Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
概要
概要
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

概要

Cisco Secure ACS のパラダイム

Cisco Secure ACS の仕様

システム パフォーマンス仕様

Cisco Secure ACS の Windows サービス

AAA サーバの機能と概念

Cisco Secure ACS と AAA クライアント

AAA プロトコル:TACACS+ と RADIUS

TACACS+

RADIUS

認証

認証方法の検討

認証とユーザ データベース

認証プロトコルとデータベースの互換性

パスワード

認証に関連するその他の機能

許可

最大セッション

ダイナミックな使用割当量

共有プロファイル コンポーネント

Cisco デバイス管理アプリケーションのサポート

許可に関連するその他の機能

アカウンティング

アカウンティングに関連するその他の機能

管理

管理セッション用の HTTP ポートの割り当て

ネットワーク デバイス グループ

管理に関連するその他の機能

ポスチャ確認

Cisco Secure ACS HTML インターフェイス

Cisco Secure ACS HTML インターフェイスについて

HTML インターフェイスのセキュリティ

HTML インターフェイスのレイアウト

HTML インターフェイス用の URL

ネットワーク環境と管理セッション

管理セッションと HTTP プロキシ

ファイアウォールを通した管理セッション

NAT ゲートウェイを通した管理セッション

HTML インターフェイスへのアクセス

HTML インターフェイスからのログオフ

オンライン ヘルプとオンライン マニュアル

オンライン ヘルプの使用方法

オンライン マニュアルの使用方法

概要

この章では、Cisco Secure ACS for Windows Server の概要を説明します。

この章は、次の項で構成されています。

「Cisco Secure ACS のパラダイム」

「Cisco Secure ACS の仕様」

「システム パフォーマンス仕様」

「Cisco Secure ACS の Windows サービス」

「AAA サーバの機能と概念」

「Cisco Secure ACS と AAA クライアント」

「AAA プロトコル:TACACS+ と RADIUS」

「認証」

「許可」

「アカウンティング」

「管理」

「ポスチャ確認」

「Cisco Secure ACS HTML インターフェイス」

「Cisco Secure ACS HTML インターフェイスについて」

「HTML インターフェイスのレイアウト」

「HTML インターフェイス用の URL」

「ネットワーク環境と管理セッション」

「HTML インターフェイスへのアクセス」

「HTML インターフェイスからのログオフ」

「オンライン ヘルプとオンライン マニュアル」

Cisco Secure ACS のパラダイム

Cisco Secure ACS は、Authentication, Authorization, and Accounting(AAA(トリプル A); 認証、許可、アカウンティング)サービスを、AAA クライアントとして動作するネットワーク デバイス、たとえば、ネットワーク アクセス サーバ、PIX Firewall、またはルータに対して提供します。図 1-1 の AAA クライアントは、AAA クライアント機能を備え、Cisco Secure ACS がサポートする AAA プロトコルの 1 つを使用するデバイスを表します。

図 1-1 簡単な AAA のシナリオ

 

Cisco Secure ACS を使用することにより、ルータとスイッチのアクセス管理に加えて、アクセス制御とアカウンティングを集中処理できます。ネットワーク管理者は、Cisco Secure ACS を使用することで、アカウント管理を迅速に行うとともに、ユーザ グループ全体に提供するサービス レベルをグローバルに変更できます。図 1-1 の外部ユーザ データベースはオプションですが、一般的なユーザ リポジトリの実装を数多くサポートしているため、企業は、社内ユーザ リポジトリの構築から得られた運用能力と、そのリポジトリ構築にこれまでに投入した投資を活用できます。

Cisco Secure ACS がサポートする Cisco AAA クライアントには、Cisco 2509、2511、3620、3640、AS5200 と AS5300、AS5800、Cisco PIX Firewall、Cisco Aironet Access Point ワイヤレス ネットワーキング デバイス、Cisco VPN 3000 コンセントレータ、および Cisco VPN 5000 コンセントレータが含まれます。さらに、Terminal Access Controller Access Control System(TACACS+)または Remote Access Dial-In User Service(RADIUS)プロトコルで設定可能なサード パーティ製のデバイスもサポートします。Cisco Secure ACS は、このようなデバイスをすべて AAA クライアントとして扱います。Cisco Secure ACS では、TACACS+ プロトコルや RADIUS プロトコルを使用して AAA サービスを提供し、安全な環境を確保します。Cisco Secure ACS における TACACS+ および RADIUS のサポートの詳細については、「AAA プロトコル:TACACS+ と RADIUS」を参照してください。

Cisco Secure ACS の仕様


) ハードウェア、オペレーティング システム、サードパーティ ソフトウェア、およびネットワークの要件については、「Cisco Secure ACS 展開の基本要件」を参照してください。


この項では、次のトピックについて取り上げます。

「システム パフォーマンス仕様」

「Cisco Secure ACS の Windows サービス」

システム パフォーマンス仕様

Cisco Secure ACS で実現されるパフォーマンスは、インストールされている Windows サーバ、ネットワーク トポロジとネットワーク管理、ユーザ データベースの選択、およびその他の要因に大きく依存します。たとえば、内部ユーザ データベースを使用し、使用可能な最高速のプロセッサとネットワーク インターフェイス カードを使用するコンピュータ上で動作している Cisco Secure ACS は、外部ユーザ データベースを使用し、最小システム要件に適合するコンピュータ上で動作している Cisco Secure ACS よりも、1 秒間に実行できる件数が多くなります(「システム要件」を参照してください)。

使用するネットワーク設定において予測される Cisco Secure ACS のパフォーマンスについては、製品を購入された販売代理店にお問い合せください。システム パフォーマンスについて、よくある質問に対する一般的な回答を次に示します。使用するネットワークにおける Cisco Secure ACS のパフォーマンスは、そのネットワーク特有の環境および AAA 要件によって異なります。

CiscoSecure ユーザ データベースがサポートする最大ユーザ数 :CiscoSecure ユーザ データベースがサポート可能なユーザ数に、理論的な制限はありません。シスコでは 100,000 を超えるユーザのデータベースで Cisco Secure ACS をテスト済みです。実際には、1 台の Cisco Secure ACS が内部および外部のデータベース全部に対して認証できるユーザ数の上限は、300,000 ~ 500,000 です。何台かの複製された Cisco Secure ACS に認証の負荷が分散されていると、この数は大幅に増加します。

トランザクション件数/秒 :1 秒あたりの認証トランザクションと許可トランザクションの件数を決定する要素は数多くありますが、大部分は Cisco Secure ACS の外部の要素です。たとえば、外部ユーザ データベースとの通信時にネットワーク待ち時間が長くなると、Cisco Secure ACS が処理できる 1 秒あたりのトランザクション件数が少なくなります。

サポートされる最大 AAA クライアント数 :Cisco Secure ACS は、約 5,000 台の AAA クライアント設定に対して AAA サービスをサポートできます。この制限は、主に Cisco Secure ACS HTML インターフェイスの制限です。Cisco Secure ACS の AAA クライアント設定が約 5,000 台を超えると、HTML インターフェイスのパフォーマンスが低下します。しかし、複数の物理ネットワーク デバイスが同じ AAA プロトコルと共有秘密情報を使用している場合は、これらの物理デバイスを Cisco Secure ACS の 1 台の AAA クライアント設定として表すことができます。この機能を利用すると、サポートされる実際の AAA クライアント数は約 20,000 台になります。

ネットワークに数千台の AAA クライアントがある場合は、複数の Cisco Secure ACS を使用して、それぞれの Cisco Secure ACS に割り当てる AAA クライアントの数を 5,000 台以下にすることを推奨します。たとえば、20,000 台の AAA クライアントがある場合は、4 台の Cisco Secure ACS を使用して AAA クライアント負荷を分散することで、管理する AAA クライアント設定の数が 5,000 台を超える Cisco Secure ACS が 1 台もないようにできます。複製を利用して、設定データを複数の Cisco Secure ACS に拡大する場合、AAA クライアント データは、同じ AAA クライアント セットにサービスを提供する Cisco Secure ACS だけに複製してください。

Cisco Secure ACS の Windows サービス

Cisco Secure ACS は、Microsoft Windows のサービスとして動作し、ネットワークにアクセスするユーザの認証、許可、アカウンティングを制御します。

