Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
ネットワーク アクセス プロファイル
ネットワーク アクセス プロファイル
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ネットワーク アクセス プロファイル

NAP の概要

プロファイルベースのポリシー

プロファイルベースのポリシーの設定

プロファイルの設定

ユーザ アクセス要求の定義

NAF

プロトコル タイプ

高度なフィルタリング

規則、規則要素、およびアトリビュートについて

高度なフィルタリングの設定

NAP 管理タスク

プロファイルの追加

プロファイルの順序変更

プロファイルの編集

プロファイルのクローニング

プロファイルの削除

一致しないユーザ要求の処理

NAP 管理ページ

プロファイル テンプレートの使用方法

共有プロファイル コンポーネント

プロファイル テンプレートを使用する際の前提条件

プロファイル テンプレートの選択

NAC L3 IP

ダウンロード可能 ACL

NAC L2 IP

ACS および AV ペア

デフォルト ACL

NAC レイヤ 2 802.1x

Microsoft IEEE 802.1x

無線(NAC L2 802.1x)

Authentication Bypass

NAC エージェントレス ホスト

プロファイル用ポリシーの設定

認証ポリシーの設定

Populate from Global

認証プロトコル

MAC-Authentication Bypass

EAP 設定

EAP-FAST

ポスチャ確認設定

Credential Validation Databases

認証ポリシーの設定

MAC Authentication Bypass の設定

ポスチャ確認ポリシーの設定

URL リダイレクト ポリシー

ベンダーの AV ペア(AVP)のインポート

ポスチャ確認ポリシーの設定

ポスチャ確認規則の削除

監査サーバの機能

システム ポスチャ トークンの設定

プロファイルへの監査サーバのマッピング

エージェントレス ホストに対するポスチャ確認

フェール オープンの設定

実行時の動作

認可ポリシーの設定

認可規則

認可規則の設定

デフォルト認可規則の設定

認可規則の順序変更

認可規則の削除

共有 RAC

RAC およびグループ

アトリビュートのマージ

プロファイルのトラブルシューティング

グループから RAC への移行

ポリシーの複製およびバックアップ

ネットワーク アクセス プロファイル

Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)には、Network Access Profile(NAP; ネットワーク アクセス プロファイル)のサポートが含まれます。この章では、NAP について説明します。この章は、次の項で構成されています。

「NAP の概要」

「プロファイルベースのポリシー」

「プロファイルベースのポリシーの設定」

「プロファイルの設定」

「NAP 管理タスク」

「プロファイル テンプレートの使用方法」

「プロファイル用ポリシーの設定」

「ポリシーの複製およびバックアップ」

NAP の概要

NAP は プロファイル とも呼ばれ、展開された各ネットワーク サービスのアクセス要求を分類する手段です。分類は、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)クライアントの IP アドレス、Network Device Group(NDG; ネットワーク デバイス グループ)のメンバーシップ、プロトコル タイプ、またはユーザが接続するネットワーク デバイスから送信された他の固有 Remote Access Dial-In User Service(RADIUS)アトリビュート値に従って行われます。

一般的な組織には、ネットワークにアクセスするさまざまな種類のユーザが存在し、その方法も目的も異なります。これに応じて、異なる使用例には別個のセキュリティ ポリシーを適用する必要があります。たとえば、物理的に保護された生産工場と比較すると、建物のロビー エリアの無線アクセス ポイントには、より強固で制限されたセキュリティ ポリシーを適用する必要があります。あるいは、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を使用するリモート アクセス ユーザは、ファイアウォールの内側からログインするユーザとは異なる方法で扱う必要があります。一部のサブネットワークを介して接続するユーザには、他のユーザとは異なる認証を行う場合があります。無線アクセスは、多くの場合、任意の形式のリモート アクセス(ダイヤル、VPN、家庭内無線)として有線アクセスよりも厳しく扱われます。

基本的にプロファイルとは、一般的なポリシーを適用するために、ネットワーク アクセス要求を分類するものです。プロファイルの使用例として、ネットワーク内のある特定の場所に対してアクティブにしなければならないポリシーをすべて集約する場合があります。そのネットワーク内の場所からアクセス要求が発信されるたびに、これらのポリシーが選択されます。別の方法として、VPN や Access Point(AP; アクセス ポイント)など、同じデバイス タイプを扱うポリシーをすべて集約する方法があります。

ACS はアクティブなプロファイルの順序付きリストを調べ、RADIUS トランザクションの最初のアクセス要求時に最初に一致するプロファイルに RADIUS トランザクションをマッピングします。一致するプロファイルが見つからない場合、ACS はグローバル設定に戻ります。

アクセス要求ペイロード(アクセス要求内で送信される RADIUS アトリビュート)にフィルタを定義することにより、プロファイルを使用してアクセス要求を分類できます。各プロファイルは、適用されるポリシーのセットに関連付けられます。

ACS はパケットを受信すると、プロファイル フィルタを評価してパケットを分類します。プロファイルが一致すると、ACS は、パケット処理中にプロファイルに関連付けられた設定およびポリシーを適用します。

最も単純な形式では、NAP を使用して各ネットワーク サービス(Wireless LAN(WLAN; 無線 LAN)、VPN、ダイヤルアップ)を識別します。サービスごとに次の項目を設定できます。

サポートされる認証プロトコル(Microsoft Challenge Handshake Authentication Protocol
(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)、
Extensible Authentication Protocol(EAP))

データベース(ACS、Active Directory(AD)、またはその他)

各サービス タイプのプロビジョニング方法(セッション キー、タイムアウト、Access Control List(ACL; アクセス コントロール リスト))

プロファイルベースのポリシー

プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリシーのセットをプロファイルに関連付けます。このような関連付けは、 プロファイルベースのポリシー と呼ばれます。プロファイルベースのポリシーには、認証、認可、およびポスチャ確認のための規則が含まれます。

プロファイルベースのポリシーを定義することによって、認証をさまざまなディレクトリにリダイレクトできます(たとえば、無線ユーザが AD への認証を行う必要があるときに、VPN を介してネットワークにアクセスする同じユーザが Rivest, Shamir, Adelman(RSA)One-Time Password(OTP; ワンタイム パスワード)ディレクトリへの認証を行う必要がある場合など)。

プロファイルにポリシーを設定するには、次の手順を実行します。


ステップ 1 Authentication リンクを使用して、パスワード プロトコルまたは ID ストレージに基づいてポリシーをセットします。

ステップ 2 Posture Validation リンクを使用して、インストールするアプリケーションの種類を指定します。

ステップ 3 Authorization リンクを使用して、対象のユーザとポスチャ アセスメントの組み合せごとにネットワークの結果を設計します。

ACS は、要求されたプロファイルに従ってアトリビュートを関連付けます。 Access-Accept メッセージで返されるアトリビュートは、プロファイルに関連付けられたアトリビュート(VPN プロファイル要求の場合は Tunnel-Type など)と、エンドユーザ宛のセッション固有アトリビュート( Idle-Timeout など)を連結したものです。プロファイル マッピングはユーザの識別とは無関係に行われるため、各ユーザは複数のプロファイルを使用することができ、確認するデータベース内に 1 つしかエントリを持ちません。


 

プロファイルベースのポリシーの設定方法の詳細については、「プロファイル用ポリシーの設定」を参照してください。

プロファイルベースのポリシーの設定

プロファイルベースのポリシーを作成するには、次の手順を実行します。


ステップ 1 ACS で制御するネットワーク サービスを特定します(たとえば、VPN、ダイヤル、WLAN、 ip-admission )。

ステップ 2 ネットワーク サービスごとにプロファイルをセットアップします。プロファイルをセットアップすることで、ACS による要求の認識方法または識別方法が定義されます(たとえば、デバイス IP、NDG、NAF、高度なフィルタリング)。詳細については、「プロファイルの設定」を参照してください。

ステップ 3 サービスに必要な認証プロトコルと外部データベースを定義します。詳細については、「認証ポリシーの設定」を参照してください。

ステップ 4 ポスチャ確認ポリシーまたは規則を定義します(Network Admission Control(NAC; ネットワーク アドミッション コントロール)が展開の一部である場合は、オプションです)。詳細については、「ポスチャ確認ポリシーの設定」を参照してください。

ステップ 5 サービスごとのプロビジョニング コンポーネント(共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)および Downloadable Access Control List(DACL; ダウンロード可能アクセス コントロール リスト))を定義します。サービスで必要な場合は、特定の設定が必要なユーザ グループ用にカスタム RAC と DACL を作成します。

ステップ 6 グループから RAC および DACL への認可マッピングを定義します。NAC が使用中の場合には、System Posture Token(SPT; システム ポスチャ トークン)も組み込みます。詳細については、「認可規則の設定」を参照してください。

ステップ 7 選択したユーザ グループの Network Access Restriction(NAR; ネットワーク アクセス制限)ポリシーを確認します。NAR 評価の結果に応じて、受け入れまたは拒否が適用されます。詳細については、「ネットワーク アクセス制限」を参照してください。

アクセスが許可されると( access-accept )、ACS はユーザ、ユーザ グループ RAC、ACL をマージして、結果を AAA クライアントにプロビジョニングします。詳細については、「アトリビュートのマージ」を参照してください。


 

プロファイルの設定

この項では、ネットワーク アクセス プロファイルの設定方法について説明します。プロファイルは RADIUS アトリビュートに関連付けられます。各プロファイルは固有の名前を持ち、アクティブまたは非アクティブにすることができます。

この項では、次のトピックについて取り上げます。

「ユーザ アクセス要求の定義」

「NAF」

「プロトコル タイプ」

「高度なフィルタリング」

ユーザ アクセス要求の定義

Profile Setup ページを使用して、ACS によるアクセス要求の分類方法を定義することができます。次の分類方式のいずれか 1 つまたはすべてを使用できます。

NAF

プロトコル タイプ

高度なフィルタリング

これら 3 つの条件を使用して、ACS がアクセス要求を分類し、プロファイルにマッピングする方法を決定します。選択済みの条件がすべて一致するときに、プロファイルが選択されます。各条件で、値 Any は必ずその条件に一致します。たとえば、無線用の NAF を作成して Aironet プロトコル タイプを選択すると、無線 NAF でこのプロトコル タイプを持つデバイスだけがフィルタリング対象として選択されます。

最初からプロファイルを作成するか、あるいは付属するプロファイルの 1 つを使用してデフォルト値を読み込むことができます。詳細については、「プロファイル テンプレートの使用方法」を参照してください。付属のテンプレートは、NAC 対応ネットワークの場合に特に有用です。

NAF

NAF によって、ネットワーク デバイス名、NDG、または IP アドレスに基づいてネットワーク アクセス制限およびダウンロード可能 ACL を柔軟に適用できます。IP アドレスを使用して NAF を適用する場合、IP アドレス範囲とワイルドカードを使用することができます。以前は、すべてのデバイスに同一のアクセス制限または ACL を使用する方法しかサポートされていませんでしたが、NAF によって NAR およびダウンロード可能 ACL をきめ細かく適用できるようになりました。NAF によって可能になる柔軟なネットワーク デバイス制限ポリシーの定義は、大規模な環境に共通する要件です。

NAF は、AAA クライアント設定(複数のネットワーク デバイスを表す場合もある)、NDG、または特定の AAA クライアント デバイスの IP アドレスを対象としたグループ化です。詳細については、「ネットワーク アクセス フィルタについて」を参照してください。

NAF を使用して、異なるデバイスのセットをグループ化(および名前付け)することができます。たとえば、 these devices comprise the abc network service などです。

また、同じデバイス タイプ上でユーザ要求を区別するために NAF を使用することもできます。たとえば、新しい暗号化プロトコルをイネーブルにするなどの理由で、Aironet 無線 AP の IOS アップグレードに取り組んでいる間は、アップグレードした AP とアップグレードしていない AP に別個の NAP が必要になります。

そのため、指定のネットワーク サービスまたは NAP にデバイスを定義するときに、より柔軟性のある NAF を使用できます。


) NDG を集約し、ユーザをプロファイルに割り当てるためのフィルタとしてその NDG を使用する場合には、NAF を設定してからプロファイルをセットアップする必要があります。


