Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
展開方法の検討
展開方法の検討
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

展開方法の検討

Cisco Secure ACS 展開の基本要件

システム要件

ハードウェア要件

オペレーティング システム要件

サードパーティ ソフトウェア要件

ネットワークとポートの要件

Cisco Secure ACS の基本的な展開要素

ネットワーク トポロジ

ダイヤルアップ トポロジ

無線ネットワーク

VPN を使用するリモート アクセス

リモート アクセス ポリシー

セキュリティ ポリシー

管理アクセス ポリシー

管理ユーザと一般ユーザの分離

データベース

ユーザ数

データベースの種類

ネットワークの待ち時間と信頼性

推奨される展開順序

展開方法の検討

Cisco Secure ACS for Windows Server の展開は、実際に必要となる実装方法によって異なりますが、複雑な作業の繰り返しとなる場合があります。この章では、展開プロセスを見通せるようにするとともに、Cisco Secure ACS の展開前に考慮する必要のあるさまざまな要素を示します。

Cisco Secure ACS の展開における複雑さは、大まかに言うと AAA サーバの発展、細かく言えば Cisco Secure ACS の最先端機能、柔軟性、および特質を反映しています。AAA は、当初の構想では、ダイヤルアップ サービスによるユーザ アクセスの制御を 1 箇所に集中して実行するためのものでした。ユーザ データベースが大きくなり、AAA クライアントが広く分散して配置されるようになるにつれて、AAA サーバに要求される性能が高くなりました。始めは地域的、最後にグローバルな要求が一般的になりました。Cisco Secure ACS に対しては現在、AAA サービスをダイヤルアップ アクセス、ダイヤルアウト アクセス、無線アクセス、VLAN アクセス、ファイアウォール、VPN コンセントレータ、管理コントロールを提供するように要求されており、その範囲はさらに広がりつつあります。サポートする外部データベースの種類も増え続けており、複数 Cisco Secure ACS と同様に、複数のデータベースの利用もよく見られるようになりました。実際に展開する Cisco Secure ACS の範囲に関係なく、この章の情報は十分価値のあるものになります。このマニュアルに記載されていない展開方法について質問がある場合は、製品を購入された販売代理店にお問い合せください。

この章は、次の項で構成されています。

「Cisco Secure ACS 展開の基本要件」

「Cisco Secure ACS の基本的な展開要素」

「推奨される展開順序」

Cisco Secure ACS 展開の基本要件

この項では、Cisco Secure ACS を正しく展開するための最小限の要件について説明します。

この項では、次のトピックについて取り上げます。

「システム要件」

「ハードウェア要件」

「オペレーティング システム要件」

「サードパーティ ソフトウェア要件」

「ネットワークとポートの要件」

システム要件

Cisco Secure ACS を実行するコンピュータは、ハードウェアとソフトウェアについて、次の項で詳しく記載する最小要件を満たす必要があります。

ハードウェア要件

Cisco Secure ACS を実行するコンピュータは、次の最小ハードウェア要件を満たしている必要があります。

550 MHz 以上の Pentium III プロセッサ

256 MB の RAM

250 MB 以上の空きディスク容量(同一コンピュータ上でデータベースを実行する場合は、さらにディスク容量が必要になります)

グラフィックス解像度が 800 x 600 ラインの 256 色以上のモニタ

オペレーティング システム要件

Cisco Secure ACS for Windows Servers 3.3 は、次に示す Windows オペレーティング システムをサポートします。オペレーティング システムおよびサービス パックは、どちらも英語バージョンである必要があります。

Windows 2000 Server(Service Pack 4 がインストール済みであるもの)

Windows 2000 Advanced Server(次の条件を満たすもの)

Service Pack 4 がインストール済みである

Microsoft クラスタ サービスがインストールされていない

Windows 2000 Advanced Server 固有のその他の機能がイネーブルになっていない


) シスコでは、Windows 2000 Advanced Server のマルチプロセッサ機能はテストしておらず、サポートしていません。また Windows 2000 Datacenter Server は、サポート対象のオペレーティング システムではありません。


Windows Server 2003, Enterprise Edition

Windows Server 2003, Standard Edition

Windows のサービス パックは、Cisco Secure ACS のインストール前でも、インストール後でも適用可能です。Cisco Secure ACS のインストールにあたって必要なサービス パックがインストールされていない場合は、Cisco Secure ACS インストール プログラムにより、必要なサービス パックが見つからないという警告メッセージが表示される場合があります。サービス パックに関するメッセージが表示された場合は、インストールを続行し、次に、必要なサービス パックをインストールしてから、Cisco Secure ACS によるユーザ認証を開始します。

