Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ネットワーク アドミッション コントロール
ネットワーク アドミッション コントロール
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ネットワーク アドミッション コントロール

ネットワーク アドミッション コントロールについて

NAC AAA コンポーネント

ポスチャ確認

ポスチャ トークン

応答しない NAC クライアント コンピュータ

ネットワーク アドミッション コントロールの実装

NAC データベース

NAC データベースについて

NAC のクレデンシャルとアトリビュートについて

NAC データベース設定オプション

ポリシー選択オプション

NAC データベースの設定

NAC ポリシー

ローカル ポリシー

ローカル ポリシーについて

規則、規則要素、およびアトリビュートについて

ローカル ポリシー設定オプション

規則設定オプション

ローカル ポリシーの作成

外部ポリシー

外部ポリシーについて

外部ポリシー設定オプション

外部ポリシーの作成

ポリシーの編集

ポリシーの削除

ネットワーク アドミッション コントロール

Network Admission Control(NAC; ネットワーク アドミッション コントロール)を使用すると、NAC を適用するよう設定された AAA クライアントを介してネットワークにアクセスするコンピュータの、アクセス許可の程度を制御できます。NAC の基本は、ネットワーク上のコンピュータのポスチャ(状態)を確認することです。NAC において、Cisco Secure Access Control Server(ACS)Windows サーバ版は、ポスチャ確認を実行する役割を果たします。

この章は、次の項で構成されています。

「ネットワーク アドミッション コントロールについて」

「ネットワーク アドミッション コントロールの実装」

「NAC データベース」

「NAC ポリシー」

ネットワーク アドミッション コントロールについて

この項では、次のトピックについて取り上げます。

「NAC AAA コンポーネント」

「ポスチャ確認」

「ポスチャ トークン」

「応答しない NAC クライアント コンピュータ」

NAC AAA コンポーネント

次に示すリストは、NAC AAA パラダイムのコンポーネントを定義しています。これらのコンポーネントが使用されるポスチャ確認プロセスについては、「ポスチャ確認」を参照してください。

NAC クライアント コンピュータ :次に示すとおりに NAC ソフトウェアを実行するコンピュータ。

NAC クライアント :NAC クライアントは、Cisco Trust Agent(CTA)アプリケーションです。CTA は、コンピュータから、さらにはコンピュータにインストール済みのあらゆる NAC 準拠アプリケーションから、直接データを収集します。また、このデータを使用して、コンピュータのポスチャに関する情報を含むアトリビュート セットを作成します。これらのアトリビュートは、 クレデンシャル とも呼ばれます。クレデンシャルの詳細については、「NAC のクレデンシャルとアトリビュートについて」を参照してください。

NAC 準拠アプリケーション :NAC クライアントと融合するアプリケーション。このアプリケーションの例には、Cisco Security Agent のほか、Network Associates、Symantec、または Trend Micro のアンチウィルス プログラムがあります。これらのアプリケーションは、ウィルス定義ファイルのバージョン番号など、アプリケーションそのものに関するアトリビュートを NAC クライアントに提供します。

AAA クライアント :NAC 対応のオペレーティング システムを搭載する、ルータなどのネットワーク アクセス デバイス。

Cisco Secure ACS :内部ポリシー、外部ポリシー、またはその両方を使用して、NAC クライアント コンピュータのポスチャ確認を実行します。外部ポリシーを使用する場合、Cisco Secure ACS は、ポスチャ確認要求を NAC サーバに転送します。

NAC サーバ :外部ポリシーを使用するように Cisco Secure ACS が設定されている場合に、NAC クライアント コンピュータのポスチャ確認を実行します。

感染修復サーバネットワーク アドミッションの要件を満たすための修復や更新を必要とする NAC クライアント コンピュータをサポートします。

ポスチャ確認

Cisco Secure ACS は、NAC クライアント コンピュータから受信したクレデンシャルを使用して、コンピュータのポスチャを判別します。次に示すリストは、ポスチャ確認に関する手順とシステムの概要です。ポスチャ トークンやポリシーなど、さまざまな概念の詳細については、下記のトピックを参照してください。

1. NAC クライアント コンピュータが、ネットワーク上にトラフィックを送信します。

2. NAC 準拠の AAA クライアントが、トラフィックを受信し、EAP セッションを起動して、NAC クライアント コンピュータの EAP 識別情報を Cisco Secure ACS に転送します。

3. Cisco Secure ACS が、NAC クライアント コンピュータとの PEAP セッションを起動します。そのため、NAC 通信はすべて暗号化され、信頼されます。

4. NAC クライアントが Cisco Secure ACS にポスチャ確認要求を送信します。この要求には、コンピュータにインストール済みの各 NAC 準拠アプリケーションからのクレデンシャルが含まれています。

5. Cisco Secure ACS が、受信したクレデンシャルを使用して、次の操作を行います。

a. Cisco Secure ACS は、未知ユーザ ポリシーを使用して、ポスチャ確認にどの NAC データベースを使用するかを判別します。判別の結果、確認要求内のクレデンシャルによって必須クレデンシャル タイプが満たされた最初の NAC データベースを選択します。


) 未知ユーザ ポリシーを使用した結果、確認要求内のクレデンシャルによって必須クレデンシャル タイプが満たされる NAC データベースが見つからなかった場合、要求は拒否されます。


b. Cisco Secure ACS は、選択された NAC データベースに関連付けられているポリシーすべてを適用して、アプリケーション ポスチャ トークンを取得します。アプリケーション ポスチャ トークンは、関連付けられたアプリケーションの状態を表すシンボルです。

c. Cisco Secure ACS は、得られたアプリケーション ポスチャ トークンをすべて比較し、その中で最悪のトークンをシステム ポスチャ トークンとして使用します。システム ポスチャ トークンは、NAC クライアント コンピュータの全体的なポスチャを表します。

d. Cisco Secure ACS は、システム ポスチャ トークンと、選択された NAC データベースのグループ マッピングを使用して、どのユーザ グループが NAC クライアント コンピュータに適用可能な許可を含んでいるかを判別します。

6. Cisco Secure ACS が NAC クライアント コンピュータに、システム ポスチャ トークンと、ポスチャ確認要求に適用した各ポリシーの結果を送信した後、PEAP セッションを終了します。

7. Cisco Secure ACS が AAA クライアントに、マッピングされたユーザ グループでの設定どおりに、RADIUS アトリビュートを送信します。このアトリビュートには、ACL や、Cisco IOS/PIX RADIUS アトリビュート cisco-av-pair で設定されたアトリビュート値ペアが含まれます。

8. Cisco Secure ACS が、ポスチャ確認要求の結果を記録します。要求の結果、Healthy というシステム ポスチャ トークンが得られた場合は、結果を Passed Authentications ログに記録します(このログがイネーブルの場合)。Healthy 以外のポスチャ トークンが得られた場合は、Failed Attempts ログに記録します。

NAC クライアントは、自身の設定に従って、ポスチャ確認要求の結果を処理します。AAA クライアントは、自身の RADIUS 応答に、Cisco Secure ACS で指定されたとおりにネットワーク アクセスを適用します。ユーザは、グループ マッピングを設定し、ポスチャ確認の結果として判別されたシステム ポスチャ トークンに基づいて、許可とネットワーク アクセス制御を定義します。

ポスチャ トークン

ポスチャ トークンは、NAC クライアント コンピュータの状態、またはコンピュータにインストール済みの NAC 準拠アプリケーションの状態を表すシンボルです。コンピュータの状態に関連付けられたトークンは、 system posture token (SPT; システム ポスチャ トークン)です。NAC 準拠アプリケーションの状態に関連付けられたトークンは、 application posture token (APT; アプリケーション ポスチャ トークン)です。

APT は、受信されたポスチャ確認要求内のクレデンシャルにポリシーを適用した結果です。Cisco Secure ACS は、要求に適用されたすべてのポリシーから得られた APT どうしを比較して、各要求の SPT を判別します。最悪の APT が SPT になります。

設定変更できない 5 つのポスチャ トークンがあらかじめ定義されており、SPT と APT の両方に使用されます。次に、これらのポスチャ トークンを、最良のものから順に示します。

