Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
未知ユーザ ポリシー
未知ユーザ ポリシー
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

未知ユーザ ポリシー

既知ユーザ、未知ユーザおよび検出ユーザ

認証と未知ユーザ

未知ユーザ認証について

未知ユーザの一般的な認証

未知ユーザの Windows 認証

ドメイン修飾された未知 Windows ユーザ

ドメイン修飾を使用した Windows 認証

複数ユーザ アカウントの作成

未知ユーザ認証のパフォーマンス

認証待ち時間の追加

AAA クライアントの認証タイムアウト値

ポスチャ確認と未知ユーザ ポリシー

NAC と未知ユーザ ポリシー

ポスチャ確認への未知ユーザ ポリシーの使用

ポスチャ確認の要件

未知ユーザの許可

未知ユーザ ポリシーのオプション

データベースの検索順序

未知ユーザ ポリシーの設定

未知ユーザ認証のディセーブル化

未知ユーザ ポリシー

Cisco Secure Access Control Server(ACS)Windows サーバ版の HTML インターフェイスにある External User Databases セクションでデータベースを少なくとも 1 つ設定すると、認証およびポスチャ確認に関連する他の Cisco Secure ACS 機能の実装方法を決定できます。この機能が、未知ユーザ ポリシーとユーザ グループ マッピングです。

この章では、Cisco Secure ACS HTML インターフェイスの External User Databases セクションにある、未知ユーザ ポリシー機能について説明します。

ユーザ グループ マッピングについては、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

Cisco Secure ACS でサポートされるデータベースについて、および HTML インターフェイスでデータベースを設定する方法については、 第13章「ユーザ データベース」 を参照してください。

この章は、次の項で構成されています。

「既知ユーザ、未知ユーザおよび検出ユーザ」

「認証と未知ユーザ」

「未知ユーザ認証について」

「未知ユーザの一般的な認証」

「未知ユーザの Windows 認証」

「未知ユーザ認証のパフォーマンス」

「ポスチャ確認と未知ユーザ ポリシー」

「NAC と未知ユーザ ポリシー」

「ポスチャ確認への未知ユーザ ポリシーの使用」

「ポスチャ確認の要件」

「未知ユーザの許可」

「未知ユーザ ポリシーのオプション」

「データベースの検索順序」

「未知ユーザ ポリシーの設定」

「未知ユーザ認証のディセーブル化」

既知ユーザ、未知ユーザおよび検出ユーザ

未知ユーザ ポリシー機能には、AAA サービスを要求するユーザのタイプに応じて認証要求またはポスチャ確認要求を処理するさまざまな方法が用意されています。ユーザのタイプは 3 つあります。このタイプの意味は、要求されたサービスが認証またはポスチャ確認のどちらであるかによって異なります。

既知ユーザ明示的に、Cisco Secure ユーザ データベースに手動または自動で追加されたユーザです。これらのユーザは、HTML インターフェイスを使用する管理者、RDMBS Synchronization 機能、Database Replication 機能、または CSUtil.exe ユーティリティのいずれかによって追加されたユーザです。CSUtil.exe の詳細については、 付録 D「CSUtil データベース ユーティリティ」 を参照してください。Cisco Secure ACS は、次に示すとおりに、既知ユーザに対する認証要求とポスチャ確認要求を処理します。

認証 :Cisco Secure ACS は、既知ユーザが関連付けられている単一のユーザ データベースを使用して、その既知ユーザの認証を試みます。ユーザ データベースが CiscoSecure ユーザ データベースであり、ユーザのアカウントが Voice over IP(VoIP)ユーザ アカウントではない場合は、ユーザにパスワードが必要です。ユーザ データベースが外部ユーザ データベースであるか、またはユーザのアカウントが VoIP ユーザ アカウントである場合、Cisco Secure ACS は CiscoSecure ユーザ データベースにユーザ パスワードを格納する必要がありません。

Cisco Secure ACS では、フェールオーバー認証はサポートされていません。ユーザと関連付けられたデータベースで認証が失敗した場合、Cisco Secure ACS はユーザを認証する別の方法を使用できないため、認証が失敗したことを AAA クライアントに通知します。

ポスチャ確認 :Cisco Secure ACS は、ポスチャ確認要求に対してどのネットワーク アドミッション コントロール(NAC)データベースを使用するかを判別するときは、常に、未知ユーザ ポリシーを使用します。詳細については、「ポスチャ確認と未知ユーザ ポリシー」を参照してください。

