Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
管理者と管理ポリシー
管理者と管理ポリシー
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

管理者と管理ポリシー

管理者アカウント

管理者アカウントについて

管理者特権

管理者アカウントの追加

管理者アカウントの編集

ロックアウトされた管理者アカウントのロック解除

管理者アカウントの削除

アクセス ポリシー

Access Policy オプション

アクセス ポリシーの設定

セッション ポリシー

セッション ポリシーのオプション

セッション ポリシーの設定

監査ポリシー

管理者と管理ポリシー

この章では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の Administration Control セクションにある機能について説明します。

この章は、次の項で構成されています。

「管理者アカウント」

「アクセス ポリシー」

「セッション ポリシー」

「監査ポリシー」

管理者アカウント

この項では、ACS の管理者について詳しく説明します。

この項では、次のトピックについて取り上げます。

「管理者アカウントについて」

「管理者特権」

「管理者アカウントの追加」

「管理者アカウントの編集」

「ロックアウトされた管理者アカウントのロック解除」

「管理者アカウントの削除」

管理者アカウントについて

ACS Web インターフェイスのユーザは、管理者だけです。ACS Windows サーバ以外の場所で動作するブラウザから ACS Web インターフェイスにアクセスするには、管理者アカウントを使用して ACS にログインする必要があります。ACS の設定によっては、ACS Windows サーバ上で動作するブラウザを使用した場合でも ACS にログインする必要が生じることがあります。自動ローカル ログインの詳細については、「セッション ポリシー」を参照してください。


) ACS の管理者アカウントは、ACS 固有のものです。このアカウントは、管理者特権を持つ Windows ユーザなど、他の管理者アカウントとは関連がありません。


管理者は、Web インターフェイスを使用して、ACS によって提供されるすべての機能を設定できます。ただし、特定の管理者に対して、Web インターフェイスの特定部分への特権を無効にすることで、Web インターフェイスのさまざまな部分へのアクセスを制限することもできます。

デフォルトでは、Grant All が選択されない限り、新しい管理者にはどの特権も与えられません。

たとえば、ネットワーク管理を担当する管理者だけが Web インターフェイスの Network
Configuration セクションにアクセスできるように制限できます。これを行うには、該当する管理者アカウントだけに Network Configuration 特権を選択します。管理者特権の詳細については、「管理者特権」を参照してください。

ACS 管理者アカウントは、ACS ユーザ アカウントや、ユーザ名とパスワードによる認証とは関連がありません。ACS では、ネットワーク サービス要求の認証用に作成されたアカウントと、ACS 管理アクセス用に作成されたアカウントは、それぞれ別個の内部データベースに保存されます。

管理者特権

管理者それぞれに個別に特権を割り当てることによって、各 ACS 管理者に適切な特権を付与できます。Add Administrator ページまたは Edit Administrator ページにある Administrator Privileges テーブルからオプションを選択することによって、特権を制御します。そのオプションは次のとおりです。

User and Group Setup :Web インターフェイスの User Setup セクションおよび Group Setup セクションには、次の特権オプションがあります。

Add/Edit users in these groups :管理者はユーザを追加または編集し、Editable groups リストにあるグループにユーザを割り当てることができます。

Setup of these groups :管理者は Editable groups リスト内のグループの設定を編集できます。

Available Groups :管理者が編集特権を持たず、管理者がユーザを追加できないユーザ グループを一覧表示します。

Editable Groups :管理者が編集特権を持ち、管理者がユーザを追加できるユーザ グループを一覧表示します。

Shared Profile Components :Web インターフェイスの Shared Profile Components セクションには、次の特権オプションがあります。

Network Access Restriction Sets :管理者は Network Access Restriction Sets 機能にフルアクセスできます。

Network Access Filtering Sets :管理者は Network Access Filtering Sets 機能にフルアクセスできます。

Downloadable ACLs :管理者は Downloadable PIX ACL 機能にフルアクセスできます。

RADIUS Authorization Components:管理者は RAC にフルアクセスできます。

Create New Device Command Set Type :新規デバイス コマンド セット タイプを追加するための有効なクレデンシャルとして、他の Cisco アプリケーションでこの管理者アカウントを使用できます。この特権を使用して ACS に追加した新規デバイス コマンド セット タイプは、Web インターフェイスの Shared Profile Components セクションに表示されます。

Shell Command Authorization Sets :管理者は Shell Command Authorization Sets 機能にフルアクセスできます。