Healthy

Checkup

Quarantine

Infected

Unknown

Cisco Secure ACS 側から見ると、SPT の意味は、各 SPT をどのグループにマッピングし、それらのグループをどのように設定するかで決まります。つまり、各 NAC データベースの SPT は、設定可能なネットワーク許可に関連付けられます。

Healthy の SPT が得られたポスチャ確認要求は、Passed Authentications ログに記録されます。Healthy 以外の SPT が得られたポスチャ確認要求は、Failed Attempts ログに記録されます。

APT は、SPT の判別に使用される点を除けば、Cisco Secure ACS にとって有用ではありません。しかし、ポスチャ確認の結果を受信する NAC クライアントでは、関連する NAC 準拠アプリケーションにとっての意味に基づいて APT を使用できます。

応答しない NAC クライアント コンピュータ

NAC 準拠の AAA クライアントは、CTA とのポスチャ確認セッションを開始する試みに応答しないコンピュータの NAC を処理できます。このような状況になるのは、CTA がコンピュータにインストールされていない場合や、その他の理由で CTA が到達不能になっている場合です。このシナリオに対処するため、IOS では、応答しないコンピュータすべてに代わって、ユーザが許可要求に使用されるユーザ名とパスワードを定義できます。

Cisco Secure ACS において、対応するユーザ アカウントを作成し、次のいずれかの機能を使用して、応答しないコンピュータのネットワーク アクセスを制御する必要があります。

ダウンロード可能 IP ACL :応答しないコンピュータすべてから始まるセッションを制限する、ダウンロード可能 IP ACL セットを作成できます。

ネットワーク アクセス制限 :応答しないコンピュータから始まるセッションに対してネットワーク アクセスを許可しない、非共有ネットワーク アクセス制限を作成できます。

ディセーブル アカウント :応答しないコンピュータに許可を割り当てるときに使用されるユーザ アカウントをディセーブルにできます。この結果、応答しないコンピュータからのネットワーク アクセスは許可されません。

ネットワーク アドミッション コントロールの実装

ここでは、Cisco Secure ACS の NAC サポートを実装する手順と、より詳細な手順への参照を示します。

NAC を実装するには、次の手順を実行します。


ステップ 1 サーバ証明書をインストールします。Cisco Secure ACS では、NAC 用にサーバ証明書が必要です。これは、エンドユーザ クライアントとの NAC 通信が TLS トンネルで保護されているためです。第三者 certificate authority(CA; 認証局)から取得した証明書を使用するか、自己署名証明書を使用します。

サーバ証明書のインストールの詳細な手順については、「Cisco Secure ACS サーバ証明書のインストール」を参照してください。自己署名証明書の生成とインストールの詳細な手順については、「自己署名証明書の生成」を参照してください。


自己署名証明書を使用する場合は、その証明書を Cisco Secure ACS からエクスポートし、信頼できるルート CA 証明書として、NAC クライアント コンピュータ上のローカル ストレージへインポートすることが必要になる場合があります。


ステップ 2 外部ポリシーを使用して NAC クライアントを確認する場合、次の条件が両方とも満たされるときは、下記の指示に従います。

Cisco Secure ACS が外部 NAC サーバとの通信に HTTPS を使用する。

外部 NAC サーバが使用する CA と、ステップ 1 でインストールされた Cisco Secure ACS サーバ証明書を発行した CA とが異なる。

この場合は、Certificate Trust List(CTL; 証明書信頼リスト)を設定する必要があります。詳細な手順については、「証明書信頼リストの編集」を参照してください。

外部データベース サーバによって使用されるサーバ証明書を発行した CA が CTL に表示されない場合は、CA を追加する必要があります。詳細な手順については、「認証局証明書の追加」を参照してください。

ステップ 3 (オプション)Passed Authentications ログがイネーブルになっていない場合は、イネーブルにすることを考慮します。Healthy の SPT が得られたポスチャ確認要求は、Passed Authentications ログに記録されます。Passed Authentications ログは、ポスチャ トークン グループ マッピングの結果など、有用な NAC 情報を記録するように設定できます。Passed Authentications ログをイネーブルにする場合は、必ず、NAC 関連のアトリビュートを Passed Authentications File Configuration ページの Logged Attributes カラムに移動してください。

このタイプのログを設定する詳細な手順については、「CSV ログの設定」を参照してください。

ステップ 4 NAC アトリビュートを含むように Failed Attempts ログを設定します。Healthy 以外の SPT が得られたポスチャ確認要求は、Failed Attempts ログに記録されます。このログに NAC アトリビュートを含めると、NAC 実装時のエラーをデバッグするときに有用になる場合があります。たとえば、ポリシーを構成する規則に誤りがあると、ローカル ポリシーが想定外の結果を返す場合があります。Failed Attempts ログを使用すると、NAC クライアントから受信された要求内のアトリビュートと、NAC クライアントに送信された応答内のアトリビュートの内容を参照できます。

このタイプのログを設定する詳細な手順については、「CSV ログの設定」を参照してください。

ステップ 5 Global Authentication Setup ページで、PEAP の下の「Enable CNAC」を選択して、NAC をイネーブルにします。

詳細な手順については、「認証オプションの設定」を参照してください。

ステップ 6 NAC をサポートする AAA クライアントがまだ Network Configuration セクションで設定されていない場合は、ここで設定します。

詳細な手順については、「AAA クライアントの追加」を参照してください。

ステップ 7 NAC に使用するユーザ グループを選択します。多くの場合、可能性のある SPT ごとに別々のユーザ グループを使用します。したがって、5 つのユーザ グループを選択します。可能であれば、ユーザを許可するように設定されていないグループを選択します。また、ユーザを許可するときに使用されるグループとは大幅に異なるグループを使用することを考慮します。たとえば、ユーザを許可するときに低位番号のグループが使用されている場合は、グループ 494 ~ 499 を使用することを考慮します。


ヒント ユーザを許可するためのグループと、NAC クライアントを許可するためのグループとを混同することがないよう、グループ名を認識しやすい名前に変更することを考慮します。たとえば、グループ 499 を選択して Unknown SPT 関連の許可を含めた場合は、「NAC Unknown」というグループ名に変更します。詳細な手順については、「ユーザ グループの名前の変更」を参照してください。

ステップ 8 確認する NAC クライアント設定(およびクレデンシャル タイプの一意のセット)ごとに、次の手順を実行します。

a. NAC データベースを作成します。この作業には、必須クレデンシャル タイプおよびポリシーの設定作業も含まれます。

詳細な手順については、「NAC データベースの設定」を参照してください。

b. SPT/ユーザ グループ間マッピングを作成します。各 NAC データベースは、独自のグループ マッピングを持ちます。

詳細な手順については、「NAC グループ マッピングの設定」を参照してください。

ステップ 9 NAC データベースを含むように未知ユーザ ポリシーを設定します。未知ユーザの処理がイネーブルになっている場合、Cisco Secure ACS は、未知ユーザ ポリシーを使用して、NAC クライアントから受信したアトリビュートによって必須クレデンシャル タイプが満たされる NAC データベースがあるかどうかを判別します。Cisco Secure ACS は Configure Unknown User Policy ページの Selected Databases リストに含まれている NAC データベースのうち、必須クレデンシャル タイプが満たされた最初のデータベースを使用して、ポスチャ確認要求を処理します。

詳細な手順については、「未知ユーザ ポリシーの設定」を参照してください。


) デフォルト NAC データベースを作成し、Selected Databases リストの一番下に配置することができます。デフォルト NAC データベースは、必須クレデンシャル タイプを持たないため、要求内のクレデンシャルに関係なくすべての要求に対してポスチャ確認を実行できます。


ステップ 10 SPT ごとに、ネットワーク アクセスを適切に制限する、ダウンロード可能 IP ACL セットを作成します。NAC データベースが複数あり、NAC ごとに、同一の SPT に対して異なるネットワーク アクセス制御が必要な場合は、NAC データベースごとに、同一の SPT に対して異なるダウンロード可能 IP ACL を作成する必要があります。たとえば、NAI ポスチャ確認用と Symantec ポスチャ確認用の 2 つの NAC データベースがある場合、Quarantine SPT に対して異なるダウンロード可能 IP ACL を作成できます。1 つはアクセスを Symantec アンチウィルス サーバに限定し、もう 1 つは NAI アンチウィルス サーバに限定するものです。