未知ユーザCiscoSecure ユーザ データベースに、ユーザ アカウントを持たないユーザです。このことは、ユーザが Cisco Secure ACS から認証サービスまたはポスチャ確認サービスを受け取ったことがないか、ユーザ アカウントが削除されたかのどちらかを意味します。Cisco Secure ACS は、未知ユーザ ポリシーの設定で指定されたとおりに、未知ユーザに対する認証要求とポスチャ確認要求を処理します。

認証 :未知ユーザ認証の詳細については、「未知ユーザの一般的な認証」を参照してください。

ポスチャ確認 :Cisco Secure ACS は、ポスチャ確認要求に対してどの NAC データベースを使用するかを判別するときは、常に、未知ユーザ ポリシーを使用します。詳細については、「ポスチャ確認と未知ユーザ ポリシー」を参照してください。

検出ユーザ未知ユーザ ポリシーを使用した認証またはポスチャ確認が成功した後で、Cisco Secure ACS が CiscoSecure ユーザ データベース内に作成したアカウントに対応するユーザです。すべての検出ユーザは、最初は未知ユーザでした。Cisco Secure ACS が検出ユーザを作成するとき、そのユーザ アカウントには、ユーザ名、ユーザに対して認証サービスまたはポスチャ確認サービスを提供したユーザ データベースを示す Password Authentication リスト設定、およびグループ マッピングを可能にする、Mapped By External Authenticator の「Group to which the user is assigned」リスト設定だけが含まれます。Cisco Secure ACS HTML インターフェイスまたは RDBMS Synchronization を使用すると、必要に応じてユーザ アカウントにさらに設定を追加できます。たとえば、検出ユーザが Cisco Secure ACS に作成されると、その検出ユーザにユーザ固有のネットワーク アクセス制限を割り当てることができます。


) Cisco Secure ACS は、検出ユーザのクレデンシャル(パスワード、証明書、NAC クレデンシャル タイプなど)をインポートしません。


認証 :検出ユーザの認証プロセスは、外部ユーザ データベースで認証され、グループ マッピングによって Cisco Secure ACS グループ メンバーシップが決定される既知ユーザの認証プロセスと同じです。

ポスチャ確認 :Cisco Secure ACS は、ポスチャ確認要求に対してどの NAC データベースを使用するかを判別するときは、常に、未知ユーザ ポリシーを使用します。詳細については、「ポスチャ確認と未知ユーザ ポリシー」を参照してください。


) ユーザ名に関連付けられている特権が必要なくなったときには、データベースからそのユーザ名を削除することを推奨します。ユーザ アカウントの削除方法の詳細については、「ユーザ アカウントの削除」を参照してください。


認証と未知ユーザ

この項では、認証で未知ユーザ ポリシーを使用する方法について説明します。NAC で未知ユーザ ポリシーを使用する方法については、「ポスチャ確認と未知ユーザ ポリシー」を参照してください。

この項では、次のトピックについて取り上げます。

「未知ユーザ認証について」

「未知ユーザの一般的な認証」

「未知ユーザの Windows 認証」

「未知ユーザ認証のパフォーマンス」

未知ユーザ認証について

未知ユーザ ポリシーは、認証転送の 1 つの形式です。本質的に、この機能は認証プロセス内の特殊なステップです。この特殊なステップでは、ユーザ名が CiscoSecure ユーザ データベースに存在しない場合、Cisco Secure ACS は着信したユーザ名とパスワードの認証要求を、通信相手として設定された、認証要求で使用される認証プロトコルをサポートする外部データベースに転送します。

未知ユーザ ポリシーにより、Cisco Secure ACS は、さまざまな外部データベースを使用して、未知ユーザの認証を試行できます。この機能は、Cisco Secure ACS を介した基本的なシングル サインオン機能の基盤となります。着信する認証要求は外部ユーザ データベースで処理されるため、パスワードなどのユーザ クレデンシャルを Cisco Secure ACS 内に保持する必要はありません。このことは、次の 2 つの利点をもたらします。