テスト済みオペレーティング システムとサービスパックに関する最新情報については、リリース ノートを参照してください。現行バージョンのリリース ノートは Cisco.com に掲載されています。URL は次のとおりです。

http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/index.htm

サードパーティ ソフトウェア要件

リリース ノートには、Cisco Secure ACS についてテストした、サポート対象のサードパーティ製ソフトウェア製品に関する情報が記載されています。たとえば、次に挙げるアプリケーションの情報があります。

Web ブラウザおよび Java 仮想マシン

Novell NDS クライアント

トークンカード クライアント

リリース ノートに記載されていないソフトウェア製品については、同一コンピュータ上での Cisco Secure ACS との相互運用性をテストしていません。ソフトウェア製品の相互運用性に関する問題のサポート対象となるのは、リリース ノートに記載されている製品だけです。最新バージョンのリリース ノートは Cisco.com に掲載されています。URL は次のとおりです。

http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/index.htm

ネットワークとポートの要件

Cisco Secure ACS を展開するには、次のネットワーク要件を満たしている必要があります。

Cisco IOS デバイスで TACACS+ および RADIUS を完全にサポートするには、AAA クライアントが Cisco IOS Release 11.2 以降を実行していること。

非 Cisco IOS AAA クライアントには、TACACS+ または RADIUS、あるいはその両方が設定されていること。

ダイヤルイン クライアント、VPN クライアント、またはワイヤレス クライアントが、利用可能な AAA クライアントに正常に接続できること。

Cisco Secure ACS を実行するコンピュータが、すべての AAA クライアントに対して ping を実行できること。

Cisco Secure ACS と他のネットワーク デバイスの間に存在するゲートウェイ デバイスが、利用可能な機能またはプロトコルのサポートに必要なポート経由の通信を許可していること。Cisco Secure ACS が受信するポートについては、 表 2-1 を参照してください。

サポート対象の Web ブラウザが、Cisco Secure ACS を実行するコンピュータにインストールされていること。テスト済みブラウザに関する最新情報については、リリース ノートを参照してください。最新バージョンのリリース ノートは Cisco.com に掲載されています。URL は次のとおりです。

http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/index.htm

Cisco Secure ACS を実行するコンピュータ内のすべてのネットワーク カードが使用可能であること。Cisco Secure ACS を実行するコンピュータで使用できないネットワーク カードがある場合は、Microsoft CryptoAPI によって遅延が生じるため、Cisco Secure ACS のインストールに時間がかかる可能性があります。


) Cisco Secure ACS のテストは、ネットワーク インターフェイス カードを 1 枚だけ搭載するコンピュータ上で行っています。


Cisco Secure ACS がネットワーク ユーザを許可する際に Windows の「Grant Dial-in Permission to User」機能を使用できるように、該当するユーザ アカウントについて Windows User Manager または Active Directory Users and Computers で Grant Dial-in Permission to User オプションが選択されていること。

表 2-1 に、AAA クライアント、他の Cisco Secure ACS とアプリケーション、および Web ブラウザとの通信で Cisco Secure ACS が受信するポートを示します。Cisco Secure ACS は、外部ユーザ データベースとの通信には、その他のポートを使用します。ただし、特定のポートを受信しないで、それらの通信を起動します。なお、LDAP データベースや RADIUS トークン サーバ データベースとの通信のように、これらのポートを設定できる場合もあります。特定の外部ユーザ データベースが受信するポートの詳細については、そのデータベースのマニュアルを参照してください。

 

表 2-1 Cisco Secure ACS が受信するポート

機能/プロトコル
UDP または TCP
ポート

RADIUS 認証と許可

UDP

1645、1812

RADIUS アカウンティング

UDP

1646、1813

TACACS+

TCP

49

CiscoSecure データベース複製

TCP

2000

同期化パートナーを使用した RDBMS 同期化

TCP

2000

ユーザが変更できるパスワードの Web アプリケーション

TCP

2000

ロギング

TCP

2001

新規セッション用の管理 HTTP ポート

TCP

2002

管理 HTTP ポート範囲

TCP

設定変更可能(デフォルトは 1024 ~ 65535)

