには、外部監査サーバのポスチャ確認設定セクションで、次を設定します。

監査対象のホスト

GAME グループ フィードバック

RADIUS ディクショナリにデバイス アトリビュートを持つベンダーについての、デバイス タイプの検索およびマッピング

詳細については、「GAME グループ フィードバックの有効化」を参照してください。

ステップ 8 デバイス グループ ポリシーを設定します。

詳細については、「GAME グループ フィードバックの有効化」を参照してください。


 

CSUtil を使用した監査ベンダー ファイルのインポート

CSUtil.exe を使用して監査ベンダー ファイルをインポートする方法の詳細については、『User Guide for Cisco Secure Access Control Server 4.1』の付録 D 「CSUtil Database Utility」の「Adding a Custom RADIUS Vendor and VSA Set」の項を参照してください。

CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート

GAME グループ フィードバックを設定するには、事前に デバイス タイプ アトリビュートが格納されているアトリビュート ファイルをインポートしておく必要があります。

デバイス タイプ アトリビュートを設定するテキスト ファイルのフォーマットは、次のとおりです。

[attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
attribute-id=00012
attribute-name=Device-Type
attribute-profile=in out
atribute-type=string
 

ファイルをインポートするには、次の手順を実行します。


ステップ 1 デバイス タイプ アトリビュートの設定に使用するテキスト ファイルを、適切なディレクトリに保存します。

ステップ 2 DOS コマンド ウィンドウを開きます。

ステップ 3 次のコマンドを入力します。

CSUtil -addAVP <device-type filename>

device-type filename は、デバイス タイプ アトリビュートが格納されているテキスト ファイルの名前です。

ステップ 4 ACS を再起動します。

a. ナビゲーション バーの System Configuration をクリックします。

b. Service Control をクリックします。

c. Restart をクリックします。


 

NAC のアトリビュートと値のペアのインポート

NAC のアトリビュートと値のペアをインポートするには、次の手順を実行します。


ステップ 1 NAC のアトリビュートと値のペアのファイルを取得します。

ステップ 2 CSUtil.exe を使用して、ファイルをインポートします。

a. DOS コマンド ウィンドウを開始します。

b. 次のコマンドを入力します。

CSUtil -addAVP <NAC AV-pair filename>

NAC AV-pair filename は、デバイス タイプ アトリビュートが格納されているテキスト ファイルの名前です。

ステップ 3 ACS を再起動します。

a. ナビゲーション バーの System Configuration をクリックします。

b. Service Control をクリックします。

c. Restart をクリックします。


 

エージェントレス ホスト プロセスのデータベース サポートの設定

使用するデータベースは、外部 LDAP データベース(優先)でも ACS 内部データベースでもかまいません。

エージェントレス ホスト プロセスのデータベース サポートの設定の詳細については、 第 4 章「エージェントレス ホスト サポートの設定のシナリオ」 「ステップ 4:MAB のための LDAP サポートの設定」を参照してください。

ポスチャ確認の有効化

2 つの場所のポスチャ確認を有効にする必要があります。場所は次のとおりです。

Global Authentication ページ(PEAP の設定の一部として)。

エージェントレス ホスト サポートを有効にするネットワーク アクセス プロファイルのプロトコル ページの、EAP 設定セクション。

外部監査サーバの設定

外部監査サーバの設定の詳細については、「外部ポスチャ確認監査サーバの設定」を参照してください。

GAME グループ フィードバックの有効化

GAME グループ フィードバックを有効にするには、次の手順を実行します。


ステップ 1 External Posture Validation Audit Server Setup ページで、GAME Group Feedback セクションの Request Device Type from Audit Server チェックボックスをオンにします。

このチェックボックスが使用できない場合は、ベンダーの監査デバイス タイプ アトリビュートを内部 ACS ディクショナリに定義します。

ACS for Windows の場合:

ACS for Windows の場合は、CSUtil.exe コマンドを使用します。詳細については、『 User Guide for Cisco Secure ACS 』の付録 D の「Posture Validation Attributes」を参照してください。

ACS Solution Engine の場合:

ACS Solution Engine の場合は、Web インターフェイスの NAC Attributes Management ページを使用します。詳細については、『 User Guide for Cisco Secure ACS 』の第 8 章の「 NAC Attribute Management (ACS Solution Engine Only) 」を参照してください。

ステップ 2 監査サーバがデバイス タイプを戻さない場合に ACS が使用するデフォルトの宛先グループを設定する場合は、Assign This Group if Audit Server Did not Return a Device-Type チェックボックスをオンにします。

ここで、グループ割り当てテーブルにエントリを追加します。グループ割り当てテーブルとは、監査サーバから戻される特定のデバイス タイプの割り当て先の、ユーザ グループを決定するための条件を設定する規則のリストです。

ステップ 3 Add をクリックしてグループ割り当てテーブルを表示し、デバイス タイプ フィードバック規則を追加します。

グループ割り当てテーブルが表示されます(図7-54 を参照)。

図7-54 グループ割り当てテーブルが表示される GAME Group Feedback セクション

 

ステップ 4 グループ割り当てテーブルに、次の値を指定します。

User Group :すべてのユーザ グループ(Any を含む)を一覧表示します。MAC 認証で戻されるデバイス タイプは、最初に、このデバイス タイプのリストと比較されます。

Match Condition :演算子に有効な値は、次のとおりです。

match-all

=

! =

contains

starts-with

regular-expression

Device Type :演算子およびデバイス タイプを使用して、User Group の比較条件を定義します。デバイス タイプ ドロップダウン リストに有効な値には、次の値が含まれます。

Printer

IP Phone

Network Infrastructure

Wireless Access Point

Windows

UNIX

Mac

Integrated Device

PDA

Unknown


) デバイス タイプ ドロップダウン リストに具体的なデバイスが含まれていない場合は、テキスト ボックスにデバイス タイプを入力します。


Assign User Group :管理者が定義したユーザ グループのドロップダウン リスト。最初の User Group と Device Type との比較が正常に終了すると、ACS はこのユーザ グループを割り当てます。

ステップ 5 ポリシーを追加する場合は、 Add をクリックします。

ステップ 6 ポリシーを削除する場合は、そのポリシーを選択して Delete をクリックします。

ステップ 7 ポリシーをグループ割り当てテーブル内で上下に移動する場合は、 Up および Down ボタンをクリックします。

ステップ 8 グループ割り当てのポリシーの設定が終了したら、 Submit をクリックします。

ステップ 9 Apply and Restart をクリックします。