各ユーザを複数回入力する必要がない。

手動での手順にありがちなデータ入力エラーが防止される。

未知ユーザの一般的な認証

Cisco Secure ACS で未知ユーザ ポリシーを設定している場合、Cisco Secure ACS では、次のようにしてユーザの認証を試みます。

1. Cisco Secure ACS は自身の内部データベースをチェックします。ユーザが CiscoSecure ユーザ データベース内に存在している(つまり既知ユーザまたは検出ユーザである)場合、Cisco Secure ACS は、要求の認証プロトコルと、ユーザ アカウントで指定されたデータベースを使用して、ユーザの認証を試みます。認証は、成功か失敗のどちらかになります。

2. ユーザが CiscoSecure ユーザ データベース内に存在しない(つまり未知ユーザである)場合、Cisco Secure ACS は、Selected Databases リストに指定された順序で、要求の認証プロトコルをサポートする各外部データベースで認証を試みます。外部データベースの 1 つでユーザの認証が成功すると、Cisco Secure ACS はそのユーザを CiscoSecure ユーザ データベースに自動的に追加します。この時、認証試行で成功した外部ユーザ データベースを使用するためのポインタも一緒に格納されます。未知ユーザ認証によって追加されたユーザは、CiscoSecure ユーザ データベース内部でそれに応じたフラグが付けられ、検出ユーザと呼ばれます。

次回、この検出ユーザが認証を試みると、Cisco Secure ACS は、最初に認証が成功したデータベースに対して、このユーザを認証します。検出ユーザは、既知ユーザと同じ取り扱いを受けます。

3. 設定されているすべての外部データベースで未知ユーザの認証が失敗すると、そのユーザは CiscoSecure ユーザ データベースには追加されず、認証も失敗します。

上記のシナリオでも、同一ユーザ名のユーザ アカウントが、別個の Windows ドメインに存在する場合には、処理が異なります。詳細については、「未知ユーザの Windows 認証」を参照してください。


) CiscoSecure ユーザ データベース内のユーザ名は一意であることが必要なため、Cisco Secure ACS では、使用が設定されているすべてのデータベースで、すべてのユーザ名の単一インスタンスをサポートしています。たとえば、すべての外部ユーザ データベースに、John というユーザ名のユーザ アカウントが格納されているとします。各アカウントは、別のユーザのアカウントですが、偶然、同一のユーザ名を持っています。最初の John がネットワークにアクセスし、未知ユーザ プロセスを介して認証されると、Cisco Secure ACS は、その John 専用の検出ユーザ アカウントを保持します。この後、Cisco Secure ACS は、すべての John という名前によるアクセス試行を、最初に John を認証した外部ユーザ データベースを使用して認証しようとします。John というユーザのパスワードが、最初に認証を受けた John のパスワードとは異なっていると、他の John は、ネットワークにアクセスできません。


未知ユーザの Windows 認証

Cisco Secure ACS がユーザ認証に使用する信頼 Windows ドメイン全体には、同一ユーザ名が複数存在する可能性があるため、Cisco Secure ACS は Windows ユーザ データベースによる認証を特殊なケースとして扱います。

認証を実行するため、Cisco Secure ACS は、Cisco Secure ACS を実行しているコンピュータの Windows オペレーティング システムと通信します。Windows は、組み込み機能を使用して、適切なドメイン コントローラに認証要求を転送します。

この項では、次のトピックについて取り上げます。

「ドメイン修飾された未知 Windows ユーザ」

「ドメイン修飾を使用した Windows 認証」

「複数ユーザ アカウントの作成」

ドメイン修飾された未知 Windows ユーザ

認証要求の一部としてドメイン名が指定されていると、Cisco Secure ACS では、ドメイン名が指定されていることを検出し、指定されたドメイン名に対して認証クレデンシャルを要求します。Windows で提供されるダイヤルアップ ネットワーキング クライアントは、Windows のバージョンによってユーザによるドメインの指定方法に違いがあります。詳細については、「Windows ダイヤルアップ ネットワーキング クライアント」を参照してください。

ドメイン修飾されたユーザ名を使用することにより、Cisco Secure ACS は、異なるドメインにある同一ユーザ名の複数インスタンスから、特定のユーザを区別できます。ドメイン修飾されたユーザ名を指定し、Windows ユーザ データベースで認証を受ける未知ユーザについては、Cisco Secure ACS は、 DOMAIN \ username の形式で、CiscoSecure ユーザ データベースにユーザ アカウントを作成します。ユーザ名とドメインを組み合せることで、このユーザは Cisco Secure ACS データベース内で一意になります。