PIX/ASA Command Authorization Sets :管理者は PIX/ASA Command Authorization Sets 機能にフルアクセスできます。


) たとえば、CiscoWorks などの Cisco ネットワーク管理アプリケーションによって ACS の設定がアップデートされた場合は、追加のコマンド認可セット特権オプションが表示されることがあります。


Network Configuration :管理者は、Web インターフェイスの Network Configuration セクションにある機能にフルアクセスできます。

System Configuration: Web インターフェイスの System Configuration セクションにある機能に対する特権オプションが含まれます。次のそれぞれの機能について、オプションを有効にすると、管理者はその機能にフルアクセスできます。

Service Control :この機能の詳細については、「サービス制御」を参照してください。

Date/Time Format Control :この機能の詳細については、「日付形式の制御」を参照してください。

Logging Control :この機能の詳細については、「ロギング」を参照してください。

Password Validation :この機能の詳細については、「ローカル パスワードの管理」を参照してください。

DB Replication :この機能の詳細については、「ACS 内部データベースの複製」を参照してください。

RDBMS Synchronization :この機能の詳細については、「RDBMS 同期化」を参照してください。

IP Pool Address Recovery :この機能の詳細については、「IP プール アドレスの復旧」を参照してください。

IP Pool Server Configuration :この機能の詳細については、「IP プール サーバ」を参照してください。

ACS Backup :この機能の詳細については、「ACS バックアップ」を参照してください。

ACS Restore :この機能の詳細については、「ACS システムの復元」を参照してください。

ACS Service Management :この機能の詳細については、「ACS Active Service Management」を参照してください。

VoIP Accounting Configuration :この機能の詳細については、「VoIP アカウンティングの設定」を参照してください。

ACS Certificate Setup :この機能の詳細については、「ACS 証明書のセットアップ」を参照してください。

Global Authentication Setup :この機能の詳細については、「グローバル認証のセットアップ」を参照してください。

Interface Configuration :管理者は、Web インターフェイスの Interface Configuration セクションにある機能にフルアクセスできます。

Administration Control :管理者は、Web インターフェイスの Administration Control セクションにある機能にフルアクセスできます。

External User Databases :管理者は、Web インターフェイスの External User Databases セクションにある機能にフルアクセスできます。

Posture Validation :管理者は、Network Admission Control(NAC; ネットワーク アドミッション コントロール)設定にアクセスできます。

Network Access Profiles :管理者は、サービスベースのポリシー設定にアクセスできます。

Reports & Activity :Web インターフェイスの Reports and Activity セクションにある、レポートおよび機能に対する特権オプションが含まれます。次のそれぞれの機能について、オプションを有効にすると、管理者はその機能にフルアクセスできます。

TACACS+ Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

TACACS+ Administration :このレポートの詳細については、「アカウンティング ログ」を参照してください。

RADIUS Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

VoIP Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Passed Authentications :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Failed Attempts :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Logged-in Users :このレポートの詳細については、「ダイナミック管理レポート」を参照してください。

Purge of Logged-in Users :このレポートの詳細については、「ログイン ユーザの削除」を参照してください。

Disabled Accounts :このレポートの詳細については、「ダイナミック管理レポート」を参照してください。

ACS Backup and Restore :このレポートの詳細については、「ACS システム ログ」を参照してください。

DB Replication :このレポートの詳細については、「ACS システム ログ」を参照してください。

RDBMS Synchronization :このレポートの詳細については、「ACS システム ログ」を参照してください。

Administration Audit :このレポートの詳細については、「ACS システム ログ」を参照してください。

ACS Service Monitor :このレポートの詳細については、「ACS システム ログ」を参照してください。

User Change Password :このレポートの詳細については、「ACS システム ログ」を参照してください。

管理者アカウントの追加

始める前に

管理者アカウントを追加する際に利用できるオプションについては、「管理者特権」を参照してください。

ACS 管理者アカウントを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

ステップ 2 Add Administrator をクリックします。

Add Administrator ページが表示されます。

ステップ 3 Administrator Details テーブルのボックスに情報を入力します。

a. Administrator Name ボックスに、新しい ACS 管理者アカウントのログイン名(最大 32 文字)を入力します。

b. Password ボックスに、新しい ACS 管理者アカウントのパスワード(4 ~ 32 文字)を入力します。

c. Confirm Password ボックスに、パスワードを再度入力します。

ステップ 4 すべてのユーザ グループに対するユーザ グループ編集特権を含む、すべての特権を選択するには、 Grant All をクリックします。

すべての特権オプションが選択されます。すべてのユーザ グループが、Editable groups リストに移動します。


ヒント すべてのユーザ グループに対するユーザ グループ編集特権を含む、すべての特権をクリアするには、Revoke All をクリックします。

ステップ 5 ユーザおよびユーザ グループの編集特権を許可するには、次の手順を実行します。

a. User & Group Setup にある、該当するチェックボックスをオンにします。

b. ユーザ グループを Editable groups リストに移動するには、Available groups リストでそのグループを選択し、次に --> (右矢印ボタン)をクリックします。