Cisco Secure ACS をインストールすると、いくつかの Windows サービスが追加されます。これらのサービスは、Cisco Secure ACS の中心となる機能を提供します。各サービスの内容全体については、 付録 G「内部アーキテクチャ」 を参照してください。Cisco Secure ACS を実行しているコンピュータにおける Cisco Secure ACS サービスは、次のとおりです。

CSAdmin :Cisco Secure ACS の管理用 HTML インターフェイスを提供します。

CSAuth :認証サービスを提供します。

CSDBSync :CiscoSecure ユーザ データベースを外部 RDBMS アプリケーションに同期させます。

CSLog :ロギング サービスを、アカウンティングとシステム アクティビティの両方に対して提供します。

CSMon :Cisco Secure ACS のパフォーマンスの監視、記録、および通知を行うとともに、シナリオによっては自動応答も行います。

CSTacacs :TACACS+ AAA クライアントと CSAuth サービスの間の通信を提供します。

CSRadius :RADIUS AAA クライアントと CSAuth サービスの間の通信を提供します。

この各サービスの開始および終了は、個別に Microsoft サービスのコントロール パネルから行うことも、グループとして Cisco Secure ACS HTML インターフェイスから行うこともできます。Cisco Secure ACS サービスの開始と終了については、「サービス制御」を参照してください。

AAA サーバの機能と概念

Cisco Secure ACS は AAA サーバであり、AAA クライアントとして動作するネットワーク デバイスに AAA サービスを提供します。

Cisco Secure ACS は、AAA サーバとして多くのテクノロジーを実装し、このテクノロジーで AAA サービスを AAA クライアントに提供します。Cisco Secure ACS を理解するには、この多数のテクノロジーに関する知識が必要です。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS と AAA クライアント」

「AAA プロトコル:TACACS+ と RADIUS」

「認証」

「許可」

「アカウンティング」

「管理」

「ポスチャ確認」

Cisco Secure ACS と AAA クライアント

AAA クライアントはネットワーク デバイス上で動作するソフトウェアで、これを使用することで、ネットワーク デバイスは、ユーザ セッションの認証、許可、ロギング(アカウンティング)を AAA サーバに委託できます。AAA クライアントは、ユーザの認証とサービス要求の許可を行うために、エンドユーザ クライアントのアクセス要求をすべて Cisco Secure ACS に向けて送るように設定しておく必要があります。TACACS+ プロトコルまたは RADIUS プロトコルを使用して、AAA クライアントは認証の要求を Cisco Secure ACS に送信します。Cisco Secure ACS は、ユーザ名とパスワードの確認を、照会用に設定されているユーザ データベースを使用して行います。Cisco Secure ACS は、成功または失敗という応答を AAA クライアントに戻します。AAA クライアントは受信した応答に基づいて、ユーザのアクセスを許可または拒否します。ユーザの認証が成功すると、Cisco Secure ACS は AAA クライアントに一組の認証アトリビュートを送信します。その後に AAA クライアントは、アカウンティング情報の Cisco Secure ACS への転送を開始します。

ユーザが問題なく認証されると、一組のセッション アトリビュートが AAA クライアントに送信され、許可とも呼ばれる、セキュリティと制御に関する特権が追加されます。このアトリビュートには、IP アドレス プール、アクセス コントロール リスト、または接続のタイプ(IP、IPX、Telnetなど)が含まれる場合があります。最近では、各ネットワーキング ベンダーは、戻されるアトリビュート セットの使用範囲を拡張して、ますます幅広くなるユーザ セッションの提供に対応しています。

AAA プロトコル:TACACS+ と RADIUS

Cisco Secure ACS は、TACACS+ AAA プロトコルと RADIUS AAA プロトコルの両方を使用します。 表 1-1 に、この 2 つのプロトコルの比較を示します。

 

表 1-1 TACACS+ プロトコルと RADIUS プロトコルの比較

比較項目
TACACS+
RADIUS

伝送プロトコル

TCP:コネクション型トランスポート層プロトコル、信頼性の高い全二重データ伝送

UDP:コネクションレス型トランスポート層プロトコル、確認応答も配送保証もないデータグラム交換

使用されるポート

49

認証および許可:1645 および 1812

アカウンティング:1646 および 1813

暗号化

完全なパケット暗号化

16 バイト以下のパスワードに限り暗号化

AAA アーキテクチャ

認証、許可、アカウンティングの各サービスを独立制御

認証および許可を 1 つのサービスとして統合

利用目的

デバイスの管理

ユーザ アクセスの制御

TACACS+

Cisco Secure ACS は、シスコシステムズがドラフト 1.77 に定義している TACACS+ プロトコルに準拠しています。詳細については、Cisco IOS ソフトウェアのマニュアルまたは Cisco.com( http://www.cisco.com )を参照してください。

RADIUS

Cisco Secure ACS は、1997 年 4 月発行のドラフトおよび次の Requests for Comments(RFC)に定義されている RADIUS プロトコルに準拠しています。

RFC 2138, Remote Authentication Dial In User Service

RFC 2139, RADIUS Accounting

RFC 2865

RFC 2866

RFC 2867

RFC 2868

RFC 2869

認証およびアカウンティングに使用されるポートが、RADIUS RFC 文書では変わっています。新旧の RFC をサポートするために、Cisco Secure ACS は認証の要求をポート 1645 およびポート 1812 で受け入れます。アカウンティングに対しては、アカウンティング パケットをポート 1646 および 1813 で受け入れます。

標準 IETF RADIUS アトリビュート以外に、Cisco Secure ACS は RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)もサポートします。次の RADIUS VSA は、Cisco Secure ACS で定義済みです。

Cisco IOS/PIX

Cisco VPN 3000

Cisco VPN 5000

Ascend

Juniper

Microsoft

Nortel

Cisco Secure ACS では、最大 10 の RADIUS VSA のユーザ定義が可能です。新しく定義した RADIUS VSA は、Cisco Secure ACS で定義済みの RADIUS VSA と同様に使用できます。Cisco Secure ACS HTML インターフェイスの Network Configuration セクションで AAA クライアントを設定して、ユーザ定義の RADIUS VSA を AAA プロトコルとして使用できます。Interface Configuration セクションでは、ユーザ レベルおよびグローバルレベルのアトリビュートを、ユーザ定義の RADIUS VSA 用にイネーブルにできます。User Setup および Group Setup セクションでは、ユーザ定義の RADIUS VSA の使用可能なアトリビュートに値を設定できます。

ユーザ定義 RADIUS VSA の作成の詳細については、を参照してください。

認証

認証とは、ユーザの ID を判別し、その情報を確認することです。従来の認証方式では、名前とある決まったパスワードが使用されていました。さらに安全で新しいテクノロジーには、CHAP や One-Time Password(OTP; ワンタイム パスワード)があります。Cisco Secure ACS は、これらのさまざまな認証方式をサポートしています。

認証と許可には基本的な暗黙の関係があります。ユーザに与えられる許可特権が多くなればなるほど、それに応じて認証を強化する必要があります。Cisco Secure ACS は、さまざまな認証方法を用意して、この関係をサポートしています。

この項では、次のトピックについて取り上げます。

「認証方法の検討」

「認証とユーザ データベース」

「認証プロトコルとデータベースの互換性」

「パスワード」

「認証に関連するその他の機能」

認証方法の検討

ユーザ名とパスワードは、最も一般的かつ単純で、低コストな認証方式です。特別な機器は必要ありません。この方法はクライアント側で簡単に採用できることから、サービス プロバイダーの間で一般的に使用されています。この方式の欠点は、ユーザ名やパスワードの情報が簡単に第三者に伝えられたり、推測または不正に取得されたりする可能性がある点です。単純な暗号化されていないユーザ名とパスワードによる認証は確実な認証メカニズムとは言えませんが、インターネット アクセスなどのように許可レベルまたは特権レベルが低い場合は十分に対応可能です。

ネットワーク上でパスワードが不正に取得される危険性を低減するには、暗号化を使用します。TACACS+ および RADIUS などのクライアント/サーバ アクセス制御プロトコルでは、パスワードを暗号化して、ネットワーク内でパスワードが不正に取得される事態の発生を防止します。ただし、TACACS+ と RADIUS は AAA クライアントとアクセス コントロール サーバ間でのみ動作します。認証プロセスにおいては、このポイントの前で、許可のない者が暗号化されていないパスワードを入手する可能性があります。たとえば、ネットワーク アクセス サーバで終端する電話回線や ISDN 回線を介してダイヤルアップ接続を行うエンドユーザ クライアントとホスティング デバイスの間の通信や、エンドユーザ クライアントとホスティング デバイスの間の Telnet セッションを介して行われる通信がこれに相当します。

