Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
このマニュアルについて
このマニュアルについて
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

このマニュアルについて

対象読者

マニュアルの構成

表記法

製品マニュアル

関連マニュアル

技術情報の入手方法

Cisco.com

Product Documentation DVD(英語版)

マニュアルの発注方法(英語版)

シスコシステムズマニュアルセンター

シスコ製品のセキュリティの概要

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support & Documentation Web サイト

Japan TAC Web サイト

サービス リクエストの発行

このマニュアルについて

このマニュアルでは、Cisco Secure Access Control Server Release 4.0 Windows 版(以降は ACS と表記)について説明します。

対象読者

このマニュアルは、ACS を使用したり、アカウントやダイヤルイン ネットワーク セキュリティを設定および管理するシステム管理者の方を対象としています。

マニュアルの構成

このマニュアルは、次の章と付録で構成されています。

「概要」 :ACS とその特徴、ネットワークの図解、およびシステム要件の概要について説明します。

「展開方法の検討」 :ACS の展開について説明します。要件、オプション、条件、および推奨される手順が含まれます。

「Web インターフェイスの使用方法」 :ACS の Interface Configuration セクションを使用して HTML インターフェイスを構成する方法について、その概念と手順を説明します。

「ネットワーク設定」 :ACS によるネットワークの構成および分散システムの確立について、概念と手順を説明します。

「共有プロファイル コンポーネント」 :ACS 共有プロファイルのコンポーネント(ダウンロード可能 IP ACL、ネットワーク アクセス フィルタ、ネットワーク アクセス制限、およびデバイス コマンド セット)について、概念と手順を説明します。

「ユーザ グループ管理」 :ACS ユーザ グループの作成と管理について、概念と手順を説明します。

「ユーザ管理」 :ACS ユーザ アカウントの作成と管理について、概念と手順を説明します。

「システム設定:基本」 :ACS の System Configuration セクションにある基本機能について、概念と手順を説明します。

「システム設定:高度」 :ACS の System Configuration セクションにある RDBMS 同期化機能、CiscoSecure データベース複製機能、および IP プールについて、概念と手順を説明します。

「システム設定:認証と証明書」 :ACS の System Configuration セクションにある Global Authentication ページと ACS Certificate Setup ページについて、概念と手順を説明します。

「ログとレポート」 :ACS のロギングとレポートについて、概念と手順を説明します。

「管理者と管理ポリシー」 :ACS 管理者の作成と管理について、概念と手順を説明します。

「ユーザ データベース」 :ユーザ データベースの概念と、外部ユーザ データベースを使用してユーザ認証を行うように ACS を設定する手順を説明します。

「ポスチャ確認」 :ポスチャ確認の実装(ネットワーク アドミッション コントロール(NAC)とも関連する)の概念と手順およびポスチャ確認ポリシーの設定を説明します。

「ネットワーク アクセス プロファイル」:ネットワーク アクセス プロファイルの作成および ACS のプロファイル ベースのポリシーの実装について、概念と手順を説明します。

「未知ユーザ ポリシー」 :ポスチャ確認や未知ユーザ認証での未知ユーザ ポリシーの使用について、概念と手順を説明します。

「ユーザ グループ マッピングと仕様」 :外部ユーザ データベースを使って認証されたユーザへのグループ割り当てについて、概念と手順を説明します。

付録 A「トラブルシューティング」 :ACS の使用時に発生する問題を識別して解決する方法を説明します。

付録 B「TACACS+ の AV ペア」 :サポート対象の TACACS+ AV ペアおよびアカウンティング AV ペアのリストを示します。

付録 C「RADIUS アトリビュート」 :サポート対象の RADIUS AV ペアおよびアカウンティング AV ペアのリストを示します。

付録 D「CSUtil データベース ユーティリティ」 :コマンドライン ユーティリティ CSUtil.exe を使用して、CiscoSecure ユーザ データベースとの連携、AAA クライアントとユーザのインポート、RADIUS ベンダーとアトリビュートの定義、および EAP-FAST クライアント用 PAC ファイルの生成を行う方法について説明します。

付録 E「VPDN プロセス」 :Virtual Private Dial-up Networks(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)の概要(ストリッピングおよびトンネリングを含む)と、ACS 上で VPDN をイネーブルにする方法について説明します。

付録 F「RDBMS 同期化機能インポートの定義」 :RDBMS 同期化機能に使用する、インポート定義のリストを示します。

付録 G「内部アーキテクチャ」 :ACS アーキテクチャル コンポーネントについて説明します。

表記法

このマニュアルでは、次の表記法に従います。

 

