Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
ネットワーク アクセス プロファイル
ネットワーク アクセス プロファイル
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ネットワーク アクセス プロファイル

NAP の概要

アクセス要求の分類

NAF

プロトコル タイプ

高度なフィルタリング

プロファイルベースのポリシー

NAP とプロファイルベース ポリシーの設定ワークフロー

一致しないユーザ要求の処理

NAP の管理

プロファイルの追加

プロファイルの順序変更

プロファイルの編集

プロファイルのクローニング

プロファイルの削除

プロファイル テンプレートの使用

プロファイル テンプレートを使用する際の前提条件

プロファイル テンプレートによるプロファイルの作成

プロファイル テンプレート

NAC L3 IP

NAC L2 IP

NAC レイヤ 2 802.1x

Microsoft IEEE 802.1x

無線(NAC L2 802.1x)

Agentless Host for L2(802.1x フォールバック)

Agentless Host for L3

Agentless Host for L2 and L3

プロファイル用ポリシーの設定

NAP のプロトコル設定

認証プロトコル

エージェントレス要求処理

NAP の EAP 設定

ポスチャ確認による EAP-FAST

RADIUS キー ラップありの EAP 認証

プロトコルの設定

NAP の認証ポリシー設定

クレデンシャル確認データベース

NAP レベルでのグループのフィルタリング

EAP-TLS 認証のオブジェクト ID チェック

認証ポリシーの設定

NAP のポスチャ確認ポリシー設定

ポスチャ確認規則について

ポスチャ確認ポリシーの設定

ポスチャ確認規則の削除

正常性ステートメントを処理するポスチャ確認ポリシーの設定

正常性ステートメントのポスチャ確認規則の削除

エージェントレス ホストに対するポスチャ確認の設定

NAP の認可ポリシーの設定

認可規則について

認可規則の設定

デフォルト認可規則の設定

認可規則の順序変更

認可規則の削除

プロファイルのトラブルシューティング

ポリシーの複製およびバックアップ

Network Access Profiles ページのリファレンス

Network Access Profiles ページ

Profile Setup ページ

Create Profile from Template ページ

Protocols Settings for profile_name ページ

Authentication for profile_name ページ

Posture Validation ページ

Posture Validation Rule for profile_name ページ

Select External Posture Validation Audit for Profile_name ページ

Authorization Rules for profile_name ページ

ネットワーク アクセス プロファイル

Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、Network Access Profiles(NAP; ネットワーク アクセス プロファイル)をサポートしています。

この章では、NAP について説明します。次の項で構成されています。

「NAP の概要」

「NAP の管理」

「プロファイル テンプレートの使用」

「プロファイル用ポリシーの設定」

「ポリシーの複製およびバックアップ」

「Network Access Profiles ページのリファレンス」

NAP の概要

一般的な組織には、ネットワークにアクセスするさまざまな種類のユーザが存在し、その方法も目的も異なります。これに応じて、異なる使用例には別個のセキュリティ ポリシーを適用する必要があります。たとえば、物理的に保護された生産工場と比較すると、建物のロビー エリアの無線アクセス ポイントには、より強固で制限されたセキュリティ ポリシーを適用する必要があります。あるいは、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を使用するリモート アクセス ユーザは、ファイアウォールの内側からログインするユーザとは異なる方法で扱う必要があります。一部のサブネットワークを介して接続するユーザには、他のユーザとは異なる認証を行う場合があります。無線アクセスは、多くの場合、任意の形式のリモート アクセス(ダイヤル、VPN、家庭内無線)として有線アクセスよりも厳しく扱われます。

NAP は、 プロファイル とも呼ばれ、基本的に一般的なポリシーを適用することを目的としたネットワーク アクセス要求を分類するものです。NAP を使用して、ネットワーク内の特定の場所でアクティブにする必要のあるすべてのポリシーを集約できます。別の方法として、VPN や Access Point(AP; アクセス ポイント)など、同じデバイス タイプを扱うポリシーをすべて集約することもできます。


) NAP 用の Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)プロトコルは、ACS ではサポートされていません。


次のトピックでは、NAP と NAP に関連付けられたポリシーについて説明します。

「アクセス要求の分類」

「プロファイルベースのポリシー」

「NAP とプロファイルベース ポリシーの設定ワークフロー」

「一致しないユーザ要求の処理」

アクセス要求の分類

アクセス要求は、AAA クライアントの IP アドレス、Network Device Group(NDG; ネットワーク デバイス グループ)のメンバーシップ、プロトコル タイプ、またはユーザが接続時に経由するネットワーク デバイスによって送信される他の特定の RADIUS アトリビュート値に従って分類できます。

次の分類方式のいずれか 1 つまたはすべてを使用して、アクセス要求を分類できます。

「NAF」

「プロトコル タイプ」

「高度なフィルタリング」

選択済みの条件がすべて一致するときに、プロファイルが選択されます。各条件で、値 Any は必ずその条件に一致します。たとえば、無線用の Network Access Filter(NAF; ネットワーク アクセス フィルタ)を作成して Aironet プロトコル タイプを選択すると、無線 NAF でこのプロトコル タイプを持つデバイスだけがフィルタリング対象として選択されます。

NAF

NAF は、AAA クライアント設定(複数のネットワーク デバイスを表す場合もある)、NDG、または特定の AAA クライアント デバイスの IP アドレスを対象としたグループ化です。NAF を使用して、異なるデバイスのセットをグループ化(および名前付け)することができます。たとえば、 these devices comprise the abc network service などです。

また、同じデバイス タイプ上でユーザ要求を区別するために NAF を使用することもできます。たとえば、新しい暗号化プロトコルをイネーブルにするなどの理由で、Aironet 無線 AP の IOS アップグレードに取り組んでいる間は、アップグレードした AP とアップグレードしていない AP に別個の NAP が必要になります。


) NDG を集約し、ユーザをプロファイルに割り当てるためのフィルタとしてその NDG を使用する場合には、NAF を設定してからプロファイルをセットアップする必要があります。


プロトコル タイプ

プロトコル タイプを使用して、ネットワークへのアクセス要求に使用されるプロトコルのタイプに基づいてユーザ要求を分類します。

高度なフィルタリング

規則は、特定の RADIUS アトリビュートと値(Cisco AV ペアを含む)に基づいて作成できます。各規則には 1 つ以上の規則要素が含まれており、規則全体が true であるためには、各規則要素が true である必要があります。つまり、規則の規則要素すべてがブール AND で結合されます。高度なフィルタリング オプションの詳細については、「Profile Setup ページ」を参照してください。

プロファイルベースのポリシー

プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリシーのセットをプロファイルに関連付けます。 プロファイルベースのポリシー には、認証、認可、およびポスチャ確認のための規則が含まれます。