プロトコル タイプ

プロトコル タイプを使用して、ネットワークへのアクセス要求に使用されるプロトコルのタイプに基づいてユーザ要求を分類します。プロトコル タイプは、RADIUS がサポートする Vendor Specific Attribute(VSA; ベンダー固有アトリビュート)のサブセットです。


) NAP 用の Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)プロトコルは、ACS Release 4.0 ではサポートされません。


許可されるアクセス要求から、AAA クライアント ベンダー タイプを選択できます。「AAA クライアントの設定オプション」を参照してください。

高度なフィルタリング

高度なフィルタリングを使用して、特定の RADIUS アトリビュートと値に基づいて規則を作成できます( Cisco-AV- pair を含む)。規則は、RADIUS アトリビュートのブール AND 式に基づきます。

複数の規則要素を入力できます。これらは 1 つの AND ブール式として扱われます。演算子の contains、start with、および正規表現は、文字列タイプのアトリビュート値だけで使用できます。


ACS では Cisco IOS RADIUS AV ペアをサポートします。AV ペアを選択する前に、AAA クライアントによってサポートされていることを確認してください。AAA クライアントでサポートされない AV ペアを入力した場合、その条件は必ず失敗します。


Rule Elements Table を使用して、RADIUS アトリビュートに基づいて規則を構成する規則要素を指定します。規則の詳細については、「規則、規則要素、およびアトリビュートについて」を参照してください。

Rule Elements Table のコンポーネントは次のとおりです。

Attribute :規則を指定するときに使用できる RADIUS アトリビュートがすべて一覧表示されます。各 RADIUS アトリビュートは番号で一意に識別されます。たとえば、001 はベンダー固有アトリビュートを除いて、 User-Name を表す番号です。ベンダー固有アトリビュート(VSA)は、番号 026 を ID として使用します。形式は次のようになります。

Cisco AV-pair 026 / <vendor type> / <vendor attribute>。たとえば 026/009/001 は Cisco AV-pair アトリビュートです。

Operator :規則要素が true かどうかを評価するときに ACS が使用する比較方法を定義します。Operator リストで使用可能な演算子は、Attribute リストで選択されたアトリビュートのタイプによって異なります。右山カッコ(>)、左山カッコ(<)、等号(= )などの一般的な演算子に加え、Operator リストでは一部の特殊な演算子がサポートされます。特殊な演算子の詳細については、「規則、規則要素、およびアトリビュートについて」を参照してください。

Value :ACS がアトリビュートの内容を比較するときの対象となる値を指定します。

AV-pair Key :このオプションは、Cisco AV-pair アトリビュートが選択され、ACS がアクセス要求の AV-pair key アトリビュートの内容を比較するときにイネーブルになります。

AV-pair Value:このオプションは、Cisco AV-pair アトリビュートが選択され、ACS がアクセス要求の AV-pair value アトリビュートの内容を比較するときにイネーブルになります。

Enter ボタン :Attribute、Operator、および Value オプションで定義された規則要素を Rule Elements Table に追加します。

規則、規則要素、およびアトリビュートについて

規則とは、1 つまたは複数の規則要素の集合です。規則要素とは、次の項目が含まれる論理的な文です。

RADIUS アトリビュート

演算子

ACS は、演算子を使用して、アトリビュートの内容を値と比較します。規則全体が満たされるには、規則の規則要素それぞれが true になる必要があります。つまり、規則の規則要素すべてがブール AND で結合されます。


) {026/009/001} Cisco AV-pair アトリビュート フィールドは一意のフィールドです。このフィールドが選択されると、AV-pair key と AV-pair value がアクティブになります。2 つのフィールドに値を入力します。たとえば、AV-pair key は AV-pair アトリビュートの名前(aaa:service)で、AV-pair value は比較対象となるアトリビュートの内容(たとえば ip-admission)です。


規則演算子

ACS で規則を作成する場合、選択できる演算子は、選択したアトリビュートのタイプに適用可能なものだけです。

ACS では次に示す演算子がサポートされています。

=(等しい) :規則要素が true になるのは、アトリビュート内の値が、指定された値に完全に等しい場合です。

!=(等しくない) :入力された要求にアトリビュートが含まれない場合、FALSE に評価されます。


ヒント != 演算子を使用すると、特にブール アトリビュートを使用する場合に、混乱を招く可能性があります。たとえば、ブール アトリビュートの規則要素において、アトリビュートが false に等しくないことを要求した場合、特定のポスチャ確認要求内のアトリビュートが 1 になると、ACS はその規則要素を true と評価します。混乱を避けるため、アトリビュートが true に等しいことを要求して、規則要素をよりわかりやすい表現にします。


>(大なり) :規則要素が true になるのは、アトリビュート内の値が、指定された値より大きい場合です。

<(小なり) :規則要素が true になるのは、アトリビュート内の値が、指定された値より小さい場合です。

<=(小なりイコール) :規則要素が true になるのは、アトリビュート内の値が、指定された値以下の場合です。

>=(大なりイコール) :規則要素が true になるのは、アトリビュート内の値が、指定された値以上の場合です。

contains :規則要素が true になるのは、文字列タイプのアトリビュートのサブ文字列が、指定された文字列と一致した場合です。たとえば、 contains 演算子と sc という値を使用した場合は、 Cisco scsi 、または disc という文字列を含むアトリビュートと一致します。

starts-with :規則要素が true になるのは、アトリビュート値の先頭部分が、指定された文字列と一致した場合です。たとえば、 starts-with 演算子と Ci という値を使用した場合は、 Cisco または Ciena という文字列を含むアトリビュートと一致します。

正規表現 :規則要素が true になるのは、アトリビュートが、指定された正規表現と一致した場合です。ACS では、次に示す正規表現がサポートされています。

^(カレット) :^ 演算子は、文字列の先頭と一致します。たとえば、 ^Ci の場合は、 Cisco または Ciena という文字列と一致しますが、 docile という文字列とは一致しません。

$(ドル) :$ 演算子は、文字列の末尾と一致します。たとえば、 co$ の場合は、 Cisco または Tibco という文字列と一致しますが、 console という文字列とは一致しません。

RegEx の構文の詳細については、「正規表現の基本的な構文のリファレンス」を参照してください。

高度なフィルタリングの設定

高度なフィルタリングを設定するには、次の手順を実行します。


ステップ 1 ドロップダウン リストから Attribute を選択します。

ステップ 2 ドロップダウン リストから Operator を選択します。

ステップ 3 ドロップダウン リストから Entity を選択します(Linux パッケージの場合はオプション)。

ステップ 4 Attribute の Value を入力します。

ステップ 5 Enter キーを押します。


) プロファイル テンプレートを選択すると、Rule Elements Table に条件が読み込まれます。「プロファイル テンプレートの使用方法」を参照してください。



 

NAP 管理タスク

この項では、次のタスクについて取り上げます。

「プロファイルの追加」

「プロファイルの順序変更」

「プロファイルの編集」

「プロファイルのクローニング」

「プロファイルの削除」

「一致しないユーザ要求の処理」

「NAP 管理ページ」

プロファイルの追加

Profile Setup ページでは、次の項目を設定できます。

プロファイルの名前

説明

アクティベーション フラグ(このプロファイルがアクティブか非アクティブかを判別します)

既存プロファイルのクローニング

Network Access Profiles ページは、最初は空です。ページにデータが入力されたら、プロファイルのリストを上から下へ優先順位の順序に設定する必要があります。

Profile Setup ページを使用して、プロファイル名と説明を設定し、分類、およびプロファイルのセットアップに必要な他のパラメータをすべて追加します。

プロファイルを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Add Profile をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Name ボックスに、新しいプロファイルの名前を入力します。

ステップ 4 Description ボックスに、新しいプロファイルの説明を入力します。

ステップ 5 プロファイルをイネーブルにするには、 Active チェックボックスをオンにします。

ステップ 6 プロファイルの設定パラメータを次のように設定します。

a. 既存の NAF リストから NAF を選択して、ユーザ要求を分類(フィルタリング)します。共有プロファイル コンポーネントの NAF オブジェクトを設定します。「ネットワーク アクセス フィルタについて」を参照してください。

b. Protocol Types を使用して、1 つ以上のプロトコル タイプをフィルタとして選択します。Protocol Types は NAS がサポートする VSA のサブセットです。「AAA クライアントの設定オプション」を参照してください。

c. Advance Filtering を選択して、1 つ以上の RADIUS アトリビュートおよび値が含まれる特定の規則を作成します。「高度なフィルタリングの設定」を参照してください。

ステップ 7 Submit をクリックします。

Network Access Profiles ページが表示されます。ネットワーク アクセス プロファイルの最初に一致したものが、クライアント要求を認証、認可、またはその両方を行うために実装されます。

ステップ 8 プロファイルの順序を変更するには、オプション ボタンをクリックします。 Up または Down をクリックして、プロファイルを適切な位置に移動します。


) また、Up および Down ボタンをクリックすると、情報を ACS に送信できます。


ステップ 9 どのプロファイルも要求に一致しない場合、 Deny access when no profile selected を選択します。デフォルトで選択される Grant access using global configuration, when no profile matches は、ユーザ グループによる認可のグローバル ACS 設定に戻ります。

ステップ 10 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイルの順序変更

ACS は、アクセス要求をプロファイルと突き合せる際に、最初に一致するものを使用するため、リスト内でのプロファイルの順序は重要です。

プロファイルの順序を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles ページで、オプション ボタンをクリックしてプロファイルを選択します。

ステップ 2 Up または Down をクリックして、プロファイルを適切な位置に移動します。


) 変更内容を有効にするために、Apply and Restart をクリックします。



 

プロファイルの編集

プロファイル設定を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 プロファイルのフィルタリング方式を修正するため Name をクリックします。

Profile Setup ページが表示されます。

または

編集する設定ポリシーを選択します。関連するポリシー設定ページが表示されます。

ステップ 3 プロファイル設定を保存するために、Network Access Profiles ページに戻って Apply and Restart をクリックします。


 

プロファイルのクローニング

クローニングによって、次の NAP の関連コンポーネントがすべて複製されます。

認証参照 :外部データベース。

ポスチャ参照 :内部または外部のポスチャ確認と、外部監査サーバ。ポスチャ参照の詳細については、「ポスチャ確認ポリシーの設定」を参照してください。

認可参照 :RAC と DACL。

NAP のクローニングでは、プロファイルが参照する、共有プロファイル コンポーネントも、内部および外部ポスチャ確認ポリシーもコピーされません。新しくクローニングされたプロファイルは、元のプロファイルと同じ共有プロファイル コンポーネントを 参照します 。たとえば、名前で参照されるコンポーネント(RAC、DACL、NAF)は同じままです。

NAP は、クローニングするときに、最初はデフォルトで非アクティブになっています。この非アクティブな状態により、ACS がアクセス要求をプロファイルと突き合せる際のあいまいさが避けられます。クローニングされたプロファイルを修正した後で、ステータスをアクティブな状態に変更できます。

プロファイルの説明、アクティブ フラグ、プロトコルの選択、高度なフィルタ、認証、および認可ポリシーは、すべてクローニング(コピー)されます。ポスチャ確認ポリシー(内部、外部、監査サーバ)はコピーされませんが、新しく作成したプロファイルによって参照されます。

クローニングでは、 Copy-of- という名前が付けられます。マルチ クローニングの場合(クローニングされた要素をクローニングする場合)、プレフィクスとして Copy-(2)-of- が指定されます。

新しい名前の長さが 32 文字を超えた場合、名前は 32 文字に切り捨てられます。

プロファイルをクローニングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Name をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Clone をクリックします。

ステップ 4 クローニングされたプロファイルのコピーが Network Access Profiles ページに表示されます。

ステップ 5 クローニングされたプロファイルを修正します。

ステップ 6 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイルの削除

プロファイルを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Name をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Delete をクリックします。

ステップ 4 警告メッセージが表示されます。

ステップ 5 プロファイル設定を削除するには OK をクリックします。

ステップ 6 変更内容を有効にするために、 Apply and Restart をクリックします。


 

一致しないユーザ要求の処理

ACS グローバル設定には、次の 2 つの用途があります。

プロファイルに一致しない要求に対するフォールバック動作を定義する。

NAP のベースラインを定義する(NAP 認証ページでプロトコルをイネーブルにする場合は、まず Global Authentication Settings ページでプロトコルをイネーブルにする必要があります)。

従来のグローバル設定と NAP はサポートされていて相互に運用できますが、この項で説明する場合を除き、両方を使用することはお勧めしません。

アクセス要求を分類できない場合に必ず拒否する Deny access when no profile selected オプションを使用することをお勧めします。

ACS は Global Authentication ページの設定内容に戻るため、 Grant access using global configuration when no profile matches を使用することをお勧めします。未知ユーザ ポリシーによって、パケット処理の進め方が決まります。

ACS フォールバック動作と NAP を使用する必要があるのは、TACACS+ を使用する場合だけです。NAP は、現在 TACACS+ をサポートしていません。Grant access using global configuration オプションは、TACACS+ と NAP 設定を RADIUS で使用する唯一の方法です。

両方を使用するときは、グローバル設定を使用するフォールバック動作によってネットワークにセキュリティ上の欠陥が発生しないように保証する必要があります。

NAP 管理ページ

この項では、NAP 管理に使用する次の Web ページのフィールドについて説明します。

「Network Access Profiles ページ」

「Profile Setup ページ」

「Advanced Filtering-Rule Elements Table」

Network Access Profiles ページ

 

フィールド
説明

Name

クリックすると、プロファイルの設定がアクティブになります。Profile Setup ページを開きます。

Policies

認証、ポスチャ確認、および認可ポリシーをセットアップするためのリンクが含まれます。このカラムの適切なリンクを選択して、プロファイルのポリシーを設定します。

Authentication

プロファイルの認証ポリシーを制御します。Authentication Settings ページを開きます。このページでは、許可するプロトコルと、ユーザ クレデンシャルの検証に使用するデータベースを選択できます。

Posture Validation

ポスチャ確認ポリシーの設定に使用します。Posture Validation ページを開きます。

Authorization

radius-profile タグおよびアクセス コントロール リスト(ACL)名に対し、ユーザ グループとシステム ポスチャ トークンの結果との間でマッピングするために使用します。Authorization Rules for Profile ページを開きます。

Deny access when no profile matches

このオプションがイネーブルになっている場合、アクセス要求がどのプロファイルとも一致しないときは、認証が失敗し、アクセス要求が拒否されます。このオプションがオフの場合、ACS はユーザ グループによる認可のグローバル設定に戻ります。

Grant access using global configuration, when no profile matches

このオプションがイネーブルになっている場合、アクセス要求がどのプロファイルとも一致しないときは、認証が失敗し、デフォルト設定に基づいてアクセス要求が許可されます。

Add Profile

クリックすると、NAP を設定する Profile Setup ページが表示されます。

Add Template Profile

クリックすると、テンプレートの選択肢からプロファイルを作成できます。テンプレートを使用すると、プロファイルを容易に作成できます。Create Profile from Template ページを開きます。

Up/Down

プロファイルの順序を変更するために使用します。Up ボタンまたは Down ボタンをクリックすると、ソート順序をデータベースに送信して保存します。

Radio Button

プロファイルの順序をソートするために使用します。クリックすると、順序を変更するプロファイルがアクティブになります。

Apply and Restart

ACS を再起動して修正を適用します。

Profile Setup ページ

 

フィールド
説明

Name

プロファイル名を入力します。

Description

プロファイルの説明を表示します。

Active

プロファイルのステータスを表示します。

Network Access Filter

NAF に基づいてプロファイルを設定するためのフィルタの作成に使用します。NAF のデフォルトは Any です。

Protocol Types

Protocol Types は NAS がサポートする VSA のサブセットです。任意のプロトコル タイプを許可するには Allow Any Protocol Type をクリックし、プロトコルを選択するには Allow Selected Protocol Types をクリックします。使用できる Protocol Types を Selected リストに移動するには、矢印をクリックします。Protocol Types のデフォルトは Allow Any です。

Advanced Filtering

高度なフィルタリング用の規則を設定するために使用します。「Advanced Filtering-Rule Elements Table」を参照してください。高度なフィルタリングに値を指定しない場合のデフォルトは、 Any です。

Submit

クリックすると、修正内容を送信できます。Network Access Profiles ページに戻ります。

Clone

クリックすると、NAP のコピーをクローニングして作成できます。詳細については、「プロファイルのクローニング」を参照してください。

Delete

クリックすると、プロファイルを削除できます。警告メッセージが表示されます。

Cancel

行われた変更を実装せずに、Network Access Profiles ページに戻ります。

Advanced Filtering-Rule Elements Table

このテーブルには次のフィールドがあります。

 

フィールド
説明

Attribute

ドロップダウン リストから RADIUS Attribute を選択します。

Operator

ACS で高度なフィルタリング用の規則を作成する場合、選択できる演算子は、選択したアトリビュートのタイプに適用可能なものだけです。次の演算子があります。

= (等しい):規則要素が true になるのは、アトリビュート内の値が、指定された値に完全に等しい場合です。

!= (等しくない):規則要素が true になるのは、アトリビュート内の値が、指定された値と等しくない場合です。

contains :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の一部が、指定された文字列と一致した場合です。

starts wit h:規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の先頭部分が、指定された文字列と一致した場合です。

正規表現 :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列が、指定された正規表現と一致した場合です。

Value

アトリビュートの値を入力します。

Cisco-av-pair

{026/009/001} cisco-av-pair アトリビュートを選択するときに、演算子、および av-pair-key と av-pair-value の値を入力します。

プロファイル テンプレートの使用方法

プロファイル テンプレートを使用して、新規プロファイルを作成します。新規プロファイルを最初からセットアップする代わりに、定義済みのプロファイル テンプレート セットからプロファイルを選択できます。テンプレートには、事前に定義された NAC サンプル セットが含まれており、NAC ポリシーを構成する基礎として使用できます。新規プロファイルに名前を付けてプロファイル テンプレートを選択したら、Profile Setup ページにデフォルト値が読み込まれます。その後、セキュリティ ポリシーの特定のニーズに合せて、プロファイル設定をカスタマイズできます。

定義済みのテンプレートを選択すると、プロファイル認証、ポスチャ確認、および認可ポリシーを含んだ全面的な NAP が ACS によって作成されます。

プロファイルの作成には、次のテンプレートを使用できます。

NAC L3 IP

NAC L2 IP

NAC レイヤ 2 802.1x

Microsoft IEEE 802.1x

無線(NAC L2 802.1x)

Authentication Bypass(802.1x フォールバック)

NAC エージェントレス ホスト(EAP over User Datagram Protocol(UDP; ユーザ データグラム プロトコル)フォールバック)

共有プロファイル コンポーネント

各テンプレートは共有プロファイル コンポーネントのセットを参照します。テンプレートを作成する前に、ACS は適切な共有プロファイル コンポーネントが存在することを確認します。共有プロファイル コンポーネントが設定されていなかった場合、ACS は、選択されたテンプレート用に特別に作成された共有プロファイル コンポーネントのセットを使用します。

プロファイル テンプレートを使用する際の前提条件

プロファイル テンプレートを使用する前に、次の設定を行う必要があります。

RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)プロトコルを使用する 1 つ以上の AAA クライアント

証明書のセットアップ

管理者アカウント(必要な場合)

ロギングの設定

テンプレート用のグローバル認証のセットアップ(テンプレートによって異なります)

Interface Configuration > Advanced Options の User-Level Downloadable ACLs または Group-Level Downloadable ACLs(テンプレートによって異なります)

ACS 規則は、ACS ディクショナリに存在するアトリビュートで構成されます。インストール時に ACS ポスチャ ディクショナリは、 cisco:pa に所属するアトリビュートを組み込むように初期化されます(すべての Cisco Trust Agent(CTA)実装で、このデフォルトのアトリビュート セットをサポートすることは必須になっています)。

テンプレートによって作成される内部ポスチャ確認ポリシーは、これらのアトリビュート セットに基づきます。

ACS では、作成される各テンプレートは再利用可能なオブジェクトのセットを参照します。テンプレートを作成する前に、ACS は関連する再利用可能なオブジェクトがすでに存在するかどうかを確認します。存在しない場合、ACS はテンプレートの必須オブジェクトを自動的に作成します。これらのオブジェクトが事前に存在しなくても、テンプレートによるプロファイルの作成は失敗しません。選択したテンプレートに再利用可能なオブジェクトが存在する場合は、関連する再利用可能なオブジェクトが使用されます。


) アトリビュートがポスチャ確認ポリシーで使用中の場合には、アトリビュートを削除できません。


プロファイル テンプレートの選択

プロファイル テンプレートを選択するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが表示されます。

ドロップダウン リストからテンプレートを選択します。

ステップ 3 プロファイルの Name および Description を入力します。

ステップ 4 Active チェックボックスをオンにして、プロファイルをアクティブにします。

ステップ 5 プロファイル設定を保存するために、Network Access Profiles ページに戻って Apply and Restart をクリックします。


 

Create Profile from Template ページ

このページには次のフィールドがあります。

 

フィールド
説明

Name

プロファイル テンプレートの名前を入力します。

Description

テンプレート プロファイルの説明を入力します。

Template

ドロップダウン リストからテンプレートのいずれか 1 つを選択します。

Active

オンにすると、プロファイルがアクティブになります。

NAC L3 IP

このテンプレートは、レイヤ 3 ポスチャ確認を使用した LAN ポート IP からのアクセス要求に使用されます。

このテンプレートを使用する前に、次の項目をイネーブルにします。

1. Global Authentication Setup の Allow Posture Validation

2. Global Authentication Setup の Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling(EAP-FAST)authenticated in-band PAC provisioning

3. Global Authentication Setup の EAP-FAST MS-CHAPv2

4. Global Authentication Setup の EAP-FAST Generic Token Card(GTC)

ダウンロード可能 ACL

ダウンロード可能 ACL をサポートするレイヤ 3 ネットワーク デバイスでは、ユーザ単位のダウンロード可能 ACL をサポートします。これには、Cisco PIX セキュリティ アプライアンス、Cisco VPN ソリューション、および Cisco IOS ルータが含まれます。ユーザごとまたはグループごとに適用可能な ACL のセットを定義できます。この機能は、適切な ACL ポリシーを適用できるようにすることで、NAC のサポートを補完します。NAF と組み合せて使用すると、デバイスごとに異なるダウンロード可能 ACL を適用できるため、ユーザごとまたはアクセス デバイスごとに固有になるように ACL を調整できます。

テンプレートからレイヤ 3 NAC プロファイルを作成するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 Add Template Profile を選択します。

ステップ 3 テンプレート ドロップダウン リストから NAC L3 IP を選択します。

ステップ 4 プロファイルの Name および Description を入力します。

ステップ 5 Active チェックボックスをオンにして、プロファイルをアクティブにします。

ステップ 6 Submit をクリックします。


 

表15-1 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのプロファイル サンプルを示します。

 

表15-1 NAC レイヤ 3 IP プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

( [[26/9/1]Cisco av-pair]aaa:service = ip-admission) AND ([006]Service-Type != 10)

Authentication

Protected Extensible Authentication Protocol (PEAP)

Allow Posture Only がオン

Credential Validation Database

該当なし

Posture Validation

Posture Validation Rule

Name

NAC-EXAMPLE-POSTURE-EXAMPLE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL Redirect

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

 

表15-2 NAC レイヤ 3 IP プロファイル テンプレートの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
共有 RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L3-RAC

NAC-SAMPLE-
HEALTHY-ACL

Rule 2

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC-SAMPLE-
QUARANTINE-ACL

Default

Deny = オフ

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表15-3 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーを示します。

 

表15-3 NAC レイヤ 3 IP サンプルのポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-CTA-
POLICY

 

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA
and Cisco:PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

表15-4 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートの共有プロファイル コンポーネントを示します。

 

表15-4 NAC レイヤ 3 IP サンプルの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-HEALTHY-L3-RAC

[027]Session-Timeout = 36,000

[26/9/1]cisc-av-pair status-query-timeout=300

[029] Termination-Action RADIUS-Request (1)

NAC-SAMPLE-QUARANTINE-L3-RAC

[027]Session-Timeout = 3,600

[26/9/1]cisc-av-pair status-query-timeout=30

[029] Termination-Action RADIUS-Request (1)