ドメイン修飾されたユーザ名と Windows 認証の詳細については、「ユーザ名と Windows 認証」を参照してください。

ドメイン修飾を使用した Windows 認証

ユーザ名がドメイン修飾されていない場合や、UPN 形式になっている場合、Cisco Secure ACS を実行するコンピュータの Windows オペレーティング システムは、Cisco Secure ACS による制御範囲外で、非常に複雑な認証順序をたどります。リソースの使用順序はさまざまですが、ドメイン修飾されていないユーザ名または UPN ユーザ名を検索するときに、Windows は通常、次の順序に従います。

1. ローカル ドメイン コントローラ

2. すべての信頼ドメイン内のドメイン コントローラ(順序は Windows に依存)

3. Cisco Secure ACS がメンバー サーバ上で動作する場合は、ローカル アカウント データベース

Windows は、ユーザ名が Cisco Secure ACS から渡されたものと一致するアカウントを検出すると、最初に検出したアカウントでユーザの認証を試みます。認証が成功するか失敗するかに関係なく、Windows は同一ユーザ名の他のアカウントを検索しません。したがって、Windows は、偶然同一のユーザ名を持つ間違ったアカウントに対して、提供されたクレデンシャルをチェックしてしまうことがあるため、有効なクレデンシャルを提供したユーザの認証に失敗することがあります。

Windows ユーザ データベースに対する Cisco Secure ACS 設定の Domain List を使用すると、この複雑なプロセスを回避できます。信頼ドメインのリストを使用して Domain List が設定されていると、Cisco Secure ACS では、最終的にユーザの認証に成功するまで、または Domain List 内のすべてのドメインで認証を試行して失敗に終わるまで、ドメイン修飾形式を使用して、リスト内の各ドメインにユーザ名とパスワードを送信します。


) ユーザ名がネットワークのドメイン全体に複数存在する(たとえば、各ドメインには Administrator という名前のユーザが存在する)場合、またはユーザが認証クレデンシャルの一部としてドメインを提供しない場合には、External User Databases セクションの Windows ユーザ データベースに対する Domain List を必ず設定してください。設定しない場合は、Windows が最初にチェックしたアカウントのユーザだけが認証に成功します。Cisco Secure ACS を使用して、Windows によるドメインのチェック順序を制御する唯一の方法は、Domain List を使用することです。ユーザ名の複数インスタンスがドメイン全体に存在する場合、これをサポートする最も確実な方法は、認証要求の一部としてドメイン メンバーシップを指定するように、ユーザに要求することです。Domain List の使用結果の詳細については、「ドメイン修飾されていないユーザ名」を参照してください。


複数ユーザ アカウントの作成

未知ユーザ認証では、同一のユーザに対して複数のユーザ アカウントが作成される場合があります。たとえば、ユーザがドメイン修飾されたユーザ名を指定して認証に成功した場合、Cisco Secure ACS は DOMAIN \ username の形式でアカウントを作成します。同じユーザが、ユーザ名の前にプレフィックスとしてドメイン名を付けずに認証に成功すると、Cisco Secure ACS は username の形式でアカウントを作成します。また、同じユーザが UPN バージョンのユーザ名
(username@example.com など)で認証すると、Cisco Secure ACS は第 3 のアカウントを作成します。

個々のユーザ設定ではなくグループに依存して許可を割り当てる場合は、同じ Windows ユーザ アカウントを使用して認証するアカウントはすべて、同じ特権を受け取る必要があります。ユーザがプレフィックスとしてドメイン名を付けるかどうかに関係なく、グループ マッピングでは、そのユーザが同一の Cisco Secure ACS ユーザ グループに割り当てられます。これは、両方の Cisco Secure ACS ユーザ アカウントが単一の Windows ユーザ アカウントに対応しているためです。

未知ユーザ認証のパフォーマンス

未知ユーザの認証要求処理は、既知ユーザの認証要求処理に比べて、所要時間がやや長くなります。このわずかな遅延のために、未知ユーザによるネットワークへのアクセス試行に使用する AAA クライアントにタイムアウト設定を追加する必要がある場合があります。