プロファイルベースのポリシーを定義することによって、認証をさまざまなディレクトリにリダイレクトできます。たとえば、無線ユーザが AD への認証を行う必要があるときに、VPN を介してネットワークにアクセスする同じユーザが、RSA One-Time Password(OTP; ワンタイム パスワード)ディレクトリへの認証を行う必要がある場合などです。

ACS はパケットを受信すると、プロファイル フィルタを評価してパケットを分類します。プロファイルが一致すると、ACS は、パケット処理中にプロファイルに関連付けられた設定およびポリシーを適用します。ACS は、トランザクションの最初のアクセス要求で、最初に一致するプロファイルを使用します。一致するプロファイルが見つからない場合、ACS はグローバル設定に戻ります。

NAP とプロファイルベース ポリシーの設定ワークフロー

プロファイルは、最初から作成するか、付属するテンプレートの 1 つを使用してデフォルト値を読み込むことができます。付属のテンプレートは、NAC 対応ネットワークの場合に特に有用です。詳細については、「プロファイル テンプレートの使用」を参照してください。

次に、NAP と NAP に関連するポリシーの作成手順を示します。

1. ACS で制御するネットワーク サービスを特定します(たとえば、VPN、ダイヤル、WLAN、ip_admission)。

2. ネットワーク サービスごとにプロファイルをセットアップします。プロファイルをセットアップすることで、ACS による要求の認識方法または識別方法が定義されます(たとえば、デバイス IP、NDG、NAF、高度なフィルタリング)。詳細については、「プロファイルの追加」を参照してください。

3. サービスに必要なパスワード プロトコルと EAP 設定を定義します。詳細については、「NAP のプロトコル設定」を参照してください。

4. サービスで必要な認証方式を定義します。詳細については、「NAP の認証ポリシー設定」を参照してください。

5. ポスチャ確認ポリシーまたは規則を定義します(Network Admission Control(NAC; ネットワーク アドミッション コントロール)が展開の一部である場合は、オプションです)。詳細については、「NAP のポスチャ確認ポリシー設定」を参照してください。

6. SoH 規則を定義します。詳細については、「正常性ステートメントを処理するポスチャ確認ポリシーの設定」を参照してください。

7. グループから RADIUS Authorization Components(RAC; RADIUS 認可コンポーネント)への認可マッピング、および Downloadable Access Control List(DACL; ダウンロード可能アクセス コントロール リスト)を定義します。NAC が使用中の場合には、System Posture Token(SPT; システム ポスチャ トークン)も組み込みます。詳細については、「認可規則の設定」を参照してください。

アクセスが許可されると(access-accept)、ACS はユーザ、ユーザ グループ RAC、ACL をマージして、結果を AAA クライアントにプロビジョニングします。詳細については、「アトリビュートのマージ」を参照してください。

一致しないユーザ要求の処理

ACS では、グローバル設定および NAP 固有の設定を定義することができます。グローバル設定には、次の 2 つの用途があります。

プロファイルに一致しない要求に対するフォールバック動作を定義する。

NAP のベースラインを定義する(NAP 認証ページでプロトコルをイネーブルにする場合は、まず Global Authentication Setup ページでプロトコルをイネーブルにする必要があります)。

従来のグローバル設定と NAP はサポートされていて相互に運用できますが、この項で説明する場合を除き、両方を使用することはお勧めしません。

一致するプロファイルが 1 つも存在せず、アクセス要求を分類できない場合は、アクセスを拒否することをお勧めします。

ACS フォールバック動作と NAP を使用する必要があるのは、TACACS+ を使用する場合だけです。NAP は、現在 TACACS+ をサポートしていません。グローバル設定を使用してアクセスを許可することが、TACACS+ と NAP 設定を RADIUS で使用する唯一の方法です。

両方を使用するときは、グローバル設定を使用するフォールバック動作によってネットワークにセキュリティ上の欠陥が発生しないように保証する必要があります。

NAP の管理

次のトピックでは、NAP のセットアップ方法と管理方法を説明します。

「プロファイルの追加」

「プロファイルの順序変更」

「プロファイルの編集」

「プロファイルのクローニング」

「プロファイルの削除」

「プロファイル テンプレートの使用」

プロファイルの追加

このトピックでは、プロファイルを最初からセットアップする方法を説明します。プロファイル テンプレートからプロファイルを作成する方法については、「プロファイル テンプレートの使用」を参照してください。

プロファイルを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Add Profile をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Name ボックスに、新しいプロファイルの名前を入力します。

ステップ 4 Description ボックスに、新しいプロファイルの説明を入力します。

ステップ 5 プロファイルをイネーブルにするには、 Active チェックボックスをオンにします。

ステップ 6 プロファイルのアクセス要求分類のオプションを設定します。プロファイル設定オプションの詳細については、「Profile Setup ページ」を参照してください。

ステップ 7 Submit をクリックします。

Network Access Profile ページが表示されます。ネットワーク アクセス プロファイルの最初に一致したものが、クライアント要求を認証、認可、またはその両方を行うために実装されます。

ステップ 8 Up または Down ボタンを使用して適切な位置にプロファイルを移動し、その情報を ACS に送信します。

ステップ 9 ACS で一致しないアクセス要求を処理する方法を設定します。詳細については、「一致しないユーザ要求の処理」を参照してください。

ステップ 10 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイルの順序変更

ACS は、アクセス要求をプロファイルと突き合せる際に、最初に一致するものを使用するため、リスト内でのプロファイルの順序は重要です。

プロファイルの順序を設定するには、次の手順を実行します。


ステップ 1 「Network Access Profiles ページ」で、オプション ボタンをクリックしてプロファイルを選択します。

ステップ 2 Up または Down をクリックして、プロファイルを適切な位置に移動します。

ステップ 3 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイルの編集

プロファイル設定を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 プロファイルのフィルタリング方法を変更するには、次の手順を実行します。

a. Network Access Profiles ページで、プロファイル名をクリックします。

Profile Setup ページが表示されます。

b. 必要に応じてフィルタリング方法を変更します。フィルタリング オプションの詳細については、「Profile Setup ページ」を参照してください。

ステップ 3 プロファイルの設定ポリシーを変更するには、次の手順を実行します。

a. プロファイルの関連する設定ポリシーを選択します。

関連するポリシー設定ページが表示されます。

b. ポリシーを編集します。詳細については、「プロファイル用ポリシーの設定」を参照してください。

ステップ 4 プロファイル設定を保存するには、Network Access Profiles ページに戻り、 Apply and Restart をクリックします。


 