項目
表記法

手順の実行中に選択する必要があるコマンド、キーワード、専門用語、およびオプション

太字

ユーザが値を指定する変数、および新しい用語や重要な用語

イタリック体

セッション情報、システム情報、パス、およびファイル名の表示出力

screen フォント

ユーザが入力する情報

太字の screen フォント

ユーザが入力する変数

イタリック体の screen フォント

メニュー項目およびボタン名

太字

メニュー項目の選択順序

Option > Network Preferences


ヒント ご使用の製品を有効活用するために役立つヒントを示しています。



) 「注釈」です。作業を続行する前に確認すべき重要な情報や役立つ情報、このマニュアル以外の参照資料などを紹介しています。



注意 「要注意」の意味です。機器の損傷、データの損失、またはネットワーク セキュリティの侵犯を予防するための注意事項が記述されています。


警告 怪我、ソフトウェアの破壊、または装置の損傷を防止するために留意すべき情報を示しています。この記号がある場合、記載されている情報に従って慎重に作業しないと、明らかなセキュリティ侵犯につながります。


製品マニュアル


) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルのアップデートについては、Cisco.com で確認してください。


表1 に、ご利用可能な製品マニュアルを示します。

 

表1 製品マニュアル

マニュアル タイトル
ご利用形式

Finding Documentation for Cisco Secure ACS for Windows

製品に同梱されています。

製品 CD に PDF が収録されています。

Cisco.com で入手できます。

Release Notes for Cisco Secure ACS for Windows

Cisco.com で入手できます。

Installation Guide for Cisco Secure ACS for Windows

製品 CD に PDF が収録されています。

Cisco.com で入手できます。

印刷マニュアルを注文します(Part Number DOC-7816991=)。1

User Guide for Cisco Secure ACS for Windows

製品 CD に PDF が収録されています。

Cisco.com で入手できます。

印刷マニュアルを注文します(Part Number DOC-7816992=)。1

Installation and User Guide for Cisco Secure ACS User-Changeable Passwords

製品 CD に PDF が収録されています。

Cisco.com で入手できます。

Supported and Interoperable Devices and Software Tables for Cisco Secure ACS for Windows

Cisco.com で入手できます。

オンライン マニュアル

ACS の HTML インターフェイスで、Online Documentation をクリックします。

オンライン ヘルプ

機能を設定する際、ACS の HTML インターフェイスの右フレームに、オンライン ヘルプが表示されます。

1.P.xxix の「技術情報の入手方法」 を参照してください。

関連マニュアル


) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルのアップデートについては、Cisco.com で確認してください。


ACS に関するホワイト ペーパーは、次の URL の Cisco.com で参照できます。

http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/index.shtml

ネットワーク アドミッション コントロール、さまざまな NAC コンポーネント、および ACS については、次の URL を参照してください。

http://www.cisco.com/go/NAC

技術情報の入手方法

シスコの製品マニュアルやその他の資料は、Cisco.com でご利用いただけます。また、テクニカル サポートおよびその他のリソースを、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

マニュアルの最新版は、次の URL で参照できます。

http://www.cisco.com/techsupport

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

各国のシスコ Web サイトには、次の URL からアクセスできます。

http://www.cisco.com/public/countries_languages.shtml

シスコ製品の最新資料の日本語版は、次の URL からアクセスしてください。

http://www.cisco.com/jp

Product Documentation DVD(英語版)

シスコ製品のマニュアルおよびその他の資料は、製品に付属の Product Documentation DVD パッケージでご利用いただけます。Product Documentation DVD は定期的に更新されるので、印刷資料よりも新しい情報が得られます。

Product Documentation DVD は、技術情報を包含する製品マニュアルをポータブルなメディアに格納した、包括的なライブラリです。この DVD を使用することにより、シスコ製の各ハードウェアやソフトウェアのインストール、コンフィギュレーション、およびコマンドに関する複数のバージョンのマニュアルにアクセスし、技術情報を HTML で参照できます。また、この DVD を使用すると、シスコの Web サイトで参照できるのと同じマニュアルに、インターネットに接続せずにアクセスできます。一部の製品については、PDF 版のマニュアルもご利用いただけます。

Product Documentation DVD は、1 回単位で入手することも、または定期購読することもできます。Cisco.com 登録ユーザ(Cisco Direct Customers)の場合、Cisco Marketplace から Product Documentation DVD(Product Number DOC-DOCDVD=)を発注できます。次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace/

マニュアルの発注方法(英語版)

2005 年 6 月 30 日以降、Cisco.com 登録ユーザの場合、Cisco Marketplace の Product Documentation Store からシスコ製品の英文マニュアルを発注できるようになっています。次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco.com に登録されていない場合、製品を購入された代理店へお問い合せください。