高度なレベルのセキュリティ サービスを提供するネットワーク管理者、およびパスワードの不正な取得による不正アクセスの可能性を低減しようとする企業では、OTP を使用できます。Cisco Secure ACS は、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)のリモート ノード ログインに対応した Password Authentication Protocol(PAP; パスワード認証プロトコル)を含む、いくつかの種類の OTP ソリューションをサポートしています。その中でも最強の OTP 認証メカニズムの 1 つと考えられているのが、トークン カードです。

認証とユーザ データベース

Cisco Secure ACS では、さまざまなユーザ データベースがサポートされます。CiscoSecure ユーザ データベース以外にも、次のような外部ユーザ データベースをサポートしています。

Windows ユーザ データベース

汎用 LDAP

Novell NetWare Directory Services(NDS)

Open Database Connectivity(ODBC)準拠のリレーショナル データベース

RSA SecurID トークン サーバ

RADIUS 準拠のトークン サーバ


) トークン サーバのサポートの詳細については、「トークン サーバ ユーザ データベース」を参照してください。


認証プロトコルとデータベースの互換性

Cisco Secure ACS が認証用にサポートしている各種のパスワード プロトコルは、Cisco Secure ACS がサポートしている各種のデータベースによって同じようにサポートされているとは限りません。Cisco Secure ACS がサポートするパスワード プロトコルの詳細については、「パスワード」を参照してください。

表 1-2 に、EAP以外の認証プロトコルのサポートを示します。

 

表 1-2 EAP 以外の認証プロトコルとユーザ データベースの互換性

データベース
ASCII/PAP
CHAP
ARAP
MS-CHAP v.1
MS-CHAP v.2

Cisco Secure ACS

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

Windows AD

Yes

No

No

Yes

Yes

LDAP

Yes

No

No

No

No

Novell NDS

Yes

No

No

No

No

ODBC

Yes

Yes

Yes

Yes

Yes

LEAP Proxy RADIUS Server

Yes

No

No

Yes

Yes

すべてのトークン サーバ

Yes

No

No

No

No

表 1-3 に、EAP 認証プロトコルのサポートを示します。

 

表 1-3 EAP 認証プロトコルとユーザ データベースの互換性

データベース
LEAP
EAP-MD5
EAP-TLS
PEAP
(EAP-GTC)
PEAP(EAP-MS
CHAPv2)
EAP-FAST フェーズ 0
EAP-FAST フェーズ 2

Cisco Secure ACS

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

Yes

Yes

Windows AD

Yes

No

Yes

Yes

Yes

Yes

Yes

LDAP

No

No

Yes

Yes

No

No

Yes

Novell NDS

No

No

No

Yes

No

No

Yes

ODBC

Yes

Yes

Yes

Yes

Yes

Yes

Yes

LEAP Proxy RADIUS Server

Yes

No

No

Yes

Yes

Yes

Yes

すべてのトークン サーバ

No

No

No

Yes

No

No

No

パスワード

Cisco Secure ACS は、よく使われるパスワード プロトコルを多数サポートしています。

ASCII/PAP

CHAP

MS-CHAP

LEAP

EAP-MD5

EAP-TLS

PEAP(EAP-GTC)

PEAP(EAP-MSCHAPv2)

EAP-FAST

ARAP

パスワードの処理は、使用するセキュリティ制御プロトコルのバージョンと種類(たとえば RADIUS や TACACS+)および AAA クライアントとエンドユーザ クライアントの設定に応じて、上記の認証プロトコルを使用して行うことができます。次の各項では、パスワード処理のさまざまな条件と機能の概要について説明します。

トークン サーバの場合、Cisco Secure ACS はトークン サーバに対するクライアントとして動作し、トークン サーバに応じて、そのサーバ特有の API と RADIUS インターフェイスのいずれかを使用します。詳細については、「トークン サーバと Cisco Secure ACS について」を参照してください。

Cisco Secure ACS では、異なるセキュリティ レベルを同時に使用して、さまざまな要件に対応できます。ユーザとネットワークの間の基本的なセキュリティ レベルは PAP です。PAP は、非暗号化セキュリティの代表ですが、クライアントにとって利便性が高く、シンプルです。PAP によって Windows データベースに対する認証を行うことができます。PAP で認証されるように設定しておくと、ユーザは 1 回の認証でデータベースにログインできます。エンドユーザ クライアントから AAA クライアントに通信するときに CHAP を使用すると、パスワードが暗号化されるため、暗号化しない場合より高いセキュリティ レベルが確保できます。CHAP は CiscoSecure ユーザ データベースで使用できます。ARAP のサポートには、Apple クライアントのサポートが必要です。

PAP、CHAP、ARAP の比較

PAP、CHAP、および ARAP は、パスワードの暗号化に使用される認証プロトコルです。しかし、各プロトコルのセキュリティ レベルは異なります。

PAP :平文パスワード(つまり暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。ユーザの認証に Windows ユーザ データベースを使用する場合は、PAP のパスワード暗号化または MS-CHAP を使用する必要があります。

CHAP :応答時に一方向の暗号化を使用するチャレンジ/レスポンス方式です。CHAP を使用することで、Cisco Secure ACS は、セキュリティ暗号化方式の折衝をセキュリティ レベルの高い順から行い、プロセス中に伝送されるパスワードを保護します。CHAP パスワードは再利用が可能です。CiscoSecure ユーザ データベースを認証に使用している場合は、PAP または CHAP のどちらかを使用できます。CHAP は、Windows ユーザ データベースでは使用できません。

ARAP :双方向のチャレンジ/レスポンス方式を使用します。AAA クライアントはエンドユーザ クライアントに対して自分自身の認証を要求し、エンドユーザ クライアントは AAA クライアントに対して自分自身の認証を要求します。

MS-CHAP

Cisco Secure ACS は、ユーザ認証用に Microsoft Challenge-Handshake Authentication Protocol(MS-CHAP)をサポートしています。MS-CHAP と標準の CHAP の違いは次のとおりです。

MS-CHAP Response パケットは、Microsoft Windows および LAN Manager 2.x と互換性のある形式を使用しています。MS-CHAP 形式では、平文または復号化されたパスワードを認証者が保存する必要はありません。

MS-CHAP では、認証者によって制御される認証再試行方式を使用します。

MS-CHAP では、Failure packet Message フィールドに障害コードが追加されています。

MS-CHAP の詳細については、RFC draft-ietf-pppext-mschap-00.txt、『RADIUS Attributes for MS-CHAP Support』を参照してください。

EAP のサポート

Extensible Authentication Protocol(EAP)は、IETF 802.1x に基づいており、AAA クライアントの設定を変更しなくても認証タイプを作成できるようにするエンドツーエンドのフレームワークです。EAP の詳細については、RFC 2284「 PPP Extensible Authentication Protocol (EAP) 」を参照してください。

Cisco Secure ACS では、次に示すさまざまな EAP をサポートしています。

EAP-MD5 :相互認証をサポートしていない EAP プロトコル。

EAP-TLS :トランスポート層セキュリティを含む EAP。詳細については、『 EAP-TLS Deployment Guide for Wireless LAN Networks 』およびを参照してください。

LEAP :Cisco Aironet ワイヤレス装置によって使用される EAP プロトコル。これは、相互認証をサポートしています。

PEAP :保護された EAP。EAP-Generic Token Card(GTC)および
EAP-MSCHAPv2 プロトコルを使用して実装されています。詳細については、を参照してください。

EAP-FAST :EAP 認証を暗号化するより高速な手段である EAP Flexible Authentication via Secured Tunnel(EAP-FAST)。EAP-GTC 認証をサポートしています。詳細については、を参照してください。

Cisco Secure ACS のアーキテクチャは、EAP に関しては拡張可能であり、上記以外のさまざまな EAP プロトコルは、プロトコルの完成次第、サポートする予定です。