プロファイルのクローニング

クローニングによって、次の NAP の関連コンポーネントがすべて複製されます。

プロトコル参照 :パスワード プロトコル。

認証参照 :外部データベース。

ポスチャ参照 :内部または外部のポスチャ確認と、外部監査サーバ。ポスチャ参照の詳細については、「ポスチャ確認ポリシーの設定」を参照してください。

認可参照 :RAC と DACL。

NAP のクローニングでは、プロファイルが参照する、共有プロファイル コンポーネントも、内部および外部ポスチャ確認ポリシーもコピーされません。新しくクローニングされたプロファイルは、元のプロファイルと同じ共有プロファイル コンポーネントを 参照します 。たとえば、名前で参照されるコンポーネント(RAC、DACL、NAF)は同じままです。

NAP は、クローニングするときに、最初はデフォルトで非アクティブになっています。この非アクティブな状態により、ACS がアクセス要求をプロファイルと突き合せる際のあいまいさが避けられます。クローニングされたプロファイルを修正した後で、ステータスをアクティブな状態に変更できます。

プロファイルの説明、アクティブ フラグ、プロトコルの選択、高度なフィルタ、認証、および認可ポリシーは、すべてクローニング(コピー)されます。ポスチャ確認ポリシー(内部、外部、監査サーバ)はコピーされませんが、新しく作成したプロファイルによって参照されます。

クローニングでは、 Copy-of- という名前が付けられます。マルチ クローニングの場合(クローニングされた要素をクローニングする場合)、プレフィックスとして Copy-(2)-of- が指定されます。

新しい名前の長さが 32 文字を超えた場合、名前は 32 文字に切り捨てられます。

プロファイルをクローニングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 クローニングするプロファイルの名前をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Clone をクリックします。

クローニングされたプロファイルのコピーが Network Access Profiles ページに表示されます。

ステップ 4 (オプション)クローニングされたプロファイルを修正します。プロファイルの編集の詳細については、「プロファイルの編集」を参照してください。

ステップ 5 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイルの削除

プロファイルを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Name をクリックします。

Profile Setup ページが表示されます。

ステップ 3 Delete をクリックします。

警告メッセージが表示されます。

ステップ 4 プロファイル設定を削除するには OK をクリックします。

ステップ 5 変更内容を有効にするために、 Apply and Restart をクリックします。


 

プロファイル テンプレートの使用

プロファイル テンプレートを使用して、新規プロファイルを作成します。新規プロファイルを最初からセットアップする代わりに、定義済みのプロファイル テンプレート セットからプロファイルを選択できます。テンプレートのリストについては、「プロファイル テンプレート」を参照してください。テンプレートには、事前に定義された NAC サンプル セットが含まれており、NAC ポリシーを構成する基礎として使用できます。テンプレートをベースにして新しいプロファイルをセットアップした後は、セキュリティ ポリシーの特定のニーズに合せてプロファイル設定をカスタマイズできます。


) 各テンプレートは共有プロファイル コンポーネントのセットを参照します。テンプレートを作成する前に、ACS は適切な共有プロファイル コンポーネントが存在することを確認します。共有プロファイル コンポーネントが設定されていなかった場合、ACS は、選択されたテンプレート用に作成された共有プロファイル コンポーネントのセットを使用します。


定義済みのテンプレートを選択すると、プロファイル認証、ポスチャ確認、および認可ポリシーを含んだ全面的な NAP が ACS によって作成されます。

次のトピックでは、プロファイル テンプレートとその使用法を説明します。

「プロファイル テンプレートを使用する際の前提条件」

「プロファイル テンプレートによるプロファイルの作成」

「プロファイル テンプレート」

プロファイル テンプレートを使用する際の前提条件

プロファイル テンプレートを使用する前に、次の設定を行う必要があります。

RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)プロトコルを使用する 1 つ以上の AAA クライアント

証明書のセットアップ

管理者アカウント(必要な場合)

ロギングの設定

テンプレート用のグローバル認証のセットアップ(テンプレートによって異なります)

Interface Configuration > Advanced Options の User-Level Downloadable ACLs または Group-Level Downloadable ACLs(テンプレートによって異なります)

ACS 規則は、ACS ディクショナリに存在するアトリビュートで構成されます。インストール時に ACS ポスチャ ディクショナリは、cisco:pa に所属するアトリビュートを組み込むように初期化されます(すべての Cisco Trust Agent(CTA)実装で、このデフォルトのアトリビュート セットをサポートすることは必須になっています)。

テンプレートによって作成される内部ポスチャ確認ポリシーは、これらのアトリビュート セットに基づきます。

ACS では、作成される各テンプレートは再利用可能なオブジェクトのセットを参照します。テンプレートを作成する前に、ACS は関連する再利用可能なオブジェクトがすでに存在するかどうかを確認します。存在しない場合、ACS はテンプレートの必須オブジェクトを自動的に作成します。これらのオブジェクトが事前に存在しなくても、テンプレートによるプロファイルの作成は失敗しません。選択したテンプレートに再利用可能なオブジェクトが存在する場合は、関連する再利用可能なオブジェクトが使用されます。


) アトリビュートがポスチャ確認ポリシーで使用中の場合には、アトリビュートを削除できません。


プロファイル テンプレートによるプロファイルの作成

プロファイル テンプレートを選択するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが表示されます。

ステップ 2 Add Template Profile をクリックします。

「Create Profile from Template ページ」が表示されます。

ステップ 3 プロファイルの Name および Description を入力します。

ステップ 4 ドロップダウン リストからテンプレートを選択します。

ステップ 5 Active チェックボックスをオンにして、プロファイルをアクティブにします。

ステップ 6 Submit をクリックします。

プロファイルで作成された新しいオブジェクトを示すウィンドウが表示されます。

ステップ 7 Close をクリックします。

Network Access Profiles ページが再度開き、新しいプロファイルが表示されます。

ステップ 8 プロファイル設定を保存するには、 Apply and Restart をクリックします。


 

プロファイル テンプレート

次のトピックでは、ACS が提供するプロファイル テンプレートについて説明します。

「NAC L3 IP」

「NAC L2 IP」

「NAC レイヤ 2 802.1x」

「Microsoft IEEE 802.1x」

「無線(NAC L2 802.1x)」

「Agentless Host for L2(802.1x フォールバック)」(802.1x フォールバック)

「Agentless Host for L3」(EAP over User Datagram Protocol(UDP; ユーザ データグラム プロトコル)フォールバック)

「Agentless Host for L2 and L3」

NAC L3 IP

このテンプレートは、レイヤ 3 ポスチャ確認を使用した LAN ポート IP からのアクセス要求に使用されます。

このテンプレートを使用する前に、Global Authentication Setup ページで次のオプションがオンになっていることを確認します。

Allow Posture Validation

Extensible Authentication Protocol-Flexible Authentication via Secure Tunnelling(EAP-FAST)authenticated in-band PAC provisioning