認証待ち時間の追加

未知ユーザの認証に使用する外部ユーザ データベースを追加すると、個々の認証に要する時間が大幅に増加することがあります。各認証に要する時間は長くても、外部ユーザ データベースによる認証に費やされる時間に、Cisco Secure ACS の処理時間を加えた時間になります。状況によっては(たとえば、Windows ユーザ データベースを使用する場合)、外部ユーザ データベースでの待ち時間がさらに数十秒も追加される可能性があります。未知ユーザ認証に複数のデータベースを含めるように未知ユーザ ポリシーを設定した場合、AAA クライアントのタイムアウト値に設定する必要がある待ち時間は、個々の外部ユーザ データベースが未知ユーザの認証要求に応答するのに費やす時間の合計に、Cisco Secure ACS の処理時間を加えた時間になります。

データベースの順序を設定することによって、この追加される待ち時間の影響を軽減できます。特にタイムセンシティブな認証プロトコル(PEAP など)を使用している場合は、そのタイムセンシティブ プロトコルを使用して、未知ユーザを格納している可能性が最も高いデータベースで最初に認証を試みるように、未知ユーザ認証を設定することをお勧めします。詳細については、「データベースの検索順序」を参照してください。

AAA クライアントの認証タイムアウト値

認証要求を未知ユーザ認証で使用される外部ユーザ データベースに渡すことで、Cisco Secure ACS の認証所要時間が増加することに対応するため、AAA クライアントのタイムアウト値を必ず大きく設定します。AAA クライアントのタイムアウト値が、未知ユーザ認証に必要な遅延に対応するだけ十分大きく設定されていない場合は、AAA クライアントにより認証要求がタイムアウトされ、各未知ユーザの認証が失敗します。

Cisco IOS では、AAA クライアントのデフォルトのタイムアウト値は 5 秒です。Cisco Secure ACS が複数のデータベースを検索するように設定されているか、または認証要求に対するデータベースの応答が遅い場合は、AAA クライアントのタイムアウト値を大きくすることを考慮します。IOS における認証タイムアウト値の詳細については、Cisco IOS マニュアルを参照してください。

ポスチャ確認と未知ユーザ ポリシー

この項では、次のトピックについて取り上げます。

「NAC と未知ユーザ ポリシー」

「ポスチャ確認への未知ユーザ ポリシーの使用」

「ポスチャ確認の要件」

NAC と未知ユーザ ポリシー

ポスチャ確認要求の場合、未知ユーザ ポリシーは、自動的に、ポスチャ確認要求に適用される NAC データベースにユーザを関連付けます。この動作はユーザ タイプに依存しません。ただし、NAC クライアントから送信された PEAP EAP-Identity フィールドのユーザ名が未知の場合は、さらに、Cisco Secure ACS が CiscoSecure ユーザ データベース内にユーザ アカウントを作成します。

送信される PEAP EAP-Identity フィールドの値は、NAC クライアントである Cisco Trust Agent(CTA)が決定します。したがって、Cisco Secure ACS は、ポスチャ確認要求に関連付けれたユーザ名を管理しません。CTA が送信する EAP-Identity フィールドの文字列の形式は、次のとおりです。

hostname:username

ここで、 hostname は NAC クライアント コンピュータの名前で、 username は、CTA がポスチャ確認要求を送信する時点で NAC クライアント コンピュータにログインしていたユーザを特定します。たとえば、cyril.yang というユーザが yang-laptop01 という名前のコンピュータにログインしていた場合、Cisco Secure ACS が受信するポスチャ確認要求の EAP-Identity フィールドには、yang-laptop01:cyril.yang という文字列が含まれます。未知ユーザ ポリシーが動作すると、Cisco Secure ACS は yang-laptop01:cyril.yang という名前のユーザ アカウントを作成します。

ユーザ名は、ポスチャ確認要求に含まれる EAP-Identity フィールド値の一部であるため、Cisco Secure ACS は同一の NAC クライアントに対して複数のユーザ アカウントを作成することがあります。yang-laptop01 コンピュータの例の続きで、別のポスチャ確認要求が送信される時点で david.fry というユーザがコンピュータにログインしていた場合、EAP-Identity フィールドには yang-laptop01:david.fry という文字列が含まれ、Cisco Secure ACS は yang-laptop01:david.fry という名前のユーザ アカウントを作成します。

同一の NAC クライアント コンピュータに対して異なるユーザ アカウントが作成されるため、Cisco Secure ACS ログを参照すると、ポスチャ確認時に NAC クライアント コンピュータにログインしていたユーザを特定できます。コンピュータ上で動作する NAC 準拠アプリケーションは、コンピュータにログインしていたユーザによって異なる場合があるため、ログインしていたユーザを知ることは、ポスチャ確認の問題のトラブルシューティングを行う上で有用です。

未知ユーザ ポリシーをポスチャ確認要求に使用すると、次に示す利点が得られます。

NAC クライアントのユーザ アカウントが自動的に作成される。したがって、ユーザ名のスペルミスなど、ユーザ アカウントを手動で追加するときにありがちなデータ入力エラーがなくなります。

ユーザ タイプに関係なく、未知ユーザ ポリシーをすべてのポスチャ確認要求に適用することで、NAC 実装に変更を加えることができる。

デフォルトの NAC データベースを使用できる。デフォルトは、必須クレデンシャル タイプを持たないため、他の NAC データベースで処理できないポスチャ確認要求すべてに適用できます。

ポスチャ確認への未知ユーザ ポリシーの使用

Cisco Secure ACS で未知ユーザ ポリシーが設定されている場合、Cisco Secure ACS は、未知ユーザ ポリシーの Selected Databases リストを使用して、ポスチャ確認要求をサポートできる NAC データベースを検索します。NAC データベースが実行できるポスチャ確認は、そのデータベースの必須クレデンシャル タイプを満たすクレデンシャルの要求に関するものだけです。また、必須クレデンシャル タイプを持たない NAC データベースを作成できるため、そのようなデータベースを、未知ユーザ ポリシーに追加されている他のすべての NAC データベースで処理できないポスチャ確認要求のデフォルトとして使用できます。

ポスチャ確認要求は 1 つの NAC データベースだけで処理可能であるため、Cisco Secure ACS は、Selected Databases リスト内の NAC データベースのうち、ポスチャ確認要求に含まれているクレデンシャルによって必須クレデンシャル タイプが満たされた最初のデータベースに要求を関連付けます。ポスチャ確認の結果に関係なく、Cisco Secure ACS は、Selected Databases リスト内の別のデータベースでポスチャ確認を試行することはありません。必須クレデンシャル タイプを満たすことは、ポスチャ確認要求を NAC データベースに関連付けるかどうかを判別する唯一の基準です。Selected Databases リストにおける NAC データベースの順序の詳細については、「データベースの検索順序」を参照してください。


) ポスチャ確認要求に含まれているクレデンシャルが Selected Databases リスト内のどの NAC データベースも満たさなかった場合、Cisco Secure ACS はポスチャ確認要求を拒否します。


必須クレデンシャル タイプに関する情報など、NAC データベースの詳細については、 第14章「ネットワーク アドミッション コントロール」 を参照してください。

ポスチャ確認の要件

ポスチャ確認には、未知ユーザ ポリシーを使用する必要があります。ユーザ タイプに関係なく、すべてのポスチャ確認要求に対し、Cisco Secure ACS は未知ユーザ ポリシーを使用して、どのデータベースで要求を処理するかを判別します。この動作では、NAC クライアント コンピュータの設定に対する変更がサポートされます。これは、特に、追加の NAC 準拠アプリケーションがコンピュータにインストールされている場合に該当します。次のシナリオを考えます。

1. NAC クライアント コンピュータが、ネットワークに追加されました。このコンピュータには、CTA がインストールされており、NAC 準拠アプリケーションはありません。

2. 新しいコンピュータのポスチャ確認を実行する場合、Cisco Secure ACS は、CTA のクレデンシャルだけを満たす NAC データベースを使用します。Cisco Secure ACS が、NAC クライアント コンピュータに対応するユーザ アカウントを作成します。

3. Cisco Security Agent(CSA)などの NAC 準拠アプリケーションがコンピュータに追加されました。

コンピュータに対して最初に使用された NAC データベースの必須クレデンシャル タイプは、引き続き、そのコンピュータからのポスチャ確認要求のクレデンシャルによって満たされます。ただし、CTA クレデンシャルに加えて CSA クレデンシャルを使用するコンピュータのポスチャを評価する場合は、必須クレデンシャル タイプに CTA および CSA クレデンシャルが含まれた NAC データベースが必要です。Selected Databases リスト上で NAC データベースの順序を綿密に指定すると、各ポスチャ確認要求が、最も制限的な必須クレデンシャルタイプを持つ NAC データベースおよび最適なポリシーで処理されることを保証できます。