Cisco Secure ACS の基本的な展開要素

一般に、Cisco Secure ACS の展開を容易に行うことができるかどうかは、計画段階での複雑さと、定義したポリシーおよび要件が直接関係します。この項では、Cisco Secure ACS の実装を開始する前に検討を要する要素について説明します。

この項では、次のトピックについて取り上げます。

「ネットワーク トポロジ」

「リモート アクセス ポリシー」

「セキュリティ ポリシー」

「管理アクセス ポリシー」

「データベース」

「ネットワークの待ち時間と信頼性」

ネットワーク トポロジ

企業ネットワークがどのように構成されているかは、Cisco Secure ACS を展開する上で最も重要な要素と考えられます。このトピックについて完全に論じることはこのマニュアルの範疇を超えていますが、この項では、ネットワーク トポロジのオプションが増えることによって、Cisco Secure ACS の展開がさらに複雑になっている状況を説明します。

AAA が開発された時点では、ネットワーク アクセスは、直接 LAN に接続されたデバイス、またはモデムでアクセスするリモート デバイスに限られていました。現在では、企業ネットワークが複雑になっている場合があり、またトンネル伝送技術を利用して、広い地域に分散している場合もあります。

ダイヤルアップ トポロジ

従来のダイヤルアップ アクセス(PPP 接続)のモデルでは、モデムか ISDN 接続を採用するユーザが、AAA クライアントとして動作している Network Access Server(NAS; ネットワーク アクセス サーバ)を介して、イントラネットへのアクセスを許可されます。小企業で、1 つの AAA クライアントだけを介して接続する場合も、地理的に分散している多数の AAA クライアントを介する場合もあります。

小規模の LAN 環境では、図 2-1 のように、典型的なネットワーク構成として 1 つの Cisco Secure ACS を AAA クライアントの内側に配置し、外部のアクセスからはファイアウォールと AAA クライアントによって保護します。このような環境では、ユーザ データベースは通常小さく、AAA 用の Cisco Secure ACS にアクセスする必要があるデバイスはほとんどなく、データベースの複製は、バックアップとしてセカンダリ Cisco Secure ACS に複製するものに限られます。

図 2-1 小規模ダイヤルアップ ネットワーク

 

大規模のダイヤルイン環境でも、1 つの Cisco Secure ACS が 1 つのバックアップを持つ設計が適しています。この構成が最適かどうかは、ネットワーク アクセスおよびサーバ アクセスの待ち時間によります。図 2-2 に、大規模ダイヤルインの配置の例を示します。この場合は、バックアップ Cisco Secure ACS を追加することを推奨します。

図 2-2 大規模ダイヤルアップ ネットワーク

 

非常に大きな、地理的に分散したネットワーク(図 2-3)では、複数のアクセス サーバが都市の別の場所、異なる都市、あるいは異なる大陸に配置されることがあります。中央に Cisco Secure ACS を 1 台設置するという構成は、ネットワーク待ち時間が問われない場合はうまく動作しますが、長距離接続の信頼性が問題となる場合があります。このような場合、ローカル Cisco Secure ACS を複数設置する方が、中央に Cisco Secure ACS を 1 台設置するより望ましいことがあります。グローバルに一貫性のあるユーザ データベースが何よりも重要視される場合、中央 Cisco Secure ACS からのデータベースの複製またはデータベースの同期化が必要になります。認証に外部データベース、たとえば、Windows ユーザ データベースや Lightweight Directory Access Protocol(LDAP)を使用する場合、地理的に分散しているローカル Cisco Secure ACS の展開は、さらに複雑になる可能性があります。Cisco Secure ACS は、複製トラフィックおよびデータベース同期トラフィックはすべて暗号化しますが、Cisco Secure ACS が WAN を経由して送信するネットワーク情報およびユーザ情報を保護するには、さらに別のセキュリティ保護手段が必要になります。

図 2-3 地理的に分散したネットワーク

 

無線ネットワーク

無線ネットワーク アクセス ポイントは、AAA サービスの比較的新しいクライアントです。Cisco Aironet シリーズのような無線アクセス ポイント(AP)では、モバイル エンドユーザ クライアントは LAN 内部へのブリッジ接続が使用できます。無線ネットワークでは、AP へのアクセスが容易であることから、認証が必要不可欠です。通信において盗聴が容易であるため、暗号化も必要となります。このように、ダイヤルアップの場合と比較してセキュリティが大きな役割を果たすため、セキュリティについてはこの項の後半で詳しく説明します。