EAP-FAST MS-CHAPv2

EAP-FAST Generic Token Card(GTC)

ダウンロード可能 ACL

ダウンロード可能 ACL をサポートするレイヤ 3 ネットワーク デバイスでは、ユーザ単位のダウンロード可能 ACL をサポートします。これには、Cisco PIX セキュリティ アプライアンス、Cisco VPN ソリューション、および Cisco IOS ルータが含まれます。ユーザごとまたはグループごとに適用可能な ACL のセットを定義できます。この機能は、適切な ACL ポリシーを適用できるようにすることで、NAC のサポートを補完します。NAF と組み合せて使用すると、デバイスごとに異なるダウンロード可能 ACL を適用できるため、ユーザごとまたはアクセス デバイスごとに固有になるように ACL を調整できます。

表14-1 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのプロファイル サンプルを示します。

 

表14-1 NAC レイヤ 3 IP プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([[26/9/1]Cisco av-pair]aaa:service = ip_admission) AND ([006]Service-Type != 10)

Authentication

Protected Extensible Authentication Protocol (PEAP)

Allow Posture Only がオン

Credential Validation Database

該当なし

Posture Validation

Posture Validation Rule

Name

NAC-EXAMPLE-POSTURE-EXAMPLE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL Redirect

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

 

表14-2 NAC レイヤ 3 IP プロファイル テンプレートの認可規則

認可規則
ユーザ
グループ
システム ポスチャ トークン
共有 RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-HEALTHY-L3-
RAC

NAC-SAMPLE-HEALTHY-
ACL

Rule 2

該当なし

Quarantine

NAC-SAMPLE-QUARANTINE-
L3-RAC

NAC-SAMPLE-
QUARANTINE-ACL

Default

Deny = オフ

NAC-SAMPLE-QUARANTINE-
L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表14-3 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーを示します。

 

表14-3 NAC レイヤ 3 IP サンプルのポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-CTA-
POLICY

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA and Cisco:PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

表14-4 に、NAC レイヤ 3 IP サンプル プロファイル テンプレートの共有プロファイル コンポーネントを示します。

 

表14-4 NAC レイヤ 3 IP サンプルの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-HEALTHY-L3-RAC

[027]Session-Timeout = 36,000

[26/9/1]cisc-av-pair status-query-timeout=300

[029] Termination-Action RADIUS-Request (1)

NAC-SAMPLE-QUARANTINE-L3-
RAC

[027] Session-Timeout = 3,600

[26/9/1]cisc-av-pair status-query-timeout=30

[029] Termination-Action RADIUS-Request (1)

Downloadable IP ACLs

NAC-SAMPLE-HEALTHY-ACL

ACL Content Name

Content

NAF

NAC-SAMPLE-QUARANTINE-ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC L2 IP

このテンプレートを使用する前に、Global Authentication Setup ページで Enable EAP Configuration > Allow Posture Validation オプションがオンになっていることを確認します。

NAC レイヤ 2 IP は、エンドポイント システムまたはクライアントの接続先エッジ スイッチのアクセス ポートで使用することができます。デバイス(ホストまたはクライアント)には、直接接続、IP 電話、ハブ、または無線アクセス ポイントを介してスイッチ アクセス ポートに接続される PC、ワークステーション、またはサーバがあります。

NAC レイヤ 2 IP がイネーブルになっている場合、UDP が処理するのは IPv4 トラフィックだけです。スイッチは、エンドポイント デバイスまたはクライアントのアンチウイルスの状態を確認し、アクセス コントロール ポリシーを適用します。

このテンプレートでは、NACL2-IP Configuration の Advanced Filtering プロパティと Authentication プロパティが自動的に設定されます。

ACS および AV ペア

NAC レイヤ 2 IP 確認をイネーブルにした場合、ACS は RADIUS を使用して NAC AAA サービスを提供します。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入手し、エンドポイントのアンチウイルスの状態を確認します。

RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)を使用して、これらの Attribute-Value(AV; アトリビュート値)のペアを ACS に設定できます。

Cisco Secure-Defined-ACL :ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。

#ACL#-IP-name-number

name は ACL 名、 number は 3f783768 などのバージョン番号です。

Auth-Proxy ポスチャ コードは、指定されたダウンロード可能 ACL の Access-Control Entry(ACE; アクセス コントロール エントリ)がすでにダウンロードされているかどうかを確認します。ダウンロードされていない場合、Auth-Proxy ポスチャ コードはダウンロード可能 ACL 名をユーザ名とする AAA 要求を送信して ACE がダウンロードされるようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。この ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポスチャ確認の完了後にダウンロード可能 ACL がインターフェイスに割り当てられると、送信元アドレスは any からホストの送信元 IP アドレスに変更されます。ACE は、エンドポイント デバイスの接続先であるスイッチ インターフェイスに適用されるダウンロード可能 ACL にプリペンドされます。

トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、適切な NAC アクションが実行されます。

url redirect と url-redirect-acl :スイッチにローカル URL ポリシーを指定します。スイッチはこれらの cisco-av-pair VSA を使用します。

-- url-redirect = <HTTP または HTTPS URL>

url-redirect-acl = switch ACL name

これらの AV ペアにより、スイッチはエンドポイント デバイスからの HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)要求または Secure HyperText Transfer Protocol(HTTPS)要求を代行受信して、最新のアンチウイルス ファイルをダウンロードできる、指定のリダイレクト アドレスにクライアントの Web ブラウザを転送できます。ACS 上の url-redirect AV ペアには、Web ブラウザのリダイレクト先となる URL が含まれます。url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを指定する ACL の名前が含まれます。ACL はスイッチに定義する必要があります。リダイレクト ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

これらの AV ペアは、ホストのポスチャが healthy ではない場合に送信される可能性があります。

Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行されるソフトウェア リリースのマニュアルを参照してください。

デフォルト ACL

スイッチ ポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチ ポート上にデフォルト ポート ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィックに、デフォルト ACL を適用することも必要です。

スイッチにデフォルト ACL を設定し、ホストのアクセス ポリシーが によってスイッチに送信されると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用します。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリシーが適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホストのアクセス ポリシーを ACS から取得した場合にデフォルト ACL が設定されていないと、NAC レイヤ 2 IP 設定は有効になりません。

ポリシーマップ アクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS によってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリシーよりも優先されます。デフォルト ポート ACL がスイッチに設定されていない場合、スイッチは ACS からのダウンロード可能 ACL を適用できます。

このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのアクセス要求に対して使用します。認証バイパス(802.1x フォールバック)テンプレートは、クライアント以外の認証プロセスをバイパスするアクセス要求で使用します。ユーザは ID に基づいてユーザ グループにマッピングされます。