未知ユーザの許可

未知ユーザ ポリシーを使用すると、認証とポスチャ確認要求を、External User Database セクションで設定されたデータベースで処理できますが、AAA クライアントとエンドユーザ クライアントに送信されるすべての許可については、Cisco Secure ACS が管理します。ポスチャ確認と未知ユーザ認証は、Cisco Secure ACS ユーザ グループ マッピング機能を利用して、設定済みのユーザ グループに未知ユーザを割り当て、すべての NAC クライアントと、認証に成功した未知ユーザに許可を割り当てます。詳細については、 第16章「ユーザ グループ マッピングと仕様」 を参照してください。

未知ユーザ ポリシーのオプション

Configure Unknown User Policy ページでは、ポスチャ確認と未知ユーザ認証に関する Cisco Secure ACS の機能について指定できます。未知ユーザ ポリシーの設定オプションは次のとおりです。

Fail the attempt :未知ユーザ認証をディセーブルにします。この場合、Cisco Secure ACS は、CiscoSecure ユーザ データベース内で見つからないユーザの認証要求を拒否します。このオプションを選択すると、「Check the following external user databases」オプションは使用不可になります。


) 「Fail the attempt」オプションは、ポスチャ確認要求には適用されません。どのポスチャ確認要求に対しても、常に、Cisco Secure ACS は未知ユーザ ポリシーを適用します。


Check the following external user databases :未知ユーザ認証をイネーブルにします。この場合、Cisco Secure ACS は Selected Databases リスト内のデータベースを使用して、未知ユーザ認証を提供します。


) 認証要求に対して、Cisco Secure ACS が未知ユーザ ポリシーを適用するのは、未知ユーザのみです。Cisco Secure ACS では、既知ユーザまたは検出ユーザが認証に失敗した場合に、未知ユーザ認証にフォールバックすることはできません。


このオプションを選択すると、「Fail the attempt」オプションは使用不可になります。

External Databases :External User Databases セクションで設定したデータベースのうち、Cisco Secure ACS がポスチャ確認または未知ユーザ認証で使用 しない データベースが一覧表示されます。

Selected Databases :External User Databases セクションで設定したデータベースのうち、Cisco Secure ACS がポスチャ確認と未知ユーザ認証で使用 する データベースが一覧表示されます。Cisco Secure ACS は、選択されたデータベースを指定された順序で 1 つずつ使用して、要求されたサービス(認証またはポスチャ確認)を試みます。選択されたデータベースの順序の意味については、「データベースの検索順序」を参照してください。

未知ユーザ ポリシーの設定手順の詳細については、「未知ユーザ ポリシーの設定」を参照してください。

データベースの検索順序

Cisco Secure ACS がポスチャ確認と未知ユーザ認証を試みる場合に選択済みデータベースをチェックするときの順序を設定できます。次のプロセスは、Selected Databases リストにおけるデータベースの順序が重要である理由を示しています。

認証 :未知ユーザ ポリシーは、次のロジックを使用して、未知ユーザ認証をサポートします。

a. Selected Databases リストで、要求の認証プロトコルをサポートする次のユーザ データベースを検索します。要求の認証プロトコルをサポートするユーザ データベースがリスト内にない場合は、未知ユーザ認証を停止し、ユーザに対してネットワーク アクセスを拒否します。

b. ステップ a. で見つかったデータベースに認証要求を送信します。

c. データベースが「authentication succeeded」というメッセージを返した場合は、検出ユーザ アカウントを作成し、グループ マッピングを実行して、ユーザにネットワークへのアクセス権を与えます。

d. データベースが「authentication failed」というメッセージを返すか、応答しない場合、別のデータベースが現在のデータベースの下に表示されているときは、ステップ a. に戻ります。

e. 別のデータベースが現在のデータベースの下に表示されていない場合は、ユーザに対してネット アクセスを拒否します。

ポスチャ確認 :未知ユーザ ポリシーは、次のロジックを使用して、ポスチャ確認要求をすべてサポートします。

a. Selected Databases リスト内の NAC データベースのうち、受信されたポスチャ確認要求のクレデンシャルによって必須クレデンシャル タイプが満たされた最初のデータベースを検索します。要求内のクレデンシャルが、リストにあるどのデータベースの必須クレデンシャルとも一致しない場合は、ポスチャ確認要求を拒否します。

b. ステップ a. で見つかった NAC データベースを使用して、NAC クライアントのポスチャ確認を実行します。

c. ポスチャ確認要求の PEAP EAP-Identity フィールドに入力されている名前と一致するユーザ プロファイルが Cisco Secure ACS にない場合は、EAP-Identity フィールドの値をユーザ名として使用して、検出ユーザ アカウントを作成します。ユーザ名を得るために EAP-Identity フィールドを使用した結果の詳細については、「NAC と未知ユーザ ポリシー」を参照してください。

d. グループ マッピングを実行し、マッピングされたグループで指定された許可を NAC クライアントに適用します。

Selected Databases リストにおけるデータベースの順序を指定する場合は、次の処理を行うデータベースを、リストのできるだけ上位に配置することを推奨します。

ほとんどの要求を処理する。

特定の時間依存 AAA クライアントまたは認証プロトコルに関連付けられた要求を処理する。

最も制限的な必須クレデンシャル タイプを要求する(NAC データベースだけに適用する)。

ユーザ認証の例として、ワイヤレス LAN ユーザが PEAP を使用してネットワークにアクセスする場合は、未知ユーザ認証の時間が Cisco Aironet Access Point に指定されているタイムアウト値より短くなるように、Selected Databases リスト内のデータベースを配置します。

ポスチャ確認の例として、一部の NAC クライアントが他のクライアントよりも多くのクレデンシャル タイプをポスチャ確認要求で送信する場合は、Selected Databases リスト内の NAC データベースを、必須クレデンシャル タイプが多く含まれているものほど上位に配置します。このようにしないと、Cisco Secure ACS は、NAC クライアントから送信された追加のクレデンシャル タイプを使用せずにクライアントのポスチャを評価するポリシーの NAC データベースを使用する場合があります。


ヒント デフォルトの NAC データベース、つまり必須クレデンシャル タイプを持たない NAC データベースを作成する場合は、リスト内で他のすべての NAC データベースよりも下に配置してください。


未知ユーザ ポリシーの設定

未知ユーザ ポリシーを設定するには、次の手順を使用します。

始める前に

Configure the Unknown User Policy ページについては、「未知ユーザ ポリシーのオプション」を参照してください。

Cisco Secure ACS による未知ユーザの処理方法を指定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリックします。

ステップ 2 未知ユーザの認証要求を拒否するには、 Fail the attempt オプションを選択します。


Fail the attempt オプションを選択しても、ポスチャ確認要求には影響しません。Cisco Secure ACS は、常に、ポスチャ確認に対して未知ユーザ ポリシーを使用します。


ステップ 3 未知ユーザ認証を可能にするには、未知ユーザ ポリシーをイネーブルにします。複製先を指定するには、次の手順を実行します。

a. Check the following external user databases オプションを選択します。

b. ポスチャ確認または未知ユーザ認証に対して Cisco Secure ACS で使用するデータベースごとに、External Databases リスト内でそのデータベースを選択し、 --> (右矢印ボタン)をクリックして、Selected Databases リストに移動します。Selected Databases リストからデータベースを削除するには、削除するデータベースを選択し、 <-- (左矢印ボタン)をクリックして、External Databases リストに戻します。

c. データベースの検索順序を割り当てるには、Selected Databases リストでデータベースを選択し、 Up または Down をクリックして、目的の位置に移動します。


) データベースの順序が持つ意味の詳細については、「データベースの検索順序」を参照してください。


ステップ 4 Submit をクリックします。

作成した未知ユーザ ポリシー設定が Cisco Secure ACS に保存および実装されます。Cisco Secure ACS は、Selected Databases リスト内の順序でデータベースを使用して、ポスチャ確認要求と未知ユーザ認証要求を処理します。


 

未知ユーザ認証のディセーブル化

CiscoSecure ユーザ データベースに存在しないユーザに認証サービスを提供しないように、Cisco Secure ACS を設定できます。


) この手順を実行しても、ポスチャ確認には影響しません。詳細については、「ポスチャ確認と未知ユーザ ポリシー」を参照してください。


未知ユーザ認証を無効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの External User Databases をクリックし、次に Unknown User Policy をクリックします。

ステップ 2 Fail the attempt オプションを選択します。

ステップ 3 Submit をクリックします。

未知ユーザ認証が停止されます。Cisco Secure ACS は、外部ユーザ データベースによる未知ユーザの認証を許可しません。