詳細な手順については、「ダウンロード可能 IP ACL の追加」を参照してください。

ステップ 11 SPT をマッピングしたグループごとに、次の手順を実行します。

a. グループに適切な ACL を割り当てます。たとえば、ポスチャ確認によって Infected SPT が返された NAI NAC クライアントを許可するグループに対して、システム ポスチャが Quarantine である NAI NAC クライアントのアクセス制御用に作成した ACL を割り当てます。

詳細な手順については、「ダウンロード可能 IP ACL をグループに割り当てる」を参照してください。

b. (オプション)NAC に参加している AAA クライアントが、RADIUS (Cisco IOS/PIX) cisco-av-pair アトリビュートに NAC 関連 attribute-value(AV; アトリビュート値)ペアを使用するように設定されている場合は、適切な AV ペアを使用して RADIUS (Cisco IOS/PIX) cisco-av-pair アトリビュートを設定します。NAC 関連 AV ペアには、次のものがあります。

url-redirect

posture-token

status-query-timeout


注意 posture-token AV ペアは、Cisco Secure ACS が AAA クライアントに対して、ポスチャ確認によって返された SPT を通知する唯一の手段です。posture-token AV ペアの設定は手動で行うため、posture-token の設定に誤りがあると、誤った SPT が AAA クライアントに送信され、AV ペアの名前に入力ミスがあると、AAA クライアントが SPT をまったく受信できなくなることがあります。


) 上記の AV ペアの名前は、大文字小文字が区別されます。


グループ プロファイル内の RADIUS (Cisco IOS/PIX) cisco-av-pair アトリビュートを設定する詳細な手順については、「Cisco IOS/PIX RADIUS をユーザ グループに対して設定する」を参照してください。RADIUS (Cisco IOS/PIX) cisco-av-pair アトリビュートの詳細については、「cisco-av-pair RADIUS アトリビュートについて」を参照してください。

これで、Cisco Secure ACS が、ポスチャ確認要求を処理し、その結果を NAC クライアントに返し、適切な ACL を AAA クライアントに送信するように設定されました。

ステップ 12 応答しないコンピュータの NAC をサポートするユーザ アカウントを作成します。詳細については、「応答しない NAC クライアント コンピュータ」を参照してください。

これで、Cisco Secure ACS が、応答しないコンピュータの NAC をサポートするように設定されました。


 

NAC データベース

この項では、次のトピックについて取り上げます。

「NAC データベースについて」

「NAC のクレデンシャルとアトリビュートについて」

「NAC データベース設定オプション」

「ポリシー選択オプション」

「NAC データベースの設定」

NAC データベースについて

NAC データベースは、NAC クライアント コンピュータのポスチャを確認します。その際、NAC クライアントから Cisco Secure ACS に送信されるポスチャ確認要求内のクレデンシャルを使用します。


ヒント HTML インターフェイスの External User Databases セクションに NAC データベース ページが配置されていても、NAC データベースは外部データベースを必要としない場合があります。また Cisco Secure ACS は NAC データベースを使用したユーザ認証を実行しません。


NAC データベースは、次の要素で構成されます。

必須クレデンシャル タイプ :NAC データベースは、ゼロ個またはそれ以上の必須クレデンシャル タイプを持ちます。Cisco Secure ACS は、受信された要求内のクレデンシャルを、NAC データベースに関連付けられた必須クレデンシャル タイプと比較して、ポスチャ確認要求の評価に NAC データベースを使用するかどうかを判別します。指定された各クレデンシャル タイプが要求に含まれていた場合、Cisco Secure ACS は NAC データベースを使用して要求を評価します。それ以外の場合は、未知ユーザ ポリシーを使用して、受信したクレデンシャルを別の NAC データベースの必須クレデンシャル タイプと比較します。

NAC データベースが必須クレデンシャル タイプを持っていなくても、設定として有効です。Cisco Secure ACS では、ポスチャ確認要求はすべて、ゼロ個の必須クレデンシャル タイプを持つ NAC データベースの必須クレデンシャル タイプを満たすものと見なされます。この設計に従ってデフォルト データベースを作成すると、クレデンシャル タイプが見つからないためにポスチャ確認要求が拒否されることはなくなります。

クレデンシャル確認ポリシー :NAC データベースは、1 つ以上のクレデンシャル確認ポリシーを持ちます。Cisco Secure ACS は、NAC データベースを使用してポスチャ確認要求を評価する場合、NAC データベースに関連付けられた各ポリシーを、受信された要求内のアトリビュートに適用します。

NAC のクレデンシャルとアトリビュートについて

ポスチャ確認に使用されるクレデンシャルは、NAC クライアントから Cisco Secure ACS へ送信されるアトリビュート セットです。受信アトリビュートとも呼ばれるこのアトリビュートには、コンピュータのポスチャを判別するポスチャ確認の際に使用されるデータが含まれています。Cisco Secure ACS では、各 NAC 準拠アプリケーションからのアトリビュートと、CTA からのアトリビュートは、異なるクレデンシャル タイプと見なされます。

ローカル ポリシーを使用する場合、作成する規則は、受信アトリビュートの内容を使用し、ポリシーを適用した結果返される APT を判別します。外部ポリシーを使用する場合、Cisco Secure ACS は、指定されたクレデンシャル タイプを外部 NAC サーバに転送します。どちらの場合も、受信アトリビュートの内容には、ポスチャの判別と、コンピュータのネットワーク アドミッションの制御に使用される情報が含まれています。

Cisco Secure ACS は、NAC クライアントへの応答に NAC アトリビュートを使用します。このアトリビュートは、送信アトリビュートとも呼ばれます。たとえば、APT と SPT は、アトリビュートに格納され、NAC クライアントに送信されます。

クレデンシャル タイプは、ベンダー ID とアプリケーション ID という 2 つの ID の組み合せによって一意に識別されます。ベンダー ID は、 IANA Assigned Numbers RFC の中でベンダーに割り当てられた番号です。たとえば、9 というベンダー ID は、シスコシステムズに対応します。ベンダーは、供給する NAC アプリケーションに番号を割り当てています。たとえば、シスコシステムズ製アプリケーションの場合、1 というアプリケーション ID は CTA に対応します。HTML インターフェイスで、ローカル ポリシーの結果クレデンシャル タイプを指定する場合、クレデンシャル タイプは、ベンダーおよびアプリケーションに割り当てられた名前で識別されます。たとえば、CTA のクレデンシャル タイプは、Cisco:PA(「PA」は「ポスチャ エージェント」のことで、CTA の別の表現)です。ポスチャ確認に応答する場合、Cisco Secure ACS は、9 と 1 の数字 ID を使用します。これらの数字は、シスコと CTA の ID です。

アトリビュートは、ベンダー ID、アプリケーション ID、およびアトリビュート ID という 3 つの ID の組み合せによって一意に識別されます。ベンダーおよびアプリケーションの一意の組み合せの場合も、番号がそれぞれ割り当てられたアトリビュート セットが存在します。Cisco Secure ACS が NAC クライアントと通信する場合、ID は数字になります。HTML インターフェイスで、ローカル ポリシーの規則を指定する場合、アトリビュートは、ベンダー、アプリケーション、およびアトリビュートに割り当てられた名前で識別されます。たとえば、オペレーティング システムのバージョンに対応する CTA アトリビュートは、Cisco:PA:OS-Version です。Cisco Secure ACS が受信するデータでは、9、1、6 の数字 ID によってアトリビュートが識別されます。これらの ID は、シスコ、CTA、および CTA の 6 番目のアトリビュートに対応します。

ローカル ポリシーの規則で使用されるデータ タイプや演算子など、アトリビュートに関する詳細については、「規則、規則要素、およびアトリビュートについて」を参照してください。

NAC データベース設定オプション

Expected Host Configuration ページでは、NAC データベースを設定できます。NAC データベースの設定オプションは、次のとおりです。

Mandatory Credential Types :次のオプションが表示されます。

Credential Types :Cisco Secure ACS がデータベースを使用して要求を評価するときに必要となる、ポスチャ確認要求のクレデンシャル タイプが表示されます。要求に必須クレデンシャル タイプが含まれていなければ、Cisco Secure ACS は、要求の評価にデータベースを使用しません。