Populate from Global ボタンは使用しないでください。このボタンを使用すると、この認証フィールドは System Configuration の Global Authentication Setup の設定値から継承されます。


表14-5 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのプロファイルの内容を示します。

 

表14-5 NAC レイヤ 2 IP プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([[26/9/1]Cisco av-pair]aaa:service = ip_admission) AND ([006]Service-Type != 10)

Authentication

PEAP

Allow Posture Only がオン

Credential Validation Database

該当なし

Posture Validation

Posture Validation Rule

Name

NAC-EXAMPLE-POSTURE-EXAMPLE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL Redirect

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

表14-6 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表14-6 NAC レイヤ 2 IP プロファイル テンプレートの認可規則

認可規則
ユーザ
グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-HEALTHY-
L3-RAC

NAC-SAMPLE-HEALTHY-
ACL

Rule 2

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC-SAMPLE-
QUARANTINE-ACL

Default

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表14-7 に、NAC レイヤ 2 IP サンプル プロファイル テンプレートのポスチャ確認ポリシーの内容を示します。

 

表14-7 NAC レイヤ 2 IP サンプルのポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-
POSTURE-RULE

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA and Cisco:PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

NAC レイヤ 2 802.1x

このテンプレートを使用する前に、Global Authentication Setup ページで次のオプションがオンになっていることを確認します。

EAP-FAST

EAP-FAST Authenticated in-band PAC Provisioning

EAP-FAST MS-CHAPv2

EAP-FAST GTC

表14-8 に、NAC L2 802.1x サンプル プロファイル テンプレートの内容を示します。

 

表14-8 NAC L2 802.1x プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定

Description

ユーザ設定

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([006]Service-Type != 10) and (not exist [26/9/1]cisco-av-pair aaa:service)

Authentication

EAP-FAST

Allow EAP-FAST はオン

Allow authenticated in-band PAC provisioning はオン

Allow inner methods EAP-GTC はオン

Allow inner methods EAP-MS-CHAPv2 はオン

Allow Stateless Session Resume はオン

Accept client on authenticated provisioning はオン

Posture Validation required はオン

Credential Validation Database

ACS 内部ユーザ データベース

Posture Validation

Posture validation Rule

Name

NAC-SAMPLE-POSTURE-RULE

Required credential types

Cisco:PA

Selected internal posture policies

NAC-SAMPLE-CTA-POLICY

Selected external posture policies

該当なし

System Posture Token configuration

System Posture Token

PA message

URL

Healthy

Healthy

該当なし

Checkup

Checkup

該当なし

Transition

Transition

該当なし

Quarantine

Quarantine

該当なし

Infected

Infected

該当なし

Unknown

Unknown

該当なし

表14-9 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表14-9 NAC レイヤ 2 802.1x プロファイル サンプルの認可規則

認可規則
ユーザ
グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L2-RAC

該当なし

Rule 2

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L2-RAC

該当なし

Default

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表14-10 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートのポスチャ確認ポリシーの内容を示します。

 

表14-10 NAC レイヤ 2 802.1x プロファイル サンプルのポスチャ確認

セクション
オブジェクト

Internal posture policy

NAC-SAMPLE-CTA-POLICY

状態

System Posture Token

Notification String

Rule 1

Cisco:PA:PA-Name contains CTA and Cisco:PA:PA-Version >=1.0

Cisco:PA:Healthy

該当なし

Default

該当なし

Cisco:PA:Quarantine

該当なし

表14-11 に、NAC レイヤ 802.1x サンプル プロファイル テンプレートの共有プロファイル コンポーネントの内容を示します。

 

表14-11 NAC レイヤ 2 802.1x プロファイル テンプレートの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-HEALTHY-L2-RAC

[027] Session-Timeout = 36,000

[26/9/1] cisco-av-pair sec:pg=healthy_hosts

[029] Termination-Action RADIUS-Request (1)

[064] Tunnel-Type [T1] VLAN (13)

[065] Tunnel-Medium-Type [T1] 802 (6)

[081] Tunnel-Private-Group-ID = healthy

NAC-SAMPLE-QUARANTINE-L2-RAC

[027] Session-Timeout = 3,600

[26/9/1]cisco-av-pair sec:pg=quarantine_hosts

[029] Termination-Action RADIUS-Request (1)

[064] Tunnel-Type [T1] VLAN (13)

[065] Tunnel-Medium-Type [T1] 802 (6)

[081] Tunnel-Private-Group-ID = quarantine

Microsoft IEEE 802.1x

このテンプレートを使用する前に、Global Authentication Setup ページで Allow EAP-MS-CHAPv2 オプションがオンになっていることを確認します。

表14-12 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートのプロファイル サンプルを示します。

 

表14-12 Microsoft IEEE 802.1x プロファイル サンプル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([006]Service-Type != 10) and (not exist [26/9/1]cisco-av-pair aaa:service)

Authentication

PEAP

Allow EAP MS-CHAPv2 はオン

Credential Validation Database

ACS 内部ユーザ データベース

Posture Validation

該当なし

表14-13 に、Microsoft IEEE 802.1x サンプル プロファイル テンプレートの認可規則を示します。

 

表14-13 Microsoft IEEE 802.1x プロファイル サンプルの認可規則

認可規則
ユーザ グループ
システム ポスチャ トークン
RAC
DACL

Default

Deny = オフ

Include RADIUS attributes from user's group

オン

Include RADIUS attributes from user record

オン

無線(NAC L2 802.1x)

無線(NAC L2 802.1x)用テンプレートは、NAC L2 802.1x テンプレートと同じです。詳細については、「NAC レイヤ 2 802.1x」を参照してください。

Agentless Host for L2(802.1x フォールバック)

Agentless Host for L2(802.1x フォールバック)プロファイル テンプレートを使用して、スイッチから送信されてくる RADIUS 要求に一致するプロファイルを作成できます。プロファイルが作成されたら、プロファイルと完全に一致するものを作成するために Catalyst 6500 から送信される RADIUS パケットの分析を完了する必要があります。スイッチから送信される RADIUS 要求には、Service Type 値 10(NAC-L2-IP と同様)が含まれますが、キーワード サービスのある Cisco Attribute Value Pair(AVP; AV のペア)は含まれません。そのため、2 つのエントリは Advanced Filtering ボックスで作成されます。

表14-14 に、Agentless Host for L2(802.1x フォールバック)サンプル プロファイル テンプレートのプロファイル サンプルの内容を示します。

 

表14-14 Agentless Host for L2(802.1x フォールバック)のサンプル プロファイル

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

(not exist [26/9/1]cisco-av-pair aaa:service)

AND ([006]Service-Type = 10)