Downloadable IP ACLs

NAC-SAMPLE-HEALTHY-ACL

ACL Content Name

Content

NAF

NAC-SAMPLE-QUARANTINE-ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC L2 IP

このテンプレートを使用する前に、 Global Authentication Setup で Enable EAP Configuration > Allow Posture Validation を選択します。

NAC レイヤ 2 IP は、エンドポイント システムまたはクライアントの接続先エッジ スイッチのアクセス ポートで使用することができます。デバイス(ホストまたはクライアント)には、直接接続、IP 電話、ハブ、または無線アクセス ポイントを介してスイッチ アクセス ポートに接続される PC、ワークステーション、またはサーバがあります。

NAC レイヤ 2 IP がイネーブルになっている場合、UDP が処理するのは IPv4 トラフィックだけです。スイッチは、エンドポイント デバイスまたはクライアントのアンチウイルスの状態を確認し、アクセス コントロール ポリシーを適用します。

Advanced Filtering プロパティおよび Authentication プロパティには、NAC-L2-IP Configuration が自動的に読み込まれます。

表 15-5 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのプロファイルの内容を示します。

 

表 15-5 NAC レイヤ 2 IP プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

( [[26/9/1]Cisco av-pair]aaa:service = ip-admission) AND ([006]Service-Type != 10)

Authentication

PEAP

Allow Posture Only がオン

Credential Validation Database

該当なし

Posture Validation

Posture Validation Rule

Name

NAC-EXAMPLE-POSTURE-EXAMPLE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL Redirect

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

表 15-6 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表 15-6 NAC レイヤ 2 IP プロファイル テンプレートの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L3-RAC

NAC-SAMPLE-
HEALTHY-ACL

Rule 2

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC-SAMPLE-
QUARANTINE-ACL

Default

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表 15-7 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーの内容を示します。

 

表 15-7 NAC レイヤ 2 IP サンプル のポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-
POSTURE-RULE

 

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA and Cisco:PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

ACS および AV ペア

NAC レイヤ 2 IP 確認をイネーブルにした場合、ACS は RADIUS を使用して NAC AAA サービスを提供します。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入手し、エンドポイントのアンチウイルスの状態を確認します。

RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)を使用して、これらの Attribute-Value(AV; アトリビュート値)のペアを ACS に設定できます。

Cisco Secure-Defined-ACL :ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。

#ACL#-IP-name-number

name は ACL 名、 number は 3f783768 などのバージョン番号です。

Auth-Proxy ポスチャ コードは、指定されたダウンロード可能 ACL の Access-Control Entry(ACE; アクセス コントロール エントリ)がすでにダウンロードされているかどうかを確認します。ダウンロードされていない場合、Auth-Proxy ポスチャ コードはダウンロード可能 ACL 名をユーザ名とする AAA 要求を送信して ACE がダウンロードされるようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。この ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポスチャ確認の完了後にダウンロード可能 ACL がインターフェイスに割り当てられると、送信元アドレスは any からホストの送信元 IP アドレスに変更されます。ACE は、エンドポイント デバイスの接続先であるスイッチ インターフェイスに適用されるダウンロード可能 ACL にプリペンドされます。

トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、適切な NAC アクションが実行されます。

url redirect と url-redirect-acl :スイッチにローカル URL ポリシーを指定します。スイッチはこれらの cisco-av-pair VSA を使用します。

-- url-redirect = <HTTP または HTTPS URL>

-- url-redirect-acl = switch ACL name または number

これらの AV ペアにより、スイッチはエンドポイント デバイスからの HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)要求または Secure HyperText Transfer Protocol(HTTPS)要求を代行受信して、最新のアンチウイルス ファイルをダウンロードできる、指定のリダイレクト アドレスにクライアントの Web ブラウザを転送できます。ACS 上の url-redirect AV ペアには、Web ブラウザのリダイレクト先となる URL が含まれます。url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを指定する ACL の名前または番号が含まれます。ACL はスイッチに定義する必要があります。リダイレクト ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

これらの AV ペアは、ホストのポスチャが healthy ではない場合に送信される可能性があります。

Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行されるソフトウェア リリースのマニュアルを参照してください。

デフォルト ACL

スイッチ ポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチ ポート上にデフォルト ポート ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィックに、デフォルト ACL を適用することも必要です。

スイッチにデフォルト ACL を設定し、ホストのアクセス ポリシーが ACS によってスイッチに送信されると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用します。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリシーが適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホストのアクセス ポリシーを ACS から取得した場合にデフォルト ACL が設定されていないと、NAC レイヤ 2 IP 設定は有効になりません。

ポリシーマップ アクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS によってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリシーよりも優先されます。デフォルト ポート ACL がスイッチに設定されていない場合、スイッチは ACS からのダウンロード可能 ACL を適用できます。

このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのアクセス要求に対して使用します。Media Access Control(MAC; メディア アクセス制御)Authentication Bypass は、クライアント以外の認証プロセスをバイパスするために、アクセス要求に対して使用されます。ユーザは ID に基づいてユーザ グループにマッピングされます。


) Populate from Global ボタンは使用しないでください。使用した場合、この認証フィールドは System Configuration の Global Authentication Setup から継承されます。


NAC レイヤ 2 802.1x

このテンプレートを使用する前に、次の項目をイネーブルにします。

1. Global Authentication Setup の EAP-FAST

2. Global Authentication Settings の EAP-FAST Authenticated in-band PAC Provisioning

3. Global Authentication Setup の EAP-FAST MS-CHAPv2

4. Global Authentication Setup の EAP-FAST GTC

表 15-8 に、NAC L2 802.1x サンプル プロファイル テンプレートの内容を示します。

 

表 15-8 NAC L2 802.1x プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定

Description

ユーザ設定

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([006]Service-Type != 10) and (not exist [26/9/1]cisco-av-pair aaa:service)

Authentication

EAP-FAST

Allow EAP-FAST はオン

Allow authenticated in-band PAC provisioning はオン

Allow inner methods EAP-GTC はオン

Allow inner methods EAP-MS-CHAPv2 はオン

Allow Stateless Session Resume はオン

Accept client on authenticated provisioning はオン

Posture Validation required はオン

Credential Validation Database

ACS 内部ユーザ データベース

Posture Validation

Posture validation Rule

Name

NAC-SAMPLE-POSTURE-RULE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

表 15-9 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表 15-9 NAC レイヤ 2 802.1x プロファイル サンプルの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L2-RAC

該当なし

Rule 2

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L2-RAC

該当なし

Default

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表 15-10 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートのポスチャ確認ポリシーの内容を示します。

 

表 15-10 NAC レイヤ 2 802.1x プロファイル サンプルのポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-CTA-POLICY

 

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA and Cisco:
PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

表 15-11 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの共有プロファイル コンポーネントの内容を示します。

 

表 15-11 NAC レイヤ 2 802.1x プロファイル テンプレートの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-HEALTHY-L2-RAC

[027] Session-Timeout = 36,000

[26/9/1] cisco-av-pair sec:pg=healthy_hosts

[029] Termination-Action RADIUS-Request (1)

[064] Tunnel-Type [T1] VLAN (13)

[065] Tunnel-Medium-Type [T1] 802 (6)

[081] Tunnel-Private-Group-ID = healthy

NAC-SAMPLE-QUARANTINE-L2-RAC

[027] Session-Timeout = 3,600

[26/9/1]cisco-av-pair sec:pg=quarantine_hosts

[029] Termination-Action RADIUS-Request (1)

[064] Tunnel-Type [T1] VLAN (13)

[065] Tunnel-Medium-Type [T1] 802 (6)

[081] Tunnel-Private-Group-ID = quarantine

Microsoft IEEE 802.1x

このテンプレートを使用する前に、Global Authentication Setup ページで Enable EAP Configuration > Allow EAP-MS-CHAPv2 を選択します。

表 15-12 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートのプロファイル サンプルを示します。

 

表 15-12 Microsoft IEEE 802.1x プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([006]Service-Type != 10) and (not exist [26/9/1]cisco-av-pair aaa:service)

Authentication

PEAP

Allow EAP MS-CHAPv2 はオン

Credential Validation Database

ACS 内部ユーザ データベース

Posture Validation

該当なし

表15-13 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートの認可規則を示します。

 

表15-13 Microsoft IEEE 802.1x プロファイル サンプルの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
RAC
DACL

Default

Deny = オフ

Include RADIUS attributes from user's group

オン

Include RADIUS attributes from user record

オン

無線(NAC L2 802.1x)

無線(NAC L2 802.1x)用テンプレートは、NAC L2 802.1x テンプレートと同じです。詳細については、「NAC レイヤ 2 802.1x」を参照してください。

Authentication Bypass

ACS に用意されたプロファイル テンプレートを使用して、スイッチから送信される RADIUS 要求と一致するプロファイルを作成できます。プロファイルが作成されたら、プロファイルと完全に一致するものを作成するために Catalyst 6500 から送信される RADIUS パケットの分析を完了する必要があります。スイッチから送信される RADIUS 要求には、Service Type 値 10(NAC-L2-IP と同様)が含まれますが、キーワード サービスのある Cisco Attribute Value Pair(AVP; AV のペア)は含まれません。そのため、2 つのエントリは Advanced Filtering ボックスで作成されます。


) このリリースでは、MAC-Authentication-Bypass は Cisco Catalyst 6500 Cat OS でのみサポートされます。


表 15-14 に、Authentication Bypass サンプル プロファイル テンプレートのプロファイル サンプルの内容を示します。

 

表 15-14 Authentication Bypass サンプル プロファイル

セクション
プロパティ

NAP

Name

ユーザ設定可能

説明

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

(not exist [26/9/1]cisco-av-pair aaa:service)

AND ([006]Service-Type = 10)

Credential Validation Database

該当なし

Authentication

Protocols

MAC authentication bypass はオンに設定される。

デフォルト ユーザ グループは default group に設定される。

Posture Validation

該当なし

表 15-15 に、Authentication Bypass サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表 15-15 Authentication Bypass サンプル プロファイルの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

Default-group

該当なし

NAC-SAMPLE-
QUARANTINE-L2-RAC

該当なし

Default

Deny = オン

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

NAC エージェントレス ホスト

このテンプレートは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)のアクセス要求に使用されます。NAH はエージェントレス ホストとも呼ばれます。この要求では EAP over UDP(EoU)を使用します。

表 15-16 に、NAH サンプル プロファイル テンプレートのプロファイル サンプルを示します。

 

表 15-16 NAH サンプル プロファイル テンプレート

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([[26/9/1]Cisco av-pair]aaa:service = ip-admission) AND ([006]Service-Type = 10)

Credential Validation Database

該当なし

Posture Validation

該当なし

Authorization

Rules

User-group

System Posture Token

RAC

DACL

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L3-RAC

NAC_SAMPLE_
HEALTHY_ACL

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

該当なし

Transition

NAC-SAMPLE-
TRANSITION-L3-RAC

NAC_SAMPLE_
TRANSITION_ACL

Default

Deny = オフ

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表15-17 に、NAH サンプル プロファイル テンプレートの共有プロファイル コンポーネントを示します。

 

表15-17 NAH サンプルの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-TRANSITION-L3-RAC

[027] Session-Timeout = 60

[029] Termination-Action RADIUS-Request (1)

監査サーバからのヒントがある場合、Session-Timeout は上書きされる可能性がある。

NAC-SAMPLE-HEALTHY-L3-RAC

[027]Session-Timeout = 36,000

[029] Termination-Action RADIUS-Request (1)

NAC-SAMPLE-QUARANTINE-L3-RAC

[027]Session-Timeout = 3,600

[029] Termination-Action RADIUS-Request (1)

Downloadable IP ACLs

 

ACL Content Name

Content

NAF

NAC-_SAMPLE-_TRANSITION-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC-_SAMPLE-_HEALTHY-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC_-SAMPLE-_QUARANTINE-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

プロファイル用ポリシーの設定

プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリシーのセットをプロファイルに関連付けます。このような関連付けは、プロファイルベースのポリシーと呼ばれます。プロファイルベースのポリシーの設定には、次の規則を作成する作業が含まれます。

認証 :認証メカニズムに関連する設定ポリシーのセット。

ポスチャ確認 :ポスチャ確認の実行方法を定義します(ネットワークで NAC を展開する場合のみ)。

認可 :認可規則のセットを設定します(オプション)。

プロファイルは、ネットワーク アクセス要求を分類し、一般的なポリシーをユーザ要求に適用するための手段として機能します。

プロファイルベースのポリシーの設定には、次の作業があります。

1. 「認証ポリシーの設定」

2. 「ポスチャ確認ポリシーの設定」

3. 「認可ポリシーの設定」

認証ポリシーの設定

認証ポリシーを設定する前に、次の作業を行います。

Global Authentication Setup オプションを使用し、System Configuration セクションで認証プロトコルをセットアップします。詳細については、「Global Authentication Setup ページ」を参照してください。


) NAC の Global Authentication Setup で、すべての認証プロトコルをオンにすることをお勧めします。


Database Group Mapping に定義されたマッピング規則によって、ACS ユーザ グループにマッピングした External User Databases を設定します。


) ACS 内部データベースは、デフォルトの選択済みデータベースです。


認証設定では、許可される認証プロトコルのタイプ、そのプロトコルの設定、および認証のためにユーザ クレデンシャルを検証する際に使用されるデータベースを定義します。認証プロトコルは、セキュリティ レベルの最も低いものから順に示されます。選択するプロトコルによって、ネゴシエーションの柔軟性が決まります。認証に使用するプロトコルを決定することが、最終結果です。


) 簡単なポスチャ確認を行う場合、EAP Configuration セクションの Allow Posture Validation チェックボックスをオンにする必要があります。


Populate from Global

認証設定に ACS グローバル設定を読み込んでから、カスタマイズすることができます。この方法によって、新しくプロファイルをセットアップするたびに行う認証設定が容易になります。

最初に、Global Authentication Setup を設定する必要があります。この Global Authentication Setup は、アクティブまたは非アクティブなプロファイルにすべての EAP 設定を行う中心的な場所として機能します。

EAP タイプは、Global Authentication ページでディセーブルになっており、どの ACS プロファイルでもイネーブルにすることはできません。Global Authentication ページでオフになっているどの EAP タイプも、すべての ACS(アクティブまたは非アクティブ)プロファイルで自動的にオフになります。

グローバル設定を適用するには、次の手順を実行します。

Populate from Global をクリックして、 System Configuration > Global Authentication Setup ウィンドウに設定された認証設定を適用します。

認証プロトコル

認証の関連パラメータはすべて Authentication Settings ページで設定できます。これらのパラメータはアクセス要求の処理中に適用されます。

Authentication Settings ページでは、次の認証プロトコルを設定できます。

RADIUS 認証プロトコル

Password Authentication Protocol(PAP; パスワード認証プロトコル)プロトコルを使用して認証を許可または拒否するオプション。

CHAP パスワード プロトコルを使用して認証を許可または拒否するオプション。

MS-CHAPv1 パスワード プロトコルを使用して認証を許可または拒否するオプション。

MS-CHAPv2 パスワード プロトコルを使用して認証を許可または拒否するオプション。

MAC-Authentication Bypass を使用して認証を許可または拒否するオプション。詳細については、「MAC-Authentication Bypass」を参照してください。

EAP 認証に使用する EAP タイプのセット(外部および内部)を許可または拒否するオプション(各 EAP タイプの関連設定を含む)。詳細については、「EAP 設定」を参照してください。

設定できる EAP プロトコル

PEAP

EAP-FAST

EAP-Transport Layer Security(TLS)

EAP-Message Digest 5(MD5)

認証とユーザ グループ マッピングに使用できる、外部データベース インスタンスの順序付きリスト

パスワード プロトコルがイネーブルになっていない場合、ACS はアクセス要求を拒否します。

ACS とクライアントが通常イネーブルになっている EAP-Type を共有しない場合、ACS はアクセス要求を拒否します。

認証が要求されると、ACS は特定のプロファイルに定義された外部データベースの順序付きリストを使用します。

MAC-Authentication Bypass

MAC Authentication Bypass は、ポートごとに設定される ID ベースのネットワーク セキュリティ機能です。スイッチは、スイッチに接続しているエンドホストの MAC アドレスを持つ ACS に対して RADIUS 要求を作成します。MAC 認証は、そのスイッチまたはデバイス上で、802.1x または EAPoUDP が失敗したために生じるフォールバックとして行われ、これらのメカニズムはバイパスされます。この機能は、802.1x も EAPoUDP もサポートしないホストにネットワーク アクセスを許可する場合に役立ちます。たとえば、802.1x クライアントを持たないプリンタや端末が、ネットワークにアクセスするためにこの機能を使用できます。

この機能を使用して、MAC アドレスをユーザ グループにマッピングできます。定義済みアドレス リストに MAC アドレスがない場合は、フォールバック ユーザ グループをアクセス要求に関連付けることができます。グループはプロファイルの認可ポリシーに含めることができ、その後で認可規則に基づいてネットワーク アドミッションについて評価できます。

MAC アドレスは、Calling-Station-ID RADIUS アトリビュートで送信されます。ACS が mac-authentication 要求を識別する方法を、次のように定義します。

Service-Type = 10 (Call Check)

MAC-Authentication Bypass オプションが選択されていない場合、MAC 認証は適用されずにアクセス要求は拒否されます。

MAC Authentication Bypass の設定方法の詳細については、「MAC Authentication Bypass の設定」を参照してください。

EAP 設定

EAP は、任意の認証情報を対象とする柔軟な要求応答プロトコルです(RFC 2284)。EAP は UDP、802.1x、RADIUS など、別のプロトコルの最上層にあり、次の複数の認証タイプをサポートします。

PEAP(Protected EAP)

EAP-FAST

EAP-TLS(X.509 証明書ベース)

EAP-MD5:プレーン パスワード ハッシュ(CHAP over EAP)

EAP-GTC:OTP トークン

LEAP(EAP-Cisco Wireless)

次に示す新しい拡張 EAP 方式が NAC 向け EAP に追加されました。

EAP-TLV:ポスチャ クレデンシャル、追加ポスチャ AVP、ポスチャ通知を伝達します。

Status Query:この新しい EAP 方式を使用すると、完全なクレデンシャル確認を行わずにピアの状態をセキュアに問い合せることができます。

EAPoUDP:レイヤ 3 転送に EAP over UDP を使用します。

EAP-FAST

EAP-FAST は、パブリックにアクセス可能な新しい IEEE 802.1X EAP タイプです。これは、強力なパスワード ポリシーを適用できないユーザがデジタル証明書を必要としない 802.1X EAP タイプを展開できるように、シスコが開発しました。EAP-FAST は、さまざまなタイプのユーザ データベースやパスワード データベース、パスワードの変更や有効期間をサポートしています。そのため、柔軟性があり、展開や管理も容易です。EAP-FAST およびその他の EAP タイプとの比較の詳細については、
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_qanda_item09186a00802030dc.shtml を参照してください。

EAP- FAST に次の内部方式を設定できます。

EAP-GTC:OTP トークン

EAP MS-CHAPv2

EAP-TLS

ポスチャ確認設定

組織によっては、ホストに CTA を提供している途中の場合もあります。その場合、CTA がインストールされているホストもあれば、インストールされていないホストもあります。CTA があるマシンにはポスチャ確認を適用し、一時的に CTA のないマシンでは認証が失敗しないようにする場合、問題が発生する可能性があります。Required Posture Validation で EAP-FAST がイネーブルになっている場合、Optional selection を選択して結果の SPT を指定できます。ここで設定する SPT を Authorization 設定用に使用できます。ACS で使用されるトークンについては、「ポスチャ トークン」を参照してください。


) ポスチャ確認規則が定義されていない場合、返されるポスチャ トークンは Unknown です。


Credential Validation Databases

Credential Validation Databases は、ユーザの確認に使用するデータベースです。Available Databases は、Databases Group Mapping に定義されたマッピング規則によって ACS ユーザ グループにマッピングされた設定済みの External User Databases です。ACS 内部データベースは、デフォルトで選択済みデータベースとして表示されます。


) 認証に複数のデータベースを指定すると、ACS は正規の応答を受け取るまで、指定された順序で各ディレクトリ サーバに問い合せます。応答時間を短くしてユーザ エクスペリエンスを上げるには、可能性の最も高いディレクトリ サーバをリストの上位に指定する必要があります。


認証ポリシーの設定

認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連する認証ポリシーを選択します。

Authentication Settings ページが表示されます。

ステップ 3 ACS Global Authentication Settings から認証設定を読み込むには、 Populate from Global を選択します。詳細については、「グローバル認証のセットアップ」を参照してください。

Global Authentication Setup 設定を使用しない場合は、次の手順を実行します。

ステップ 4 プロファイルの Authentication Protocols を設定します。

ステップ 5 EAP Configuration を選択します。 「EAP 設定」を参照してください。

ステップ 6 EAP-FAST Configuration を選択します。「EAP-FAST」を参照してください。

ステップ 7 Credential Validation Databases を選択します。 「Credential Validation Databases」を参照してください。

ステップ 8 Submit をクリックします。

Network Access Profiles ページが表示されます。

ステップ 9 変更内容を有効にするために、 Apply and Restart をクリックします。


 

MAC Authentication Bypass の設定

MAC Authentication Bypass を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連する認証ポリシーを選択します。

ステップ 3 Authentication Settings ページで Allow MAC-Authentication-Bypass をイネーブルにします。

ステップ 4 Submit をクリックします。

Network Access Profiles ページが表示されます。

ステップ 5 関連する認証ポリシーを選択します。

ステップ 6 MAC Authentication Bypass Configuration リンクを選択します。

MAC Authentication Mapping ページが表示されます。

ステップ 7 Add をクリックします。

ステップ 8 グループ化するアクセス要求の MAC Addresses を入力します。

ステップ 9 ドロップダウン リストから User Group を選択します。

ステップ 10 MAC アドレスとマッピングをリストに追加する作業を繰り返します(オプション)。

ステップ 11 ドロップダウン リストからグループを選択して、一致しない MAC アドレスに対するデフォルト マッピングを定義します。

ステップ 12 Submit をクリックします。

Network Access Profiles ページが表示されます。

ステップ 13 変更内容を有効にするために、 Apply and Restart をクリックします。


) NAP ごとに最大 10,000 の MAC アドレスを追加できます。グループに対する MAC アドレス マッピングは、100 個まで割り当てることができます。この機能の設定は、その他のプロファイルおよびポリシーの詳細とともに保存され、適宜複製されます。



 

Authentication Settings ページ

Authentication Settings ページには次のフィールドがあります。

 

フィールド
説明

Populate from Global

このオプションを使用して、Authentication Settings に ACS グローバル認証設定を読み込みます。この方法によって、新しくプロファイルをセットアップするたびに行う認証設定が容易になります。

Authentication Protocols

PAP、CHAP、MS-CHAPv1、MS-CHAPv2 から選択します。

Allow PAP

PAP をイネーブルにする場合に選択します。PAP は、平文パスワード(つまり暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。

Allow CHAP

CHAP をイネーブルにする場合に選択します。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Windows ユーザ データベースでは使用できません。

Allow MS-CHAPv1

MS-CHAPv1 をイネーブルにする場合に選択します。

Allow MS-CHAPv2

MS-CHAPv2 をイネーブルにする場合に選択します。

Allow MAC-Authentication Bypass

MAC アドレス要求を受信するプロファイルの認証プロセスを設定できるようにします。

MAC Authentication Bypass Configuration

MAC Authentication Mapping ページを開きます。

EAP Configuration

注:PEAP は証明書ベースの認証プロトコルです。認証が行われるのは、ACS Certificate Setup ページで必要な手順を完了した場合に限られます。

PEAP タイプを選択します。ほとんどの場合、3 つのボックスすべてをオンにする必要があります。1 つも選択しない場合、認証に PEAP は許可されません。

Allow EAP-GTC (Cisco PEAP)

PEAP 認証において EAP-GTC をイネーブルにする場合に選択します。RSA Secure ID 認証に使用します。

Allow EAP-MS-CHAPv2
(MS PEAP)