スケーリングは無線ネットワークでは重要な問題となります。無線 LAN(WLAN)の可動性という要素については、ダイヤルアップ ネットワークと同じように考察が必要です。しかし、有線 LAN と異なり、WLAN は拡張がはるかに容易です。WLAN 技術では AP を介した接続可能ユーザ数について物理的な制限がありますが、AP の数は短期間で増加が可能です。ダイヤルアップ ネットワークと同様に、WLAN を、すべてのユーザに対してフル アクセスを許可するように、またはサイト、建物、フロア、あるいは部屋間のさまざまなサブネットに対して制限付きアクセスを提供するように構築できます。ここで、WLAN に特有の問題が生じます。ユーザが AP 間で「ローミング」を行う機能です。

単純な WLAN では、インストールされている AP が 1 つの場合があります(図 2-4)。AP が 1 つだけであるため、主要な問題はセキュリティです。この環境では、一般にユーザ ベースは小規模で、考慮すべきネットワーク デバイスはほとんどありません。ネットワーク上の他のデバイスに提供する AAA サービスが、Cisco Secure ACS に特に大きな負荷として加わることはありません。

図 2-4 単純な WLAN

 

大きな建物やキャンパス環境のように、多数の AP が展開されている LAN では、Cisco Secure ACS の展開方法を決定する作業はやや複雑になります。図 2-5 では、AP はすべて同一の LAN 上にありますが、LAN 全体に分散しており、ルータやスイッチなどを通して接続されています。これより大規模で地理的に分散した WLAN において Cisco Secure ACS を展開するのは、大規模で地理的に分散したダイヤルアップ LAN の場合と同様です(図 2-3)。

図 2-5 キャンパス WLAN

 

これは、地域トポロジがキャンパス WLAN である場合に、特に適しています。WLAN を、図 2-4 に示すように、単純な WLAN に似た多数の小さなサイトで展開すると、このモデルは変化し始めます。このモデルは、小さな店が都市または州全域に、全国的に、あるいはグローバルに分散しているチェーンの場合に適用できます(図 2-6)。

図 2-6 小さなサイトの大規模展開

 

図 2-6 に示すモデルでは、Cisco Secure ACS の場所は、すべてのユーザからあらゆる AP へのアクセスが必要であるのか、または地域ネットワークまたはローカル ネットワークへのアクセスだけが必要であるのかによって決まります。この設置場所は、データベースの種類とともに、ローカルあるいは地域の Cisco Secure ACS のどちらが必要か、およびデータベースの連続性をどのようにして維持するかを左右します。この非常に大きな展開モデルでは、セキュリティの問題ははるかに複雑になります。

VPN を使用するリモート アクセス

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、高度な暗号化とトンネル伝送を使用して、組織が、安全なエンドツーエンドの専用ネットワーク接続を、インターネットやエクストラネットのようなサードパーティ ネットワーク上で確立することを可能にします(図 2-7)。VPN の利点を次に示します。

コストの削減 :サードパーティ ネットワークを VPN により有効利用すると、組織は高価な専用回線やフレーム リレー回線を使用する必要がなくなり、リモート ユーザの企業ネットワークへの接続に、ローカルの Internet Service Provider(ISP; インターネット サービス プロバイダー)を利用して、リソースを消費するモデム バンクへの高価なフリー ダイヤルや長距離通話の代替とすることができます。

セキュリティ :VPN は、不正なアクセスからデータを保護する高度な暗号化と認証プロトコルを使用して、最高レベルのセキュリティを提供します。

スケーラビリティ :VPN によって、企業は ISP 内でリモート アクセス インフラストラクチャを使用できます。したがって、大きなインフラストラクチャの追加を行わずに、大きなキャパシティを得ることができます。

ブロードバンド技術との互換性 :VPN によって、モバイル ワーカーと在宅勤務者は、DSL やケーブルのような高速ブロードバンド接続を利用することができ、企業ネットワークにアクセスしたとき、高い柔軟性と効率が得られます。

図 2-7 単純な VPN 構成

 

VPN でネットワーク内部へアクセスするには、次の 2 つの方法があります。

サイト間 VPN :従来型の WAN を、大規模な暗号化を行うことにより、インターネットのような公衆ネットワーク上で、複数の固定サイト間、たとえば、リモート オフィスとセントラル オフィスの間に拡張します。

リモート アクセス VPN :安全で暗号化された接続を、モバイル ユーザまたはリモート ユーザと企業ネットワークの間で、ISP などのサードパーティ ネットワークを通して、VPN クライアント ソフトウェアを使用して、可能にします。