Credential Validation Database

該当なし

Authentication

Protocols

Allow Agentless Request Processing がオンになる。

デフォルト ユーザ グループは default group に設定される。

Posture Validation

該当なし

表14-15 に、Authentication Bypass サンプル プロファイル テンプレートの認可規則の内容を示します。

 

表14-15 Authentication Bypass サンプル プロファイルの認可規則

認可規則
ユーザ
グループ
システム ポスチャ トークン
RAC
DACL

Rule 1

Default-group

該当なし

NAC-SAMPLE-QUARANTINE-L2-RAC

該当なし

Default

Deny = オン

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

Agentless Host for L3

このテンプレートは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)のアクセス要求に使用されます。NAH はエージェントレス ホストとも呼ばれます。この要求では EAP over UDP(EoU)を使用します。

表14-16 に、Agentless Host for L3 サンプル プロファイル テンプレートのプロファイル サンプルの説明を示します。

 

表14-16 Agentless Host for L3 サンプル プロファイル テンプレート

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([[26/9/1]Cisco av-pair]aaa:service =ip_admission) AND ([006]Service-Type = 10)

Credential Validation Database

該当なし

Posture Validation

該当なし

Authorization

Rules

ユーザ
グループ
システム ポスチャ トークン
RAC
DACL

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L3-RAC

NAC_SAMPLE_
HEALTHY_ACL

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

該当なし

Transition

NAC-SAMPLE-
TRANSITION-L3-RAC

NAC_SAMPLE_
TRANSITION_ACL

Default

Deny = オフ

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表14-17 に、Agentless Host for L3 サンプル プロファイル テンプレートの共有プロファイル コンポーネントを示します。

 

表14-17 Agentless Host for L3 サンプルの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-TRANSITION-L3-RAC

[027] Session-Timeout = 60

[029] Termination-Action RADIUS-Request (1)

監査サーバからのヒントがある場合、Session-Timeout は上書きされる可能性がある。

NAC-SAMPLE-HEALTHY-L3-RAC

[027] Session-Timeout = 36,000

[029] Termination-Action RADIUS-Request (1)

NAC-SAMPLE-QUARANTINE-L3-RAC

[027] Session-Timeout = 3,600

[029] Termination-Action RADIUS-Request (1)

Downloadable IP ACLs

ACL Content Name

Content

NAF

NAC-_SAMPLE-_TRANSITION-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC-_SAMPLE-_HEALTHY-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC_-SAMPLE-_QUARANTINE-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

Agentless Host for L2 and L3

このテンプレートは、L2 Network Access Device(NAD; ネットワーク アクセス デバイス)に接続されたエージェントレス ホストからのアクセス要求に使用されます。ACS ではまず、IP アドレスを受信できる隔離ネットワークにデバイスがアクセスできるようにします。デバイスが IP アドレスを受信すると、監査が開始されます。この時点では、L3 ホストの監査と同じです。ホストの IP アドレスを認識するように NAD を事前に設定しておく必要があります。ACS は、最初のアクセス要求に応答し、デバイスが IP アドレスを認識したときに別の要求を発行するようにデバイスに通知します。NAD がホストの IP アドレスを認識しない場合、ACS は失敗条件を起動し、ポリシー フローは Audit Fail-Open ポリシーに従います。次に管理者は、ユーザを拒否するか、ポスチャ トークンおよびオプションのユーザ グループを割り当てるかを選択できます。

表14-18 に、Agentless Host for L2 and L3 のサンプル プロファイル テンプレートのプロファイル サンプルの説明を示します。

 

表14-18 Agentless Host for L2 and L3 サンプル プロファイル テンプレート

セクション
プロパティ

NAP

Name

ユーザ設定可能

Description

ユーザ設定可能

Profile

NAF

該当なし

Protocol

該当なし

Advance filter

([006]Service-Type = 10) AND (not exist [26/9/1]cisco-av-pair aaa:service) AND (audit-session-id=^)

Credential Validation Database

該当なし

Posture Validation

該当なし

Authorization

Rules

ユーザ
グループ
システム ポスチャ トークン
RAC
DACL

該当なし

Healthy

NAC-SAMPLE-
HEALTHY-L3-RAC

NAC_SAMPLE_
HEALTHY_ACL

該当なし

Quarantine

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

該当なし

Transition

NAC-SAMPLE-
TRANSITION-L3-RAC

NAC_SAMPLE_
TRANSITION_ACL

Default

Deny = オフ

NAC-SAMPLE-
QUARANTINE-L3-RAC

NAC_SAMPLE_
QUARANTINE_ACL

Include RADIUS attributes from user's group

オフ

Include RADIUS attributes from user record

オフ

表14-19 に、Agentless Host for L2 and L3 のサンプル プロファイル テンプレートの共有プロファイル コンポーネントを示します。

 

表14-19 Agentless Host for L2 and L3 サンプルの共有プロファイル コンポーネント

タイプ
オブジェクト

RADIUS Authorization Components

NAC-SAMPLE-TRANSITION-L3-RAC

[027] Session-Timeout = 60

[029] Termination-Action RADIUS-Request (1)

監査サーバからのヒントがある場合、Session-Timeout は上書きされる可能性がある。

NAC-SAMPLE-HEALTHY-L3-RAC

[027] Session-Timeout = 36,000

[029] Termination-Action RADIUS-Request (1)

NAC-SAMPLE-QUARANTINE-L3-RAC

[027] Session-Timeout = 3,600

[029] Termination-Action RADIUS-Request (1)

Downloadable IP ACLs

ACL Content
Name

Content

NAF

NAC-_SAMPLE-_TRANSITION-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC-_SAMPLE-_HEALTHY-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

NAC_-SAMPLE-_QUARANTINE-_ACL

L3-EXAMPLE

permit ip any any

(All-AAA-Clients)

プロファイル用ポリシーの設定

プロファイルを設定したら、組織のセキュリティ ポリシーを反映させるために、規則またはポリシーのセットをプロファイルに関連付けます。次の機能のポリシーを設定できます。

プロトコル :パスワード プロトコルと EAP 設定を定義します。

認証 :認証メカニズムに関連する設定ポリシーのセット。

ポスチャ確認 :ポスチャ確認の実行方法を定義します(ネットワークで NAC を展開する場合のみ)。

認可 :認可規則のセットを設定します(オプション)。

ACS は、要求されたプロファイルに従ってアトリビュートを関連付けます。Access-Accept メッセージで返されるアトリビュートは、プロファイルに関連付けられたアトリビュート(VPN プロファイル要求の場合は Tunnel-Type など)と、エンドユーザ宛のセッション固有アトリビュート(Idle-Timeout など)を連結したものです。プロファイル マッピングはユーザの識別とは無関係に行われるため、各ユーザは複数のプロファイルを使用することができ、確認するデータベース内に 1 つしかエントリを持ちません。