PEAP 認証において EAP-MS-CHAPv2 をイネーブルにする場合に選択します。AD 認証に使用します。

Allow Posture validation

PEAP 使用時にポスチャ データの収集をイネーブルにする場合に選択します。このオプションは EAP over UDP を使用します。


) レイヤ 3 NAC プロファイル テンプレートを使用するには、この EAP 設定をオンにする必要があります。


 

Allow EAP-FAST

EAP-FAST 認証をイネーブルにする場合に選択します。オフの場合、他の EAP-FAST 関連オプションはすべて関係なくなります。次の一部の設定では、PC ベースの認証エージェント(EAP-FAST クライアント)上に対応する設定が必要です。

Allow anonymous in-band PAC provisioning

このチェックボックスがオンの場合、ACS はクライアントとのセキュアな匿名 TLS ハンドシェイクを確立して、クライアントにいわゆる PAC を提供します。その際、EAP-FAST のフェーズ 0 が使用され、内部方式として EAP-MS-CHAP が使用されます。

Allow authenticated in-band PAC provisioning

ACS は Secure Sockets Layer(SSL)サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中に、クライアントに PAC を提供します。このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が ACS にインストールされている必要があります。

Accept client on authenticated provisioning

このオプションを使用できるのは、Allow authenticated in-band PAC provisioning オプションがオンになっている場合だけです。プロトコルを少し短くするには、このオプションをオンにする必要があります。

Require client certificate for provisioning

クライアントが Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)証明書を使用して設定されている場合に、このオプションを選択します。証明書は PAC のプロビジョニングに使用されます。

Allow Stateless session resume

通常はオンにする必要があります。ACS で EAP-FAST クライアントに対する認可 PAC のプロビジョニングを行わず、常に EAP-FAST のフェーズ 2 を実行する場合は、オフにします。

Authorization PAC TTL minutes hours

この設定を使用して、ユーザ認可 PAC の有効期限を決定できます。ACS は期限切れの認可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。期限を分または時間で入力します。

Allowed inner methods

これらのオプションは、EAP-FAST トンネル内で実行される内部 EAP 方式を決定します。 匿名インバンド プロビジョニング の場合、下位互換性のために、EAP-GTC と EAP-MS-CHAPv2 をイネーブルにする必要があります。ほとんどの場合、すべての内部方式をオンにする必要があります。


) ACS は必ず、最初にイネーブルになった EAP 方式を使用して、認証プロセスを開始します。たとえば、EAP-GTC と EAP-MS-CHAPv2 を選択する場合、最初にイネーブルになる EAP 方式は EAP-GTC です。


ACS は必ず、最初にイネーブルになった EAP 方式を実行します。たとえば、EAP-GTC と EAP-MS-CHAPv2 を選択する場合、最初にイネーブルになる EAP 方式は EAP-GTC です。

EAP-GTC

このオプションは 2 要素認証(たとえば OTP)を使用します。

EAP-MS-CHAPv2

このオプションは AD 認証に使用されます。

EAP-TLS

このオプションは認証に証明書を使用します。

Posture Validation

EAP-FAST ポスチャ確認モードを決定します。次のいずれかのポスチャ確認モードを選択します。

None :認証は実行されますが、クライアントからポスチャ確認データは要求されず、SPT も返されません。

Required :認証とポスチャ確認は、同じ認証セッションで実行されます。その結果、SPT が返されます。このオプションが選択されているときに、クライアントから要求されるポスチャ クレデンシャルを受信しないと、認証は失敗します。NAC を実装している場合は、このオプションをイネーブルにする必要があります。

Optional :クライアントがポスチャ データを提供しない場合があります。クライアントがポスチャ データを ACS に提供できない場合は、デフォルト SPT を設定します。

Use Token :デフォルト ポスチャ トークンとして使用する SPT をドロップダウン リストから選択します。

Posture Only :認証セッション内で、認証内部方式を実行せずにポスチャ確認を実行します。このオプションはポスチャ確認の SPT を返します。

EAP-TLS

EAP-TLS 認証をイネーブルにするには、このチェックボックスをオンにします。

注:EAP-TLS は証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、ACS Certificate Setup ページで必要な手順を完了した場合に限られます。

EAP-MD5

EAP ベースの MD5 ハッシュ認証をイネーブルにする場合に選択します。

Credential Validation Databases

ユーザの確認に使用するデータベースを選択します。Available Databases リストから選択し、矢印を使用して Selected Databases リストに移動します。

MAC Authentication Mapping ページ

MAC Authentication Mapping ページには次のフィールドがあります。

 

フィールド
説明

MAC Addresses

ユーザ グループにマッピングする MAC アドレスを入力します。これらの値はカンマ区切り形式にする必要があります。

00-0D-60-FB-16-D3 または 000D.60FB.16D3 という 2 つの MAC アドレス形式が受け入れられます。範囲を示す MAC プレフィクスを入力できます。たとえば、00-0D-60-FB-16 または 000D.60 は、これらのバイトで始まる任意の MAC アドレスに一致します。MAC プレフィクスには、偶数の 16 進数字を含める必要があります。MAC アドレスのマッチングでは、大文字と小文字が区別されます。

User-Group

MAC 認証ポリシーを適用するグループを ACS 定義グループから選択します。

If a MAC address is not defined or there is no matched mapping.

指定されたフィールドに入力された MAC アドレスが、入力したどの MAC アドレスとも一致しない場合、MAC アドレスを割り当てるグループを選択します。

Add

MAC アドレス マッピング フィールドを追加します。

Delete

MAC アドレス マッピング フィールドを削除します。

Submit

クリックして、変更内容を ACS データベースに送信します。

Cancel

Network Access Profiles ページに戻ります。

ポスチャ確認ポリシーの設定

ポスチャ確認規則の設定および削除を行うには、Posture Validation ページを使用します。ポスチャ確認規則は、ACS によるポスチャ確認の実行方法を定義します。

各規則は、条件とアクションで構成されています。条件には、必要なクレデンシャル タイプのセットが含まれ、アクションには、ポスチャ確認に使用できる内部ポスチャ確認ポリシーのリスト、または外部ポスチャ確認サーバのリスト、あるいはその両方が含まれます。詳細については、「ネットワーク アクセス コントロールの概要」を参照してください。

ACS では、ポスチャ確認規則を次のように解釈します。

ポスチャ クレデンシャルにプラグイン <必須クレデンシャル タイプ> から送信されたデータが含まれる場合には、内部、外部、または内部と外部両方のポスチャ確認方式 <内部ポリシーと外部サーバのリスト> を使用してポスチャ確認を実行します。

ACS は、選択されたポスチャ確認規則に関連付けられているすべてのポリシーを適用して、Application Posture Token(APT; アプリケーション ポスチャ トークン)を取得します。APT は、クライアントの状態を表します(クライアントはエンドポイントとも呼ばれます)。ACS は、得られた APT をすべて比較し、その中で最悪のポスチャ トークンを SPT として使用します。SPT は、クライアントの全体的なポスチャを表します。

監査サーバとは、NAC 準拠 Posture Agent(PA; ポスチャ エージェント)の存在に依存することなく、クライアントに関するポスチャ情報を判別するシスコおよびサードパーティ製のサーバです。このタイプのクライアントは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)とも呼ばれます。監査サーバは、組織のセキュリティ ポリシーによってポスチャ確認を評価するために使用されます。詳細については、「ポスチャ確認ポリシーの設定」を参照してください。

Cisco PA は Cisco Trust Agent(CTA)とも呼ばれます。

各規則に含まれる内容は、次のとおりです。

識別するための名前(ポスチャ確認ポリシー)

この規則をアクティブにするクレデンシャル タイプを定義する必須クレデンシャル タイプ

ポスチャ トークンを算出するために実行される内部ポリシーと外部サーバ

SPT ごとにクライアントに返されるポスチャ エージェント(PA)メッセージ

SPT ごとに AAA クライアントに送信される URL リダイレクト


) ACS は、ポリシーあたり 100 規則までサポートします。


ポスチャ規則の評価は、最初に一致する規則を採用する方法で行われます。ポスチャ確認ポリシーには、ゼロ個以上の順序付きポスチャ確認規則を入れることができます。ポスチャ確認ポリシーは、最初に一致する規則を使用して選択されます。

この項では、次のポスチャ確認ポリシーの設定について説明します。

「URL リダイレクト ポリシー」

「ベンダーの AV ペア(AVP)のインポート」

「ポスチャ確認ポリシーの設定」

「ポスチャ確認規則の削除」

「監査サーバの機能」

「システム ポスチャ トークンの設定」

「プロファイルへの監査サーバのマッピング」

「エージェントレス ホストに対するポスチャ確認」

「フェール オープンの設定」

「実行時の動作」

URL リダイレクト ポリシー

URL リダイレクト ポリシーは、すべての HTTP トラフィックまたは HTTPS トラフィックを感染修復サーバにリダイレクトするメカニズムを提供します。感染修復サーバは、準拠しないホストが準拠するように必要なアップグレード処理を実行できるようにします。このポリシーは次の内容で構成されます。

感染修復サーバを示す URL

ホストからの HTTP または HTTPS パケットのうち、感染修復サーバのアドレス宛て以外のパケットをすべて取得し、必要な HTTP リダイレクションのためにスイッチ ソフトウェアにリダイレクトするスイッチ上の ACL

ホスト ポリシーの ACL 名、リダイレクト URL、および URL リダイレクト ACL は、RADIUS アトリビュート値オブジェクトを使用して含められます。

ベンダーの AV ペア(AVP)のインポート

ACS はデフォルトでシスコ以外のアトリビュートを含めません。したがって、NAC ポスチャ確認ポリシーで確認する各ベンダー アプリケーションから、NAC Attribute Definition File(ADF; アトリビュート定義ファイル)をインポートする必要があります。追加したアトリビュートは、内部ポリシーの条件を作成するために使用できます。

NAC により、ユーザまたはマシンの ID だけでなく、ホストのポスチャ確認にも基づいて、ネットワーク ホストを認可できるようになりました。ポスチャ確認は、ホストのクレデンシャルと、シスコおよび NAC パートナーである他のベンダーによって定義された attribute-value pair(AVP; AV のペア)から作成するポスチャ確認ポリシーとを比較することで、判別されます。NAC アトリビュートの範囲はさまざまなベンダーとアプリケーションに及ぶため、シスコ以外のアトリビュートをインポートする必要があります。

NAC アトリビュート定義ファイルをインポートするには、次の手順を実行します。


ステップ 1 ACS で確認する NAC 準拠アプリケーションに対応した 1 つ以上の ADF を取得します。

ステップ 2 ACS ユーティリティ CSUtil.exe と同じディレクトリ <ACS Install Dir\bin\>、または CSUtil.exe からアクセス可能なディレクトリに ADF を配置します。

ステップ 3 ACS を実行しているホストで cmd コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 4 次のコマンドを使用して、AVP を ACS に追加します。

CSUtil.exe -addAVP filename.adf

CSUtil の詳細については、「CSUtil コマンドの構文」を参照してください。

ステップ 5 AVP が正常に追加されたら、CSAdmin、CSLog、および CSAuth を再起動します。


 

ポスチャ確認ポリシーの設定

ポスチャ確認ポリシーには、1 つまたは複数のポスチャ確認規則を入れることができます。ACS がポスチャ確認ポリシーを使用してポスチャ確認要求を評価する場合、最初に一致したものが実装されます。選択された規則により、要求に対してどの内部ポリシーと外部ポリシーをアクティブにするかが決まります。

必要に応じて、Internal Posture Validation Setup または External Posture Validation Setup で、規則に関連付けられたポスチャ確認ポリシーを設定できます。

内部ポスチャ確認ポリシー、外部ポスチャ確認サーバ、またはその両方をプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

ステップ 3 Posture Validation ページが表示されます。「Posture Validation ページ」を参照してください。

ステップ 4 Add Rule をクリックします。Posture Validation Rule ページが表示されます。「Posture Validation Rule ページ」を参照してください。

ステップ 5 規則の名前を入力します。

ステップ 6 Required Credential Types を選択します。

矢印を使用して Required Credential Types を Available Credentials から Selected Credentials に移動します。