一般に、サイト間 VPN は、典型的な WAN 接続と見ることができ、通常は 初期接続時の安全確保に AAA を使用するようには設定されず、デバイス指向の IPSec トンネル伝送プロトコルを使用する場合があります。しかし、リモート アクセス VPN は従来型のリモート接続技術(モデムや ISDN)に類似しており、AAA モデルが効率的に使用されます(図 2-8)。

図 2-8 企業 VPN ソリューション

 

VPN ソリューションの実装の詳細については、リファレンス ガイド『 A Primer for Implementing a Cisco Virtual Private Network 』を参照してください。

リモート アクセス ポリシー

リモート アクセスは幅広い概念です。一般には、ユーザが LAN に接続する方法、あるいは LAN から外部のリソース(インターネット)に接続する方法を定義します。これには、いくつかの方法があります。たとえば、ダイヤルイン、ISDN、ワイヤレス ブリッジ、セキュア インターネット接続です。各方法には、特有の利点と欠点があり、AAA サービスの提供についてもそれぞれ固有の問題があります。このような特性によって、リモート アクセス ポリシーは企業ネットワーク トポロジに緊密に関係します。アクセス方法以外にも、さまざまな決定事項が CiscoSecureACS の展開方法に影響を与える場合があります。その決定事項には、特定のネットワーク ルーティング(アクセス リスト)、時間帯アクセス、AAA クライアント アクセスの個別の制限、Access Control List(ACL; アクセス コントロール リスト)などが挙げられます。

リモート アクセス ポリシーは、在宅勤務者用、または ISDN や Public Switched Telephone Network(PSTN; 公衆電話交換網)を介してダイヤルインするモバイル ユーザ用に設定できます。このようなポリシーは、企業構内で Cisco Secure ACS と AAA クライアントを使用して適用されます。企業ネットワーク内では、リモート アクセス ポリシーによって個々の社員による無線アクセスを制御できます。

Cisco Secure ACS リモート アクセス ポリシーは、リモート ユーザの集中認証と許可を制御します。CiscoSecure ユーザ データベースには、すべてのユーザ ID、パスワード、および特権の情報が含まれます。Cisco Secure ACS アクセス ポリシーは ACL 形式で Cisco AS5300 Network Access Server のようなネットワーク アクセス サーバにダウンロードでき、また特定の期間や特定のアクセス サーバでのアクセスも許可できます。

リモート アクセス ポリシーは、全体のセキュリティ ポリシーの一部です。

セキュリティ ポリシー

シスコは、ネットワークを保有する組織が各自のセキュリティ ポリシーを開発することを推奨しています。セキュリティ ポリシーの複雑さ、性質、および範囲は、Cisco Secure ACS の展開方法に直接影響します。

セキュリティ ポリシーの開発と維持の包括的な説明は、次のマニュアルを参照してください。

Network Security Policy: Best Practices White Paper

Delivering End-to-End Security in Policy-Based Networks

Cisco IOS Security Configuration Guide

管理アクセス ポリシー

ネットワークの管理では、規模が問題となります。ネットワーク デバイスに対する管理アクセス用のポリシーは、ネットワークの規模と、ネットワークの保守に要する管理者の数に直接依存します。ネットワーク デバイス上でローカル認証を実行することもできますが、拡張性がありません。ネットワーク管理ツールの使用は、大規模ネットワークでは有効ですが、ローカル認証が各ネットワーク デバイスで使用される場合、そのポリシーは通常、ネットワーク デバイス上の 1 つのログインで構成されています。これでは、ネットワーク デバイスのセキュリティを十分高めることはできません。Cisco Secure ACS を使用すると、集中管理データベースを構築し、管理者が 1 箇所で追加や削除を行うことができます。AAA クライアントの管理アクセスの制御に推奨される AAA プロトコルは TACACS+ です。AAA クライアント管理者によるデバイスへのアクセスをコマンドごとに制御(コマンド許可)する機能があるためです。RADIUS は、認証情報の転送が初期認証時の 1 回であるため、この目的にはあまり適していません。