選択したグループが、Editable groups リストに移動します。

c. ユーザ グループを Editable groups リストから削除するには、Editable groups リストでそのグループを選択し、次に <-- (左矢印ボタン)をクリックします。

選択したグループが、Available groups リストに移動します。

d. すべてのユーザ グループを Editable groups リストに移動するには、 >> をクリックします。

Available groups リストにあるユーザ グループが、Editable groups リストに移動します。

e. すべてのユーザ グループを Editable groups リストから削除するには、 << をクリックします。

Editable groups リストにあるユーザ グループが、Available groups リストに移動します。

ステップ 6 残りの特権オプションのいずれかを許可するには、Administrator Privileges テーブルで該当するチェックボックスをオンにします。

ステップ 7 Submit をクリックします。

ACS によって新しい管理者アカウントが保存されます。新しいアカウントは、Administration Control ページの管理者アカウントのリストに表示されます。


 

管理者アカウントの編集

ACS 管理者アカウントを編集して、管理者に付与された特権を変更できます。すべての特権を無効にすると、管理者アカウントは無効になります。


) 管理者アカウントの名前は変更できませんが、管理者アカウントを削除してから新しい名前で作成することはできます。管理者アカウントの削除については、「管理者アカウントの削除」を参照してください。管理者アカウントの作成については、「管理者アカウントの追加」を参照してください。


管理者特権オプションについては、「管理者特権」を参照してください。

始める前に

管理者アカウントを編集する際に利用できるオプションについては、「管理者特権」を参照してください。

ACS 管理者アカウント特権を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 特権を編集する管理者アカウントの名前をクリックします。

Edit Administrator name ページが表示されます。この name は、今選択した管理者アカウントの名前です。

ステップ 3 管理者パスワードを変更するには、次の手順を実行します。

a. Password ボックスでアスタリスク(*)をダブルクリックし、次に管理者の新しいパスワード(4 ~ 32 文字)を入力します。

マスクされた既存のパスワードに代わり、新しいパスワードが表示されます。

b. Confirm Password ボックスでアスタリスクをダブルクリックし、次に新しい管理者パスワードを再度入力します。

ステップ 9 で Submit をクリックした直後に新しいパスワードが有効になります。

ステップ 4 Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、編集中のアカウントの管理者が ACS Web インターフェイスにアクセスできるようにするには、 Reset current failed attempts count チェックボックスをオンにします。


) Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、ステップ 4 を完了しない限り、管理者は ACS にアクセスできません。管理者アカウントを再び有効にする方法の詳細については、「ロックアウトされた管理者アカウントのロック解除」を参照してください。


ステップ 5 すべてのユーザ グループに対するユーザ グループ編集特権を含む、すべての特権を選択するには、 Grant All をクリックします。

すべての特権オプションが選択されます。すべてのユーザ グループが、Editable groups リストに移動します。

ステップ 6 すべてのユーザ グループに対するユーザ グループ編集特権を含む、すべての特権をクリアするには、 Revoke All をクリックします。

すべての特権オプションがクリアされます。すべてのユーザ グループが、Available groups リストに移動します。

ステップ 7 ユーザおよびユーザ グループの編集特権を許可するには、次の手順を実行します。

a. User & Group Setup で、該当するチェックボックスをオンにします。

b. すべてのユーザ グループを Editable groups リストに移動するには、 >> をクリックします。

Available groups リストにあるユーザ グループが、Editable groups リストに移動します。

c. ユーザ グループを Editable groups リストに移動するには、Available groups リストでそのグループを選択し、次に --> (右矢印ボタン)をクリックします。

選択したグループが、Editable groups リストに移動します。

d. すべてのユーザ グループを Editable groups リストから削除するには、 << をクリックします。

Editable groups リストにあるユーザ グループが、Available groups リストに移動します。

e. ユーザ グループを Editable groups リストから削除するには、Editable groups リストでそのグループを選択し、次に <-- (左矢印ボタン)をクリックします。

選択したグループが、Available groups リストに移動します。

ステップ 8 残りの特権オプションのいずれかを許可するには、Administrator Privileges テーブルで該当するチェックボックスをオンにします。

ステップ 9 残りの特権オプションのいずれかを無効にするには、Administrator Privileges テーブルで該当するチェックボックスをオフにします。

ステップ 10 Submit をクリックします。

ACS によって、管理者アカウントに対する変更内容が保存されます。


 

ロックアウトされた管理者アカウントのロック解除

ACS Web インターフェイスにアクセスを試みた管理者が、Session Policy Setup ページに指定された回数連続して間違ったパスワードを入力すると、ACS はその管理者のアカウントを無効にします。無効になった管理者アカウントの失敗試行カウンタがリセットされるまで、その管理者は Web インターフェイスにアクセスできません。

ACS が管理者アカウントを無効にするまでに許可するログイン試行連続失敗回数を設定する方法については、「セッション ポリシー」を参照してください。

管理者の失敗試行カウントをリセットするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 再び有効にする管理者アカウントの名前をクリックします。

Edit Administrator name ページが表示されます。この name は、今選択した管理者アカウントの名前です。

Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、その管理者アカウントは Web インターフェイスにアクセスできません。

ステップ 3 Reset current failed attempts count チェックボックスをオンにします。

ステップ 4 Submit をクリックします。

ACS によって、管理者アカウントに対する変更内容が保存されます。


 

管理者アカウントの削除

ACS 管理者アカウントは、不要になり次第削除できます。使用しない管理者アカウントはすべて削除することを推奨します。

ACS 管理者アカウントを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Administrators テーブルで、削除する管理者アカウントの名前をクリックします。

Edit Administrator name ページが表示されます。この name は、今選択した管理者アカウントの名前です。

ステップ 3 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

ACS によって、管理者アカウントが削除されます。Administration Control ページの Administrators テーブルには、削除した管理者アカウントが表示されなくなります。


 

アクセス ポリシー

アクセス ポリシー機能は、ACS Web インターフェイスへのアクセスに影響します。IP アドレスおよび管理セッションによって使用される TCP ポート範囲によって、アクセスを制限できます。Web インターフェイスへのアクセスにおいて、SSL(Secure Sockets Layer)を使用可能にすることもできます。

この項では、次のトピックについて取り上げます。

「Access Policy オプション」

「アクセス ポリシーの設定」

Access Policy オプション

Access Policy Setup ページでは、次のオプションを設定できます。

IP Address Filtering :次の IP アドレス フィルタリング オプションがあります。

Allow all IP addresses to connect :任意の IP アドレスから Web インターフェイスにアクセスできます。

Allow only listed IP addresses to connect :IP Address Ranges テーブルで指定されたアドレス範囲内の IP アドレスからだけ、Web インターフェイスへアクセスできます。

Reject connections from listed IP addresses :IP Address Ranges テーブルで指定されたアドレス範囲外の IP アドレスからだけ、Web インターフェイスにアクセスできます。

IP Address Ranges :IP Address Ranges テーブルには、IP アドレス範囲を設定するための 10 行が用意されています。範囲には、最初と最後の値が常に含まれます。つまり、開始 IP アドレスと終了 IP アドレスは範囲に含まれます。範囲を定義するために入力する IP アドレスは、最後のオクテットだけが異なる形式(Class C 形式)でなければなりません。

IP Address Ranges テーブルには、次のボックスのそれぞれに対応するカラムが 1 つずつあります。

Start IP Address :現在の行で指定される範囲の最下位 IP アドレスを定義します。

End IP Address :現在の行で指定される範囲の最上位 IP アドレスを定義します。

HTTP Port Allocation :Web インターフェイスへのリモート アクセスに使用する TCP ポートの設定には、次のオプションがあります。

Allow any TCP ports to be used for Administration HTTP Access :管理 HTTP セッションに使用するポートに、フル レンジの TCP ポートを使用できるようにします。

Restrict Administration Sessions to the following port range From Port X to Port Y :管理 HTTP セッションに使用するポートをボックス X および Y で指定された範囲(上限下限を含む)に制限します。指定された範囲のサイズによって、同時管理の最大数が決まります。

ACS は、ポート 2002 を使用して、すべての管理セッションを開始します。ポート範囲にポート 2002 を含める必要はありません。また、ACS では、ポート 2002 だけで構成される HTTP ポート範囲は定義できません。ポート範囲は、2002 以外の少なくとも 1 つのポートで構成する必要があります。

ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポートであるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。


) ファイアウォールの外部からの ACS の管理を許可することは推奨しません。ファイアウォールの外部からの Web インターフェイスへのアクセスを許可する必要がある場合は、HTTP ポート範囲をできる限り狭くしてください。この処置により、権限のないユーザがアクティブな管理ポートを偶発的に検出するのを防ぐことができます。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なホストの IP アドレスになりすます(スプーフィング)ことがあります。


Secure Socket Layer SetupUse HTTPS Transport for Administration Access チェックボックスは、ACS が SSL(Secure Sockets Layer)プロトコルを使用して、CSAdmin サービスと、Web インターフェイスへのアクセスに使用される Web ブラウザの間の HTTP トラフィックを暗号化するかどうかを定義します。このオプションをイネーブルにすると、ブラウザと ACS の間の HTTP トラフィックがすべて暗号化されます。これは、HTTPS で始まる URL として反映されます。さらに、ほとんどのブラウザに、接続が SSL で暗号化されていることを示すインジケータが用意されています。

SSL をイネーブルにするには、「ACS サーバ証明書のインストール」および 「認証局証明書の追加」の手順を完了する必要があります。

アクセス ポリシーの設定

Access Policy オプションの詳細については、「Access Policy オプション」を参照してください。

始める前に

管理アクセス用の SSL をイネーブルにする場合は、この手順を実行する前に、「ACS サーバ証明書のインストール」および 「認証局証明書の追加」の手順を実行する必要があります。

ACS のアクセス ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Access Policy をクリックします。

Access Policy Setup ページが表示されます。

ステップ 3 任意の IP アドレスからの Web インターフェイスへのリモート アクセスを許可するには、IP Address Filtering テーブルで、 Allow all IP addresses to connect オプションを選択します。

ステップ 4 IP アドレス範囲内の IP アドレスからだけ Web インターフェイスにリモート アクセスできるようにするには、次の手順を実行します。

a. IP Address Filtering テーブルで、 Allow only listed IP addresses to connect オプションを選択します。

b. Web インターフェイスへのリモート アクセスを許可する IP アドレス範囲のそれぞれについて、IP Address Ranges テーブルで 1 行ずつ値を入力します。 Start IP Address ボックスに、IP アドレス範囲の最下位アドレス(最大 16 文字)を入力します。 End IP Address ボックスに、IP アドレス範囲の最上位アドレス(最大 16 文字)を入力します。ドット付き 10 進形式を使用します。


) 範囲を定義するために入力する IP アドレスは、最後のオクテットだけが異なっている必要があります。


ステップ 5 IP アドレス範囲外の IP アドレスからだけ Web インターフェイスにリモート アクセスできるようにするには、次の手順を実行します。

a. IP Address Filtering テーブルで、 Reject connections from listed IP addresses オプションを選択します。

b. Web インターフェイスへのリモート アクセスを許可する外部からの各 IP アドレス範囲について、IP Address Ranges テーブルで 1 行ずつ値を入力します。 Start IP Address ボックスに、範囲の最下位 IP アドレス(最大 16 文字)を入力します。 End IP Address ボックスに、範囲の最上位 IP アドレス(最大 16 文字)を入力します。


) 範囲を定義するために入力する IP アドレスは、最後のオクテットだけが異なっている必要があります。


ステップ 6 ACS が、管理セッションのために有効な任意の TCP ポートを使用できるようにするには、HTTP Port Allocation の下で、 Allow any TCP ports to be used for Administration HTTP Access オプションを選択します。

ステップ 7 ACS が、指定された範囲の TCP ポートだけを管理セッションのために使用するようにするには、次の手順を実行します。

a. HTTP Port Allocation の下で、 Restrict Administration Sessions to the following port range From Port X to Port Y オプションを選択します。

b. X ボックスには、TCP ポート範囲内の最下位ポート(最大 5 文字)を入力します。

c. Y ボックスには、TCP ポート範囲内の最上位ポート(最大 5 文字)を入力します。

ステップ 8 Web インターフェイスへの管理アクセスの SSL 暗号化をイネーブルにするには、Secure Socket Layer Setup の下で、 Use HTTPS Transport for Administration Access チェックボックスをオンにします。


