Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
概要
概要
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

概要

ACS の概要

ACS の機能と概念

AAA サーバとしての ACS

AAA プロトコル:TACACS+ と RADIUS

TACACS+

RADIUS

ACS バージョン 4.0 の追加機能

認証

認証方法の検討

認証とユーザ データベース

認証プロトコルとデータベースの互換性

パスワード

認証に関連するその他の機能

認可

最大セッション数

ダイナミックな使用割当量

共有プロファイル コンポーネント

Cisco デバイス管理アプリケーションのサポート

認可に関連するその他の機能

アカウンティング

アカウンティングに関連するその他の機能

ACS の管理

Web インターフェイスのセキュリティ

管理セッション用の HTTP ポートの割り当て

Web インターフェイスのレイアウト

Web インターフェイス用の URL

オンライン ヘルプとオンライン マニュアル

オンライン ヘルプの使用方法

オンライン ユーザ ガイドの使用方法

ACS の仕様

システム パフォーマンス仕様

ACS Windows サービス

概要

この章では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の概要を説明します。

この章は、次の内容で構成されています。

「ACS の概要」

「ACS の機能と概念」

「ACS の管理」

「ACS の仕様」

ACS の概要

ACS は、スケーラブルで高性能な Remote Access Dial-In User Service(RADIUS)であると同時に、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)セキュリティ サーバです。企業ネットワークのユーザ、ネットワーク管理者、およびネットワーク インフラストラクチャ リソースを管理するための集中コントロール ポイントとして、Cisco インテリジェント情報ネットワークのアイデンティティベースの包括的なネットワークアクセス コントロール ソリューションを提供します。

ACS は、従来の認証、認可、アカウンティング(AAA:読み方は「トリプル A」)とポリシー コントロールを併用することによって、ネットワークアクセス セキュリティを強化しています。またネットワーク管理者や他のネットワーク ユーザに対し、均一なネットワークアクセス セキュリティを適用します。

ACS は、次のようなシスコおよび他社のさまざまなネットワークアクセス デバイス(NAD)製品をサポートします。NAD は、AAA クライアントとも呼ばれます。

有線および無線 LAN スイッチおよびアクセス ポイント

エッジ ルータおよびコア ルータ

ダイヤルアップ ターミネータおよびブロードバンド ターミネータ

コンテンツ デバイスおよびストレージ デバイス

Voice over IP

ファイアウォール

バーチャル プライベート ネットワーク(VPN)

図1-1 に、従来のネットワーク アクセス コントロール/AAA サーバの役割を示します。

図1-1 単純な AAA のシナリオ

 

ACS は、Cisco Network Admission Control(NAC)フレームワークの重要なコンポーネントです。Cisco NAC は、シスコシステムズが推進する業界のイニシアティブで、ネットワーク インフラストラクチャを使用して、ネットワーク コンピューティング リソースにアクセスするすべてのマシンにセキュリティ ポリシーを適用することによって、ウイルスやワームによる被害を最小限に食い止めます。NAC を使用すると、セキュリティ ポリシーに準拠した信頼できる PC に対してだけネットワーク アクセスを許可し、不適合なデバイスのアクセスを制限できます。図1-2 を参照してください。

図1-2 NAC の ACS 拡張

 

ACS は、Cisco Identity-Based Networking Services(IBNS)アーキテクチャの重要なコンポーネントでもあります。Cisco IBNS は、Extensible Authentication Protocol(EAP)および IEEE 802.1x(ポートベースのネットワークアクセス コントロールの標準)などのポートセキュリティ標準に基づいており、従来はネットワーク境界で管理されていたセキュリティ認証、認可、アカウンティングを、LAN 内のすべての接続ポイントまで拡張しました。シスコ スイッチと無線アクセス ポイントが RADIUS プロトコルを介して ACS にクエリーを行うという拡張機能により、ユーザごとのリソース割り当て制限、仮想 LAN(VLAN)割り当て、およびアクセス コントロール リスト(ACL)などの新しいポリシー コントロールを導入できます。

ACS の機能と概念

ACS には、AAA サービスをネットワークアクセス デバイスに適用し、集中アクセスコントロール機能を提供するための多くのテクノロジーが組込まれています。

この項では、次のトピックについて取り上げます。

「AAA サーバとしての ACS」

「AAA プロトコル:TACACS+ と RADIUS」

「ACS バージョン 4.0 の追加機能」

AAA サーバとしての ACS

NAD 側から見ると、ACS は AAA サーバとして機能します。ACS 側から見て AAA クライアントとして機能するデバイスは、エンドユーザからホストへのアクセス要求をすべて TACACS+ または RADIUS プロトコル経由で ACS に送信するように設定しておく必要があります。

TACACS+ は、従来から、ネットワーク インフラストラクチャ自体の上でネットワーク管理操作を行う認可を与えるために使用されるプロトコルです。一方、RADIUS は、エンドユーザからネットワーク リソースへのアクセスを保護するために、広く一般に使用されています。

NAD は、基本的にはネットワークのゲートキーパーとして機能し、ユーザの代理としてアクセス要求を ACS に送信します。ACS は、その内部データベースを使用するか、あらかじめ設定されている外部アイデンティティ ディレクトリのいずれかを使用して、ユーザ名、パスワード、および必要に応じてその他のデータを確認します。ACS は、最終的に NAD に対して、access denied または access-accept メッセージと一連の認可アトリビュートによって応答します。ACS を NAC アーキテクチャのコンテキストで使用すると、ユーザがネットワークへのアクセスを許可される前に、 ポスチャ と呼ばれるその他のマシン データも確認されます。

AAA プロトコル:TACACS+ と RADIUS

ACS は、TACACS+ AAA プロトコルと RADIUS AAA プロトコルを使用できます。

表1-1 に、この 2 つのプロトコルの比較を示します。

 

表1-1 TACACS+ プロトコルと RADIUS プロトコルの比較

比較項目
TACACS+
RADIUS

伝送プロトコル

TCP:コネクション型トランスポート層プロトコル、信頼性の高い全二重データ伝送

UDP:コネクションレス型トランスポート層プロトコル、確認応答も配送保証もないデータグラム交換

使用されるポート

49

認証および認可:1645 および 1812
アカウンティング:1646 および 1813

暗号化

完全なパケット暗号化

16 バイト以下のパスワードに限り暗号化

AAA アーキテクチャ

認証、認可、アカウンティングの各サービスを独立制御

認証および認可を 1 つのサービスとして統合

利用目的

デバイスの管理

ユーザ アクセスの制御

TACACS+

ACS は、シスコシステムズがドラフト 1.78 に定義している TACACS+ プロトコルに準拠しています。詳細については、Cisco IOS ソフトウェアのマニュアルまたは http://www.cisco.com を参照してください。

RADIUS

ACS は、1997 年 4 月発行のドラフトおよび次の Requests for Comments(RFC)に定義されている RADIUS プロトコルに準拠しています。

RFC 2138, Remote Authentication Dial In User Service

RFC 2139, RADIUS Accounting

RFC 2284

RFC 2865

RFC 2866

RFC 2867

RFC 2868

RFC 2869

認証およびアカウンティングに使用されるポートが、RADIUS RFC 文書では変わっています。新旧の RFC をサポートするために、ACS は認証の要求をポート 1645 およびポート 1812 で受け入れます。アカウンティングについては、アカウンティング パケットをポート 1646 および 1813 で受け入れます。

標準 Internet Engineering Task Force(IETF)RADIUS アトリビュート以外に、ACS は RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)もサポートします。次の RADIUS VSA は、ACS で定義済みです。

Cisco Building Broadband Service Manager(BBSM)

Cisco IOS/PIX 6.0

Cisco VPN 3000/ASA/PIX 7.x+

Cisco VPN 5000

Cisco Airespace

Ascend

Juniper

Microsoft

Nortel

ACS では、最大 10 の RADIUS VSA のユーザ定義が可能です。新しく定義した RADIUS VSA は、ACS で定義済みの RADIUS VSA と同様に使用できます。ACS Web インターフェイスの Network Configuration セクションで AAA クライアントを設定して、ユーザ定義の RADIUS VSA を AAA プロトコルとして使用できます。Interface Configuration セクションでは、ユーザ レベルおよびグローバルレベルのアトリビュートを、ユーザ定義の RADIUS VSA 用にイネーブルにできます。User Setup および Group Setup セクションでは、ユーザ定義の RADIUS VSA の使用可能なアトリビュートに値を設定できます。

ユーザ定義 RADIUS VSA の作成の詳細については、「カスタム RADIUS ベンダーと VSA」を参照してください。

ACS バージョン 4.0 の追加機能

ACS バージョン 4.0 は、次の機能によってネットワーク化されたビジネス システムを強化、保護します。

Cisco NAC のサポート :ACS 4.0 は、展開された NAC のポリシー デシジョン ポイントとして機能します。設定可能なポリシーを使用して、Cisco Trust Agent(CTA、ポスチャ)から受け取ったクレデンシャルを評価して確認し、ホストの状態を判別して、ユーザごとの認可結果を、ACL、ポリシー ベースのアクセス コントロール リスト、プライベート VLAN 割り当てなどのネットワークアクセス デバイスに送信します。ホストのクレデンシャルを評価することによって、OS のパッチ レベル、アンチウイルス DAT ファイルのバージョンなど、さまざまな固有のポリシーを適用できます。ACS は、モニタリング システムで使用するために、ポリシー評価の結果を記録します。また ACS 4.0 では、ネットワーク アクセスを許可する前に、適切なエージェント テクノロジーを装備していないホストも、サードパーティの監査ベンダーによって監査できます。ACS ポリシーは、ACS がクレデンシャルを転送する外部ポリシー サーバにまで拡大できます。たとえば、アンチウイルス ベンダー固有のクレデンシャルは、そのベンダーのアンチウイルス ポリシー サーバに転送し、監査ポリシー要求はサードパーティの監査ベンダーに転送できます。詳細については、「ポスチャ確認」を参照してください。

スケーラビリティの向上: ACS 4.0 は、業界標準の Relational Database Management System
(RDBMS; リレーショナル データベース管理システム)を使用するようにアップグレードされたため、サポートされるデバイス(AAA クライアント)数は 10 倍まで、ユーザ数は 3 倍まで増加しました。また、Cisco Secure ACS がサポートするプロトコル ポートフォリオのパフォーマンス(1 秒あたりのトランザクション数)も大幅に向上しました。

ネットワーク アクセス プロファイル :ACS 4.0 は、Network Access Profile(NAP; ネットワーク アクセス プロファイル)と呼ばれる新機能をサポートします。管理者はこのプロファイルを使用して、ネットワークの場所、Network Device Group(NDG; ネットワーク デバイス グループ)のメンバーシップ、プロトコル タイプ、またはユーザが接続時に経由するネットワークアクセス デバイスが送信した特定の RADIUS アトリビュート値に従って、アクセス要求を分類できます。AAA ポリシーは、特定のプロファイルにマッピングできます。たとえば、無線アクセスとリモート(VPN)アクセスに異なるアクセス ポリシーを適用できます。詳細については、「ネットワーク アクセス プロファイル」を参照してください。

拡張複製コンポーネント :ACS 4.0 では、複製が強化され、拡張されました。管理者は、次のような、NAP およびそれに関連するすべての設定を複製できます。

ポスチャ確認設定

AAA クライアントとホスト

外部データベース設定

グローバル認証設定

ネットワーク デバイス グループ

ディクショナリ

共有プロファイル コンポーネント

追加のロギング アトリビュート

EAP-Flexible Authentication via Secure Tunneling(FAST)の拡張サポート :EAP-FAST は、シスコによって開発された新しいタイプの IEEE 802.1X EAP であり、強力なパスワード ポリシーを実行できない場合や、次のような 802.1X EAP を展開する場合に有効です。

デジタル証明書を必要としない

さまざまなタイプのユーザおよびパスワード データベースをサポートしている

パスワードの失効および変更をサポートしている

柔軟性がある

導入が容易である

管理が容易である

たとえば、ユーザが強力なパスワード ポリシーを実行できないため、証明書を使用していない場合は、EAP-FAST に移行することで、ディクショナリ攻撃からの保護が可能となります。ACS 4.0 では、各種無線クライアント アダプタに対応する EAP-FAST サプリカントのサポートが追加されています。

ダウンロード可能な IP ACL :ACS 4.0 では、Cisco PIX¨ ファイアウォール、Cisco VPN ソリューション、および Cisco IOS ルータなど、この機能をサポートするすべてのレイヤ 3 ネットワーク デバイスで、ユーザごとの ACL をサポートできます。ユーザまたはグループごとに適用可能な ACL のセットを定義できます。この機能は、適切な ACL ポリシーを適用することで、NAC のサポートを補完します。Network Access Filter(NAF; ネットワーク アクセス フィルタ)と併用すると、ダウンロード可能な別個の ACL をデバイスごとに適用できます。したがって、ユーザまたはアクセス デバイスに固有の ACL を調整できます。

Certification Revocation List(CRL; 証明書失効リスト)の比較 :ACS 4.0 は、X.509 CRL プロファイルを使用した証明書失効をサポートします。CRL は、失効した証明書を識別するタイムスタンプ付きのリストで、認証局または CRL の発行元によって署名され、パブリック リポジトリで公開されています。ACS 4.0 は、Lightweight Directory Access Protocol(LDAP)または HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)を使用して、設定された CRL Distribution Points(CDP; CRL 配布点)から CRL を定期的に取得し、EAP-Transport Layer Security(EAP-TLS)認証時に使用できるように保存します。EAP-TLS 認証時にユーザが提示した証明書が、取得した CRL に含まれている場合、ACS は認証に失敗し、ユーザのアクセスを拒否します。この機能は、組織変更が頻繁にある場合に特に重要であり、不正なネットワークの使用から貴重な企業資産を保護します。

Machine Access Restrictions(MAR) :ACS 4.0 には、Windows マシン認証の拡張機能として MAR が含まれています。Windows マシン認証が有効な場合、MAR を使用することにより、Windows 外部ユーザ データベースを使用して認証を行う EAP-TLS ユーザおよび Microsoft Protected Extensible Authentication Protocol(PEAP)ユーザの認可を制御できます。設定された時間内にマシン認証を通過していないコンピュータを使用してネットワークにアクセスするユーザを特定のユーザ グループとして認可します。必要に応じて、認可を制限するように設定することもできます。ネットワーク アクセスをまとめて拒否することもできます。

ネットワーク アクセス フィルタ(NAF) :ACS 4.0 には、新しいタイプの共有プロファイル コンポーネントとして NAF が組み込まれています。NAF を使用すると、ネットワーク デバイス名、ネットワーク デバイス グループ、またはネットワーク デバイスの IP アドレスに基づいて、ネットワーク アクセス制限およびダウンロード可能な ACL を柔軟に適用できます。IP アドレスに基づいて適用された NAF では、IP アドレスの範囲とワイルドカードを使用できます。以前は、すべてのデバイスに対して同一のアクセス制限または ACL を使用する必要がありましたが、この機能により、ネットワーク アクセス制限とダウンロード可能な ACL をきめ細かく設定できます。NAF によって柔軟なネットワーク デバイス制限ポリシーの定義が可能になりますが、これは、大規模なネットワーク環境に共通の要件です。

認証

認証とは、ユーザの ID を判別し、その情報を確認することです。従来の認証方式では、名前とある決まったパスワードが使用されていました。さらに安全で新しいテクノロジーには、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)や One-Time Password(OTP; ワンタイム パスワード)があります。ACS は、これらのさまざまな認証方式をサポートしています。

認証と認可には基本的な暗黙の関係があります。ユーザに与えられる認可特権が多くなればなるほど、それに応じて認証を強化する必要があります。ACS は、さまざまな認証方法を用意して、この関係をサポートしています。

この項では、次のトピックについて取り上げます。

「認証方法の検討」

「認証とユーザ データベース」

「認証プロトコルとデータベースの互換性」

「パスワード」

「認証に関連するその他の機能」

認証方法の検討

ユーザ名とパスワードは、最も一般的かつ単純で、低コストな認証方式です。この方式の欠点は、ユーザ名やパスワードの情報が簡単に第三者に伝えられたり、推測または不正に取得されたりする可能性がある点です。単純な暗号化されていないユーザ名とパスワードによる認証は確実な認証メカニズムとは言えませんが、インターネット アクセスなどのように認可レベルまたは特権レベルが低い場合は十分に対応可能です。

ネットワーク上でパスワードが不正に取得される危険性を低減するには、暗号化を使用する必要があります。TACACS+ および RADIUS などのクライアント/サーバ アクセス制御プロトコルでは、パスワードを暗号化して、ネットワーク内でパスワードが不正に取得される事態の発生を防止します。ただし、TACACS+ と RADIUS は AAA クライアントと ACS 間でだけ動作します。認証プロセスにおいては、このポイントの前で、認可されていないユーザが暗号化されていないパスワードを入手する可能性があります。たとえば、次のような場合です。

電話回線を介してダイヤルアップ接続を行うエンドユーザ クライアントとの間の通信

ネットワークアクセス サーバで終端する Integrated Services Digital Network(ISDN; サービス総合デジタル ネットワーク)回線

エンドユーザ クライアントとホスティング デバイスの間の Telnet セッションを介して行われる通信

認証とユーザ データベース

ACS は、さまざまなユーザ データベースをサポートしています。ACS 内部データベース以外にも、次のような外部ユーザ データベースをサポートしています。

Windows ユーザ データベース

汎用 LDAP

開放型データベース接続(ODBC)準拠のリレーショナル データベース

Rivest, Shamir, Adelman(RSA)SecurID トークン サーバ

RADIUS 準拠トークン サーバ


) トークン サーバのサポートの詳細については、「トークン サーバ ユーザ データベース」を参照してください。


認証プロトコルとデータベースの互換性

ACS が認証用にサポートしている各種のパスワード プロトコルは、ACS がサポートしている各種のデータベースによって同じようにサポートされているとは限りません。ACS がサポートしているパスワード プロトコルの詳細については、「パスワード」を参照してください。


) このリリースは、Windows NT をサポートしていません。


表1-2 に、EAP 以外の認証プロトコルのサポートを示します。

 

表1-2 EAP 以外の認証プロトコルとユーザ データベースの互換性

データベース
ASCII/PAP
CHAP
ARAP
MS-CHAP v.1
MS-CHAP v.2

ACS

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

Windows AD

Yes

No

No

Yes

Yes

LDAP

Yes

No

No

No

No

ODBC

Yes

Yes

Yes

Yes

Yes

LEAP Proxy RADIUS Server

Yes

No

No

Yes

Yes

すべてのトークン サーバ

Yes

No

No

No

No

表1-3 に、EAP 認証プロトコルのサポートを示します。

 

表1-3 EAP 認証プロトコルとユーザ データベースの互換性

データベース
LEAP
EAP-MD5
EAP-TLS
PEAP(EAP-GTC)
PEAP(EAP-MS
CHAPv2)
EAP-FAST フェーズ 0
EAP-FAST フェーズ 2

ACS

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

Yes

Yes

Windows AD

Yes

No

Yes

Yes

Yes

Yes

Yes

LDAP

No

No

Yes

Yes

No

No

Yes

ODBC

Yes

Yes

Yes

Yes

Yes

Yes

Yes

LEAP Proxy RADIUS Server

Yes

No

No

Yes

Yes

Yes

Yes

すべてのトークン サーバ

No

No

No

Yes

No

No

No

パスワード

ACS は、次のような一般的なパスワード プロトコルを多数サポートしています。

ASCII/Password Authentication Protocol(ASCII/PAP)

CHAP

MS-CHAP

Lightweight and Efficient Application Protocol(LEAP)

EAP-MD5

EAP-TLS

PEAP(EAP-GTC)

PEAP(EAP-MSCHAPv2)

EAP-FAST

AppleTalk Remote Access Protocol(ARAP)

パスワードの処理は、使用するセキュリティ制御プロトコルのバージョンと種類(たとえば RADIUS や TACACS+)および AAA クライアントとエンドユーザ クライアントの設定に応じて、上記の認証プロトコルを使用して行うことができます。次の各項では、パスワード処理のさまざまな条件と機能の概要について説明します。

トークン サーバの場合、ACS はトークン サーバに対するクライアントとして動作し、トークン サーバに応じて、そのサーバ特有の API か RADIUS インターフェイスのいずれかを使用します。詳細については、「トークン サーバと ACS について」を参照してください。

ACS では、異なるセキュリティ レベルを同時に使用して、さまざまな要件に対応できます。ユーザとネットワークの間の基本的なセキュリティ レベルは PAP です。PAP は、非暗号化セキュリティの代表ですが、クライアントにとって利便性が高く、シンプルです。PAP によって Windows データベースに対する認証を行うことができます。PAP で認証されるように設定しておくと、ユーザは 1 回の認証でデータベースにログインできます。エンドユーザ クライアントから AAA クライアントに通信するときに CHAP を使用すると、パスワードが暗号化されるため、暗号化しない場合より高いセキュリティ レベルが確保できます。CHAP は ACS 内部データベースで使用できます。ARAP のサポートには、Apple クライアントのサポートが必要です。

PAP、CHAP、ARAP の比較

PAP、CHAP、および ARAP は、パスワードを暗号化する認証プロトコルです。しかし、各プロトコルのセキュリティ レベルは異なります。

PAP :平文パスワード(つまり暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。ユーザの認証に Windows ユーザ データベースを使用する場合は、PAP のパスワード暗号化または Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP)を使用する必要があります。

CHAP :応答時に一方向の暗号化を使用するチャレンジ/レスポンス方式です。CHAP を使用することで、ACS は、セキュリティ レベルの高い順からセキュリティ暗号化方式をネゴシエートし、プロセス中に伝送されるパスワードを保護します。CHAP パスワードは再利用が可能です。ACS 内部データベースを認証に使用している場合は、PAP または CHAP のどちらかを使用できます。CHAP は、Windows ユーザ データベースでは使用できません。

ARAP :双方向のチャレンジ/レスポンス方式を使用します。AAA クライアントはエンドユーザ クライアントに対して自分自身の認証を要求し、エンドユーザ クライアントは AAA クライアントに対して自分自身の認証を要求します。

MS-CHAP

ACS は、ユーザ認証用に MS-CHAP をサポートします。MS-CHAP と標準の CHAP の違いは次のとおりです。

MS-CHAP Response パケットは、Microsoft Windows および LAN Manager 2.x と互換性のある形式を使用しています。MS-CHAP 形式では、平文または復号化されたパスワードを認証者が保存する必要はありません。

MS-CHAP では、認証者が制御する認証再試行方式を使用します。

MS-CHAP では、Failure packet Message フィールドに障害コードが追加されています。

MS-CHAP の詳細については、RFC 2433「 Microsoft PPP CHAP Extensions 」の「RADIUS Attributes for MS-CHAP Support」を参照してください。

EAP のサポート

EAP は、IETF 802.1x に基づいており、AAA クライアントの設定を変更しなくても認証タイプを作成できるようにするエンドツーエンドのフレームワークです。EAP の詳細については、RFC 2284「 PPP Extensible Authentication Protocol(EAP) 」を参照してください。

ACS では、次に示すさまざまな EAP をサポートしています。

EAP-MD5 :相互認証をサポートしていない EAP プロトコル。

EAP-TLS :トランスポート層セキュリティを含む EAP。詳細については、『 EAP-TLS Deployment Guide for Wireless LAN Networks 』および 「EAP-TLS 認証」を参照してください。

LEAP :Cisco Aironet ワイヤレス装置によって使用される EAP プロトコル。これは、相互認証をサポートしています。

PEAP :保護された EAP。EAP-Generic Token Card(GTC)および EAP-MS-CHAPv2 プロトコルを使用して実装されています。詳細については、「PEAP 認証」を参照してください。

EAP-FAST :EAP 認証の暗号化を高速化する手段。EAP-GTC 認証をサポートしています。詳細については、「EAP-FAST 認証」を参照してください。

ACS のアーキテクチャは、EAP に関しては拡張可能であり、上記以外のさまざまな EAP プロトコルは、プロトコルの完成次第、サポートする予定です。

基本的なパスワード設定

基本的なパスワードの設定には、次の 3 つのタイプがあります。


これらの設定はすべて、受信認証に分類されています。


ASCII/PAP/CHAP/MS-CHAP/ARAP 用に 1 つのパスワードを使用管理者がアカウントをセットアップする場合およびユーザが認証を取得する場合のどちらにも便利な方法です。しかし、CHAP パスワードが PAP パスワードと同じで、ASCII/PAP のログイン時に PAP パスワードが平文で伝送されるため、CHAP パスワードが外部に漏れる可能性があります。

ASCII/PAP 用と CHAP/MS-CHAP/ARAP 用に異なるパスワードを使用セキュリティ レベルを高くするために、2 つの異なるパスワードをユーザに与えることができます。ASCII/PAP パスワードが危険にさらされても、CHAP/ARAP パスワードの安全性は確保されます。

外部ユーザ データベースによる認証外部ユーザ データベースによる認証では、ユーザはパスワードを ACS 内部データベースに保存する必要はありません。代わりに、ACS は、ユーザを認証するために照会する外部ユーザ データベースを記録します。

高度なパスワード設定

ACS では、次に示す高度なパスワード設定をサポートしています。

受信パスワードほとんどの ACS ユーザによって使用されるパスワードです。受信パスワードをサポートするのは、TACACS+ プロトコルと RADIUS プロトコルです。このパスワードは ACS 内部データベースに保持されています。送信パスワードが設定されている場合、通常はこのバスワードが外部の送信元に公表されることはありません。

送信パスワードTACACS+ プロトコルは送信パスワードをサポートしています。送信パスワードは、たとえば、AAA クライアントを別の AAA クライアントおよびエンドユーザ クライアントが認証する場合に使用できます。ACS 内部データベースからのパスワードは、その後すぐに、2 番目の AAA クライアントおよびエンドユーザ クライアントに送信されます。

トークン キャッシングトークン キャッシングがイネーブルになっていると、ISDN ユーザは最初の認証時に入力したものと同じ OTP を使用して、2 番目の B チャネルに接続できます(制限時間内に限る)。セキュリティ レベルを高くするためには、AAA クライアントからの B チャネル認証要求では、ユーザ名の値に OTP を含める(たとえば、Fred password )と同時に、パスワードの値に ASCII/PAP/ARAP パスワードを含めることが必要です。TACACS+ サーバと RADIUS サーバは、トークンがキャッシュされていることを確認し、着信したパスワードを、ユーザが使用する設定に応じて、1 つの ASCII/PAP/ARAP パスワード、または別の CHAP/ARAP パスワードのいずれかと比較して検証します。

TACACS+ SENDAUTH 機能により、AAA クライアントは自分自身の認証を、他の AAA クライアントやエンドユーザ クライアントに対して、発信認証によって行うことができます。発信認証では、PAP、CHAP または ARAP を使用できます。発信認証の場合は、ACS のパスワードが公表されます。デフォルトでは、設定されている方法に応じて、ASCII/PAP パスワードまたは CHAP/ARAP パスワードが使用されます。しかし、ユーザに対して別の SENDAUTH パスワードを設定して、ACS の受信パスワードが外部に漏れないようにすることをシスコでは推奨します。

送信パスワードを使用して、最高のセキュリティ レベルを維持する必要がある場合は、ACS 内部ユーザ データベースのユーザに、受信パスワードとは異なる別の送信パスワードを設定することを推奨します。

パスワードのエージング

ACS では、パスワード エージングを適用するかどうか、および適用の方法を選択できます。パスワード エージングの制御は、ACS 内部データベースまたは外部 Windows ユーザ データベースのいずれかに備わっています。各パスワードのエージング方式は要件と設定によって異なります。

ACS 内部データベースが制御するパスワード エージング機能を使用すると、次のいずれかの条件で、ユーザにパスワードの変更を強制できます。

日付が値(ある日付)を超えたとき

指定ログイン回数を超えた後

新規ユーザの初回ログイン時

ACS 内部データベースが制御するパスワード エージング機能の要件と設定については、「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。

Windows ベースのパスワード エージング機能を使用すると、次のパスワード エージングのパラメータを制御できます。

パスワードの最大経過日数

パスワードの最小経過日数

Windows のパスワード エージングの方法と機能は、Windows オペレーティング システムのリリースによって異なります。Windows ベースのパスワード エージング機能の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」および Windows システムのマニュアルを参照してください。

ユーザが変更できるパスワード

ACS では、別のプログラムをインストールして、ユーザが Web ベースのユーティリティを使用して自分のパスワードを変更することが可能です。ユーザが変更できるパスワードのインストールの詳細については、『 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords 』を参照してください。

認証に関連するその他の機能

この項で述べた認証に関連する機能に加えて、ACS は次の機能を提供します。

未知ユーザの認証に外部ユーザ データベースを使用する機能(「未知ユーザ認証について」を参照)。

Microsoft Windows を実行しているコンピュータの認証(「マシン認証」を参照)。

Microsoft Windows Callback 機能のサポート(「ユーザ コールバック オプションの設定」を参照)。

外部データ ソースを使用して、パスワードを含むユーザ アカウントを設定する機能(「RDBMS 同期化について」を参照)。

外部ユーザがイネーブル パスワードを使用して認証を行う機能(「TACACS+ Enable Password オプションをユーザに対して設定する」を参照)。

他の AAA サーバに対する認証要求の代理処理(「分散システムにおけるプロキシ」を参照)。

代理処理された認証要求からの設定可能文字列の除去(「ストリッピング」を参照)。

自己署名サーバ証明書(「自己署名証明書の使用」を参照)。

EAP-TLS 認証中の証明書失効リストの確認(「証明書失効リストの管理」を参照)。

認可

認可とは、あるユーザが実行できる操作を決めることを言います。ACS は、ユーザ プロファイル ポリシーを AAA クライアントに送信して、そのユーザがアクセスできるネットワーク サービスを決定します。ユーザごとおよびグループごとに、異なるサービス レベルの認可を設定できます。たとえば、標準的なダイヤルアップ ユーザに、重要なお客様やユーザと同じアクセス権限を持たせないように設定できます。また、セキュリティ レベル、アクセス時間帯およびサービスによって差別化することもできます。

ACS のアクセス制限機能を使用して、時間帯および曜日に基づいてログインを許可または拒否できます。たとえば、一時アカウントのグループを作成し、指定した日付にログインを無効にできます。このため、サービス プロバイダーは 30 日間の無料トライアルを提供することもできます。さらに、同じ認可機能を使用して、ログインの許可を月曜日から金曜日の午前 9 時から午後 5 時に制限した、コンサルタント用のテンポラリ アカウントを作成することもできます。

PPP、ARAP、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC などのサービス、あるいはこれらを組み合せたサービスに、ユーザを制限できます。ユーザによってサービスが選択された後、IP および IPX などのレイヤ 2 およびレイヤ 3 のプロトコルに制約を加え、個別のアクセス リストを適用します。ユーザごとまたはグループごとにアクセス リストを設定して、重要な情報が格納されているネットワーク上のポイントへのユーザ アクセスを制限したり、または File Transfer Protocol(FTP; ファイル転送プロトコル)や Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)などの特定サービスを使用不可にしたりできます。

サービス プロバイダーによって提供され、各企業の間で採用されて急速に普及しているサービスの 1 つが、Virtual Private Dial-Up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)のサービス認可です。ACS では、情報を特定ユーザ用のネットワーク デバイスに提供し、インターネットなどの公衆ネットワークを介した安全なトンネルを設定できます。この情報は、お客様の設備内でユーザを検証するアクセス サーバ(たとえば、そのユーザ用のホーム ゲートウェイ)、または同じ目的のホーム ゲートウェイ ルータに提供されます。いずれの場合も、ACS は、VPDN の各エンドとして使用できます。

この項では、次のトピックについて取り上げます。

「最大セッション数」

「ダイナミックな使用割当量」

「共有プロファイル コンポーネント」

「Cisco デバイス管理アプリケーションのサポート」

「認可に関連するその他の機能」

最大セッション数

最大セッションは、ユーザまたはグループのいずれかが利用できる同時セッション数の最大値を制限するときに役立つ機能です。

ユーザ最大セッション :たとえば、インターネット サービス プロバイダーは、アカウント保持者それぞれに対してセッションを 1 つだけに制限できます。

グループ最大セッション :たとえば、企業の管理者はリモート アクセス インフラストラクチャをいくつかの部門間で同等に共有するように許可し、ある 1 つの部門のユーザ全員に対して同時セッション数の最大値を制限できます。

単純なユーザ最大セッションとグループ最大セッションによる制御を有効にすることに加えて、ACS では、管理者がグループ最大セッション数を指定して、グループベースのユーザ最大セッション数を指定することもできます。つまり、ユーザのグループ メンバーシップに基づいてユーザ最大セッション値を指定できます。たとえば、「 営業 」グループに対してグループ最大セッション数 50 を割り当て、さらにその「 営業 」グループの各メンバーに対して最大セッションをそれぞれ 5 セッションに制限することもできます。この場合、グループ アカウントのどのメンバーも一度に 5 セッションを超えて使用することはできませんが、グループでは 50 までのアクティブ セッションを使用できます。

最大セッション機能の詳細については、「最大セッションをユーザ グループに対して設定する」および 「最大セッション オプションをユーザに対して設定する」を参照してください。

ダイナミックな使用割当量

ACS では、ユーザに対してネットワーク使用割当量を定義できます。使用割当量を使用して、グループ内の各ユーザまたは個別ユーザのネットワーク アクセスを制限します。割当量は、セッション時間またはセッション総数で定義します。絶対時間数でも、毎日、毎週、毎月ベースでも定義できます。割当量を超えてしまったユーザにアクセスを付与するために、必要に応じてセッション割当量カウンタをリセットできます。

時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットが使用できない場合、割当量が更新されるのはユーザがログオフして、AAA クライアントからのアカウンティング停止パケットが受信されたときだけです。ユーザがネットワークにアクセスするときに通る AAA クライアントに障害が発生すると、セッション情報はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで割当量はアップデートされないため、ユーザに割り当てられている量を最初のチャネルが使い切っても、2 番目のチャネルは受け付けられます。

使用割当量の詳細については、「使用割当量をユーザ グループに対して設定する」および 「User Usage Quotas に設定するオプション」を参照してください。

共有プロファイル コンポーネント

ACS は、複数のユーザ グループおよびユーザに適用できる認可プロファイル コンポーネントを指定するための手段を提供しています。たとえば、まったく同じネットワーク アクセス制限を課しているユーザ グループが複数あるとします。この場合、ネットワーク アクセス制限をグループごとに繰り返し設定するのではなく、Web インターフェイスの Shared Profile Components セクションにネットワーク アクセス制限セットを設定した後で、そのネットワーク アクセス制限セットを使用するように各グループを設定します。

ACS がサポートする共有プロファイル コンポーネントの種類については、「共有プロファイル コンポーネントについて」を参照してください。

Cisco デバイス管理アプリケーションのサポート

ACS は、たとえば、管理アプリケーションを使用して管理対象ネットワーク デバイスを設定するネットワーク ユーザに対してコマンド認可を提供することにより、Cisco デバイス管理アプリケーションをサポートします。管理アプリケーションのユーザに対するコマンド認可のサポートは、認可に ACS を使用するように設定されている各管理アプリケーション対して、固有のコマンド認可セットを使用することで実現します。

ACS は、管理アプリケーションとの通信に TACACS+ を使用します。管理アプリケーションが ACS と通信できるようにするには、その管理アプリケーションを、ACS に TACACS+ を使用する AAA クライアントとして設定する必要があります。また、デバイス管理アプリケーションに有効な管理者名とパスワードを与える必要があります。管理アプリケーションが最初に ACS と通信するとき、これらの要件が通信の正当性を保証します。

さらに、管理アプリケーションが使用する管理者は、Create New Device Command Set Type 特権がイネーブルになっている必要があります。管理アプリケーションは、最初に ACS と通信するとき、ACS に対してデバイス コマンド セット タイプの作成を指示します。このコマンド セット タイプは、Web インターフェイスの Shared Profile Components セクションに表示されます。また、TACACS+ に対してカスタム サービスを認可するように指示します。カスタム サービスは、Web インターフェイスの Interface Configuration セクションの TACACS+(Cisco IOS)ページに表示されます。TACACS+ サービスをイネーブルにする方法については、「TACACS+ のプロトコル設定オプション」を参照してください。管理アプリケーション用のデバイス コマンド認可セットについては、「コマンド認可セット」を参照してください。

管理アプリケーションがカスタム TACACS+ サービスおよびデバイス コマンド認可セット タイプを ACS に指示した後、管理アプリケーションがサポートする各ロール用のコマンド認可セットを設定して、それらのセットを、ネットワーク管理者が含まれているユーザ グループ、またはネットワーク管理者である個人ユーザに対して適用できます。

認可に関連するその他の機能

この項で述べた認可に関連する機能に加えて、ACS は次の機能を提供します。

ユーザのグループ管理(「ユーザ グループ管理」を参照)。

外部ユーザ データベースからのユーザを特定の ACS グループにマッピングする機能(「ユーザ グループ マッピングと仕様」を参照)。

管理者が指定したアクセス失敗回数を超えるとアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)。

特定の日にアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)。

ユーザのグループをディセーブルにする機能(「グループの無効化」を参照)。

時間帯と曜日でアクセスを制限する機能(「デフォルトの時間帯アクセスをユーザ グループに対して設定する」を参照)。

リモート アドレスの Caller Line Identification(CLID; 発信番号識別)と Dialed Number
Identification Service(DNIS; 着信番号識別サービス)に基づく Network Access Restriction(NAR; ネットワーク アクセス制限)(「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照)。

集中モジュラ構造 ACL 管理を可能にする、ユーザまたはグループのダウンロード可能 ACL(「ダウンロード可能 IP ACL」を参照)。

ネットワークへのユーザのエントリ ポイントに基づいてさまざまなダウンロード可能 ACL と NAR を適用できるようにする、ネットワーク アクセス フィルタ(「ネットワーク アクセス フィルタ」を参照)。

Network Access Profile の設定に応じて、ユーザをイネーブルまたはディセーブルにする機能(「認可ポリシーの設定」を参照)。

エンドユーザ クライアント ホストの IP アドレス設定に使用する IP プール(「IP アドレス割り当て方式をユーザ グループに対して設定する」を参照)。

ユーザあたりおよびグループあたりの TACACS+ アトリビュートまたは RADIUS アトリビュート(「高度なオプション」を参照)。

Voice over IP(VoIP)のサポート。アカウンティング データを設定可能なロギングを含む(「VoIP サポートをユーザ グループに対してイネーブルにする」を参照)。

アカウンティング

AAA クライアントは、RADIUS プロトコルおよび TACACS+ プロトコルが提供するアカウンティング機能を使用して、各ユーザ セッションに関するデータを AAA サーバに記録するために送ります。ACS は、アカウンティングの記録を、設定に従って、Comma-Separated Value(CSV; カンマ区切り形式)ログ ファイルまたは ODBC データベースに書き込みます。このログ ファイルは、一般的に使用されているデータベースや表計算アプリケーションに簡単にインポートして、課金処理、セキュリティ監査、レポート作成などに利用できます。サード パーティ製のレポート ツールを使用してアカウンティング データを管理することもできます。

作成できるアカウンティング ログには、次の種類があります。

TACACS+ Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

RADIUS Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

Administrative Accounting :TACACS+ のコマンド認可がイネーブルになっているネットワーク デバイスで入力されたコマンドの一覧表示を行います。

ACS のロギング機能の詳細については、「ログとレポート」を参照してください。

アカウンティングに関連するその他の機能

この項で述べたアカウンティングに関連する機能に加えて、ACS は次の機能を提供します。

集中ロギング。複数の ACS インストールで、それぞれのアカウンティング データを単一のリモート ACS に転送できます(「リモート ロギング」を参照)。

設定可能な補助ユーザ ID フィールド。ログにある追加情報を取得するために使用します(「ユーザ データの設定オプション」を参照)。

設定可能なログ。必要な情報を取得できます(「アカウンティング ログ」を参照)。

ACS の管理

AAA の機能を設定、維持、保護するために、ACS では柔軟な管理方式が使用されています。ACS の管理タスクは、ほとんどすべてを Web インターフェイスを介して実行できます。Web インターフェイスを使用すると、LAN または WAN の任意の接続から ACS の設定を容易に変更して、その設定を Web ブラウザで表示できます。サポートされているブラウザのリストについては、
http://www.cisco.com にある最新バージョンの『Release Notes for ACS Windows』を参照してください。

Web インターフェイスでは、ユーザ情報とグループ情報を表示、編集できるだけでなく、サービスの再開、リモート管理者の追加、AAA クライアント情報の変更、システムのバックアップ、ネットワーク上の任意の場所からのレポート表示なども実行できます。

この項では、ACS インターフェイスについて説明し、次のトピックについて取り上げます。

「Web インターフェイスのセキュリティ」

「管理セッション用の HTTP ポートの割り当て」

「Web インターフェイスのレイアウト」

「Web インターフェイス用の URL」

「オンライン ヘルプとオンライン マニュアル」

Web インターフェイスのセキュリティ

Web インターフェイスにアクセスするには、有効な管理者名とパスワードが必要です。管理者のクレデンシャルは、ACS Login ページで暗号化されてから ACS に送信されます。

管理セッションは、一定のアイドル時間(設定可能)が経過するとタイムアウトします。それでも、各セッションが終了したら Web インターフェイスからログアウトすることを推奨します。アイドル タイムアウト機能の設定については、「アクセス ポリシー」を参照してください。

管理セッション用に Secure Sockets Layer(SSL)をイネーブルにできます。イネーブルにすると、Web ブラウザと ACS との通信がすべて暗号化されます。ただし、ブラウザが SSL をサポートしている必要があります。この機能は、Administration Control セクションの Access Policy Setup ページでイネーブルにできます。Web インターフェイスのセキュリティを確保するために SSL をイネーブルにする方法の詳細については、「アクセス ポリシー」を参照してください。

管理セッション用の HTTP ポートの割り当て

HTTP ポート割り当て機能を使用して、管理 HTTP セッション用に ACS が使用する TCP ポートの範囲を設定できます。この範囲を HTTP ポート割り当て機能によって狭めることで、管理セッションのために開いたポートによってネットワークへの不正なアクセスが発生するリスクが少なくなります。

ACS をファイアウォールを通して管理することは、シスコでは推奨していません。ファイアウォールを通しての管理には、ACS が使用する HTTP 管理セッションのポート範囲全体で HTTP トラフィックを許可するように、ファイアウォールを設定する必要があります。この範囲を狭くして不正なアクセスによるリスクが減っても、ACS をファイアウォールの外から管理することを許可すれば、より大きな攻撃のリスクが残ります。ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスする必要があるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。


) HTTP ポート範囲を広くすると、セキュリティ上のリスクが高くなる可能性があります。不正なユーザが偶然にアクティブな管理ポートを発見することを避けるため、HTTP ポート範囲はなるべく狭くしてください。ACS は、各管理セッションに関連付けられた IP アドレスをトラッキングします。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なリモート ホストの IP アドレスになりすます(スプーフィングを行う)ことがあります。


HTTP ポート割り当て機能の設定については、「アクセス ポリシー」を参照してください。

Web インターフェイスのレイアウト

Web インターフェイスには、縦割りの 3 つのパーティションがあり、これらはフレームと呼ばれます。

Navigation Bar :ブラウザ ウィンドウの左側にある灰色のフレームで、タスク ボタンを表示するナビゲーション バーです。各ボタンは、コンフィギュレーション領域を ACS アプリケーション固有のセクション、たとえば、User Setup セクションや Interface Configuration セクションに変更します。このフレームの内容は変わらず、常に次のボタンが表示されています。

User Setup :ユーザ プロファイルの追加や編集を行います。User Setup セクションの詳細については、「ユーザ管理」を参照してください。

Group Setup :ユーザのグループ用にネットワーク サービスとプロトコルを設定します。Group Setup セクションの詳細については、「ユーザ グループ管理」を参照してください。

Shared Profile Components :ネットワーク アクセス制限およびコマンド認可セットの追加や編集を行います。ユーザとグループに適用されます。Shared Profile Components セクションの詳細については、「共有プロファイル コンポーネント」を参照してください。

Network Configuration :ネットワーク アクセス デバイスの追加や編集、分散システムの設定を行います。Network Configuration セクションの詳細については、「ネットワーク設定」を参照してください。

System Configuration :システム レベルの機能を設定します。Web インターフェイスのこの大きなセクションについては、4 つの章で説明しています。バックアップのスケジューリング、サービス制御などの基本機能については、「システム設定:基本」を参照してください。データベース複製などの高度な機能については、「システム設定:高度」を参照してください。認証プロトコルおよび証明書関連機能の設定については、「システム設定:認証と証明書」を参照してください。ログとレポートの設定については、「ログとレポート」を参照してください。

Interface Configuration :設定対象となる製品機能とオプションを表示したり非表示にしたりします。Interface Configuration セクションの詳細については、「Web インターフェイスの使用方法」を参照してください。

Administration Control :アクセス ポリシーの定義や設定を行います。Administration Control セクションの詳細については、「管理者と管理ポリシー」を参照してください。

External User Databases :データベース、未知ユーザ ポリシー、およびユーザ グループ マッピングを設定します。データベースを設定する方法については、「ユーザ データベース」を参照してください。未知ユーザ ポリシーについては、「未知ユーザ ポリシー」を参照してください。ユーザ グループ マッピングについては、「ユーザ グループ マッピングと仕様」を参照してください。

Posture Validation :NAC を適用するよう設定された AAA クライアントを介してネットワークにアクセスするコンピュータの、アクセス許可の程度を制御できます。ポスチャ確認の詳細については、「ポスチャ確認」を参照してください。

Network Access Profiles :ユーザがネットワークに接続できる条件を設定し、ネットワークへのアクセス要求が適用される方法を指定します。ネットワーク アクセス プロファイルを設定する方法の詳細については、「ネットワーク アクセス プロファイル」を参照してください。

Reports and Activity :アカウンティング情報およびロギング情報を表示します。レポートの表示については、「ログとレポート」を参照してください。

Online Documentation :ユーザ ガイドを確認します。オンライン マニュアルの使用については、「オンライン ヘルプとオンライン マニュアル」を参照してください。

Configuration Area :ブラウザ ウィンドウ中央のフレームはコンフィギュレーション領域で、ナビゲーション バーのボタンが表すセクションの 1 つに属する Web ページが表示されます。コンフィギュレーション領域で、情報を追加、編集、削除します。たとえば、User Setup Edit ページのこのフレームで、ユーザ情報を設定します。


) ほとんどのウィンドウには、一番下に Submit ボタンがあります。変更内容を確認するには、Submit をクリックします。Submit をクリックしない場合は、変更内容が保存されません。


Display Area :ブラウザ ウィンドウの右側にあるフレームはディスプレイ領域で、次のオプションのいずれかが表示されます。

Online Helpコンフィギュレーション領域に現在表示されているページに関する基本的なヘルプが表示されます。このヘルプはセクションの詳細情報ではなく、中央部のフレームで実行できる作業に関する基本情報を表示します。オンライン ヘルプの詳細については、「オンライン ヘルプの使用方法」を参照してください。

Reports or Listsアカウンティング レポートを含む、リストまたはレポートが表示されます。たとえば、User Setup では、特定の文字で始まるすべてのユーザ名を表示することができます。特定の文字で始まるユーザ名のリストが、このセクションに表示されます。ユーザは特定のユーザ設定にリンクするハイパーリンク形式で表示されるので、名前をクリックするだけでそのユーザの編集が可能になります。

System Messages誤ったデータまたは不完全なデータを入力して Submit をクリックすると、エラー メッセージが表示されます。たとえば、User Setup セクションで、Password ボックスに入力した情報と Confirm Password ボックスの情報とが一致しない場合、ACS はエラー メッセージを表示します。誤った情報はコンフィギュレーション領域に表示されたままであるため、これを正しい情報を入力し直して、再提示できます。

Web インターフェイス用の URL

次の URL のいずれかを使用して、ACS Web インターフェイスにアクセスできます。

http:// IP address :2002

http:// hostname :2002

IP address には ACS が動作しているサーバのドット付き 10 進表記の IP アドレス、 hostname にはホスト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく機能しているか、またはブラウザを実行しているコンピュータのローカル ホスト ファイルにホスト名が記載されている必要があります。

SSL を使用して管理セッションを保護するように ACS が設定されている場合は、URL で HTTPS プロトコルを指定する必要があります。

https:// IP address :2002

https:// hostname :2002

SSL がイネーブルになっている場合は、HTTPS を指定しなくても、ACS によって最初の要求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者クレデンシャルが保護されます。管理セッションを保護するための SSL のイネーブル化については、「アクセス ポリシー」を参照してください。

ACS を実行しているコンピュータからは、次の URL も使用できます。

http://127.0.0.1:2002

http://localhost:2002

SSL がイネーブルになっている場合は、次のように URL で HTTP プロトコルを指定できます。

https://127.0.0.1:2002

https://localhost:2002

オンライン ヘルプとオンライン マニュアル

Web インターフェイスから 2 つの情報源にアクセスできます。

オンライン ヘルプ :コンフィギュレーション領域に表示されるページに関する基本情報です。

オンライン マニュアル :ユーザ ガイド全体が確認できます。

オンライン ヘルプの使用方法

オンライン ヘルプはディスプレイ領域のデフォルトの内容です。コンフィギュレーション領域に表示される各ページに対応するオンライン ヘルプのページがあります。オンライン ヘルプの各ページには、そのページで扱われているトピックがリストされます。

ACS のページには、次の 2 つのヘルプ アイコンが表示されます。

Question Mark :コンフィギュレーション領域にあるページのサブセクションの多くに、疑問符のアイコン(?)があります。オンライン ヘルプ ページの該当するトピックにジャンプするには、この疑問符アイコンをクリックします。

Back to Help :Section Information アイコンでオンライン マニュアルページにジャンプすると、コンフィギュレーション領域の対応するページに、Back to Help アイコンが表示されます。Section Information アイコンをクリックしてオンライン マニュアルにアクセスしているとき、再びオンライン ヘルプのページを表示するには、Back to Help アイコンをクリックします。

オンライン ユーザ ガイドの使用方法

ユーザ ガイドには、ACS の設定、動作、概念についての情報が記載されています。オンライン マニュアルの情報は、使用しているバージョンの ACS のリリース日現在のものです。ACS の最新のマニュアルについては、 http://www.cisco.com を参照してください。

オンライン マニュアルにアクセスするには、次の手順を実行します。


ステップ 1 ACS の Web インターフェイスで、 Online Documentation をクリックします。

ステップ 2 目次からトピックを選択する場合は、目次を必要に応じてスクロールし、表示するトピックをクリックします。

選択したトピックのオンライン マニュアルがディスプレイ領域に表示されます。

ステップ 3 インデックスからトピックを選択するには、 Index をクリックし、インデックスをスクロールして、表示するトピックのエントリを見つけます。


ヒント インデックスの特定のセクションにジャンプするには、文字のショートカットを使用します。

ステップ 4 オンライン マニュアルで特定の文字列またはトピックを検索するには、 Search をクリックし、検索する文字列を入力します。

ステップ 5 ユーザ ガイド全体を PDF 形式で表示するには、 View PDF をクリックします。


 

ACS の仕様


) ハードウェア、オペレーティング システム、サードパーティ ソフトウェア、およびネットワークの要件については、
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/acs40/install/index.htm
Installation Guide for Cisco Secure ACS for Windows』を参照してください。


この項では、次のトピックについて取り上げます。

「システム パフォーマンス仕様」

「ACS Windows サービス」

システム パフォーマンス仕様

ACS で実現されるパフォーマンスは、インストールされている Windows サーバ、ネットワーク トポロジとネットワーク管理、ユーザ データベースの選択、およびその他の要因に大きく依存します。たとえば、内部ユーザ データベースを使用し、使用可能な最高速のプロセッサとネットワーク インターフェイス カードを使用するコンピュータ上で動作している ACS は、外部ユーザ データベースを使用し、最小システム要件に適合するコンピュータ上で動作している CiscoSecure ACS よりも、1 秒間に実行できる件数が多くなります(『 Installation Guide for Cisco Secure ACS for Windows 』を参照)。

システム パフォーマンスについて、よくある質問に対する一般的な回答を次に示します。使用するネットワークにおける ACS のパフォーマンスは、そのネットワーク特有の環境および AAA 要件によって異なります。

ACS 内部データベースがサポートする最大ユーザ数 :ACS 内部ユーザ データベースがサポート可能なユーザ数に、理論的な制限はありません。シスコでは 100,000 を超えるユーザのデータベースで ACS をテスト済みです。実際には、1 台の ACS が内部および外部のデータベース全部に対して認証できるユーザ数の上限は、300,000 ~ 500,000 です。何台かの複製された ACS インスタンスに認証の負荷が分散されていると、この数は大幅に増加します。

トランザクション件数/秒 :1 秒あたりの認証トランザクションと認可トランザクションの件数を決定する要素は数多くありますが、大部分は ACS の外部の要素です。たとえば、外部ユーザ データベースとの通信時にネットワーク待ち時間が長くなると、ACS が処理できる 1 秒あたりのトランザクション件数が少なくなります。

サポートされる最大 AAA クライアント数 :ACS は、約 50,000 台の AAA クライアント設定に対して AAA サービスをサポートできることがテストによって検証されています。この制限は、主に ACS メモリの制限によるものです。

ネットワークが数万台の AAA クライアントで構成されている場合は、複数の ACS を使用して、各 ACS に管理しやすい数の AAA クライアントを割り当てることを推奨します。たとえば、80,000 台の AAA クライアントがある場合は、4 台の ACS サーバを使用して AAA クライアント負荷を分散することで、管理する AAA クライアント設定の数が 40,000 台を超える ACS が 1 台もないようにできます。次に、バックアップの AAA サーバで AAA クライアントを重複してサポートすると、AAA クライアントの限界である 50,000 台を超えることはありません。複製を利用して、設定データを複数の ACS に拡大する場合、AAA クライアント データは、同じ AAA クライアント セットにサービスを提供する ACS だけに複製してください。

ACS Windows サービス

ACS は、Microsoft Windows のサービスのセットとして動作します。ACS をインストールすると、これらの Windows サービスがサーバに追加されます。これらのサービスは、ACS の中心となる機能を提供します。

ACS を実行しているコンピュータにおける ACS サービスは、次のとおりです。

CSAdmin :ACS の管理用 Web インターフェイスを提供します。

CSAuth :認証サービスを提供します。

CSDBSync :ACS 内部データベースを外部 RDBMS アプリケーションに同期させます。

CSLog :ロギング サービスを、アカウンティングとシステム アクティビティに対して提供します。

CSMon :ACS のパフォーマンスと動作の監視、記録、および通知を行います。

CSTacacs :TACACS+ AAA クライアントと CSAuth サービスの間の通信を提供します。

CSRadius :RADIUS AAA クライアントと CSAuth サービスの間の通信を提供します。

各サービスの詳細については、 付録 G「内部アーキテクチャ」 を参照してください。

これらの各モジュールの開始および終了は、個別に Microsoft Windows サービスのコントロール パネルから行うことも、グループとして ACS Web インターフェイスから行うこともできます。ACS サービスの開始と終了については、「サービス制御」を参照してください。サービス ログやトラブルシューティング用のデータの収集については、「サービス ログ」を参照してください。

高度なレベルのセキュリティ サービスを提供するネットワーク管理者、およびパスワードの不正な取得による不正アクセスの可能性を低減しようとする企業では、OTP を使用できます。ACS は、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)のリモート ノード ログインに対応した Password Authentication Protocol(PAP; パスワード認証プロトコル)を含む、いくつかの種類の OTP ソリューションをサポートしています。その中でも最強の OTP 認証メカニズムの 1 つと考えられているのが、トークン カードです。