基本的なパスワード設定

基本的なパスワード設定には、次の 3 つのタイプがあります。


これらの設定はすべて、受信認証に分類されています。


ASCII/PAP/CHAP/MS-CHAP/ARAP 用に 1 つのパスワードを使用これは、管理者がアカウントをセットアップする場合およびユーザが認証を取得する場合のどちらにも便利な方法です。しかし、CHAP パスワードが PAP パスワードと同じで、ASCII/PAP のログイン時に PAP パスワードが平文で伝送されるため、CHAP パスワードが外部に漏れる可能性があります。

ASCII/PAP 用と CHAP/MS-CHAP/ARAP 用に異なるパスワードを使用セキュリティ レベルを高くするために、2 つの異なるパスワードをユーザに与えることができます。ASCII/PAP パスワードが危険にさらされても、CHAP/ARAP パスワードの安全性は確保されます。

外部ユーザ データベースによる認証外部ユーザ データベースによる認証では、ユーザはパスワードを CiscoSecure ユーザ データベースに保存する必要はありません。代わりに、Cisco Secure ACS は、ユーザを認証するために照会する外部ユーザ データベースを記録します。

高度なパスワード設定

Cisco Secure ACS では、次に示す高度なパスワード設定をサポートしています。

受信パスワードほとんどの Cisco Secure ACS ユーザによって使用されるパスワードです。TACACS+ と RADIUS の両プロトコルでもサポートされます。このパスワードは CiscoSecure ユーザ データベースの内部に保持されており、送信パスワードが設定されている場合は通常、外部の送信元に公表されることはありません。

送信パスワードTACACS+ プロトコルは送信パスワードをサポートしています。送信パスワードは、たとえば、ある AAA クライアントを別の AAA クライアントおよびエンドユーザ クライアントが認証しなければならない場合に使用できます。CiscoSecure ユーザ データベースからのパスワードは、その後すぐに、2 番めの AAA クライアントおよびエンドユーザ クライアントに返送されます。

トークン キャッシングトークン キャッシングがイネーブルになっていると、ISDN ユーザは最初の認証時に入力したものと同じ OTP を使用して、2 番目の B チャネルに接続できます(制限時間内に限る)。セキュリティ レベルを高くするためには、AAA クライアントからの B チャネル認証要求では、ユーザ名の値に OTP を含める(たとえば、Fred password )と同時に、パスワードの値に ASCII/PAP/ARAP パスワードを含めることが必要です。TACACS+ サーバと RADIUS サーバは、トークンがキャッシュされていることを確認し、着信したパスワードを、ユーザが使用する設定に応じて、1 つの ASCII/PAP/ARAP パスワード、または別の CHAP/ARAP パスワードのいずれかと比較して検証します。

TACACS+ SENDAUTH 機能によって、AAA クライアントは自分自身の認証を、他の AAA クライアントやエンドユーザ クライアントに対して、送信認証によって行うことができます。送信認証では、PAP、CHAP または ARAP を使用できます。送信認証の場合は、Cisco Secure ACS のパスワードが公表されます。デフォルトでは、設定されている方法に応じて、ASCII/PAP パスワードまたは CHAP/ARAP パスワードが使用されます。しかし、ユーザに対して別の SENDAUTH パスワードを設定して、Cisco Secure ACS の受信パスワードが外部に漏れないようにすることをシスコでは推奨します。

送信パスワードを使用して、最高のセキュリティ レベルを維持する必要がある場合は、CiscoSecure ユーザ データベースのユーザに、受信パスワードとは異なる別の送信パスワードを設定することを推奨します。

パスワードのエージング

Cisco Secure ACS では、パスワード エージングの適用の有無、および適用の方法を選択できます。パスワード エージングの制御は、CiscoSecure ユーザ データベースまたは Windows ユーザ データベースのいずれかに備わっています。各パスワードのエージング方式は要件と設定によって異なります。

CiscoSecure ユーザ データベースが制御するパスワード エージング機能では、次のいずれかの場合にユーザに強制的にパスワードを変更させることができます。

指定日数が経過した後

指定ログイン回数を超えた後

新規ユーザの初回ログイン時

CiscoSecure ユーザ データベースが制御するパスワード エージング機能の要件と設定については、「CiscoSecure ユーザ データベースのパスワード エージングをイネーブルにする」を参照してください。

Windows ベースのパスワード エージング機能で、次のパスワード エージングのパラメータを制御できます。

パスワードの最大経過日数

パスワードの最小経過日数

Windows パスワード エージングの方式と機能は、どの Windows オペレーティング システムを使用しているか、および Active Directory(AD)または Security Accounts Manager(SAM)のどちらを採用しているかによって異なります。Windows ベースのパスワード エージング機能の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」を参照してください。

ユーザが変更できるパスワード

Cisco Secure ACS では、別のプログラムをインストールして、ユーザが Web ベースのユーティリティを使用して自分のパスワードを変更することが可能です。ユーザが変更できるパスワードのインストールの詳細については、『 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords 』を参照してください。

認証に関連するその他の機能

この項で述べた認証に関連する機能に加えて、Cisco Secure ACS は次の機能を提供します。

未知ユーザの認証に外部ユーザ データベースを使用する機能(を参照)

Microsoft Windows を実行しているコンピュータの認証(「マシン認証」を参照)

Microsoft Windows Callback 機能のサポート(「ユーザ コールバック オプションの設定」を参照)

外部データ ソースを使用して、パスワードを含むユーザ アカウントを設定する機能(を参照)

外部ユーザがイネーブル パスワードを使用して認証を行う機能(「TACACS+ Enable Password オプションをユーザに対して設定する」を参照)

他の AAA サーバに対する認証要求の代理処理(「分散システムにおけるプロキシ」を参照)

代理処理された認証要求からの設定可能文字列の除去(「ストリッピング」を参照)

自己署名サーバ証明書(を参照)

EAP-TLS 認証中の証明書失効リストの確認(を参照)

許可

許可とは、あるユーザが実行できる操作を決めることを言います。Cisco Secure ACS は、ユーザ プロファイル ポリシーを AAA クライアントに送信して、そのユーザがアクセスできるネットワーク サービスを決定します。ユーザごとおよびグループごとに、異なるサービス レベルの許可を設定できます。たとえば、標準的なダイヤルアップ ユーザに、重要なお客様やユーザと同じアクセス権限を持たせないように設定できます。また、セキュリティ レベル、アクセス時間帯およびサービスによって差別化することもできます。

Cisco Secure ACS のアクセス制限機能を使用すると、時間帯および曜日に基づいてログインを許可または拒否できます。たとえば、一時アカウントのグループを作成し、指定した日付にログインを無効にできます。これによって、サービス プロバイダーは 30 日間の無料トライアルの提供が可能になります。さらに、同じ許可機能を使用して、ログインの許可を月曜日から金曜日までの午前 9 時から午後 5 時までに制限した、コンサルタント用のテンポラリ アカウントを作成することもできます。

PPP、AppleTalk Remote Access(ARA)、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC などのサービス、あるいはこれらを組み合せたサービスに、ユーザを制限できます。サービスの選択後に、IP および IPX などのレイヤ 2 およびレイヤ 3 のプロトコルに制約を加え、個別のアクセス リストを適用します。ユーザごとまたはグループごとにアクセス リストを設定して、重要な情報が格納されているネットワーク上のポイントへのユーザ アクセスを制限したり、または File Transfer Protocol(FTP; ファイル転送プロトコル)や Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)などの特定サービスを使用不可にしたりできます。

サービス プロバイダーによって提供され、各企業の間で採用されて急速に普及しているサービスの 1 つが、Virtual Private Dial-Up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)のサービス認証です。Cisco Secure ACS では、情報を特定ユーザ用のネットワーク デバイスに提供し、インターネットなどの公衆ネットワークを介した安全なトンネルを設定できます。この情報は、お客様の設備内でユーザを検証するアクセス サーバ(たとえば、そのユーザ用のホーム ゲートウェイ)、または同じ目的のホーム ゲートウェイ ルータに提供されます。いずれの場合も、Cisco Secure ACS は、VPDN の各エンドとして使用できます。

この項では、次のトピックについて取り上げます。

「最大セッション」

「ダイナミックな使用割当量」

「共有プロファイル コンポーネント」

「Cisco デバイス管理アプリケーションのサポート」

「許可に関連するその他の機能」

最大セッション

最大セッションは、ユーザまたはグループのいずれかが利用できる同時セッション数の最大値を制限するときに役立つ機能です。

ユーザ最大セッション :たとえば、インターネット サービス プロバイダーは、アカウント保持者それぞれに対してセッションを 1 つだけに制限できます。

グループ最大セッション :たとえば、企業の管理者はリモート アクセス インフラストラクチャをいくつかの部門間で同等に共有するように許可し、ある 1 つの部門のユーザ全員に対して同時セッション数の最大値を制限できます。

単純なユーザ最大セッションとグループ最大セッションによる制御を有効にすることに加えて、Cisco Secure ACS では、管理者がグループ最大セッション数を指定して、グループベースのユーザ最大セッション数を指定することもできます。つまり、ユーザのグループ メンバーシップに基づいてユーザ最大セッション値を指定できます。たとえば、「営業」グループに対してグループ最大セッション数 50 を割り当て、さらにその「営業」グループの各メンバーに対して最大セッションをそれぞれ 5 セッションに制限することもできます。この場合、グループ アカウントのどのメンバーも一度に 5 セッションを超えて使用することはできませんが、グループでは 50 までのアクティブ セッションを使用できます。

最大セッション機能の詳細については、「最大セッションをユーザ グループに対して設定する」および 「最大セッション オプションをユーザに対して設定する」を参照してください。

ダイナミックな使用割当量

Cisco Secure ACS では、ユーザに対してネットワーク使用割当量を定義できます。使用割当量を使用して、グループ内の各ユーザまたは個別ユーザのネットワーク アクセスを制限します。割当量は、セッション時間またはセッション総数で定義します。絶対時間数でも、毎日、毎週、毎月ベースでも定義できます。割当量を超えてしまったユーザにアクセスを付与するために、必要に応じてセッション割当量カウンタをリセットできます。

時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットが使用できない場合、割当量が更新されるのはユーザがログオフして、AAA クライアントからのアカウンティング停止パケットが受信されたときだけです。ユーザがネットワークにアクセスするときに通る AAA クライアントに障害が発生すると、セッション情報はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで割当量はアップデートされないため、ユーザに割り当てられている量を最初のチャネルが使い切っても、2 番目のチャネルは受け付けられます。

使用割当量の詳細については、「使用割当量をユーザ グループに対して設定する」および 「User Usage Quotas オプションの設定」を参照してください。

共有プロファイル コンポーネント

Cisco Secure ACS は、複数のユーザ グループおよびユーザに適用できる許可プロファイル コンポーネントを指定するための手段を提供しています。たとえば、まったく同じネットワーク アクセス制限を課しているユーザ グループが複数あるとします。この場合、ネットワーク アクセス制限をグループごとに繰り返し設定するのではなく、HTML インターフェイスの Shared Profile Components セクションにネットワーク アクセス制限セットを設定した後で、そのネットワーク アクセス制限セットを使用するように各グループを設定します。

Cisco Secure ACS がサポートする共有プロファイル コンポーネントの種類については、「共有プロファイル コンポーネントについて」を参照してください。

Cisco デバイス管理アプリケーションのサポート

Cisco Secure ACS は、たとえば管理アプリケーションを使用して管理対象ネットワーク デバイスを設定するネットワーク ユーザに対してコマンド許可を提供することによって、Cisco デバイス管理アプリケーションをサポートします。管理アプリケーションのユーザに対するコマンド許可のサポートは、許可に Cisco Secure ACS を使用するように設定されている各管理アプリケーションそれぞれに対して、固有のコマンド許可セットを使用することで実現しています。

Cisco Secure ACS は、管理アプリケーションとの通信に TACACS+ を使用します。管理アプリケーションが Cisco Secure ACS と通信できるようにするには、その管理アプリケーションを、Cisco Secure ACS に TACACS+ を使用する AAA クライアントとして設定する必要があります。さらに、デバイス管理アプリケーションに有効な管理者名とパスワードを与える必要があります。管理アプリケーションが最初に Cisco Secure ACS と通信するとき、これらの要件が通信の正当性を保証します。AAA クライアントの設定については、「AAA クライアントの設定」を参照してください。管理者アカウントについては、「管理者アカウント」を参照してください。

さらに、管理アプリケーションが使用する管理者は、Create New Device Command Set Type 特権がイネーブルになっている必要があります。管理アプリケーションは、最初に Cisco Secure ACS と通信するとき、Cisco Secure ACS に対してデバイス コマンド セット タイプの作成を指示します。このコマンド セット タイプは、HTML インターフェイスの Shared Profile Components セクションに表示されます。さらに、TACACS+ に対してカスタム サービスを許可するように指示します。カスタム サービスは、HTML インターフェイスの Interface Configuration セクションの TACACS+ (Cisco IOS) ページに表示されます。TACACS+ サービスをイネーブルにする方法については、「TACACS+ のプロトコル設定オプション」を参照してください。管理アプリケーション用のデバイス コマンド許可セットについては、「コマンド許可セット」を参照してください。

管理アプリケーションがカスタム TACACS+ サービスおよびデバイス コマンド許可セット タイプを Cisco Secure ACS に指示した後、管理アプリケーションがサポートする各ロール用のコマンド許可セットを設定して、それらのセットを、ネットワーク管理者が含まれているユーザ グループ、またはネットワーク管理者である個人ユーザに対して適用できます。コマンド許可セットの設定については、「コマンド許可セットの追加」を参照してください。ユーザ グループへの共有デバイス コマンド許可セットの適用については、「デバイス管理コマンド許可をユーザ グループに対して設定する」を参照してください。ユーザへの共有デバイス コマンド許可セットの適用については、「デバイス管理コマンド許可をユーザに対して設定する」を参照してください。

許可に関連するその他の機能

この項で述べた許可に関連する機能に加えて、Cisco Secure ACS は次の機能を提供します。

ユーザのグループ管理。500 グループをサポート( 第6章「ユーザ グループ管理」 を参照)

外部ユーザ データベースからのユーザを特定の Cisco Secure ACS グループにマッピングする機能( 第16章「ユーザ グループ マッピングと仕様」 を参照)

管理者が指定したアクセス失敗回数を超えるとアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)

特定の日にアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)

ユーザのグループをディセーブルにする機能(「グループの無効化」を参照)

時間帯と曜日でアクセスを制限する機能(「デフォルトの時間帯アクセスをユーザ グループに対して設定する」を参照)

リモート アドレスの Caller Line Identification(CLID; 発信番号識別)と Dialed Number Identification Service(DNIS; 着信番号情報サービス)に基づく Network Access Restriction(NAR; ネットワーク アクセス制限)(「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照)

集中モジュラ構造 ACL 管理を可能にする、ユーザまたはグループのダウンロード可能 ACL(「ダウンロード可能 IP ACL」を参照)

ネットワークへのユーザのエントリ ポイントに基づいてさまざまなダウンロード可能 ACL と NAR を適用できるようにする、ネットワーク アクセス フィルタ(「ネットワーク アクセス フィルタ」を参照)

エンドユーザ クライアント ホストの IP アドレス設定に使用する IP プール(「IP アドレス割り当て方式をユーザ グループに対して設定する」を参照)

ユーザあたりおよびグループあたりの TACACS+ アトリビュートまたは RADIUS アトリビュート(「高度なオプション」を参照)

Voice over IP(VoIP)のサポート。アカウンティング データを設定可能なロギングを含む(「VoIP サポートをユーザ グループに対してイネーブルにする」を参照)

アカウンティング

AAA クライアントは、RADIUS プロトコルおよび TACACS+ プロトコルが提供するアカウンティング機能を使用して、各ユーザ セッションに関するデータを AAA サーバに記録するために送ります。Cisco Secure ACS は、アカウンティングの記録を、設定に従って、Comma-Separated Value(CSV; カンマ区切り値)ログ ファイルまたは ODBC データベースに書き込みます。このログ ファイルは、一般的に使用されているデータベースや表計算アプリケーションに簡単にインポートして、課金処理、セキュリティ監査、レポート作成などに利用できます。サード パーティ製のレポート ツールを使用してアカウンティング データを管理することもできます。たとえば、Extraxi の aaa-reports! は Cisco Secure ACS をサポートしています( http://www.extraxi.com )。

作成できるアカウンティング ログには、次の種類があります。

TACACS+ Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

RADIUS Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

Administrative Accounting :TACACS+ のコマンド許可がイネーブルになっているネットワーク デバイスで入力されたコマンドの一覧表示を行います。

Cisco Secure ACS のロギング機能の詳細については、 第11章「ログとレポート」 を参照してください。

アカウンティングに関連するその他の機能

この項で述べたアカウンティングに関する機能に加えて、Cisco Secure ACS は次の機能を提供します。

集中ロギング。複数の Cisco Secure ACS for Windows Server インストールで、それぞれのアカウンティング データをある 1 つのリモート Cisco Secure ACS サーバに転送できます(「リモート ロギング」を参照)。

設定可能な補助ユーザ ID フィールド。ログにある追加情報を取得するために使用します(「ユーザ データの設定オプション」を参照)。

設定可能なログ。必要な情報を取得できます(「アカウンティング ログ」を参照)。

管理

AAA の機能を設定、維持、保護するために、Cisco Secure ACS では柔軟な管理方式が使用されています。Cisco Secure ACS の管理は、ほぼすべてを HTML インターフェイスを介して実行できます。HTML インターフェイスへのアクセス手順を含め、HTML インターフェイスの詳細については、「Cisco Secure ACS HTML インターフェイス」を参照してください。

この項では、次のトピックについて取り上げます。

「管理セッション用の HTTP ポートの割り当て」

「ネットワーク デバイス グループ」

「管理に関連するその他の機能」

管理セッション用の HTTP ポートの割り当て

HTTP ポート割り当て機能を使用して、管理 HTTP セッション用に Cisco Secure ACS が使用する TCP ポートの範囲を設定できます。この範囲を HTTP ポート割り当て機能によって狭めることで、管理セッションのために開いたポートによってネットワークへの不正なアクセスが発生するリスクが少なくなります。

Cisco Secure ACS をファイアウォールを通して管理することは、シスコでは推奨していません。ファイアウォールを通しての管理には、Cisco Secure ACS が使用する HTTP 管理セッションのポート範囲全体で HTTP トラフィックを許可するように、ファイアウォールを設定する必要があります。この範囲を狭くして不正なアクセスによるリスクが減っても、Cisco Secure ACS をファイアウォールの外から管理することを許可すれば、より大きな攻撃のリスクが残ります。ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポートであるため、Cisco Secure ACS の管理ポート範囲上の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。


) HTTP ポート範囲を広くすると、セキュリティ上のリスクが高くなる可能性があります。不正なユーザが偶然にアクティブな管理ポートを発見することを避けるため、HTTP ポート範囲はなるべく狭くしてください。Cisco Secure ACS は、各管理セッションに関連付けられた IP アドレスをトラッキングします。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なリモート ホストの IP アドレスになりすます(スプーフィングを行う)ことがあります。


HTTP ポート割り当て機能の設定については、「アクセス ポリシー」を参照してください。

ネットワーク デバイス グループ

Network Device Group(NDG; ネットワーク デバイス グループ)を使用して、AAA クライアントおよび AAA サーバの集合を 1 つの論理グループとして表示し、管理できます。管理を簡単にするために、各グループに 1 つの分かりやすい名前を割り当て、その名前を使用して、グループ内のデバイスすべてを参照できます。これによって、2 つのレベルのネットワーク デバイスが Cisco Secure ACS の内部に作られます。つまり、独立したデバイス、たとえば、個々のルータやアクセス サーバ、AAA サーバ、PIX Firewall、および NDG という AAA クライアントと AAA サーバの名前付き集合です。

1 つのネットワーク デバイスが一時に属することができるのは、1 つの NDG に限られます。

NDG を使用すると、多数の AAA クライアントが広い地域にわたって分布している組織において、Cisco Secure ACS 内でその組織の環境を論理的に構成して、物理的な配置を反映させることができます。たとえば、欧州地域に設置されているルータすべてが Europe という名前のグループに属し、米国に設置されているルータすべてが US グループに属するというようにグループ化できます。この方法は、各地域の AAA クライアントが同じ区分で管理されている場合に特に便利です。別の方法としては、事業部や部門、ビジネス上の機能単位などのアトリビュートによって、環境を構成することもできます。

ユーザ グループを NDG に割り当てることもできます。NDG の詳細については、「ネットワーク デバイス グループの設定」を参照してください。

管理に関連するその他の機能

この項で述べた管理に関する機能に加えて、Cisco Secure ACS は次の機能を提供します。

管理者ごとに異なる特権を定義する機能(「管理者アカウント」を参照)

管理者のアクティビティのロギング機能(「Cisco Secure ACS システム ログ」を参照)

ログイン ユーザ リストの表示機能(「ダイナミック管理レポート」を参照)

CSMonitor サービス。モニタリング、通知、ロギング、および限定自動障害応答を提供(「Cisco Secure ACS Active Service Management」を参照)

ユーザ、グループ、ネットワーク デバイス、およびカスタム RADIUS VSA の設定を自動化する機能(を参照)

CiscoSecure ユーザ データベース コンポーネントを他の Cisco Secure ACS サーバに複製する機能(を参照)

定期およびオンデマンド Cisco Secure ACS システム バックアップ(「Cisco Secure ACS のバックアップ」を参照)

Cisco Secure ACS の設定、ユーザ アカウント、およびグループ プロファイルをバックアップ ファイルから復元する機能(「Cisco Secure ACS システムの復元」を参照)

ポスチャ確認

Cisco Secure ACS は、NAC 準拠の AAA クライアント、およびこれらの AAA クライアントを使用してネットワーク アクセスを求める NAC クライアント コンピュータにポスチャ確認サービスを提供することにより、Network Admission Control(NAC; ネットワーク アドミッション コントロール)をサポートします。NAC は、ネットワークを保護する強力な手段となります。ポスチャ確認要求を評価するように Cisco Secure ACS を設定できるデータには、オペレーティング システムのパッチ レベルとアンチウィルス DAT ファイルのバージョンおよび日付を含めることができます。

ポスチャ確認は、身元確認を行う代わりに、NAC クライアントによって Cisco Secure ACS に送信されたデータを使用して、NAC クライアント コンピュータの状態を判断します。Cisco Secure ACS は、コンピュータの状態の評価結果を使用して、そのコンピュータからのネットワーク アクセスを許可すべきかどうか、また、そのアクセスの段階を決定します。

詳細については、 第14章「ネットワーク アドミッション コントロール」 を参照してください。

Cisco Secure ACS HTML インターフェイス

この項では、Cisco Secure ACS HTML インターフェイスについて説明し、使用手順を示します。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS HTML インターフェイスについて」

「HTML インターフェイスのレイアウト」

「HTML インターフェイス用の URL」

「ネットワーク環境と管理セッション」

「HTML インターフェイスへのアクセス」

「HTML インターフェイスからのログオフ」

「オンライン ヘルプとオンライン マニュアル」

Cisco Secure ACS HTML インターフェイスについて

Cisco Secure ACS のインストール後は、その設定や管理を HTML インターフェイスを使用して行います。HTML インターフェイスでは、LAN または WAN 上の任意の接続から、Cisco Secure ACS の設定を容易に修正できます。

Cisco Secure ACS HTML インターフェイスは、Web ブラウザを使用して表示するように設計されています。インターフェイス設計では、操作性を容易にする目的から主として HTML が使用され、さらにいくつかの Java 機能が使用されています。このような設計によって、応答性が高く、理解しやすいものとなっています。Java 機能を使用する場合には、管理セッションに使用するブラウザで Java がサポートされていることが必要です。サポートされているブラウザについては、リリース ノートを参照してください。リリース ノートの最新バージョンは Cisco.com( http://www.cisco.com )に掲示されています。

HTML インターフェイスでは、ユーザ情報とグループ情報を表示、編集できるだけでなく、サービスの再開、リモート管理者の追加、AAA クライアント情報の変更、システムのバックアップ、ネットワーク上の任意の場所からのレポート表示なども実行できます。レポートは、接続のアクティビティを追跡し、ログイン ユーザを表示し、認証および許可に失敗したアクセス要求をリスト表示し、管理者が最近実行したタスクを表示します。

HTML インターフェイスのセキュリティ

HTML インターフェイスにアクセスするには、有効な管理者名とパスワードが必要です。管理者のクレデンシャルは、Cisco Secure ACS Login ページで暗号化されてから Cisco Secure ACS に送信されます。