) 未知ユーザ ポリシーは、必須クレデンシャル タイプを使用して、Cisco Secure ACS がポスチャ確認要求の評価に特定の NAC データベースを使用できるかどうかを判別します。詳細については、第15章「未知ユーザ ポリシー」を参照してください。


Edit List ボタン :NAC データベースの Edit Credential Types ページにアクセスできます。

Credential Validation Policies :NAC データベースによって評価される各ポスチャ確認要求に対して Cisco Secure ACS が適用するポリシーが一覧表示されます。このテーブルには、次のオプションが用意されています。

Type :ポリシーがローカル ポリシーであるか、外部ポリシーであるかを示します。

Name :ポリシーの名前がリンクとして表示されます。リンクをクリックすると、適切なポリシー設定ページが開きます。このページでは、ポリシーの詳細表示、編集、または削除が可能です。

Description :ポリシーに関する説明が表示されます。特定のポリシーの Description カラムに表示されるテキストは、Description ボックスに前回入力されたテキストに対応しています。

Local Policies ボタン :現在の NAC データベースの Select Local Policies ページに移動できます。このページでは、現在の NAC データベースが使用するローカル ポリシーを選択することや、Local Policy Configuration ページにアクセスして追加のローカル ポリシーを作成することが可能です。

External Policies ボタン :現在の NAC データベースの Select External Policies ページに移動できます。このページでは、現在の NAC データベースが使用する外部ポリシーを選択することや、External Policy Configuration ページにアクセスして追加のローカル ポリシーを作成することが可能です。

ポリシー選択オプション

ポリシー選択ページでは、現在の NAC データベースでポスチャ確認要求を評価するときに Cisco Secure ACS が使用するポリシーを選択できます。Select Local Policies ページでは、使用されるローカル ポリシーを指定します。Select External Policies ページでは、使用される外部ポリシーを指定できます。ポリシーの選択オプションは次のとおりです。

Available Policies :このデータベースでポスチャ確認要求を評価するときに Cisco Secure ACS が使用 しない ポリシーが一覧表示されます。

Selected Policies :このデータベースでポスチャ確認要求を評価するときに Cisco Secure ACS が使用 する ポリシーが一覧表示されます。

New Policy ボタン :適切なポリシー設定ページに移動できます。

NAC データベースの設定

次の手順は、NAC データベースの設定方法を示しています。

始める前に

Expected Host Configuration ページで使用可能なオプションについては、「NAC データベース設定オプション」を参照してください。

Select Local Policies ページと Select Local Policies ページで使用可能なオプションについては、「ポリシー選択オプション」を参照してください。

NAC データベースを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration をクリックします。

使用可能な外部ユーザ データベース タイプのリストが表示されます。

ステップ 3 Network Admission Control をクリックします。

NAC データベースが存在しない場合は、Database Configuration Creation テーブルだけが表示されます。設定されている場合は、Database Configuration Creation テーブルと External User Database Configuration テーブルが表示されます。

ステップ 4 設定を作成する場合は、次の手順を実行します。

a. Create New Configuration をクリックします。

b. 表示されたボックスに新規 NAC データベースの名前を入力します。

c. Submit をクリックします。

External User Database Configuration テーブルに、新規設定が一覧表示されます。

ステップ 5 External User Database Configuration の下で、設定する NAC データベースの名前を選択します。


) NAC データベースが 1 つだけ存在する場合は、リストではなく、そのデータベースの名前が表示されます。次のステップに進みます。


ステップ 6 Configure をクリックします。


注意 Delete をクリックすると、選択された NAC データベースが削除されます。

選択された NAC データベースの Expected Host Configuration ページが表示されます。

ステップ 7 必須クレデンシャル タイプを設定します。複製先を指定するには、次の手順を実行します。

a. Mandatory Credential Types の下にある Edit List をクリックします。

Edit Credential Types ページが表示されます。

b. この NAC データベースで確認するのに必要なクレデンシャル タイプごとに、Available Credentials リストでクレデンシャル タイプを選択し、右矢印( --> )をクリックします。

そのクレデンシャル タイプが Selected Credentials リストに表示されます。


ヒント Selected Credentials リストからクレデンシャル タイプを削除するには、クレデンシャル タイプを選択し、左矢印(<--)をクリックします。

c. Submit をクリックします。

この NAC データベースの Expected Host Configuration ページが再度表示されます。

Mandatory Credential Types テーブルに、選択されたクレデンシャル タイプが一覧表示されます。Cisco Secure ACS は、Mandatory Credential Types テーブルに表示されているクレデンシャル タイプのアトリビュートがポスチャ確認要求に含まれている場合に限り、この NAC データベースをポスチャ確認に使用します。

ステップ 8 この NAC データベースで NAC クライアントを確認するときに Cisco Secure ACS が使用する必要のあるポリシーを選択します。選択できるのは、ローカル ポリシー、外部ポリシー、またはその両方です。複製先を指定するには、次の手順を実行します。

a. 必要に応じて、 Local Policies または External Policies をクリックします。

ポリシー選択ページに、Available Policies リストと Selected Policies リストが表示されます。

b. ポリシーを作成する場合は、次のいずれか適切な操作を実行します。

New Local Policy をクリックし、「ローカル ポリシーの作成」の手順を実行してから、この手順を続行します。

New External Policy をクリックし、「外部ポリシーの作成」の手順を実行してから、この手順を続行します。

c. この NAC データベースで NAC クライアントを確認するときに使用するポリシーごとに、Available Policies リストでポリシーを選択し、右矢印( --> )をクリックします。

そのポリシーが Selected Policies リストに表示されます。


ヒント Selected Policies リストからポリシーを削除するには、ポリシーを選択し、左矢印(<--)をクリックします。

d. Submit をクリックします。

Credential Validation Policies テーブルの Expected Host Configuration ページに、選択したポリシーが表示されます。

e. 必要に応じて、a.d. を繰り返します。

ステップ 9 Save Configuration をクリックします。

作成した NAC データベースが保存されます。

新規 NAC データベースを未知ユーザ ポリシーに追加することや、NAC データベースのグループ マッピングを設定することが可能です。


) グループ マッピングが作成されない限り、新規 NAC データベースでポスチャ確認を実行しても NAC クライアントのアクセスは制御できません。



 

NAC ポリシー

Cisco Secure ACS が確認要求に適用するポリシーは、Cisco Secure ACS が要求の評価に使用する NAC データベース用にユーザが選択したポリシーです。

ポリシーは再使用が可能です。つまり、単一のポリシーを複数の NAC データベースに関連付けることができます。たとえば、NAC 実装において、NAI ソフトウェアを使用する NAC クライアント用と、Symantec ソフトウェアを使用する NAC クライアント用に 2 つの NAC データベースが必要な場合、どちらのアンチウィルス アプリケーションがインストールされていても、NAC クライアントのオペレーティング システムに関する同一の規則を適用することが必要になる場合があります。オペレーティング システムに関する規則を適用する単一のポリシーを作成し、Symantec NAC データベースと NAI NAC データベースに関連付けることができます。

ポリシーを適用した結果は次のとおりです。

結果クレデンシャル タイプ :ポリシーの評価結果が適用されるクレデンシャル タイプおよび NAC 準拠アプリケーション。

トークン :結果クレデンシャル タイプによって定義された NAC クライアントとアプリケーションのポスチャを表す 5 つの定義済みトークンのいずれか。

アクション :結果クレデンシャル タイプによって定義されたアプリケーションへのポスチャ確認応答に含まれるオプションのテキスト文字列。

ポリシーには、ローカルと外部の 2 種類があります。

この項では、次のトピックについて取り上げます。

「ローカル ポリシー」

「外部ポリシー」

「ポリシーの編集」

「ポリシーの削除」

ローカル ポリシーについて

ローカル ポリシーは、Cisco Secure ACS で定義された 1 つまたは複数の規則で構成されます。Cisco Secure ACS は、ローカル ポリシーを適用する場合、ポリシー規則を使用して、受信されたポスチャ確認要求内のクレデンシャルを評価します。各規則は、APT、クレデンシャル タイプ、およびアクションに関連付けられます。APT とアクションがどの NAC 準拠アプリケーションに関連付けられるかは、クレデンシャル タイプで決まります。