アクセスの種類もまた、重要な検討事項です。AAA クライアントに対して複数の管理アクセス レベルが必要な場合、または管理者のサブセットを特定のシステムに対して制限する必要がある場合は、Cisco Secure ACS のコマンド許可機能をネットワーク デバイスごとに実行して、必要に応じてネットワーク管理者を制限します。ローカル認証を使用すると、管理アクセス ポリシーが、デバイスへのログインを省略、または特権レベルを使用したアクセス制御に限定されます。特権レベルという方法によるアクセス制御は、煩雑で拡張性がありません。この場合、コマンドの特権レベルが AAA クライアント デバイスで変更され、また特権レベルがユーザ ログインに対して定義されることが必要です。また、コマンドの特権レベルを編集することで、多くの問題が発生しやすくなります。コマンド許可を Cisco Secure ACS で使用すると、制御するコマンドの特権レベルを変更する必要はありません。AAA クライアントはコマンドを解析のために Cisco Secure ACS に送信し、Cisco Secure ACS は管理者がそのコマンドを使用する権限を持つかどうかを判別します。AAA を使用することで、あらゆる AAA クライアントに関して Cisco Secure ACS のあらゆるデバイスに対する認証を行うことができ、AAA クライアントごとに、そのデバイスに対するアクセスを制限できます。

ネットワーク デバイスの数が少ない小規模のネットワークでは、必要な管理者が 1、2 名である場合もあります。デバイスに関してはローカル認証で通常は十分です。ローカル認証よりもきめ細かな制御が必要な場合は、何らかの認証方法が必要です。すでに検討したように、特権レベルを使用したアクセス制御は、煩雑になる可能性があります。Cisco Secure ACS ではこの問題が解消されます。

大規模な企業ネットワークでは、管理対象のデバイスが多数あり、Cisco Secure ACS の使用は実質的に不可欠なものとなります。多数のデバイスの管理では、多数のネットワーク管理者に対してさまざまなアクセス レベルが必要となるため、管理者やデバイスを変更した際のネットワーク デバイスの設定変更を絶えず監視する方法としてローカル制御を使用することは、明らかに実行不可能です。CiscoWorks 2000 のようなネットワーク管理ツールを使用すると、この負担を軽減することはできますが、セキュリティの維持が課題となります。Cisco Secure ACS は最大 100,000 のユーザを容易に扱えるため、Cisco Secure ACS がサポートするネットワーク管理者の数が問題になることはほとんどありません。AAA サポートのために RADIUS を使用したリモート アクセスを行う人数が多い場合、企業の IT チームは、Cisco Secure ACS を使用した独自の TACACS+ 認証を管理チーム用に考える必要があります。その結果、一般ユーザを管理チームから分離し、ネットワーク デバイスに対する不用意なアクセスを低減できます。これが適切なソリューションではない場合、TACACS+ を管理用(shell/exec)ログインに使用し、RADIUS をリモート ネットワーク アクセスに使用すれば、ネットワーク デバイスに対する十分なセキュリティを確保することができます。

管理ユーザと一般ユーザの分離

一般ネットワーク ユーザがネットワーク デバイスにアクセスできないようにすることは重要です。一般ユーザに不正にアクセスする意図がなかったとしても、不用意なアクセスがネットワーク アクセスに予期せぬ混乱をもたらすことはあり得ます。AAA および Cisco Secure ACS には、一般ユーザを管理ユーザと分離するための手段が用意されています。

この分離を実行するための最も簡単で、しかも推奨される方法は、RADIUS を一般リモート アクセス ユーザ用に使用し、TACACS+ を管理ユーザ用に使用することです。問題が生じるのは、管理者が一般ユーザと同様に、リモート ネットワーク アクセスを求める場合です。Cisco Secure ACS を使用すれば、この問題は解決します。管理者は Cisco Secure ACS で RADIUS 設定と TACACS+ 設定の両方を持つことができます。許可機能を使用して、RADIUS ユーザに PPP(またはその他のネットワーク アクセス プロトコル)を、許可されたプロトコルとして設定することができます。TACACS+ では、管理者だけが shell アクセス(exec アクセス)を許可されるように設定します。