管理セッションは、一定のアイドル時間(設定可能)が経過するとタイムアウトします。それでも、各セッションが終了したら HTML インターフェイスからログアウトすることを推奨します。Cisco Secure ACS からのログアウトについては、「HTML インターフェイスからのログオフ」を参照してください。アイドル タイムアウト機能の設定については、「アクセス ポリシー」を参照してください。

管理セッション用に Secure Sockets Layer(SSL)をイネーブルにできます。イネーブルにすると、Web ブラウザと Cisco Secure ACS との通信がすべて暗号化されます。ただし、ブラウザが SSL をサポートしている必要があります。この機能は、Administration Control セクションの Access Policy Setup ページでイネーブルにできます。HTML インターフェイスのセキュリティを確保するために SSL をイネーブルにする方法の詳細については、「アクセス ポリシー」を参照してください。

HTML インターフェイスのレイアウト

HTML インターフェイスには、縦割りの 3 つのパーティションがあり、これらはフレームと呼ばれます。

Navigation Bar :ブラウザ ウィンドウの左側にある灰色のフレームで、タスク ボタンを表示するナビゲーション バーです。各ボタンは、コンフィギュレーション領域(次を参照)を Cisco Secure ACS アプリケーション固有のセクション、たとえば、User Setup セクションや Interface Configuration セクションに変更します。このフレームの内容は変わらず、常に次のボタンが表示されています。

User Setup :ユーザ プロファイルの追加や編集を行います。User Setup セクションの詳細については、 第7章「ユーザ管理」 を参照してください。

Group Setup :ユーザのグループ用にネットワーク サービスとプロトコルを設定します。Group Setup セクションの詳細については、 第6章「ユーザ グループ管理」 を参照してください。

Shared Profile Components :ネットワーク アクセス制限およびコマンド許可セットの追加や編集を行います。ユーザとグループに適用されます。Shared Profile Components セクションの詳細については、 第5章「共有プロファイル コンポーネント」 を参照してください。

Network Configuration :ネットワーク アクセス デバイスの追加や編集、分散システムの設定を行います。Network Configuration セクションの詳細については、 第4章「ネットワーク設定」 を参照してください。

System Configuration :システム レベルの機能を設定します。HTML インターフェイスのこの大きなセクションについては、4 つの章で説明しています。バックアップのスケジューリング、サービス制御などの基本機能については、 第8章「システム設定:基本」 を参照してください。データベース複製などの高度な機能については、 第9章「システム設定:高度」 を参照してください。認証プロトコルおよび証明書関連機能の設定については、 第10章「システム設定:認証と証明書」 を参照してください。ログとレポートの設定については、 第11章「ログとレポート」 を参照してください。

Interface Configuration :設定対象となる製品機能とオプションを表示したり非表示にしたりします。Interface Configuration セクションの詳細については、 第3章「インターフェイス設定」 を参照してください。

Administration Control :アクセス ポリシーの定義や設定を行います。Administration Control セクションの詳細については、 第12章「管理者と管理ポリシー」 を参照してください。

External User Databases :データベース、未知ユーザ ポリシー、およびユーザ グループ マッピングを設定します。データベースを設定する方法については、 第13章「ユーザ データベース」 を参照してください。未知ユーザ ポリシーについては、 第15章「未知ユーザ ポリシー」 を参照してください。ユーザ グループ マッピングについては、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

Reports and Activity :アカウンティング情報およびロギング情報を表示します。レポートの表示については、 第11章「ログとレポート」 を参照してください。

Online Documentation :ユーザ ガイドを確認します。オンライン マニュアルの使用については、「オンライン ヘルプとオンライン マニュアル」を参照してください。

Configuration Area :ブラウザ ウィンドウ中央のフレームはコンフィギュレーション領域で、ナビゲーション バーのボタンが表すセクションの 1 つに属する Web ページが表示されます。コンフィギュレーション領域で、情報を追加、編集、削除します。たとえば、User Setup Edit ページのこのフレームで、ユーザ情報を設定します。


) ほとんどのウィンドウには、一番下に Submit ボタンがあります。変更内容を確認するには、Submit をクリックします。Submit をクリックしない場合は、変更内容が保存されません。


Display Area :ブラウザ ウィンドウの右側にあるフレームはディスプレイ領域で、次のオプションのいずれかが表示されます。

Online Helpコンフィギュレーション領域に現在表示されているページに関する基本的なヘルプが表示されます。このヘルプはセクションの詳細情報ではなく、中央部のフレームで実行できる作業に関する基本情報を表示します。オンライン ヘルプの詳細については、「オンライン ヘルプの使用方法」を参照してください。

Reports or Listsアカウンティング レポートを含む、リストまたはレポートが表示されます。たとえば、User Setup では、特定の文字で始まるすべてのユーザ名を表示することができます。特定の文字で始まるユーザ名のリストが、このセクションに表示されます。ユーザは特定のユーザ設定にリンクするハイパーリンク形式で表示されるので、名前をクリックするだけでそのユーザの編集が可能になります。

System Messages誤ったデータまたは不完全なデータを入力して Submit をクリックすると、エラー メッセージが表示されます。たとえば、User Setup セクションで、Password ボックスに入力した情報と Confirm Password ボックスの情報とが一致しない場合、Cisco Secure ACS はエラー メッセージを表示します。誤った情報はコンフィギュレーション領域に表示されたままであるため、これを入力し直して、正しい情報を再提示できます。

HTML インターフェイス用の URL

次の URL のいずれかを使用して、Cisco Secure ACS HTML インターフェイスにアクセスできます。

http:// IP address :2002

http:// hostname :2002

IP address には Cisco Secure ACS が動作しているコンピュータのドット区切り 10 進表記 IP アドレス、 hostname には Cisco Secure ACS が動作しているコンピュータのホスト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく機能しているか、またはブラウザを実行しているコンピュータのローカル ホスト ファイルにホスト名が記載されている必要があります。

SSL を使用して管理セッションを保護するように Cisco Secure ACS が設定されている場合は、次のように URL で HTTPS プロトコルを指定して HTML インターフェイスにアクセスすることもできます。

https:// IP address :2002

https:// hostname :2002

SSL がイネーブルになっている場合は、HTTPS を指定しなくても、Cisco Secure ACS によって最初の要求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者クレデンシャルが保護されます。管理セッションを保護するための SSL のイネーブル化については、「アクセス ポリシー」を参照してください。

Cisco Secure ACS を実行しているコンピュータからは、次の URL も使用できます。

http://127.0.0.1:2002

http:// hostname :2002

hostname には Cisco Secure ACS が動作しているコンピュータのホスト名が入ります。SSL がイネーブルになっている場合は、次のように URL で HTTP プロトコルを指定できます。

https://127.0.0.1:2002

https:// hostname :2002

ネットワーク環境と管理セッション

管理セッションを起動するときは、HTTP プロキシ サーバ、ブラウザと Cisco Secure ACS 間でのファイアウォール、およびブラウザと Cisco Secure ACS 間の NAT ゲートウェイを使用しないことを推奨します。これらの制限は現実的に不可能な場合もあるため、この項では、さまざまなネットワーク環境の問題が管理セッションに及ぼす影響について説明します。

この項では、次のトピックについて取り上げます。

「管理セッションと HTTP プロキシ」

「ファイアウォールを通した管理セッション」

「NAT ゲートウェイを通した管理セッション」

管理セッションと HTTP プロキシ

Cisco Secure ACS は、管理セッション用として HTTP プロキシをサポートしていません。管理セッションに使用するブラウザがプロキシ サーバを使用するように設定されていると、Cisco Secure ACS は、管理セッションがコンピュータの実際のアドレスではなくプロキシ サーバの IP アドレスから出ていると認識します。管理セッションのトラッキングは、固有の IP を持つコンピュータに各ブラウザがあることを想定しています。

また、代理処理された管理セッションの IP フィルタリングは、コンピュータの IP アドレスではなくプロキシ サーバの IP アドレスに基づく必要があります。これは、コンピュータの実際の IP アドレスを使用する管理セッションの通信と衝突します。管理セッションの IP フィルタリングの詳細については、「アクセス ポリシー」を参照してください。

これらの理由により、プロキシ サーバを使用するように設定した Web ブラウザを使用した管理セッションの実行は推奨していません。プロキシ対応の Web ブラウザを使用した管理セッションについては、テストを行っていません。Web ブラウザがプロキシ サーバを使用するように設定されている場合、Cisco Secure ACS 管理セッションを行う際には、HTTP プロキシを無効にしてください。