次のトピックでは、NAP のポリシーを設定および管理する方法を説明します。

「NAP のプロトコル設定」

「NAP の認証ポリシー設定」

「NAP のポスチャ確認ポリシー設定」

「NAP の認可ポリシーの設定」

NAP のプロトコル設定

次のトピックでは、NAP の認証プロトコルを設定する方法を説明します。

「認証プロトコル」

「エージェントレス要求処理」

「NAP の EAP 設定」

「ポスチャ確認による EAP-FAST」

「RADIUS キー ラップありの EAP 認証」

「プロトコルの設定」

認証プロトコル

認証プロトコルの関連パラメータはすべて NAP に設定できます。これらのパラメータはアクセス要求の処理中に適用されます。

プロトコル設定への ACS グローバル設定の読み込み

プロトコル設定に ACS グローバル設定を読み込み、その後にカスタマイズすることができます。この方法によって、新しくプロファイルをセットアップするたびに行うプロトコル設定値の設定が容易になります。

Global Authentication Setup ページは、アクティブまたは非アクティブなプロファイルにすべての EAP 設定を行う中心的な場所として機能します。Global Authentication ページでディセーブルになっている ACS プロファイルの EAP タイプをイネーブルにすることはできません。Global Authentication ページでオフになっているどの EAP タイプも、すべての ACS(アクティブまたは非アクティブ)プロファイルで自動的にオフになります。Global Authentication Setup ページで設定できないオプションは、Global Authentication Setup ページから読み込んだ後に、Protocol Settings ページでオフにされます。

グローバル設定を適用するには、 Populate from Global をクリックして、 System Configuration > Global Authentication Setup ウィンドウで設定された認証設定を適用します。詳細については、「認証オプションの設定」を参照してください。

NAC の Global Authentication Setup で、すべての認証プロトコルをオンにすることをお勧めします。

次の認証プロトコル(セキュリティ レベルの最も低いものから順に配列)を設定することができます。

RADIUS 認証プロトコルにより、次を使用して認証を許可または拒否できます。

Password Authentication Protocol(PAP; パスワード認証プロトコル)プロトコル

CHAP パスワード プロトコル

MS-CHAPv1 パスワード プロトコル

MS-CHAPv2 パスワード プロトコル

エージェントレス要求処理。詳細については、「エージェントレス要求処理」を参照してください。

EAP 認証に使用する EAP タイプのセット(外部および内部)を許可または拒否するオプション(各 EAP タイプの関連設定を含む)。詳細については、「NAP の EAP 設定」を参照してください。

設定できる EAP プロトコル

PEAP

EAP-FAST

RADIUS キー ラップあり/なしの EAP-Transport Layer Security(TLS; トランスポート層セキュリティ)詳細については、「RADIUS キー ラップありの EAP 認証」を参照してください。

EAP-Message Digest 5(MD5; メッセージ ダイジェスト 5)

選択するプロトコルによって、ネゴシエーションの柔軟性が決まります。認証に使用するプロトコルを決定することが、最終結果です。プロトコルの詳細については、「認証と EAP プロトコルについて」を参照してください。


) LEAP(EAP-Cisco Wireless)は、ネットワーク アクセス プロファイルを使用する場合にはサポートされません。


エージェントレス要求処理

エージェントレス要求処理は、ポートごとに設定される ID ベースのネットワーク セキュリティ機能です。スイッチは、スイッチに接続しているエンドホストの Media Access Control(MAC; メディア アクセス制御)アドレスを持つ ACS に対して RADIUS 要求を作成します。エージェントレス認証は、そのスイッチまたはデバイス上で、802.1x または EAPoUDP が失敗したために生じるフォールバックとして行われ、これらのメカニズムはバイパスされます。この機能は、802.1x も EAPoUDP もサポートしないホストにネットワーク アクセスを許可する場合に役立ちます。たとえば、802.1x クライアントを持たないプリンタや端末が、ネットワークにアクセスするためにこの機能を使用できます。

この機能を使用して、MAC アドレスをユーザ グループにマッピングできます。設定済み LDAP サーバまたは ACS 内部データベースを使用して、ユーザが要求する MAC アドレスの認証を行うことができます。ACS は、LDAP サーバを使用して MAC アドレスを検索し、MAC アドレスの LDAP グループのアトリビュートを取得します。LDAP サーバに MAC アドレスが存在すると、ACS は、設定済みの ACS の LDAP 外部データベースで設定されている ACS グループに LDAP グループをマッピングします。ACS は、MAC アドレスのどんな標準形式でも受け入れます。定義済みアドレス リストに MAC アドレスがない場合は、フォールバック ユーザ グループをアクセス要求に関連付けることができます。グループはプロファイルの認可ポリシーに含めることができ、その後で認可規則に基づいてネットワーク アドミッションについて評価できます。

エージェントレス要求での LDAP 外部データベースの設定の詳細については、『 Configuration Guide for Cisco Secure ACS Release 4.2 』を参照してください。

MAC アドレスは、Calling-Station-ID RADIUS アトリビュートで送信されます。ACS は、次の方法でエージェントレス要求を識別します。

Service-Type = 10 (Call Check)

Allow Agentless Request Processing オプションがイネーブルになっていない場合は、MAC アドレス認証が適用されず、アクセス要求が拒否されます。

ACS は、判読可能な形式で MAC-48 アドレスを表す、次の 3 つの標準形式をサポートします。

送信順にハイフン(-)で区切られた 2 桁の 16 進数のグループ 6 個で構成される。たとえば、01-23-45-67-89-ab。

コロン(:)で区切れられた 2 桁の数字のグループ 6 個で構成される。たとえば、01:23:45:67:89:ab。

ドット(.)で区切られた 4 桁の 16 進数のグループ 3 個で構成される。たとえば、0123.4567.89ab。

無効な MAC アドレスの場合にはエラー アラートが表示されます。MAC アドレスは、ACS に入力されたときの形式とは関係なく、1 つの形式で表示されます。

エージェントレス要求を処理するには、「Protocols Settings for profile_name ページ」の説明に従って Allow Agentless Request Processing をイネーブルにする必要があります。また、「Authentication for profile_name ページ」の説明に従って設定内容を定義する必要もあります。MAC アドレス ユーザ要求を認証するために使用する設定済みデータベースを選択し、一致しない MAC アドレスのデフォルト マッピングを定義します。

NAP の EAP 設定

EAP は、任意の認証情報を対象とする柔軟な要求応答プロトコルです(RFC 2284)。EAP は UDP、802.1x、RADIUS など、別のプロトコルの最上層にあり、次の複数の認証タイプをサポートします。