ステップ 7 該当するチェックボックスをオンにして、内部ポスチャ確認ポリシーおよび外部ポスチャ確認サーバをイネーブルにします。

ステップ 8 System Posture Token Configuration テーブルを使用して、System Posture Token の PA Message と URL Redirect を設定します(オプション)。

ステップ 9 Submit をクリックします。

ステップ 10 Posture Validation ページで Done をクリックします。

Network Access Profiles ページが表示されます。

ステップ 11 変更内容を有効にするために、 Apply and Restart を選択します。

ステップ 12 ポスチャ確認ポリシーに戻るには、 Cancel をクリックします。


 

Posture Validation ページ

このページを使用して、ポスチャ確認規則の追加または修正を行います。

 

フィールド
説明

Rule Name

ポスチャ確認規則の名前を表示します。規則を修正するには、名前を強調表示します。

Required Credential Types

ポスチャ確認規則には、1 つまたは複数の必須クレデンシャル タイプを入れることができます。ACS は、受信した要求内のクレデンシャルを、規則に関連付けられた必須クレデンシャル タイプと比較して、ポスチャ確認要求の評価に規則を使用するかどうかを判別します。指定された各クレデンシャル タイプが要求に含まれていた場合、ACS は規則を使用して要求を評価します。必須クレデンシャルが一致しない場合、引き続き ACS は次に配置された規則との一致を試みます。どの規則とも一致しない場合、ユーザ要求は失敗してアクセスは拒否されます。

Required Credential Types は、Selected Credentials リストに表示されるタイプです。左矢印および右矢印ボタンを使用して、強調表示されたクレデンシャルを一方のリストからもう一方のリストに移動します。次のリストがあります。

Available Credentials リストには、このポスチャ確認規則を使用してポスチャ確認要求を評価するために、ポスチャ確認要求で ACS が必要としないクレデンシャル タイプが表示されます。

Selected Credentials リストには、このポスチャ確認規則を使用してポスチャ確認要求を評価するために、ポスチャ確認要求で ACS が必要とするクレデンシャル タイプが表示されます。

Associate With

ポスチャ確認ポリシーには、関連する 1 つまたは複数のポスチャ確認規則を入れることができます。ACS がポスチャ確認要求を評価する場合、規則に関連付けられた内部ポリシーおよび外部サーバのポリシーのそれぞれを、要求内で受信したアトリビュートに適用します。

規則に関連付けられたポリシーは、Posture Validation Rule 設定ページで選択されます。

Up/Down

オプション ボタンをクリックして、順序を変更する規則を選択します。Up ボタンと Down ボタンをクリックして順序を設定します。

Add Rule

新規ポスチャ確認規則を作成する Posture Validation Rule ページを開きます。

Select Audit

NAC 準拠の AAA クライアントは、監査サーバに問い合せることで、CTA とのポスチャ確認セッションを開始する試みに応答しないコンピュータの NAC を処理できます。CTA がコンピュータにインストールされていない場合や、その他の理由で CTA が到達不能になっている場合、NAC 準拠の AAA クライアントは監査サーバ上でポスチャ確認を実行しようとします。監査サーバから返される結果がポスチャ トークンです。

規則に関連付けることができる外部監査サーバのポスチャ確認ポリシーは、Posture Validation External Posture Validation Audit Setup で設定されます。

Posture Validation Rule ページ

このページには次のフィールドがあります。

 

フィールド
説明

Rule Name

識別するための規則名を表示します。

Add Rule

クリックすると、ポスチャ確認規則を追加できます。Posture Validation Rule 設定ページが表示されます。

Edit Rule

Rule Name を強調表示します。特定のプロファイルを編集する Posture Validation Rule 設定ページが表示されます。

アクション

Select Internal Posture Validation Policies

詳細については、「ポスチャ確認」を参照してください。

Select External Posture Validation Server

詳細については、「ポスチャ確認」を参照してください。

Failure Action

フェール オープン機能を設定するにはオンにします。

Failure Posture Token

サプリカントに返されるクレデンシャル タイプ(AV のペア)を選択します。

クレデンシャル タイプのポスチャ トークンを選択します。

System Posture Token Configuration

このテーブルを使用して、SPT を AAA クライアントに返すように設定します。設定変更できない 6 つの SPT があらかじめ定義されています。SPT 結果は、最良のものから順に示されます。

System Posture Token

使用する各ポスチャ トークンの PA Message と URL Redirect を入力します。

PA Message

各ポスチャ エージェントについて表示されるメッセージを入力します。

Healthy:ホストは準拠しており、ネットワーク アクセスに制限はありません。

Checkup:ホストはポリシーの範囲内にありますが、アップデートが使用可能です。予防的にホストを Healthy 状態に修復するために使用します。

Transition:ホストのポスチャは現在処理中です。完全なポスチャ確認を保留する仮のアクセスを与えます。すべてのサービスが実行されていない可能性のあるホストのブート中、または監査がまだ利用できない場合に該当します。

Quarantine:ホストは準拠の範囲外にあります。修復用の隔離されたネットワークへのネットワーク アクセスを制限します。このホストは実際の脅威ではありませんが、既知の攻撃や感染に対して脆弱です。

Infected:ホストは、実際に他のエンドポイント デバイスに対する脅威となっています。ネットワーク アクセスを厳しく制限するか、すべてのネットワーク アクセスを完全に拒否する必要があります。

Unknown:ホストのポスチャを判別できません。ホストを隔離して監査するか、あるいは最終的なポスチャを判別できるまで修復します。

URL Redirect-

ポスチャ トークンごとに AAA クライアントに送信される URL リダイレクトを入力します。

ポスチャ確認規則の削除

内部ポスチャ確認ポリシー規則を削除するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

ステップ 3 Posture Validation ページが表示されます。

ステップ 4 Rule Name をクリックします。Posture Validation Rule ページが表示されます。

ステップ 5 Delete をクリックします。

警告メッセージが表示されます。

ステップ 6 OK をクリックします。


 

監査サーバの機能

監査サーバはホストをスキャンして、トークンを ACS に返します。

監査サーバは、非同期ポート スキャン、HTTP リダイレクション、独自のクライアント、およびテーブル検索を使用して、ポスチャ確認情報を提供します。

ACS は監査結果をポーリングします。したがって、監査サーバは次のポーリングが行われるまで結果を保持する必要があります。

システム ポスチャ トークンの設定

システム ポスチャ トークンはコンピュータの状態に関連付けられ、ポスチャ トークンは NAC 準拠アプリケーションの状態に関連付けられます。

アクションは、受信されたポスチャ確認要求内のクレデンシャルにポリシーを適用した結果です。ACS は、要求に適用されたすべてのポリシーから得られたアクションどうしを比較して、各要求のポスチャ トークンを判別します。最悪のポスチャ トークンがシステム ポスチャ トークンになります。

プロファイルへの監査サーバのマッピング

外部ポスチャ確認監査サーバをプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するプロファイルの Posture Validation を選択します。

ステップ 3 Select Audit をクリックします。

ステップ 4 関連する監査サーバを選択します。

ステップ 5 Submit をクリックします。

ステップ 6 ポスチャ確認ポリシーの Back をクリックします。

ステップ 7 変更内容を有効にするために、 Apply and Restart を選択します。


 

エージェントレス ホストに対するポスチャ確認

ポスチャ確認規則は、ポスチャ確認について返されるポスチャ トークンを定義します。ポスチャ確認テーブルには、ポスチャ確認規則と監査設定が含まれます。

ポスチャ確認規則に含まれる内容は、次のとおりです。

規則をアクティブにする必須クレデンシャル タイプを定義する必須クレデンシャル

ポスチャ トークンを算出するために実行されるローカル ポリシーおよび外部サーバ

ポスチャ トークンごとにクライアントに返される PA メッセージ

ポスチャ トークンごとに AAA クライアントに送信される URL リダイレクト

ポスチャ確認ポリシーには、0 ~ n 個の順序付きポスチャ規則を入れることができます。

必須クレデンシャル タイプに一致する最初のポスチャ確認が選択されます。

返されるポスチャ トークンは、選択されたローカル ポリシーおよび外部ポスチャ サーバから返される最悪のアセスメントです。

クライアントがエージェントレス ホストの場合、選択済された監査サーバがクライアントを監査します。

フェール オープンの設定

アップストリーム NAC サーバからポスチャ トークンを取得できないように、エラーに対してフェール オープンを設定することができます。フェール オープンを設定しない場合、ユーザ要求は拒否されます。

次のフェール オープンをイネーブルにするかどうかを選択できます。

監査サーバ:監査サーバに関連付けられているプロファイル

外部ポスチャ確認サーバ:外部ポスチャ確認サーバに関連付けられているプロファイル

フェール オープンをイネーブルにすると、初期認証でエラーが発生した場合に付与するポスチャ トークンを選択する必要があります。

監査サーバのフェール オープンを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 Select Audit を選択します。

Select External Posture Validation Audit for Profile ページが表示されます。

ステップ 4 フェール オープンをイネーブルにするには、 Do Not reject when Audit failed チェックボックスをオンにします。

ステップ 5 障害発生時に使用する ポスチャ トークン を選択します。

ステップ 6 監査サーバの session-timeout 値を入力します。

ステップ 7 Submit をクリックします。


 

外部ポスチャ確認サーバのフェール オープンを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 Rule Name を選択します。 規則の設定については、「ポスチャ確認ポリシーの設定」を参照してください。

ステップ 4 Posture Validation Rule for Profile ページで、設定する外部ポスチャ確認サーバの Select カラムのチェックボックスをオンにします。

ステップ 5 次のいずれか 1 つを実行します。

フェール オープンに対してアクセスを拒否するには、 Reject User をオンにします。

Failure Posture Assessment フィールドで、次の項目を選択します。

Credential Type :障害が発生したサーバから返されている APT に代わる APT のネームスペース

Posture Token :障害発生時に使用されるポスチャ トークン

ステップ 6 Submit をクリックします。


 

Select External Posture Validation Audit for Profile ページ

このページには次のフィールドがあります。

 

フィールド
説明

Select

オプション ボタンをクリックすると、外部ポスチャ確認監査サーバを選択できます。ポスチャ確認に監査サーバを使用しない場合は、 Do Not Use Audit Server オプション ボタンをクリックします。

Fail Open Configuration

発生の可能性があるエラーに対してこのオプションを設定し、アップストリーム NAC サーバからポスチャ トークンを取得しないようにします。フェール オープンを設定しない場合、ユーザ要求は拒否されます。

Do not reject when Audit failed

フェール オープンをイネーブルにするには、このチェックボックスをオンにします。デフォルト値はオンです。

Use this token when unable to retrieve posture data

ドロップダウン リストからトークンを選択します。

Timeout

許可するセッションのタイムアウトを設定します。

実行時の動作

フェール オープンが設定済みで、アップストリーム ポスチャ確認サーバとの通信時にエラーが発生すると、ポスチャ確認が正常終了したかのようなポリシー結果になります。指定されたポリシーの SPT は、事前に定義された静的な値になります。

監査サーバの場合、フェール オープンを設定すると、SPT は静的に設定されたポスチャ トークンに設定されます。外部ポスチャ確認サーバの場合、複数のサーバがプロファイルに設定されていると、障害の発生した各サーバによって APT が最終的な SPT になります。最悪のトークンが SPT として使用されます。SPT は、NAC クライアント コンピュータの全体的なポスチャを表します。

認可ポリシーの設定

認可ポリシーは、NAP に適用される規則で構成されます。認可ポリシーを使用して、認証済みユーザを認可します。認可規則は、グループ メンバーシップ、ポスチャ確認、またはその両方に基づくことができます。認可アクションは、RADIUS 認可コンポーネント(RAC)と ACL から作成されます。

クレデンシャルは、識別およびポスチャ認可で使用されます。各アプリケーションのポスチャ クレデンシャルは個別に評価されます。クレデンシャルはポスチャ確認ポリシーと比較されます。

認可ポリシーを設定する場合には、次の結果を考慮します。

ユーザ認証は、ユーザ グループに対する割り当てである。

ポスチャ確認は、システム ポスチャ トークンである。

EAP-FAST 認証とポスチャ確認を同じセッションに設定すると、ユーザ グループおよびポスチャ トークンに割り当てられる。

認可ポリシーは、ACS ユーザ グループとポスチャ トークンを、デバイスに送信される RADIUS アトリビュートのセットに変換したものです。特定のユーザ グループに対してアクセスを拒否するか、あるいは返されたトークンに基づいてアクセスを拒否できます。


) 特定の条件についてアクセスを拒否する場合は、RAC もダウンロード可能 ACL も選択する必要はありません。


認可規則

認可規則は、NAP 内でのデバイス プロビジョニングの変動をグループ メンバーシップおよびポスチャ トークンに基づいて許可します。

考えられるマッピングのセットは、NAP ごと、つまりグループごとおよびポスチャごとになる可能性が理論的には非常に高くなります。しかし、実際には、ほとんどのユーザがデフォルトの場合で取り込まれます。たとえば、healthy である通常のユーザです。

特別なアクセス権が必要なグループ(管理者など)や、ポスチャが Infected か Quarantined であるユーザなど、標準に対する例外の場合は、難しい状況になります。

したがって、認可規則を作成する場合は、最初に通常の条件を定義した後に、より具体的なマッピングを必要とする例外のセットを定義すると有用です。

NAC ネットワーク以外の場合は、System Posture Token を Any のままにします。

認可規則は次のように定義できます。

user-group = selected-user-group または posture-assessment = selected-posture-assessment の場合、選択済み RAC または選択済み DACL を使用してプロファイルをプロビジョニングします。

また、アクションとして明示的に拒否(access-reject を送信)するために認可規則を使用することもできます。

この項では、認可規則の設定に関する次のトピックについて取り上げます。

「認可規則の設定」

「デフォルト認可規則の設定」

「認可規則の順序変更」

「認可規則の削除」

「共有 RAC」

「RAC およびグループ」

「アトリビュートのマージ」

「プロファイルのトラブルシューティング」

「グループから RAC への移行」

認可規則の設定

認可規則を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するプロファイルの Authorization ポリシーを選択します。

ステップ 3 Authorization Rules for Profile ページが表示されます。

ステップ 4 Add Rule をクリックします。Authorization Rules for Profile ページが表示されます。

ステップ 5 ドロップダウン リストから User Group を選択します。

ステップ 6 System Posture Token を選択します。

ステップ 7 認証アクションを選択します。

認可規則が一致したときに、アクセスを拒否するように選択するか、実装する 1 つまたは両方の認可アクションを選択することができます。

Deny Access :このオプションをオンにすると、条件が一致するユーザに対してアクセスを拒否できます。

Shared RAC :ドロップダウン リストから共有 RAC を選択します。「共有 RAC」を参照してください。

Downloadable ACL :ドロップダウン リストからダウンロード可能 ACL を選択します。「ダウンロード可能 ACL」を参照してください。

ステップ 8 RADIUS アトリビュートによる優先を設定します。

次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位の RADIUS アトリビュートを使用しない場合は、オフにします。

Include RADIUS attributes from user's group

Include RADIUS attributes from user's record

ステップ 9 Submit をクリックします。


 

Authorization Rules for Profile ページ

このページには次のフィールドがあります。

 

フィールド
説明

状態

User Group

ユーザがマッピングされた ACS グループを選択します。このフィールドは、この規則のユーザのグループを定義します。認可規則が認証に基づいていない場合は、 Any を選択します。

System Posture Token

ポスチャ確認の結果として返されたポスチャ トークンを選択します。ACS は設定されたアクションを続行する前に、トークンのステ―タスを確認します。ポスチャ トークンを使用してユーザ グループを確認できます。ポスチャ確認を使用していない場合は、 Any を選択します。

アクション

Deny Access

このオプションをオンにすると、設定済みのポリシーに一致しない要求に対してアクセスを拒否できます。

Shared RAC

ドロップダウン リストから共有 RAC を選択します。RAC は Shared Profile Components > RADIUS Authorization Components オプションで定義されます。詳細については、「RADIUS 認可コンポーネント」を参照してください。

DACL

Interface Configuration > Advanced Options を選択してから、User-Level
Downloadable ACLs か Group-Level Downloadable ACLs、またはその両方を選択します。Shared Profile Components に進み、Downloadable IP ACLs を選択します。詳細については、「ダウンロード可能 IP ACL」を参照してください。

デフォルト認可規則の設定

条件が定義されていない場合や一致する条件が見つからない場合に、デフォルト認可規則を設定できます。共有 RAC と DACL の選択内容に基づいてアクセスを拒否または許可できます。

デフォルト認可規則を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するプロファイルの Authorization ポリシーを選択します。

ステップ 3 Authorization Rules for Profile ページが表示されます。

ステップ 4 Add Rule をクリックします。Authorization Rules for Profile ページが表示されます。

ステップ 5 If a condition is not defined or there is no matched condition というテキストが含まれる行の認証アクションを選択します。

ステップ 6 認証アクションを選択します。

デフォルト規則に実装する次の認可アクションを選択できます。

Deny Access:このオプションをオンにすると、条件が一致するユーザに対してアクセスを拒否できます。このオプションでは、共有 RAC も DACL も選択する必要はありません。

Shared RAC:ドロップダウン リストから共有 RAC を選択します。詳細については、「共有 RAC」を参照してください。

Downloadable ACL:ドロップダウン リストからダウンロード可能 ACL を選択します。詳細については、「ダウンロード可能 IP ACL」を参照してください。

ステップ 7 RADIUS アトリビュートによる優先を設定します。

次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位の RADIUS アトリビュートを使用しない場合は、オフにします。

Include RADIUS attributes from user's group

Include RADIUS attributes from user record

ステップ 8 Submit をクリックします。


 

認可規則の順序変更

認可ポリシーの最初に一致したものが、クライアント要求を認可するために実装されます。


) 最も優先順位の高い認可ポリシーをリストの一番上に置く必要があります。User Group にグループ Any を選択したり、ポスチャ トークンの最初の一致にアセスメント Any を選択したりした場合、認可では最初の一致が受け入れられるため、基になるポリシーは有効ではありません。


ポリシー内の条件の順序を指定する場合は、各条件が true になる可能性を判断し、可能性の最も高い条件を先頭に、最も低い条件を末尾に配置します。

認可規則の順序を変更するには、次の手順を実行します。


ステップ 1 オプション ボタンをクリックして、順序を変更する認可規則を選択します。

ステップ 2 Up または Down をクリックして順序を設定します。


 

認可規則の削除

認可規則を削除するには、次の手順を実行します。


ステップ 1 Internal Posture Validation Policies、External Posture Validation Servers をクリックして、認可ポリシーを選択します。

ステップ 2 Delete をクリックして、選択した規則を削除します。

デフォルトで、ユーザ レコードまたはグループ レコードからの RADIUS アトリビュート規則はイネーブルになります。


 

共有 RAC

NAP を使用すると、同一の RADIUS アトリビュートをプロビジョニングして、異なるユーザ、グループ、および NAP に対し別の値を設定できます。1 ユーザ 1 グループ 1 プロファイルという方針は、代わりにプロファイルベースのポリシーを使用することで、さらに柔軟になりました。NAP ごとに、ポリシーが RADIUS アトリビュート値に基づいて認証および認可する内容を設定できます。

特定のグループ(たとえば、管理)で、企業の LAN、VPN、および WLAN の NAP 向けに異なる認可プロファイルが必要な場合、特別なアクセスを許可するように特定の RADIUS アトリビュート セットを割り当てることができます。ユーザが請負業者のグループにいる場合は、より厳しいセキュリティ保護手段を指定できる、異なる値を持つ同じアトリビュート セットを取得できます。

RAC およびグループ

ACS グループはユーザ グループ(管理や請負業者など)に関連するアトリビュートを保持しており、異なるネットワーク サービス(WLAN や VPN など)の認可を必要とするユーザの同じグループには対応しません。

RAC は認可ポリシーを使用して、単一のネットワーク プロファイルに固有のアトリビュートを保持します。さまざまなグループおよびポスチャから RAC と ACL のセットにマッピングできます。

プロファイルによって区別された RADIUS 認可がユーザに必要なときは、RAC を使用する必要があります。たとえば、セッション タイムアウトを VPN では数日間、WLAN では数時間にしなければならない場合です。

アトリビュートのマージ

RADIUS アトリビュート、ダウンロード可能 ACL、および動的に作成されるその他のアトリビュートをマージできます。RADIUS アトリビュートは、ユーザ レコード レベル、グループ レベル、および共有 RAC レベルに置くことができます。

グループ アトリビュートまたはユーザ アトリビュートがイネーブルの場合、アトリビュートのマージは、優先順位の高いものから順に無効化する処理が繰り返されます。順序は次のようになります。

ユーザによる上書き

動的なセッション(ポスチャ トークンなど)

認証プロトコル(セッション タイムアウト、無線のセッション キーなど)

ダウンロード可能 ACL(割り当て)

共有 RAC

静的グループ

割り当てられた共有 RAC 内のアトリビュートは、静的 ACS グループに定義されたアトリビュートよりも優先されます。そのアトリビュート セットは、ダウンロード可能 ACL のアトリビュートによって無効になります。NAP 認可ポリシーを使用するときは、注意してください。

デフォルトで、ユーザ レコードまたはグループ レコードからの RADIUS アトリビュート規則はイネーブルになります。

プロファイルのトラブルシューティング

デバイスに送信されたプロファイルが予期したものと異なる場合は、認可ポリシーが変更されてグループ アトリビュートまたはユーザ アトリビュートがディセーブルになっている可能性があります。これらのアトリビュートは、ポリシーが割り当てる RAC とマージされています。これ以外には、ACS が自動的に特定のアトリビュートを認証プロトコルの一部として追加する可能性や、外部監査サーバが特定の Session-Timeout を指示する可能性もあります。

アトリビュートのマージが選択されていないことを確認してください。


) NAC 展開の Session-Timeout 値は、ACS のパフォーマンスに大きな影響を与える可能性があります。ネットワークの規模および ACS トランザクション キャパシティに合せて、値を調整してください。


グループから RAC への移行

グループから RAC への移行計画をセットアップするには、次の手順を実行します。


ステップ 1 適切なネットワーク アクセス ポリシーを定義し、規則を定義します。

ステップ 2 ユーザ グループおよびポスチャごとに、認可のレベルを示すマトリクスを作成します。

ステップ 3 類似するすべてのケースをグループ化し、そのグループの RAC を作成します。

ステップ 4 必要に応じて、すでに定義されているアトリビュートをユーザ グループから削除します。

ステップ 5 グループ アトリビュートを使用できるため(authorization policy チェックボックスがオンの場合)、プロファイルに依存しないアトリビュートをグループのすべてのユーザに適用できます。各プロファイルの RAC をそれぞれ複製する必要はありません。

グループ、RAC、ユーザ アトリビュートをマージするときは、グループ レベルのアトリビュート セットによる最終プロファイルの作成が保証されないことに注意してください。選択した内容によっては、アトリビュート セットが RAC で上書きされる可能性があります。

グループ レベルでベース テンプレート認可を作成し、RAC を使用してプロファイル固有アトリビュートを指定することができます。たとえば、VPN と WLAN に異なる Session-Timeout を設定する場合です。


 

ポリシーの複製およびバックアップ

複製するために NAP を選択すると、すべての NAP ポリシーが完全に複製されます。プロファイルには、設定内容のコラボレーションが含まれます。プロファイルの複製コンポーネントは、次のとおりです。

ネットワーク アクセス プロファイル

ポスチャ確認設定

AAA クライアントおよびホスト

外部データベース設定

グローバル認証設定

NDG

ディクショナリ

共有プロファイル コンポーネント(RAC、NAF、およびダウンロード可能 ACL)

追加のロギング アトリビュート

EAP-FAST は複製に異なるメカニズムを使用するため、EAP-FAST も確認する必要があります。


) プロファイルの複製は、ネットワーク設定のデバイス テーブルの複製とは相反するため、同時にこれら両方のコンポーネントをオンにしないでください。ACS での複製は、同じバージョンの ACS 間に限り動作します。複製には、外部データベースやその他すべてのグローバル ACS 設定パラメータは含まれません。


ポリシーを複製するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Database Replication Setup ページの Network Access Profiles を選択します。

ステップ 3 この ACS で情報を受信するのか、送信するのかを選択します。