ファイアウォールを通した管理セッション

ファイアウォールが Network Address Translation(NAT; ネットワーク アドレス変換)を実行しない場合、ファイアウォールを越えて管理セッションを行うには、Cisco Secure ACS およびファイアウォールに設定を追加する必要があります。これは、Cisco Secure ACS が管理セッションの開始時にランダムに HTTP ポートを割り当てるためです。

Cisco Secure ACS を保護するファイアウォールの外にあるブラウザからの管理セッションでは、Cisco Secure ACS で使用するように設定したポート範囲全体で HTTP トラフィックを許可する必要があります。HTTP ポートの範囲は、HTTP ポート割り当て機能を使用して制御できます。HTTP ポート割り当て機能の詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT を実行しないファイアウォールを通した Cisco Secure ACSの管理は可能ですが、シスコでは推奨していません。詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT ゲートウェイを通した管理セッション

NAT を実行しているネットワーク デバイスを通して管理セッションを実行することは推奨しません。NAT ゲートウェイの背後にあるコンピュータで管理者がブラウザを実行すると、Cisco Secure ACS は、NAT デバイスのパブリック IP アドレスからの HTTP 要求を受信します。これは、HTTP 要求に含まれるコンピュータのプライベート IP アドレスと衝突します。Cisco Secure ACS はこれを許可しません。

Cisco Secure ACS が NAT ゲートウェイの背後にあり、HTML インターフェイスへのアクセスに使用する URL が Cisco Secure ACS をホスト名で指定している場合、管理セッションは正常に動作します。ただし、ネットワーク上の DNS が正しく機能しているか、HTML インターフェイスへのアクセスに使用しているコンピュータの hosts ファイルに、Cisco Secure ACS のエントリが存在している必要があります。

HTML インターフェイスへのアクセスに使用する URL が Cisco Secure ACS を IP アドレスで指定している場合は、ポート 2002 へのすべての接続を同じポートを使用して Cisco Secure ACS に転送するようにゲートウェイを設定できます。さらに、HTTP ポート割り当て機能を使用できるポートはすべて、同様のマッピングが可能です。シスコは、このような設定のテストは行っておらず、適用は推奨しません。

HTML インターフェイスへのアクセス

リモート管理セッションでは常に、Administration Control セクションに設定されている有効な管理者名とパスワードでログインする必要があります。Administration Control セクションの Sessions Policy Setup ページで Allow automatic local login チェックボックスがオフになっていると、Cisco Secure ACS は、Cisco Secure ACS を実行しているコンピュータ上のブラウザからの管理セッションに対して、有効な管理者名とパスワードを要求します。

始める前に

HTML インターフェイスへのアクセスに使用するコンピュータに、サポートされている Web ブラウザがインストールされているかどうかを確認します。インストールされていない場合は、サポートされている Web ブラウザをインストールするか、サポートされている Web ブラウザがすでにインストールされているコンピュータを使用します。サポートされているブラウザについては、リリース ノートを参照してください。リリース ノートの最新バージョンは Cisco.com( http://www.cisco.com )に掲示されています。

HTML インターフェイスはいくつかの場所で Java を使用するので、HTML インターフェイスへのアクセスに使用する、ブラウザを実行しているコンピュータには、ブラウザで使用できる Java Virtual Machine が備わっている必要があります。

HTML インターフェイスにアクセスするには、次の手順を実行します。


ステップ 1 Web ブラウザを開きます。サポートされている Web ブラウザについては、アクセスしているバージョンの Cisco Secure ACS のリリース ノートを参照してください。リリース ノートの最新バージョンは Cisco.com( http://www.cisco.com )に掲示されています。

ステップ 2 Web ブラウザの Address バーまたは Location バーに、該当する URL を入力します。利用できる URL については、「HTML インターフェイス用の URL」を参照してください。

ステップ 3 Cisco Secure ACS のログイン ページが表示されたら、次の手順を実行します。

a. Username ボックスに、有効な Cisco Secure ACS の管理者名を入力します。

b. Password ボックスに、指定した管理者名のパスワードを入力します。

c. Login をクリックします。

最初のページが表示され、ビルド情報と著作権情報が示されます。


 

HTML インターフェイスからのログオフ

HTML インターフェイスの使用を終えたら、ログオフすることを推奨します。Cisco Secure ACS は使用されていない管理セッションをタイムアウトすることもできますが、ログオフすることによって、利用後のブラウザを使用して不正にアクセスされたり、管理セッションのサポート用に開かれたままの HTTP ポートを不正に利用されたりすることを防止できます。

Cisco Secure ACS の HTML インターフェイスからログオフするには、 Logoff ボタンをクリックします。


) Logoff ボタンはブラウザ ウィンドウの右上隅に表示されていますが、最初のページでは、コンフィギュレーション領域の左上に表示されています。


オンライン ヘルプとオンライン マニュアル

HTML インターフェイスから 2 つの情報源にアクセスできます。

オンライン ヘルプ :コンフィギュレーション領域に表示されるページに関する基本情報です。

オンライン マニュアル :ユーザ ガイド全体が確認できます。

オンライン ヘルプの使用方法

オンライン ヘルプはディスプレイ領域のデフォルトの内容です。コンフィギュレーション領域に表示される各ページに対応するオンライン ヘルプのページがあります。オンライン ヘルプの各ページの先頭に、そのページで扱うトピックがリストされます。

オンライン ヘルプ ページの先頭から、特定のトピックにジャンプするには、ページ先頭のリストにあるトピック名をクリックします。

Cisco Secure ACS の多くのページで表示されるアイコンは 3 つあります。

Question Mark :コンフィギュレーション領域にあるページのサブセクションの多くに、疑問符のアイコンがあります。オンライン ヘルプ ページの該当するトピックにジャンプするには、この疑問符アイコンをクリックします。

Section Information :多くのオンライン ヘルプ ページでは、ページ下部に Section Information アイコンがあります。オンライン マニュアルの該当する項を表示するには、この Section Information アイコンをクリックします。

Back to Help :Section Information アイコンでオンライン マニュアルページにジャンプすると、コンフィギュレーション領域の対応するページに、Back to Help アイコンが表示されます。Section Information アイコンをクリックしてオンライン マニュアルにアクセスしているとき、再びオンライン ヘルプのページを表示するには、Back to Help アイコンをクリックします。

オンライン マニュアルの使用方法

オンライン マニュアルは、Cisco Secure ACS のユーザ ガイドです。ユーザ ガイドには、Cisco Secure ACS の設定、動作、概念についての情報が記載されています。オンライン マニュアルで提供されている情報は、使用しているバージョンの Cisco Secure ACS のリリース日現在のものです。Cisco Secure ACS に関する最新のマニュアルを参照するには、 http://www.cisco.com にアクセスしてください。


ヒント すべてのオンライン ヘルプ ページで Section Information をクリックすると、現在の HTML インターフェイスのセクションに関連するオンライン マニュアルが表示されます。


オンライン マニュアルにアクセスするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS の HTML インターフェイスで、 Online Documentation をクリックします。


ヒント オンライン マニュアルを新しいブラウザ ウィンドウで開くには、
Online Documentation
を右クリックして、Open Link in New Window をクリックするか(Microsoft Internet Explorer の場合)、Open in New Window をクリックします(Netscape Navigator の場合)。

コンフィギュレーション領域に目次が表示されます。

ステップ 2 目次からトピックを選択する場合は、目次を必要に応じてスクロールし、表示するトピックをクリックします。

選択したトピックのオンライン マニュアルがディスプレイ領域に表示されます。

ステップ 3 インデックスからトピックを選択するには、次の手順を実行します。

a. [Index] をクリックします。

インデックスがディスプレイ領域に表示されます。

b. インデックスをスクロールして、表示するトピックのエントリを見つけます。


ヒント インデックスの特定のセクションにジャンプするには、文字のショートカットを使用します。

エントリが表示され、その後ろに番号付きリンクが表示されます。番号付きリンクから、エントリ トピックの別のインスタンスに移動できます。

c. 表示するトピックのインスタンス番号をクリックします。

選択したトピックのオンライン マニュアルがディスプレイ領域に表示されます。

ステップ 4 オンライン マニュアルを印刷する場合は、ディスプレイ領域をクリックし、次に、ブラウザのナビゲーション バーにある Print をクリックします。