) SSL をイネーブルにするには、「ACS サーバ証明書のインストール」および 「認証局証明書の追加」の手順を完了する必要があります。


ステップ 9 Submit をクリックします。

ACS はアクセス ポリシー設定を保存し、適用を開始します。

SSL をイネーブルにした場合は、次の管理者ログイン時に、ACS が HTTPS の使用を開始します。現在の管理セッションは、影響を受けません。


 

セッション ポリシー

セッション ポリシー機能は、ACS 管理セッションのさまざまな側面を制御します。

この項では、次のトピックについて取り上げます。

「セッション ポリシーのオプション」

「セッション ポリシーの設定」

セッション ポリシーのオプション

Session Policy Setup ページでは、次のオプションを設定できます。

Session idle timeout (minutes) :ACS が接続を終了する前に、ここで定義した時間(分)の間、ローカルまたはリモートの管理セッションをアイドルに保ちます。このパラメータは、ブラウザでの ACS 管理セッションにだけ適用されます。管理ダイヤルアップ セッションには適用されません。

終了された管理セッションを実行していた管理者に対しては、続行するかどうかを尋ねるダイアログボックスが表示されます。管理者が続行を希望すると、ACS によって新しい管理セッションが開始されます。

Allow Automatic Local Login :管理者が ACS を実行するコンピュータ上のブラウザを使用している場合は、ログインしないで管理セッションを開始できるようにします。このような管理セッションは、デフォルトの管理者アカウント local_login を使用して行われます。local_login 管理者アカウントには、すべての特権が付与されています。自動ローカル ログインを使用したローカル管理セッションは、「local_login」という管理者名で Administrative Audit レポートに記録されます。


) 定義されている管理者アカウントがない場合、ローカルで ACS にアクセスするための管理者名とパスワードは要求されません。これによって、偶発的に ACS からロックアウトされることを防ぎます。


Respond to Invalid IP Address Connections :Access Policy で無効として設定された範囲の IP アドレスを使用してリモート管理セッションを開始しようとすると、エラー メッセージで応答します。このオプションをディセーブルにすると、権限のないユーザによる ACS の検出を防ぐことができます。

Lock out Administrator after X successive failed attempts: 一定回数連続して Web インターフェイスへのログイン試行が失敗すると、ACS によってその管理者がロックアウトされます。連続ログイン試行の回数は、 X ボックスに指定します。このチェックボックスがオンの場合は、X ボックスはゼロに設定できません。このチェックボックスがオフの場合、管理者による連続ログイン試行の失敗の数に制限はありません。

セッション ポリシーの設定

Session Policy オプションの詳細については、「セッション ポリシーのオプション」を参照してください。

ACS のセッション ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Session Policy をクリックします。

Session Policy Setup ページが表示されます。

ステップ 3 管理セッションが一定期間非アクティブになった場合に ACS が管理セッションを終了するように指定するには、Session idle timeout (minutes) ボックスにその時間を分単位で(最大 4 文字)入力します。

ステップ 4 Automatic Local Login ポリシーを設定します。

a. 管理者がローカルで管理者名とパスワードを使用しないで ACS にログインできるようにするには、 Allow Automatic Local Login チェックボックスをオンにします。

b. 管理者がローカルで ACS にログインするときに管理者名とパスワードを要求するには、 Allow Automatic Local Login チェックボックスをオフにします。

ステップ 5 無効な IP アドレスに対する応答ポリシーを設定します。

a. 無効な IP アドレスから管理セッションが要求されたときに、メッセージで応答するように ACS を設定するには、 Respond to invalid IP address connections チェックボックスをオンにします。

b. 無効な IP アドレスから管理セッションが要求されたときに、メッセージを送信しないように ACS を設定するには、 Respond to invalid IP address connections チェックボックスをオフにします。

ステップ 6 管理ログイン試行失敗ポリシーを設定します。

a. 指定した回数連続して管理ログイン試行が失敗した場合に ACS がその管理者をロックアウトできるようにするには、 Lock out Administrator after X successive failed attempts チェックボックスをオンにします。

b. X ボックスには、ACS が管理者をロックアウトするまでに許可するログイン試行連続失敗回数を入力します。 X ボックスには最大 4 文字入力できます。

ステップ 7 Submit をクリックします。

ACS によってセッション ポリシー設定が保存され適用が開始されます。


 

監査ポリシー

監査ポリシー機能は、Administrative Audit ログの生成を制御します。

Administrative Audit ログのイネーブル化、表示、または設定については、「ACS システム ログ」を参照してください。