たとえば、管理者がネットワークに対して一般ユーザとしてダイヤルする場合、AAA クライアントは RADIUS を認証と許可を行うプロトコルとして使用し、PPP プロトコルが許可されます。次に、同じ管理者がある AAA クライアントにリモートに接続して設定の変更を行う場合、AAA クライアントは TACACS+ プロトコルを認証と許可に使用します。この管理者は Cisco Secure ACS 上で、TACACS+ 下の shell 権限を設定されているため、このデバイスに対するログインが許可されます。この場合 AAA クライアントは、1 つは RADIUS 用、もう 1 つは TACACS+ 用に、2 つの別々の設定を Cisco Secure ACS 上で持つ必要があります。IOS 環境で効果的に PPP と shell ログインを分離するように AAA クライアントを設定する例を次に示します。

aaa new-model
tacacs-server host ip-address
tacacs-server key secret-key
radius-server host ip-address
radius-server key secret-key
aaa authentication ppp default group radius
aaa authentication login default group tacacs+ local
aaa authentication login console none
aaa authorization network default group radius
aaa authorization exec default group tacacs+ none
aaa authorization command 15 default group tacacs+ none
username user password password
line con 0
login authentication console

逆に、一般ユーザがリモート アクセスを使用してネットワーク デバイスにログインしようとすると、Cisco Secure ACS はユーザ名とパスワードをチェックし、承認しようとしますが、このユーザはデバイスへの shell アクセスまたは exec アクセスを許可するクレデンシャルを持っていないため、許可プロセスは失敗します。

データベース

トポロジ上の検討事項は別にして、ユーザ データベースは Cisco Secure ACS の展開において最も影響の大きな要素の 1 つです。ユーザ ベースの大きさ、ネットワーク中のユーザの分布、アクセス要件、およびユーザ データベースの種類は、Cisco Secure ACS の展開方法を決定する要因です。

ユーザ数

Cisco Secure ACS の設計では、企業環境で 100,000 のユーザを快適に処理できます。これは、1 つの会社にとっては十分な数です。この数を超える環境では、ユーザ ベースは地理的に分散しているのが普通であり、この場合は複数の Cisco Secure ACS を構成します。WAN に障害が発生すると、認証サーバが機能しないため、ローカル ネットワークにアクセスできなくなることがあります。また、1 つの Cisco Secure ACS が扱うユーザ数を減らすと、一定の時間帯に発生するログイン数が減り、データベース自体の負荷が軽くなる結果、パフォーマンスが向上します。

データベースの種類

Cisco Secure ACS は、いくつかのデータベース オプションをサポートしています。それには、CiscoSecure ユーザ データベースや、サポートされている外部データベースのいずれかによるリモート認証の使用が含まれています。データベースのオプション、種類、および機能の詳細については、「認証とユーザ データベース」 第13章「ユーザ データベース」 、または 第16章「ユーザ グループ マッピングと仕様」 を参照してください。それぞれのデータベース オプションには、スケーラビリティとパフォーマンスに関して、特有の利点と制限があります。

ネットワークの待ち時間と信頼性

ネットワークの待ち時間と信頼性も、Cisco Secure ACS の展開方法の重要な要素です。認証の遅延は、エンドユーザ クライアントあるいは AAA クライアントにおけるタイムアウトにつながる可能性があります。

世界中に展開している企業のような、大規模で広大なネットワークにおける一般的な原則は、少なくとも 1 つの Cisco Secure ACS を各地域に配置することです。これは、サイトに信頼性の高い高速接続がない場合は適当でない場合もあります。多くの企業は、インターネットが提供するリンクを使用するために、セキュアな VPN 接続をサイト間で使用しています。インターネットを利用すると、時間と経費は節約されますが、専用のフレーム リレーや T1 リンクで得られるような速度と信頼性は得られません。WLAN リンクで接続したキャッシュ レジスタを持つ小売店のように、信頼性のある認証サービスがビジネスの機能において重要となる場合、リモート Cisco Secure ACS に WAN 接続ができないことは致命的です。

同じ問題は Cisco Secure ACS が使用するユーザ データベースにも該当します。信頼性と迅速なアクセスを保証するために、データベースは Cisco Secure ACS のすぐ近くに配置する必要があります。ローカル Cisco Secure ACS をリモート データベースと一緒に使用すると、リモート Cisco Secure ACS を使用する場合と同じ問題が発生する可能性があります。この場合に生じる恐れがあるもう 1 つの問題は、ユーザ側でタイムアウトになるということです。AAA クライアントが Cisco Secure ACS と連絡できても、Cisco Secure ACS が待つ外部ユーザ データベースからの応答が遅延したり、なかったりすることも考えられます。Cisco Secure ACS がリモートであれば、AAA クライアントでタイムアウトが発生し、AAA クライアントはユーザを認証する代替手段を試みますが、データベースがリモートの場合は、エンドユーザ クライアントで先にタイムアウトが発生します。

推奨される展開順序

あらゆる Cisco Secure ACS 展開に共通で適用できるプロセスはないので、ナビゲーション ツールバーに表示されている上位レベル機能に合うように調整された順序に従うことを考える必要があります。また、これらの展開作業の多くが実際では繰り返されるということにも注意が必要です。たとえば、展開を進めていくと、インターフェイス設定のような作業に何度も戻ります。

管理者の設定 :少なくとも 1 人の管理者を展開の最初に設定する必要があります。設定していない場合、リモート管理アクセスができないため、すべての設定作業をサーバから行う必要があります。また、管理ポリシーの確立と維持のための詳細な計画を決めておくことも必要です。

管理者の設定の詳細については、 第1章「概要」 を参照してください。

Cisco Secure ACS HTML インターフェイスの設定 :Cisco Secure ACS HTML インターフェイスを設定すると、使用する機能やコントロールだけを表示できます。これによって、使用する予定のない HTML インターフェイスの多くの部分を扱う必要がなくなり、Cisco Secure ACS の使用が簡単になります。しかし逆に、Interface Configuration セクションで設定し忘れたために機能とコントロールが表示されないというフラストレーションにつながる場合もあります。HTML インターフェイスの設定については、「インターフェイス設計の概念」を参照してください。

HTML インターフェイスの個々の性質の設定については、インターフェイスの設定の章で、次の項を参照してください。

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

システムの設定 :日付の表示形式の設定やパスワードの妥当性検査から、データベース複製の設定や RDBMS 同期化のための設定に至るまで、多数の考慮すべき機能が System Configuration セクション内にあります。これらの機能は 第8章「システム設定:基本」 で詳しく説明しています。最初のシステム設定で特に注意を要する点は、Cisco Secure ACS が作成するログとレポートです。詳細については、 第1章「概要」 を参照してください。

ネットワークの設定 :分散されて代理処理される AAA 機能を、HTML インターフェイスの Network Configuration セクションで制御します。このセクションでは、AAA クライアントとサーバを確認し、その配置とグループ化を確定し、それぞれが使用すべき認証プロトコルを決定します。詳細については、 第4章「ネットワーク設定」 を参照してください。

外部ユーザ データベースの設定 :この段階では、ユーザ認証アカウントの作成および維持のために、外部ユーザ データベースの実装の有無や実装方法を決定します。通常は、これは既存のネットワーク管理メカニズムに従って行います。Cisco Secure ACS がサポートするデータベースの種類とその確立手順については、 第13章「ユーザ データベース」 を参照してください。

外部ユーザ データベース(複数の場合もある)を実装するように決定した場合、Cisco Secure ACS データベースの複製、バックアップ、および同期化に関する要件を指定する詳細な計画を決定します。ユーザ データベース管理の設定については、 第8章「システム設定:基本」 に詳しく説明しています。

共有プロファイル コンポーネントの設定 :ネットワーク設定のほとんどがすでに終了している場合は、ユーザ グループを設定する前に、共有プロファイル コンポーネントを設定します。採用するネットワーク アクセス制限とコマンド許可セットをセットアップし命名するときは、ユーザ グループおよびシングル ユーザのアクセス特権の指定が効率よく行われるように考えてレイアウトします。共有プロファイル コンポーネントの詳細については、 第5章「共有プロファイル コンポーネント」 を参照してください。

グループの設定 :ここまでで、使用する外部ユーザ データベースの設定が終了している場合は、ユーザ グループを設定する前に、外部ユーザ データベースに関係する Cisco Secure ACS のその他の 2 つの機能、つまり、未知のユーザの処理とデータベース グループのマッピングの実装の方法を決定する必要があります。詳細については、および 第16章「ユーザ グループ マッピングと仕様」 を参照してください。次に、Cisco Secure ACS が認証と許可を実行する方法について全体計画を立案し、ユーザ グループの設定を行います。詳細については、 第6章「ユーザ グループ管理」 を参照してください。

ユーザの設定 :グループが設定されている場合は、ユーザ アカウントを作成することができます。ある特定のユーザは 1 つのユーザ グループだけにしか所属できないこと、およびユーザ レベルで行った設定はグループ レベルの設定に優先するということに注意してください。詳細については、 第7章「ユーザ管理」 を参照してください。

レポートの設定 :Cisco Secure ACS HTML インターフェイスの Reports and Activitiy セクションで、Cisco Secure ACS が実行するロギングの性質と範囲を指定できます。詳細については、 第1章「概要」 を参照してください。