シスコシステムズマニュアルセンター

シスコシステムズマニュアルセンターでは、シスコ製品の日本語マニュアルの最新版を PDF 形式で公開しています。また、日本語マニュアル、および日本語マニュアル CD-ROM もオンラインで発注可能です。ご希望の方は、次の URL にアクセスしてください。

http://www2.hipri.com/cisco/

また、シスコシステムズマニュアルセンターでは、日本語マニュアル中の誤記、誤植に関するコメントをお受けしています。次の URL の「製品マニュアル内容不良報告」をクリックすると、コメント入力画面が表示されます。

http://www2.hipri.com/cisco/

なお、技術内容に関するお問い合せは、この Web サイトではお受けできませんので、製品を購入された各代理店へお問い合せください。

シスコ製品のセキュリティの概要

シスコでは、オンラインの Security Vulnerability Policy ポータル(英文のみ)を無料で提供しています。URL は次のとおりです。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトは、次の目的に利用できます。

シスコ製品のセキュリティ脆弱性を報告する。

シスコ製品に伴うセキュリティ事象についてサポートを受ける。

シスコからセキュリティ情報を受け取るための登録をする。

シスコ製品に関するセキュリティ勧告および注意事項の最新のリストには、次の URL からアクセスできます。

http://www.cisco.com/go/psirt

勧告および注意事項がアップデートされた時点でリアルタイムに確認する場合は、次の URL から Product Security Incident Response Team Really Simple Syndication(PSIRT RSS)フィードにアクセスしてください。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、セキュアな製品を提供すべく全力を尽くしています。製品のリリース前には内部でテストを行い、すべての脆弱性を早急に修正するよう努力しています。万一、シスコ製品に脆弱性が見つかった場合は、PSIRT にご連絡ください。

緊急の場合 : security-alert@cisco.com (英語のみ)

緊急とは、システムがアクティブな攻撃を受けている場合、または至急の対応を要する重大なセキュリティ上の脆弱性が報告されている場合を指します。これに該当しない場合はすべて、緊急でないと見なされます。

緊急でない場合 : psirt@cisco.com (英語のみ)

緊急の場合は、電話で PSIRT に連絡することもできます。

1 877 228-7302(英語のみ)

1 408 525-6532(英語のみ)


ヒント シスコに機密情報をお送りいただく際には、PGP(Pretty Good Privacy)または互換製品を使用して、暗号化することをお勧めします。PSIRT は、PGP バージョン 2.x から 8.x と互換性のある暗号化情報に対応しています。

無効になった、または有効期限が切れた暗号鍵は、絶対に使用しないでください。PSIRT に連絡する際に使用する正しい公開鍵には、Security Vulnerability Policy ページの Contact Summary セクションからリンクできます。次の URL にアクセスしてください。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このページ上のリンクからは、現在使用されている最新の PGP 鍵の ID にアクセスできます。


テクニカル サポート

Cisco Technical Support では、24 時間テクニカル サポートを提供しています。Cisco.com の Cisco Technical Support & Documentation Web サイトでは、多数のサポート リソースをオンラインで提供しています。また、シスコと正式なサービス契約を交わしているお客様には、Cisco Technical Assistance Center(TAC)のエンジニアが電話でのサポートにも対応します。シスコと正式なサービス契約を交わしていない場合は、代理店にお問い合せください。

Cisco Technical Support & Documentation Web サイト

Cisco Technical Support & Documentation Web サイトでは、シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように、オンラインでマニュアルやツールを提供しています。この Web サイトは、24 時間、いつでも利用可能です。URL は次のとおりです。

http://www.cisco.com/techsupport

Cisco Technical Support & Documentation Web サイトのツールにアクセスするには、Cisco.com のユーザ ID とパスワードが必要です。サービス契約が有効で、ユーザ ID またはパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do


) Web または電話でサービス リクエストを発行する前に、Cisco Product Identification(CPI)ツールを使用して製品のシリアル番号を確認してください。CPI ツールには、Cisco Technical Support & Documentation Web サイトから、Documentation & Tools の下の Tools & Resources リンクをクリックするとアクセスできます。アルファベット順の索引ドロップダウン リストから Cisco Product
Identification Tool
を選択するか、Alerts & RMAs の下の Cisco Product Identification Tool リンクをクリックします。CPI ツールには、3 つの検索オプションがあります。製品 ID またはモデル名による検索、ツリー表示による検索、show コマンド出力のコピー アンド ペーストによる特定製品の検索です。検索結果では、製品が図示され、シリアル番号ラベルの位置が強調表示されます。ご使用の製品でシリアル番号ラベルを確認し、その情報を記録してからサービス コールをかけてください。


Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register

サービス リクエストの発行

オンラインの TAC Service Request Tool を使用すると、S3 と S4 のサービス リクエストを短時間でオープンできます(S3:ネットワークに軽微な障害が発生した、S4:製品情報が必要である)。状況を入力すると、その状況を解決するための推奨手段が検索されます。これらの推奨手段で問題を解決できない場合は、シスコのエンジニアが対応します。TAC Service Request Tool には、次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest