Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
展開方法の検討
展開方法の検討
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

展開方法の検討

ACS の基本的な展開要素

ネットワーク トポロジ

ダイヤルアップ トポロジ

無線ネットワーク

VPN を使用するリモート アクセス

リモート アクセス ポリシー

セキュリティ ポリシー

管理アクセス ポリシー

管理ユーザと一般ユーザの分離

データベース

ユーザ数

データベースの種類

ネットワークの待ち時間と信頼性

推奨される展開順序

展開方法の検討

Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の展開は、必要とされる特定の実装方法によって異なりますが、複雑な作業の繰り返しになる場合があります。この章では、展開プロセスを説明するとともに、ACS を展開する前に考慮しなければならない要素を示します。

ACS の展開における複雑さは、大まかに言うと AAA サーバの発展、細かく言えば ACS の最先端機能、柔軟性、および特質を反映しています。AAA は、当初の構想では、ダイヤルアップ サービスによるユーザ アクセスの制御を 1 箇所に集中して実行するためのものでした。ユーザ データベースが大きくなり、AAA クライアントが広く分散して配置されるようになるにつれて、AAA サーバに要求される性能が高くなりました。始めは地域的、最後にグローバルな要求が一般的になりました。現在、ACS は、ダイヤルアップ アクセス、ダイヤルアウト アクセス、無線アクセス、VLAN アクセス、ファイアウォール、VPN コンセントレータ、管理コントロールなどに AAA サービスを提供するように要求されており、その範囲はさらに広がりつつあります。サポートする外部データベースの種類も増え続けており、複数 ACS と同様に、複数のデータベースの利用もよく見られるようになりました。実際に展開する ACS の範囲に関係なく、この章の情報は十分価値のあるものになります。このマニュアルに記載されていない展開方法について質問がある場合は、製品を購入された販売代理店にお問い合せください。

この章は、次の項で構成されています。

「ACS の基本的な展開要素」

「推奨される展開順序」

NAC のサポートの展開に関するマニュアルについては、Cisco.com の Go NAC サイトを参照してください。ACS システムとクライアントの要件については、付属のインストール ガイドまたは
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/index.htm
のリリース ノートを参照してください。

ACS の基本的な展開要素

一般に、ACS の展開を容易に行うことができるかどうかは、計画段階での複雑さと、定義したポリシーおよび要件が直接関係します。この項では、ACS の実装を開始する前に検討を要する要素について説明します。

この項では、次のトピックについて取り上げます。

「ネットワーク トポロジ」

「リモート アクセス ポリシー」

「セキュリティ ポリシー」

「管理アクセス ポリシー」

「データベース」

「ネットワークの待ち時間と信頼性」

ネットワーク トポロジ

企業ネットワークがどのように構成されているかは、ACS を展開する上で最も重要な要素と考えられます。このトピックについて完全に論じることはこのマニュアルの範疇を超えていますが、この項では、ネットワーク トポロジのオプションが増えることによって、ACS の展開がさらに複雑になっている状況を説明します。

AAA が開発された時点では、ネットワーク アクセスは、直接 LAN に接続されたデバイス、またはモデムでアクセスするリモート デバイスに限られていました。現在では、企業ネットワークが複雑になっている場合があり、またトンネル伝送技術を利用して、広い地域に分散している場合もあります。

ダイヤルアップ トポロジ

従来のダイヤルアップ アクセス(PPP 接続)のモデルでは、モデムか ISDN 接続を採用するユーザが、AAA クライアントとして動作している Network Access Server(NAS; ネットワーク アクセス サーバ)を介して、イントラネットへのアクセスを許可されます。小企業で、1 つの AAA クライアントだけを介して接続する場合も、地理的に分散している多数の AAA クライアントを介する場合もあります。

小規模の LAN 環境では、図2-1 のように、典型的なネットワーク構成として 1 つの ACS を AAA クライアントの内側に配置し、外部のアクセスからはファイアウォールと AAA クライアントによって保護します。このような環境では、ユーザ データベースは通常小さく、AAA 用の ACS にアクセスする必要があるデバイスはほとんどなく、データベースの複製は、バックアップとしてセカンダリ ACS に複製するものに限られます。

図2-1 小規模ダイヤルアップ ネットワーク

 

大規模のダイヤルイン環境でも、1 つの ACS が 1 つのバックアップを持つ設計が適しています。この構成が最適かどうかは、ネットワーク アクセスおよびサーバ アクセスの待ち時間によります。図2-2 に、大規模ダイヤルインの配置の例を示します。この場合は、バックアップ ACS を追加することを推奨します。

図2-2 大規模ダイヤルアップ ネットワーク

 

非常に大きな、地理的に分散したネットワーク(図2-3)では、複数のアクセス サーバが都市の別の場所、異なる都市、あるいは異なる大陸に配置されることがあります。中央に ACS を 1 台設置するという構成は、ネットワーク待ち時間が問われない場合はうまく動作しますが、長距離接続の信頼性が問題となる場合があります。このような場合、ローカル ACS を複数設置する方が、中央に ACS を 1 台設置するより望ましいことがあります。グローバルに一貫性のあるユーザ データベースが何よりも重要視される場合、中央 ACS からのデータベースの複製またはデータベースの同期化が必要になります。認証に外部データベース、たとえば、Windows ユーザ データベースや Lightweight Directory Access Protocol(LDAP)を使用する場合、地理的に分散しているローカル ACS の展開は、さらに複雑になる可能性があります。ACS は、複製トラフィックおよびデータベース同期トラフィックはすべて暗号化しますが、ACS が WAN を経由して送信するネットワーク情報およびユーザ情報を保護するには、さらに別のセキュリティ保護手段が必要になります。

図2-3 地理的に分散したネットワーク

 

無線ネットワーク

無線ネットワーク アクセス ポイントは、AAA サービスの比較的新しいクライアントです。Cisco Aironet シリーズのような無線アクセス ポイント(AP)では、モバイル エンドユーザ クライアントは LAN 内部へのブリッジ接続が使用できます。無線ネットワークでは、AP へのアクセスが容易であることから、認証が必要不可欠です。通信において盗聴が容易であるため、暗号化も必要となります。このように、ダイヤルアップの場合と比較してセキュリティが大きな役割を果たすため、セキュリティについてはこの項の後半で詳しく説明します。

スケーリングは無線ネットワークでは重要な問題となります。無線 LAN(WLAN)の可動性という要素については、ダイヤルアップ ネットワークと同じように考察が必要です。しかし、有線 LAN と異なり、WLAN は拡張がはるかに容易です。WLAN 技術では AP を介した接続可能ユーザ数について物理的な制限がありますが、AP の数は短期間で増加が可能です。ダイヤルアップ ネットワークと同様に、WLAN を、すべてのユーザに対してフル アクセスを許可するように、またはサイト、建物、フロア、あるいは部屋間のさまざまなサブネットに対して制限付きアクセスを提供するように構築できます。ここで、WLAN に特有の問題が生じます。ユーザが AP 間でローミングを行う機能です。

単純な WLAN では、インストールされている AP が 1 つの場合があります(図2-4)。AP が 1 つだけであるため、主要な問題はセキュリティです。この環境では、一般にユーザ ベースは小規模で、考慮すべきネットワーク デバイスはほとんどありません。ネットワーク上の他のデバイスに提供する AAA サービスが、ACS に特に大きな負荷として加わることはありません。

図2-4 単純な WLAN

 

大きな建物やキャンパス環境のように、多数の AP が展開されている LAN では、ACS の展開方法を決定する作業が複雑になります。図2-5 では、AP はすべて同一の LAN 上にありますが、LAN 全体に分散しており、ルータやスイッチなどを介して接続されています。これより大規模で地理的に分散した WLAN において ACS を展開するのは、大規模で地理的に分散したダイヤルアップ LAN の場合と同様です(図2-3)。

図2-5 キャンパス WLAN

 

これは、地域トポロジがキャンパス WLAN である場合に、特に適しています。図2-4 に示すように、WLAN を単純な WLAN に似た多数の小さなサイトで展開すると、このモデルは変化し始めます。このモデルは、小さな店が都市または州全域に、全国的に、あるいはグローバルに分散しているチェーンの場合に適用できます(図2-6)。

図2-6 小さなサイトの大規模展開

 

図2-6 に示すモデルでは、ACS の場所は、すべてのユーザからあらゆる AP へのアクセスが必要であるのか、または地域ネットワークまたはローカル ネットワークへのアクセスだけが必要であるのかによって決まります。この設置場所は、データベースの種類とともに、ローカルあるいは地域の ACS のどちらが必要か、およびデータベースの連続性をどのようにして維持するかを左右します。この非常に大きな展開モデルでは、セキュリティの問題ははるかに複雑になります。

VPN を使用するリモート アクセス

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、高度な暗号化とトンネル伝送を使用して、組織が、安全なエンドツーエンドの専用ネットワーク接続を、インターネットやエクストラネットのようなサードパーティ ネットワーク上で確立することを可能にします(図2-7)。VPN の利点を次に示します。

コストの削減 :サードパーティ ネットワークを VPN により有効利用すると、組織は高価な専用回線やフレーム リレー回線を使用する必要がなくなり、リモート ユーザの企業ネットワークへの接続に、ローカルの Internet Service Provider(ISP; インターネット サービス プロバイダー)を利用して、リソースを消費するモデム バンクへの高価なフリー ダイヤルや長距離通話の代替とすることができます。

セキュリティ :VPN は、不正なアクセスからデータを保護する高度な暗号化と認証プロトコルを使用して、最高レベルのセキュリティを提供します。

スケーラビリティ :VPN によって、企業は ISP 内でリモート アクセス インフラストラクチャを使用できます。したがって、大きなインフラストラクチャの追加を行わずに、大きなキャパシティを得ることができます。

ブロードバンド技術との互換性 :VPN によって、モバイル ワーカーと在宅勤務者は、DSL やケーブルのような高速ブロードバンド接続を利用することができ、企業ネットワークにアクセスしたとき、高い柔軟性と効率が得られます。

図2-7 単純な VPN 構成

 

VPN でネットワーク内部へアクセスするには、次の 2 つの方法があります。

サイト間 VPN :従来型の WAN を、大規模な暗号化を行うことにより、インターネットのような公衆ネットワーク上で、複数の固定サイト間、たとえば、リモート オフィスとセントラル オフィスの間に拡張します。

リモート アクセス VPN :安全で暗号化された接続を、モバイル ユーザまたはリモート ユーザと企業ネットワークの間で、ISP などのサードパーティ ネットワークを通して、VPN クライアント ソフトウェアを使用して、可能にします。

一般に、サイト間 VPN は、典型的な WAN 接続と見ることができ、通常は初期接続時の安全確保に AAA を使用するようには設定されず、デバイス指向の IPSec トンネル伝送プロトコルを使用する場合があります。しかし、リモート アクセス VPN は従来型のリモート接続技術(モデムや ISDN)に類似しており、AAA モデルが効率的に使用されます(図2-8)。

図2-8 企業 VPN ソリューション

 

VPN ソリューションの実装の詳細については、リファレンス ガイド『 A Primer for Implementing a Cisco Virtual Private Network 』を参照してください。

リモート アクセス ポリシー

リモート アクセスは幅広い概念です。一般には、ユーザが LAN に接続する方法、あるいは LAN から外部のリソース(インターネット)に接続する方法を定義します。接続方法には、ダイヤルイン、ISDN、ワイヤレス ブリッジ、セキュア インターネット接続など、複数の方法があります。各方法には、特有の利点と欠点があり、AAA サービスの提供についてもそれぞれ固有の問題があります。このような特性によって、リモート アクセス ポリシーは企業ネットワーク トポロジに緊密に関係します。アクセス方法以外にも、さまざまな決定事項が ACS の展開方法に影響を与える場合があります。その決定事項には、特定のネットワークルーティング(アクセス リスト)、時間帯アクセス、AAA クライアント アクセスの個別の制限、Access Control List(ACL; アクセス コントロール リスト)などが挙げられます。