Cisco Secure ACS は、各規則を、Policy Configuration ページに表示される順序で(上から下へ)適用します。その結果は、次のどちらかになります。

設定可能な規則との一致 :規則の要素すべてが、受信されたポスチャ確認要求内のクレデンシャルによって満たされた場合、ポリシーを適用した結果は、規則に関連付けられた結果クレデンシャル タイプ、APT、およびアクションになります。他の追加規則によってクレデンシャルが評価されることはありません。

設定変更できない規則との一致 :ポスチャ確認要求に含まれるアトリビュートがポリシー規則を 1 つも満たさない場合、Cisco Secure ACS は、ポリシーの結果として、デフォルト規則に関連付けられた結果クレデンシャル タイプ、アプリケーション ポスチャ トークン、およびアクションを使用します。


) ポスチャ確認要求にポリシーを適用すると、必ず、設定可能な規則の 1 つまたはデフォルト規則のどちらかと一致します。


ポリシー内の規則の順序を指定する場合は、各規則が true になる可能性を判断し、可能性の最も高い規則を先頭に、最も低い規則を末尾に配置します。このような処置により、規則処理の効率が良くなます。ただし、規則が true になる可能性を判断することは困難な場合があります。たとえば、1 つ目の規則が true になるポスチャの NAC クライアントの数が、2 つ目の規則の 2 倍になる場合があるとします。しかし、2 つ目の規則と一致するポスチャの NAC クライアントの方が、2 倍以上の頻度でポスチャ確認が発生する場合があるとします。そのため、2 つ目の規則を先頭に配置する必要があります。

規則、規則要素、およびアトリビュートについて

規則とは、1 つまたは複数の規則要素の集合です。規則要素とは、次の 3 つの項目からなる論理的な文です。

ポスチャ確認アトリビュート

演算子

Cisco Secure ACS は、演算子を使用して、アトリビュートの内容を値と比較します。規則全体が満たされるには、規則の規則要素それぞれが true になる必要があります。つまり、規則の規則要素すべてがまとめて「論理積演算」されます。

この項では、次のトピックについて取り上げます。

「NAC アトリビュート データ タイプ」

「規則演算子」

NAC アトリビュート データ タイプ

ポスチャ確認アトリビュートは、次のいずれかのデータ タイプになります。

ブール :アトリビュートには、1 または 0(ゼロ)の値が含まれます。HTML インターフェイスで、ブール アトリビュートを使用して規則要素を定義する場合、有効な入力語は false true です。有効な演算子は、=(等しい)と !=(等しくない)です。ブール アトリビュートを使用した規則要素が評価される場合、 false は 0(ゼロ)値に対応し、 true は 1 に対応します。

たとえば、ブール アトリビュートの規則要素において、アトリビュートが false に等しくないことを要求した場合、特定のポスチャ確認要求内のアトリビュートが 1 になると、Cisco Secure ACS はその規則要素を true と評価します。ただし、混乱を避けるため、アトリビュートが true に等しいことを要求して、規則要素をよりわかりやすい表現にします。

文字列 :アトリビュートには、文字列を含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、contains、starts-with、および正規表現です。

整数 :アトリビュートには、符号付き整数など、整数を含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、および >=(大なりイコール)です。規則要素の有効な入力値は、-65535 ~ 65535 の整数です。

符号なし整数 :アトリビュートには、符号なし整数のみを含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、および >=(大なりイコール)です。規則要素の有効な入力値は、0 ~ 4294967295 の自然数です。

ipaddr :アトリビュートには、IPv4 アドレスを含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、およびマスクです。規則要素の有効形式は、ドット付き 10 進形式です。演算子がマスクの場合、形式は mask / IP になります。詳細については、「規則演算子」を参照してください。

日付 :アトリビュートには、日付を含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、>=(大なりイコール)、および days-since-last-update です。規則要素の有効形式は、次のとおりです。

mm/dd/yyyy
hh
:mm:ss

バージョン :アトリビュートには、アプリケーションまたはデータ ファイルのバージョンを含めることができます。有効な演算子は、=(等しい)、!=(等しくない)、>(大なり)、<(小なり)、<=(小なりイコール)、および >=(大なりイコール)です。規則要素の有効形式は、次のとおりです。

n.n.n.n

ここで、各 n は、0 ~ 65535 の整数になります。

octet-array :アトリビュートには、任意のタイプの可変長データを含めることができます。有効な演算子は、=(等しい)と !=(等しくない)です。規則要素の有効な入力値は、7E(126 に相当する 16 進数)など、任意の 16 進数です。

規則演算子

Rule Configuration ページで規則を作成する場合、選択できる演算子は、選択したアトリビュートのタイプに適用可能なものだけです。たとえば、 Cisco:PA:PA-Name アトリビュートを選択した場合は、標準の数値演算子のほかに、 contains 演算子を使用できます。しかし、Cisco:PA:OS-Version アトリビュートを選択した場合は、数値演算子しか使用できません。アトリビュート タイプの詳細については、「NAC アトリビュート データ タイプ」を参照してください。

次に、Cisco Secure ACS でサポートされている演算子を示します。

=(等しい) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値に完全に等しい場合です。

!=(等しくない) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値と等しくない場合です。


ヒント != 演算子を使用すると、特にブール アトリビュートを使用する場合に、混乱を招く可能性があります。たとえば、ブール アトリビュートの規則要素において、アトリビュートが false に等しくないことを要求した場合、特定のポスチャ確認要求内のアトリビュートが 1 になると、Cisco Secure ACS はその規則要素を true と評価します。混乱を避けるため、アトリビュートが true に等しいことを要求して、規則要素をよりわかりやすい表現にします。


>(大なり) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値より大きい場合です。

<(小なり) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値より小さい場合です。

<=(小なりイコール) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値以下の場合です。

>=(大なりイコール) :規則要素が true になるのは、アトリビュートに含まれる値が、指定された値以上の場合です。

contains :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の一部が、指定された文字列と一致した場合です。たとえば、contains 演算子と sc という値を使用した場合は、 Cisco scsi 、または disc という文字列を含むアトリビュートと一致します。

starts-with :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の先頭部分が、指定された文字列と一致した場合です。たとえば、starts-with 演算子と Ci という値を使用した場合は、 Cisco または Ciena という文字列を含むアトリビュートと一致します。

正規表現 :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列が、指定された正規表現と一致した場合です。Cisco Secure ACS では、次に示す正規表現がサポートされています。

^(カレット) :^ 演算子は、文字列の先頭と一致します。たとえば、 ^Ci の場合は、 Cisco または Ciena という文字列と一致します。

$(ドル) :$ 演算子は、文字列の末尾と一致します。たとえば、 co$ の場合は、 Cisco または Tibco という文字列と一致します。

days-since-last-update :規則要素が true になるのは、アトリビュートに日付が含まれ、その日付と現在の日付との差が、指定された数値以下の場合です。たとえば、次に示す規則要素があるとします。

Symantec:AV:DAT-Date days-since-last-update 14

規則要素が true になるのは、ポスチャ確認要求の Symantec:AV:DAT-Date アトリビュートに、過去 14 日以内のデータが含まれている場合です。

mask :規則要素が true になるのは、アトリビュートに IP アドレスが含まれ、そのアドレスが、規則要素の値として指定されたネットマスクと IP アドレスで識別されるサブネットに属する場合です。規則要素の値の形式は次のとおりです。

mask/IP

たとえば、mask 演算子と 255.255.255.0/192.168.73.8 という値を使用した場合は、192.168.73.0 ~ 192.168.73.255 の IP アドレスを含むアトリビュートと一致します。許可されるマスクに制限はありません。また、Cisco Secure ACS は、標準のサブネット マスキング ロジックを使用して、指定された値に一致する IP アドレスのセットを判別します。

ローカル ポリシー設定オプション

Local Policy Configuration ページでは、ポリシーを構成する規則とその順序などを指定できます。ローカル ポリシーの設定オプションは次のとおりです。

Name :ポリシーを識別する名前を指定します。NAC データベースのポリシーを選択する場合は、この名前で選択します。また、ポリシー選択ページに説明は表示されません。したがって、できるだけ有用な名前にする必要があります。


) 名前には、最大で 32 文字まで使用できます。先頭と末尾にスペースを置くことはできません。名前には、次の 4 つの文字は使用できません。
[ ] , /


Description :ポリシーを説明する最大 255 文字のテキストを指定します。Description ボックスを使用すると、ポリシーの名前に含められなかった詳細情報を入力できます。たとえば、ポリシーの目的を説明することや、ポリシーの規則を要約することが可能です。同一のポリシーを複数の NAC データベースに適用することが可能なため、有用な説明を付加することで、ポリシーを変更するときに、どのデータベースがそのポリシーを使用するかを理解していない場合に発生する不測の設定エラーを防ぐこともできます。

Configurable Rules :ユーザが定義した規則が一覧表示されます。表示順序は、Cisco Secure ACS がポスチャ確認要求の評価にこれらの規則を使用する順序です。各規則はテーブルの別々の行に表示され、規則を識別する規則要素が青色のリンクとして表示されます。このテーブルで規則の順序を変更するには、規則の左にあるオプションを直接選択し、必要に応じて Up と Down をクリックして規則の位置を変更します。規則の順序の詳細については、「ローカル ポリシーについて」を参照してください。

Configurable Rules テーブルには、次のオプションが用意されています。

Result Credential Type :ベンダーとアプリケーションを指定します。規則が true の場合、Result Credential Type は、対応する Token リスト内のトークンが関連付けられたアプリケーションを指定します。クレデンシャル タイプは、ベンダー名とアプリケーション名で表示されます。たとえば、CTA は Cisco:PA としてリストに表示されます。クレデンシャル タイプの詳細については、「NAC のクレデンシャルとアトリビュートについて」を参照してください。

Token :トークン、特に APT を指定します。規則が true の場合、Token リストは、対応する Result Credential Type リストで選択されたベンダーおよびアプリケーションに関連付けられた APT を指定します。トークンの詳細については、「ポスチャ トークン」を参照してください。

Action :Result Credential Type リストで示されたアプリケーションに送信されるテキスト メッセージを指定します。テキスト メッセージを使用できるかどうかは、ベンダーで決まります。一部の NAC 準拠アプリケーションでは、Action ボックスは使用できません。

Default Rule設定可能な規則が 1 つも true でない場合、Default Rule テーブルは、Cisco Secure ACS がポリシーの適用結果として使用するクレデンシャル タイプ、トークン、およびアクションを指定します。


) Default Rule の下にある、Result Credential Type リスト、Token リスト、および Action ボックスの持つ意味は、Configurable Rules テーブルの同名のオプションと同じです。ただし、Configurable Rules テーブル内の規則が 1 つも true でない場合にデフォルト規則が自動的に true になる点を除きます。


規則設定オプション

Rule Configuration ページでは、規則を構成する規則要素を指定できます。規則の詳細については、「規則、規則要素、およびアトリビュートについて」を参照してください。

規則の設定オプションは次のとおりです。

Rule Elements Table :規則を構成する規則要素が一覧表示されます。規則要素ごとに Attribute、Operator、および Value カラムに表示される情報は、規則要素の作成時に指定された設定を反映します。各カラムの意味の詳細については、下記の対応するオプションの説明を参照してください。

Rule Elements Table の Attribute カラムは最大 27 文字に、Value カラムは最大 11 文字に制限されています。

Remove ボタン :選択された規則要素を Rule Elements Table から削除し、Attribute、Operator、および Value オプションを、削除された規則要素の対応するカラムの値に設定します。規則要素をダブルクリックしてテーブルから削除することもできます。


ヒント Remove ボタンを使用すると、テーブルに追加されている規則要素を編集できます。規則を選択して remove を選択した後、Attribute、Operator、および Value オプション(下記参照)を変更して、enter をクリックすると、編集済み規則が Rule Elements Table に戻ります。


Attribute :規則を指定するときに使用できるポスチャ確認アトリビュートがすべて一覧表示されます。表示されるアトリビュートは、NAC クライアントから受信可能なものだけです。Cisco:PA:System-Posture-Token などの送信専用アトリビュートは、規則では使用できないため、Attribute リストには表示されません。各アトリビュートは、ベンダー名、アプリケーション名、およびアトリビュート名で一意に識別され、次の形式でアルファベット順に表示されます。

vendor-name:application-name:attribute-name

Operator :規則要素が true かどうかを評価するときに Cisco Secure ACS が使用する比較方法を定義します。Operator リストで使用可能な演算子は、Attribute リストで選択されたアトリビュートのタイプによって異なります。>、<、= などの一般的な演算子に加え、Operator リストでは一部の特殊な演算子がサポートされます。特殊な演算子の詳細については、「規則、規則要素、およびアトリビュートについて」を参照してください。

Value :Cisco Secure ACS がアトリビュートの内容を比較するときの対象となる値を指定します。

Enter ボタン :Attribute、Operator、および Value オプションで定義された規則要素を Rule Elements Table に追加します。

ローカル ポリシーの作成

次の手順は、ローカル ポリシーの作成方法を示しています。

始める前に

ローカル ポリシーは複数の NAC データベース用に選択できますが、ローカル ポリシーを作成するページには、特定の NAC データベースの設定ページからアクセスする必要があります。Local Policy Configuration ページにアクセスするときに使用する NAC データベースによって、新規ローカル ポリシーを選択できる NAC データベースが制約されることはありません。

Local Policy Configuration ページで使用可能なオプションについては、「ローカル ポリシー設定オプション」を参照してください。

Rule Configuration ページで使用可能なオプションについては、「規則設定オプション」を参照してください。

ローカル ポリシーを作成するには、次の手順を実行します。


ステップ 1 Local Policy Configuration ページが表示されていない場合は、このページにアクセスします。複製先を指定するには、次の手順を実行します。

a. ナビゲーション バーの External User Databases をクリックします。

b. Database Configuration > Network Admission Control の順にクリックします。

NAC データベースのリストが表示されます。

c. NAC データベースのリストから NAC データベースを選択し、 Configure をクリックします。


ヒント 存在する NAC データベースが 1 つだけの場合、データベースのリストは表示されませんが、Configure をクリックできます。

選択された NAC データベースの Expected Host Configuration ページが表示されます。Credential Validation Policies テーブルに、この NAC データベース用に選択されたポリシーが一覧表示されます。

d. Credential Validation Policies の下にある Local Policies をクリックします。

Select Local Policies ページが表示されます。

e. New Local Policy をクリックします。

Local Policy Configuration ページが表示されます。

ステップ 2 Name ボックスに、ポリシーの説明的な名前を入力します。

ステップ 3 Description ボックスに、ポリシーに関する有用な説明を入力します。

ステップ 4 ポリシーの定義に必要な、1 つまたは複数の規則を作成します。

作成する規則ごとに、次の手順を実行します。

a. New Rule をクリックします。

Edit Rule ページが表示されます。

b. 追加する規則要素ごとに、次の操作をすべて行います。

アトリビュートを選択する。

演算子を選択する。

値を入力する。

Enter キーを押します。

アトリビュート タイプの詳細については、「NAC アトリビュート データ タイプ」を参照してください。演算子の詳細については、「規則演算子」を参照してください。

規則要素が Rule Elements テーブルに表示されます。

c. 規則要素が意図したとおりに設定されたことを確認します。


ヒント Rules Elements テーブルにすでに追加した規則要素を変更する場合は、規則要素を選択し、remove をクリックします。次に、そのアトリビュート、演算子、または値を編集してから、再度 enter をクリックします。

d. Submit をクリックします。

Policy Configuration ページが再度表示されます。新規の規則が Configurable Rules テーブルの一番下に表示されます。


ヒント 規則をクリックすると、Edit Rule ページに戻ることができます。

e. 新規の規則に対して、次の操作をすべて行います。

結果クレデンシャル タイプを選択する。

トークンを選択する。

アクションを入力する。

トークンの詳細については、「ポスチャ トークン」を参照してください。

規則がポスチャ確認要求と一致すると、指定された結果クレデンシャル タイプ、トークン、およびアクションがポリシーに関連付けられます。

ステップ 5 ポリシーの定義に必要な規則を作成したら、必要に応じて、規則の順序を設定します。Cisco Secure ACS は、ポリシーを適用するときに、Policy Configuration ページに表示される規則を上から順に照合します。規則が最初に一致した時点でポリシー処理が停止するため、順序は重要です。規則を移動するには、次の手順を実行します。

a. 規則を選択します。これを行うには、規則の左にあるボタンをクリックします。

b. 規則が目的の位置に来るまで、 Up または Down ボタンをクリックします。

ステップ 6 Default Rule を設定します。このため、Default Rule テーブルで、次の操作をすべて行います。

結果クレデンシャル タイプを選択する。

トークンを選択する。

アクションを入力する。

Cisco Secure ACS は、このポリシーをポスチャ確認要求に適用した結果、どの設定可能な規則にも一致しなかった場合、指定されたデフォルトの結果クレデンシャル、トークン、およびアクションをポリシーに関連付けます。

ステップ 7 Submit をクリックします。

Select Local Policies ページの Available Policies リストに、新規ポリシーが表示されます。


ヒント ポリシーは、Local Policy Configuration ページに移動するためにクリックスルーした NAC データベースだけでなく、すべての NAC データベースに追加できます。

ステップ 8 新規 NAC データベースの設定中であった場合は、「NAC データベースの設定」の手順に戻ります。


 

外部ポリシー

この項では、次のトピックについて取り上げます。

「外部ポリシーについて」

「外部ポリシー設定オプション」

「外部ポリシーの作成」

外部ポリシーについて

外部ポリシーは、外部 NAC サーバ(通常はアンチウィルス ベンダーからのサーバ)と、外部データベースに転送するクレデンシャル タイプのセットを定義するポリシーです。また、セカンダリ外部 NAC サーバを定義するオプションもあります。

Cisco Secure ACS は外部ポリシーの適用結果を判別しません。代わりに、選択されたクレデンシャルを外部 NAC サーバに転送し、ポリシー評価の結果である APT、結果クレデンシャル タイプ、およびアクションを受信します。

NAC データベースに関連付けられた外部ポリシーはそれぞれ結果を返す必要があります。結果を返さない外部ポリシーがあった場合、Cisco Secure ACS は、対応する NAC データベースを使用したポリシー確認要求を拒否します。たとえば、ポスチャ確認要求を評価するときに Cisco Secure ACS が使用する NAC データベースに 10 個のローカル ポリシーと 1 つの外部ポリシーがある場合、外部ポリシーに関連付けられている外部 NAC サーバがオンラインになっていると、10 個のローカル ポリシーすべてが SPT を返すかどうかは関係なくなります。1 つの外部ポリシーに障害が発生すると、Cisco Secure ACS はポスチャ確認要求を拒否します。

外部ポリシー設定オプション

External Policy Configuration ページでは、Cisco Secure ACS がポリシーの適用時に依存する NAC サーバ(およびオプションのセカンダリ NAC サーバ)を指定することや、Cisco Secure ACS が転送するクレデンシャル タイプのセットを設定することが可能です。外部ポリシーの設定オプションは次のとおりです。

Name :ポリシーを識別する名前を指定します。NAC データベースのポリシーを選択する場合は、この名前で選択します。また、ポリシー選択ページに説明は表示されません。したがって、できるだけ有用な名前にする必要があります。


) 名前には、最大で 32 文字まで使用できます。先頭と末尾にスペースを置くことはできません。名前には、次の 4 つの文字は使用できません。
[ ] , /


Description :ポリシーを説明する最大 255 文字のテキストを指定します。Description ボックスに入力するテキストは、ポリシーを使用する NAC データベースごとに、Expected Host Configuration ページのポリシーの横に表示されます。Description ボックスを使用すると、ポリシーの名前に含められなかった詳細情報を入力できます。たとえば、ポリシーの目的を説明することや、ポリシーの規則を要約することが可能です。

同一のポリシーを複数の NAC データベースに適用することが可能なため、有用な説明を付加することで、ポリシーを変更するときに、どのデータベースがそのポリシーを使用するかを理解していない場合に発生する不測の設定エラーを防ぐこともできます。

Server Configuration :プライマリ サーバを指定する必要があります。フェールオーバー動作用のセカンダリ サーバを指定するオプションがあります。外部ポリシーが適用されるポスチャ確認要求ごとに、Cisco Secure ACS は、イネーブルになっているポリシーのイネーブルになっている最初のサーバ設定を使用します。イネーブルになっている最初のサーバがプライマリ サーバのとき、Cisco Secure ACS がプライマリ サーバに到達できない場合や、プライマリ サーバが要求への応答に失敗した場合、Cisco Secure ACS はセカンダリ サーバを使用します(セカンダリ サーバが設定済みかつイネーブルの場合)。

プライマリおよびセカンダリ サーバの設定には、それぞれ次のオプションがあります。

URL :サーバの HTTP または HTTPS URL を指定します。URL は次の形式に従う必要があります。

[http[s]://]host[:port]/resource

ここで、 host は NAC サーバのホスト名または IP アドレス、 port はポート番号、 resource は URL の残りの部分で、いずれも NAC サーバそのもので必要になります。URL は、サーバのベンダーと設定によって異なります。NAC サーバに必要な URL については、NAC サーバのマニュアルを参照してください。

デフォルト プロトコルは、HTTP です。ホスト名で始まる URL は、HTTP が使用されることを前提としています。HTTPS を使用するには、 https:// で始まる URL を指定する必要があります。

ポートが省略された場合は、デフォルト ポートが使用されます。HTTP のデフォルト ポートはポート 80 で、HTTPS のデフォルト ポートはポート 443 です。

NAC サーバのホスト名が antivirus1 の場合、有効な URL は次のようになります。ここで、NAC サーバはポート 8080 を使用して、cnac という Web ディレクトリ内の policy.asp スクリプトが提供されるサービスの HTTP 要求に応答します。

http://antivirus1:8080/cnac/policy.asp
antivirus1:8080/cnac/policy.asp

同じサーバがデフォルト HTTP ポートを使用した場合、有効な URL は次のようになります。

http://antivirus1/cnac/policy.asp
http://antivirus1:80/cnac/policy.asp
antivirus1/cnac/policy.asp
antivirus1:80/cnac/policy.asp

同じサーバがデフォルト ポート上で HTTPS を使用した場合、有効な URL は次のようになります。

https://antivirus1/cnac/policy.asp
https://antivirus1:443/cnac/policy.asp

Username :転送するクレデンシャルをサーバに送信するときに Cisco Secure ACS が使用するユーザ名を指定します。サーバがパスワードで保護されていない場合、Username ボックスと Password ボックスに入力した値は無視されます。

Password :Username ボックス内のユーザ名に対応するパスワードを指定します。

Timeout (Sec) :クレデンシャルを転送してからサーバの応答を受信するまで Cisco Secure ACS が待機する秒数。

セカンダリ サーバが設定されている場合、タイムアウトしたプライマリ サーバへの要求はセカンダリ サーバに転送されます。

セカンダリ サーバが設定されていない場合や、セカンダリ サーバへの要求もタイムアウトした場合、Cisco Secure ACS は外部ポリシーを適用できないため、ポスチャ確認要求は拒否されます。

どのポスチャ確認要求に対しても、常に、Cisco Secure ACS は最初にプライマリ サーバを試行します。この場合、以前の要求がタイムアウトしたかどうかは関係ありません。

Trusted Root CA :サーバが使用するサーバ証明書を発行した認証局(CA)。プロトコルが HTTPS の場合、Cisco Secure ACS がクレデンシャルをサーバに転送するのは、サーバから提示される証明書が、このリストで指定された CA によって発行されている場合に限られます。信頼できるルート CA がサーバ証明書を発行していないために、Cisco Secure ACS が要求をプライマリまたはセカンダリ NAC サーバに転送できない場合、外部ポリシーは適用できないため、ポスチャ確認要求は拒否されます。

NAC サーバ証明書を発行した CA が Trusted Root CA リストにない場合は、CA 証明書を Cisco Secure ACS に追加する必要があります。詳細については、「認証局証明書の追加」を参照してください。


) Cisco Secure ACS は、Certificate Revocation List(CRL; 証明書失効リスト)で NAC サーバ証明書をチェックしません。この場合、NAC サーバ証明書の CA に対して CRL 発行者を設定しているかどうかは関係ありません。



ヒント CA の名前だけでなく、CA の正しい証明書タイプを必ず選択してください。たとえば、サーバが VeriSign Class 1 Primary CA 証明書を提示した場合、Trusted Root CA リストで VeriSign Class 1 Public Primary CA が選択されているときは、Cisco Secure ACS は HTTPS の使用時にクレデンシャルをサーバに転送しません。


Forwarding Credential Types :外部サーバに転送するクレデンシャル タイプを指定するときに使用する 2 つのリストが含まれています。

Available Credentials :外部サーバに送信 されない クレデンシャル タイプを指定します。

Selected Credentials :外部サーバに送信 される クレデンシャル タイプを指定します。

外部ポリシーの作成

次の手順は、外部ポリシーの作成方法を示しています。

始める前に

外部ポリシーは複数の NAC データベース用に選択できますが、外部ポリシーを作成するページには、特定の NAC データベースの設定ページからアクセスする必要があります。External Policy Configuration ページにアクセスするときに使用する NAC データベースによって、新規外部ポリシーを選択できる NAC データベースが制約されることはありません。

External Policy Configuration ページで使用可能なオプションについては、「外部ポリシー設定オプション」を参照してください。

外部ポリシーを作成するには、次の手順を実行します。


ステップ 1 External Policy Configuration ページが表示されていない場合は、このページにアクセスします。複製先を指定するには、次の手順を実行します。

a. ナビゲーション バーの External User Databases をクリックします。

b. Database Configuration > Network Admission Control の順にクリックします。

使用可能な外部ユーザ データベース タイプのリストが表示されます。

c. NAC データベースのリストから NAC データベースを選択し、 Configure をクリックします。


ヒント 存在する NAC データベースが 1 つだけの場合、データベースのリストは表示されませんが、Configure をクリックできます。

選択された NAC データベースの Expected Host Configuration ページが表示されます。Credential Validation Policies テーブルに、この NAC データベース用に選択されたポリシーが一覧表示されます。

d. Credential Validation Policies の下にある External Policies をクリックします。

Select External Policies ページが表示されます。

e. New External Policy をクリックします。

External Policy Configuration ページが表示されます。

ステップ 2 Name ボックスに、ポリシーの説明的な名前を入力します。

ステップ 3 Description ボックスに、ポリシーに関する有用な説明を入力します。

ステップ 4 Primary Server configuration 領域で、次の操作を行います。

a. Primary Server configuration チェックボックスをオンにします。


) Primary Server configuration チェックボックスがオンになっていない場合、Cisco Secure ACS はセカンダリ サーバ設定を使用します。セカンダリ サーバ設定が存在しない場合や、セカンダリ サーバが到達不能の場合、ポスチャ確認要求は拒否されます。


b. プライマリ NAC サーバに関する詳細設定を入力します。この領域にあるボックスとリストの詳細については、「外部ポリシー設定オプション」を参照してください。

ステップ 5 (オプション) Secondary Server configuration 領域で、次の操作を行います。

a. Secondary Server configuration チェックボックスをオンにします。

b. セカンダリ NAC サーバに関する詳細設定を入力します。この領域にあるボックスとリストの詳細については、「外部ポリシー設定オプション」を参照してください。

ステップ 6 Cisco Secure ACS から外部 NAC サーバに送信するポスチャ確認のクレデンシャル タイプを選択します。

Cisco Secure ACS から外部 NAC サーバに送信するポスチャ確認のクレデンシャル タイプごとに、Available Credentials リストでクレデンシャル タイプを選択し、右矢印( --> )をクリックします。

そのクレデンシャル タイプが Selected Credentials リストに表示されます。


ヒント Selected Credentials リストからクレデンシャル タイプを削除するには、クレデンシャル タイプを選択し、左矢印(<--)をクリックします。

ステップ 7 Submit をクリックします。

Select External Policies ページの Available Policies リストに、新規ポリシーが表示されます。


ヒント ポリシーは、External Policy Configuration ページに移動するためにクリックスルーした NAC データベースだけでなく、すべての NAC データベースに追加できます。

ステップ 8 NAC データベースの設定中であった場合は、「NAC データベースの設定」の手順に戻ります。


 

ポリシーの編集

始める前に

ポリシーを編集するには、対応する NAC データベースの Credential Validation Policies テーブルから、そのポリシーにアクセスする必要があります。

ポリシーを編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration > Network Admission Control の順にクリックします。

NAC データベースのリストが表示されます。

ステップ 3 NAC データベースのリストから NAC データベースを選択し、 Configure をクリックします。


ヒント 存在する NAC データベースが 1 つだけの場合、データベースのリストは表示されませんが、Configure をクリックできます。

選択された NAC データベースの Expected Host Configuration ページが表示されます。Credential Validation Policies テーブルに、この NAC データベース用に選択されたポリシーが一覧表示されます。

ステップ 4 Name で、編集するポリシーの名前をクリックします。


ヒント 編集するポリシーが Credential Validation Policies テーブルに表示されない場合は、必要に応じて Local Policies または External Policies をクリックし、編集するポリシーを Selected Policies リストに移動して、Submit をクリックします。編集が済んだら、ポリシーを Credential Validation Policies テーブルから削除できます。

適切なポリシー設定ページが表示されます。

ステップ 5 必要に応じて、ポリシーを編集します。次の点に注意してください。

ポリシーの名前を変更した場合、Submit をクリックすると、新規ポリシーが作成されます。新規ポリシーが格納され、古いポリシーの設定は変更されません。古いポリシーは、新規ポリシーが作成される前に存在していた各データベースの Credential Validation Policies テーブル上に残ります。

ポリシー名の変更後に Submit をクリックすると、ステップ 3 で選択した NAC データベースの適切なポリシー選択ページが表示されます。必要であれば、ポリシーの選択内容を変更し、 Submit をクリックします。

ローカル ポリシー規則を編集するには、Configurable Rules テーブルで、規則名をクリックします。Edit Rule ページに Rule Elements テーブルが表示されます。必要に応じて、規則の規則要素を追加、変更、または削除し、 Submit をクリックして Policy Configuration ページに戻ります。

ステップ 6 Submit をクリックします。

ポリシーに加えた変更が保存されます。Expected Host Configuration ページが再度表示されます。または、ポリシー名を変更した場合は、ポリシー選択ページが表示され、ステップ 3 で選択した NAC データベースの新規ポリシーを選択できます。


ヒント 編集目的だけでポリシーを NAC データベースに追加した場合は、必ず、該当する Selected Policies リストからポリシーを削除してください。これを行うには、必要に応じて Local Policies または External Policies をクリックし、ポリシーを Available Policies リストに移動して、Submit をクリックします。


 

ポリシーの削除

始める前に

ポリシーを削除するには、対応する NAC データベースの Credential Validation Policies テーブルから、そのポリシーにアクセスする必要があります。

ポリシーを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックします。

ステップ 2 Database Configuration > Network Admission Control の順に選択します。

使用可能な外部ユーザ データベース タイプのリストが表示されます。

ステップ 3 NAC データベースのリストから NAC データベースを選択し、 Configure をクリックします。


ヒント 存在する NAC データベースが 1 つだけの場合、データベースのリストは表示されませんが、Configure をクリックできます。

選択された NAC データベースの Expected Host Configuration ページが表示されます。Credential Validation Policies テーブルに、この NAC データベース用に選択されたポリシーが一覧表示されます。

ステップ 4 Name で、削除するポリシーの名前をクリックします。


ヒント 削除するポリシーが Credential Validation Policies テーブルに表示されない場合は、必要に応じて Local Policies または External Policies をクリックし、削除するポリシーを Selected Policies リストに移動して、Submit をクリックします。ポリシーを削除すると、そのポリシーは、この NAC データベースの Credential Validation Policies にも、ポリシー選択ページにも表示されなくなります。

適切なポリシー設定ページが表示されます。

ステップ 5 Delete Policy をクリックします。

ステップ 6 Submit をクリックします。

ポリシーが削除されます。Expected Host Configuration ページが再度表示されますが、Credential Validation Policies テーブルに削除済みポリシーは表示されなくなります。そのポリシーを使用するように設定されていたすべての NAC データベースで、削除済みポリシーが表示されなくなります。