リモート アクセス ポリシーは、在宅勤務者用、または ISDN や Public Switched Telephone Network(PSTN; 公衆電話交換網)を介してダイヤルインするモバイル ユーザ用に設定できます。このようなポリシーは、企業構内で ACS と AAA クライアントを使用して適用されます。企業ネットワーク内では、リモート アクセス ポリシーによって個々の社員による無線アクセスを制御できます。

ACS リモート アクセス ポリシーは、リモート ユーザの集中認証と認可を制御します。Cisco ユーザ データベースには、すべてのユーザ ID、パスワード、および特権の情報が含まれます。ACS アクセス ポリシーは ACL 形式で Cisco AS5300 Network Access Server のようなネットワーク アクセス サーバにダウンロードでき、また特定の期間や特定のアクセス サーバでのアクセスも許可できます。

リモート アクセス ポリシーは、全体のセキュリティ ポリシーの一部です。

セキュリティ ポリシー

シスコは、ネットワークを保有する組織が各自のセキュリティ ポリシーを開発することを推奨しています。セキュリティ ポリシーの複雑さ、性質、および範囲は、ACS の展開方法に直接影響します。

セキュリティ ポリシーの開発と維持の包括的な説明は、次のマニュアルを参照してください。

Network Security Policy: Best Practices White Paper

Delivering End-to-End Security in Policy-Based Networks

Cisco IOS Security Configuration Guide

管理アクセス ポリシー

ネットワークの管理では、規模が問題となります。ネットワーク デバイスに対する管理アクセス用のポリシーは、ネットワークの規模と、ネットワークの保守に要する管理者の数に直接依存します。ネットワーク デバイス上でローカル認証を実行することもできますが、拡張性がありません。ネットワーク管理ツールの使用は、大規模ネットワークでは有効ですが、ローカル認証が各ネットワーク デバイスで使用される場合、そのポリシーが適用されるのは通常、ネットワーク デバイスに一度ログインするときだけです。これでは、ネットワーク デバイスのセキュリティを十分高めることはできません。ACS を使用すると、集中管理データベースを構築し、管理者が 1 箇所で追加や削除を行うことができます。AAA クライアントの管理アクセスの制御に推奨される AAA プロトコルは TACACS+ です。AAA クライアント管理者によるデバイスへのアクセスをコマンドごとに制御(コマンド認可)する機能があるためです。RADIUS は、認可情報の転送が初期認証時の 1 回であるため、この目的にはあまり適していません。

アクセスの種類もまた、重要な検討事項です。AAA クライアントに対して複数の管理アクセス レベルが必要な場合、または管理者のサブセットを特定のシステムに対して制限する必要がある場合は、ACS のコマンド認可機能をネットワーク デバイスごとに実行して、必要に応じてネットワーク管理者を制限します。ローカル認証を使用すると、管理アクセス ポリシーが、デバイスへのログインを省略、または特権レベルを使用したアクセス制御に限定されます。特権レベルという方法によるアクセス制御は、煩雑で拡張性がありません。この場合、コマンドの特権レベルが AAA クライアント デバイスで変更され、また特権レベルがユーザ ログインに対して定義されることが必要です。また、コマンドの特権レベルを編集することで、多くの問題が発生しやすくなります。コマンド認可を ACS で使用すると、制御するコマンドの特権レベルを変更する必要はありません。AAA クライアントはコマンドを解析のために ACS に送信し、ACS は管理者がそのコマンドを使用する権限を持つかどうかを判別します。AAA を使用することで、あらゆる AAA クライアントに関して ACS のあらゆるデバイスに対する認証を行うことができ、AAA クライアントごとに、そのデバイスに対するアクセスを制限できます。

ネットワーク デバイスの数が少ない小規模のネットワークでは、必要な管理者が 1、2 名である場合もあります。デバイスに関してはローカル認証で通常は十分です。ローカル認証よりもきめ細かな制御が必要な場合は、何らかの認可方法が必要です。すでに検討したように、特権レベルを使用したアクセス制御は、煩雑になる可能性があります。ACS ではこの問題が解消されます。

大規模な企業ネットワークでは、管理対象のデバイスが多数あり、ACS の使用は実質的に不可欠なものになります。多数のデバイスの管理では、多数のネットワーク管理者に対してさまざまなアクセス レベルが必要となるため、管理者やデバイスを変更した際のネットワーク デバイスの設定変更を絶えず監視する方法としてローカル制御を使用することは、明らかに実行不可能です。CiscoWorks のようなネットワーク管理ツールを使用すると、この負担を軽減することはできますが、セキュリティの維持が課題となります。ACS は最大 300,000 のユーザを容易に扱えるため、ACS がサポートするネットワーク管理者の数が問題になることはほとんどありません。AAA サポートのために RADIUS を使用したリモート アクセスを行う人数が多い場合、企業の IT チームは、ACS を使用した独自の TACACS+ 認証を管理チーム用に考える必要があります。別個の TACACS+ 認証により、一般ユーザを管理チームから分離し、ネットワーク デバイスに対する不用意なアクセスを低減できます。これが適切なソリューションではない場合、TACACS+ を管理用(shell/exec)ログインに使用し、RADIUS をリモート ネットワーク アクセスに使用すれば、ネットワーク デバイスに対する十分なセキュリティを確保することができます。

管理ユーザと一般ユーザの分離

一般ネットワーク ユーザは、ネットワーク デバイスにアクセスできないようにする必要があります。一般ユーザに不正にアクセスする意図がなかったとしても、不用意なアクセスがネットワーク アクセスに予期せぬ混乱をもたらすことはあり得ます。AAA および ACS には、一般ユーザを管理ユーザと分離するための手段が用意されています。

この分離を実行するための最も簡単で、しかも推奨される方法は、RADIUS を一般リモート アクセス ユーザ用に使用し、TACACS+ を管理ユーザ用に使用することです。1 つの問題は、管理者が一般ユーザと同様に、リモート ネットワーク アクセスを求める場合です。ACS を使用すれば、この問題は解決します。管理者は ACS に RADIUS 設定と TACACS+ 設定を指定できます。認可機能を使用すると、RADIUS ユーザに PPP(またはその他のネットワーク アクセス プロトコル)を、許可されたプロトコルとして設定できます。TACACS+ では、管理者だけが shell アクセス(exec アクセス)を許可されるように設定します。

たとえば、管理者がネットワークに対して一般ユーザとしてダイヤルする場合、AAA クライアントは RADIUS を認証と認可を行うプロトコルとして使用し、PPP プロトコルが認可されます。次に、同じ管理者がある AAA クライアントにリモートに接続して設定の変更を行う場合、AAA クライアントは TACACS+ プロトコルを認証と認可に使用します。この管理者は ACS 上で、TACACS+ 下の shell 権限を設定されているため、このデバイスに対するログインが認可されます。この場合 AAA クライアントは、1 つは RADIUS 用、もう 1 つは TACACS+ 用に、2 つの別々の設定を ACS 上で持つ必要があります。IOS 環境で効果的に PPP と shell ログインを分離するように AAA クライアントを設定する例を次に示します。

aaa new-model
tacacs-server host ip-address
tacacs-server key secret-key
radius-server host ip-address
radius-server key secret-key
aaa authentication ppp default group radius
aaa authentication login default group tacacs+ local
aaa authentication login console none
aaa authorization network default group radius
aaa authorization exec default group tacacs+ none
aaa authorization command 15 default group tacacs+ none
username user password password
line con 0
login authentication console

これとは逆に、一般ユーザがリモート アクセスを使用してネットワーク デバイスにログインしようとすると、ACS はユーザ名とパスワードをチェックして、承認しようとしますが、このユーザはデバイスへの shell アクセスまたは exec アクセスを許可するクレデンシャルを持っていないため、認可プロセスは失敗します。

データベース

トポロジ上の検討事項以外では、ACS の展開において最も大きな影響を与える要素の 1 つはユーザ データベースです。ユーザ ベースの大きさ、ネットワーク中のユーザの分布、アクセス要件、およびユーザ データベースの種類は、すべて ACS の展開方法を決定する要因です。

ユーザ数

ACS の設計では、企業環境で 300,000 のユーザを処理できます。このキャパシティは、1 つの会社にとっては十分な数です。この数を超える環境では、ユーザ ベースは地理的に分散しているのが普通であり、この場合は複数の ACS の構成が必要になります。WAN に障害が発生すると、認証サーバが機能しないため、ローカル ネットワークにアクセスできなくなることがあります。また、1 つの ACS が扱うユーザ数を減らすと、一定の時間帯に発生するログイン数が減り、データベースの負荷が軽くなる結果、パフォーマンスが向上します。

データベースの種類

ACS は、いくつかのデータベース オプションをサポートしています。それには、ACS 内部データベースや、サポートされている外部データベースのいずれかによるリモート認証の使用が含まれています。データベースのオプション、種類、および機能の詳細については、表1-2「ユーザ データベース」、または「ユーザ グループ マッピングと仕様」を参照してください。それぞれのデータベース オプションには、スケーラビリティとパフォーマンスに関して、特有の利点と制限があります。

ネットワークの待ち時間と信頼性

ネットワークの待ち時間と信頼性も、ACS の展開方法の重要な要素です。認証の遅延は、エンドユーザ クライアントあるいは AAA クライアントにおけるタイムアウトにつながる可能性があります。

世界中に展開している企業のネットワークような、大規模で広大なネットワークにおける一般的な原則は、少なくとも 1 つの ACS を各地域に配置することです。この構成は、サイトに信頼性の高い高速接続がない場合は適当でない場合もあります。多くの企業は、インターネットが提供するリンクを使用するために、セキュアな VPN 接続をサイト間で使用しています。インターネットを利用すると、時間と経費は節約されますが、専用のフレーム リレーや T1 リンクで得られるような速度と信頼性は得られません。WLAN リンクで接続したキャッシュ レジスタを持つ小売店のように、信頼性のある認証サービスがビジネスの機能において重要となる場合、リモート ACS に WAN 接続ができないことは致命的です。

同じ問題は ACS が使用するユーザ データベースにも該当します。信頼性と迅速なアクセスを保証するために、データベースは ACS のすぐ近くに配置する必要があります。ローカル ACS をリモート データベースと一緒に使用すると、リモート ACS を使用する場合と同じ問題が発生する可能性があります。この場合に生じる恐れがあるもう 1 つの問題は、ユーザ側でタイムアウトになるということです。AAA クライアントが ACS と連絡できても、ACS が待つ外部ユーザ データベースからの応答が遅延したり、なかったりすることも考えられます。ACS がリモートであれば、AAA クライアントでタイムアウトが発生し、AAA クライアントはユーザを認証する代替手段を試みますが、データベースがリモートの場合は、エンドユーザ クライアントで先にタイムアウトが発生します。

推奨される展開順序

あらゆる ACS 展開に推奨できる単一のプロセスはないため、ナビゲーション ツールバーに表示されている上位レベル機能に合うように調整された順序に従うことを考える必要があります。また、これらの展開作業の多くが実際では繰り返されるということにも注意が必要です。たとえば、展開を進めていくと、インターフェイス設定のような作業に何度も戻ります。

構成タスクは、次の順序で実行することを推奨します。

管理者の設定 :少なくとも 1 人の管理者を展開の最初に設定する必要があります。設定していない場合、リモート管理アクセスができないため、すべての設定作業をサーバから行う必要があります。また、管理ポリシーの確立と維持のための詳細な計画を決めておくことも必要です。

管理者の設定の詳細については、「概要」を参照してください。管理コントロールの詳細については、「管理者と管理ポリシー」を参照してください。

ACS Web インターフェイスの設定 :ACS Web インターフェイスを設定すると、使用する機能やコントロールだけを表示できます。これによって、使用する予定のない Web インターフェイスの多くの部分を扱う必要がなくなり、ACS の使用が簡単になります。ただし、必要な機能とコントロールが、Interface Configuration セクションに正しく設定されていることを最初に確認する必要があります。Web インターフェイスの設定については、「インターフェイス設計の概念」を参照してください。

Web インターフェイスの特定のオプションの設定については、次の項を参照してください。

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

システムの設定 :System Configuration セクション内には、日付の表示形式の設定やパスワードの妥当性検査から、データベース複製の設定や RDBMS 同期化のための設定に至るまで、多数の考慮すべき機能があります。これらの機能は「システム設定:基本」「システム設定:高度」で詳しく説明しています。また、最初のシステム設定で、ACS が作成するログとレポートをセットアップする必要があることにも注意してください。詳細については、「概要」を参照してください。

ネットワークの設定 :分散されて代理処理される AAA 機能を、Web インターフェイスの Network Configuration セクションで制御します。このセクションでは、AAA クライアントとサーバを確認し、その配置とグループ化を確定し、それぞれが使用すべき認証プロトコルを決定します。詳細については、「ネットワーク設定」を参照してください。

外部ユーザ データベースの設定 :この段階では、ユーザ認証アカウントの作成および維持のために、外部ユーザ データベースの実装の有無や実装方法を決定します。通常は、これは既存のネットワーク管理メカニズムに従って行います。ACS がサポートするデータベースの種類とその確立手順については、「ユーザ データベース」を参照してください。

外部ユーザ データベース(複数の場合もある)を実装するように決定した場合、ACS データベースの複製、バックアップ、および同期化に関する要件を指定する詳細な計画を決定します。ACS 内部データベース管理の設定については、「システム設定:基本」に詳しく説明しています。

共有プロファイル コンポーネントの設定 :ネットワーク設定のほとんどがすでに終了している場合は、ユーザ グループを設定する前に、共有プロファイル コンポーネントを設定します。採用するネットワーク アクセス制限とコマンド認可セットをセットアップし命名するときは、ユーザ グループおよびシングル ユーザのアクセス特権の指定が効率よく行われるように考えてレイアウトします。共有プロファイル コンポーネントの詳細については、「共有プロファイル コンポーネント」を参照してください。

ネットワーク アクセス プロファイル :認証、ポスチャの確認、認可の規則、またはポリシーに従って設定した値に応じて、ネットワーク アクセスの分類をセットアップします。ネットワーク アクセス プロファイルについては、「ネットワーク アクセス プロファイル」を参照してください。

グループの設定 :ここまでで、使用する外部ユーザ データベースの設定が終了している場合は、ユーザ グループを設定する前に、外部ユーザ データベースに関係する ACS のその他の 2 つの機能(未知ユーザの処理とデータベース グループのマッピング)を実装する方法を決定する必要があります。詳細については、「未知ユーザ認証について」および「ユーザ グループ マッピングと仕様」を参照してください。次に、ACS が認証と認可を実行する方法に関して立案した全体的な計画に基づいて、ユーザ グループの設定を行います。詳細については、「ユーザ グループ管理」を参照してください。

ユーザの設定 :グループが設定されている場合は、ユーザ アカウントを作成することができます。ある特定のユーザは 1 つのユーザ グループだけにしか所属できないこと、およびユーザ レベルで行った設定はグループ レベルの設定に優先するということに注意してください。詳細については、「ユーザ管理」を参照してください。

レポートの設定 :ACS Web インターフェイスの Reports and Activitiy セクションで、ACS が実行するロギングの性質と範囲を指定できます。ロギング レポート情報の要約については、「概要」を参照してください。ロギングのセットアップ方法については、「ログとレポート」を参照してください。