PEAP(Protected EAP)

EAP-FAST

EAP-TLS(X.509 証明書に基づく)

EAP-MD5:プレーン パスワード ハッシュ(CHAP over EAP)

EAP-GTC:OTP トークン


) PEAP、EAP-FAST、および EAP-TLS 認証の RADIUS キー ラップのアトリビュートをイネーブルにできます。


次の拡張 EAP 方式は NAC の場合に使用できます。

EAP-TLV:ポスチャ クレデンシャル、追加ポスチャ AVP、ポスチャ通知を伝達します。

Status Query:この新しい EAP 方式を使用すると、完全なクレデンシャル確認を行わずにピアの状態をセキュアに問い合せることができます。

EAPoUDP:レイヤ 3 転送に EAP over UDP を使用します。

ポスチャ確認による EAP-FAST

組織によっては、ホストに Cisco Trust Agent を設定している途中の場合があります。Cisco Trust Agent がインストールされているものもあれば、またインストールされていないものもあります。Cisco Trust Agent がインストールされているマシンにはポスチャ確認を適用し、一時的に Cisco Trust Agent がインストールされていないマシンでの認証に失敗しないようにする場合があります。Required Posture Validation で EAP-FAST がイネーブルになっている場合、Optional selection を選択して結果の SPT を指定できます。ここで設定する SPT を Authorization 設定用に使用できます。ACS で使用されるトークンの詳細については、 「ポスチャ トークン」 を参照してください。


) ポスチャ確認規則が定義されていない場合、返されるポスチャ トークンは Unknown です。


RADIUS キー ラップありの EAP 認証

ACS は、RADIUS キー ラップありの PEAP、EAP-FAST、および EAP-TLS 認証を使用するように設定できます。この認証方式を使用する設定の ACS は、RADIUS メッセージを認証し、セッション キーを Network Access Server(NAS; ネットワーク アクセス サーバ)に配布できます。EAP セッション キーは、Advanced Encryption Standard(AES; 高度暗号化規格)に従って暗号化され、RADIUS メッセージは HMAC-SHA-1 を使用して認証されます。

RADIUS は(EAP-Message アトリビュートの)EAP メッセージの転送に使用されるため、RADIUS メッセージをセキュアに認証することにより、セキュアに認証された EAP メッセージ交換が保証されます。PEAP、EAP-FAST、および EAP-TLS 認証がイネーブルの場合には、RADIUS キー ラップを外部認証方式として使用できます。キー ラップは、EAP-TLS の場合には内部方式(たとえば、EAP-FAST または PEAP)としてサポートされません。

ACS でサポートされる RADIUS キー ラップでは、cisco-av-pair RADIUS Vendor-Specific-Attribute(VSA; ベンダー固有アトリビュート)の次の 3 つの新しい AVP を使用します(Cisco VSA の TLV 値は [26/9/1])。

Random-Nonce :NAS によって生成され、鍵データの暗号化および認証にランダム性を付与し、要求と応答パケットをリンクさせてリプレイ アタックを防止します。

Key :セッション キーの配布で使用されます。

Message-Authenticator-Code :EAP-Message アトリビュートと Key アトリビュートを含む RADIUS メッセージの認証性を保証します。

RADIUS キー ラップの使用時に、ACS はメッセージ交換とキー配布でこれら 3 つの RADIUS キー ラップ AVP 適用します。ACS は、RADIUS キー ラップ AVP と標準の RADIUS Message-Authenticator アトリビュートを含むすべての RADIUS(EAP)要求を拒否します。

PEAP、EAP-FAST、および EAP-TLS 認証で RADIUS キー ラップを使用するには、NAP の Protocol Settings ページで EAP authentication with RADIUS Key Wrap をイネーブルにする必要があります。また、AAA クライアントごとに、あるいは 1 つの NDG で、2 つの共有秘密鍵を定義する必要があります。それぞれの鍵は一意で、RADIUS 共有鍵とは明確に区別される必要があります。RADIUS キー ラップはプロキシ機能をサポートしないため、プロキシ構成では使用しないでください。

プロトコルの設定

NAP のプロトコルを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

Network Access Profiles ページが表示されます。

ステップ 2 関連する NAP の Protocol をクリックします。

Protocols and EAP Configuration ページが表示されます。

ステップ 3 ページに ACS グローバル プロトコルの設定値を読み込むには、 Populate from Global を選択します。グローバル プロトコル設定の詳細については、「認証オプションの設定」を参照してください。


) LEAP が Global Authentication Setup ページで設定された場合、NAP ではサポートされません。


ステップ 4 エージェントレス要求を処理するには、 Allow Agent Request Processing で使用できるオプションの 1 つを選択し、MAC アドレス ユーザ要求を認証します。

ステップ 5 必要に応じて他の設定内容を変更します。オプションの詳細については、「Protocols Settings for profile_name ページ」を参照してください。

ステップ 6 Submit をクリックします。

Network Access Profiles ページが表示されます。

ステップ 7 変更内容を有効にするために、 Apply and Restart をクリックします。


 

NAP の認証ポリシー設定

認証設定では、認証のためにユーザ クレデンシャルを検証する際に使用されるデータベースを定義します。認証ポリシーを設定する前に、Database Group Mapping で定義されたマッピング規則に従って ACS ユーザ グループにマッピングした、外部ユーザ データベースを設定します。


) ACS 内部データベースは、デフォルトの選択済みデータベースです。


認証ポリシーの一部として、MAC アドレスのエージェントレス要求処理を設定することもできます。詳細については、「エージェントレス要求処理」を参照してください。

次のトピックでは、認証を設定する方法を説明します。

「クレデンシャル確認データベース」

「NAP レベルでのグループのフィルタリング」

「EAP-TLS 認証のオブジェクト ID チェック」

「認証ポリシーの設定」

クレデンシャル確認データベース

クレデンシャル確認データベースは、ユーザの確認に使用するデータベースです。使用可能なデータベースは、Databases Group Mapping に定義されたマッピング規則によって ACS ユーザ グループにマッピングされた設定済みの外部ユーザ データベースです。ACS 内部データベースは、デフォルトで選択済みデータベースとして表示されます。


) 認証に複数のデータベースを指定すると、ACS は正規の応答を受け取るまで、指定された順序で各ディレクトリ サーバに問い合せます。応答時間を短くしてユーザ エクスペリエンスを上げるには、可能性の最も高いディレクトリ サーバをリストの上位に指定する必要があります。


NAP レベルでのグループのフィルタリング

ACS を使用して、NAP レベルでグループのフィルタリングを実行できます。ユーザの外部データベースのグループ メンバーシップによって異なりますが、ACS では、グループのフィルタリング設定に基づいてネットワークへのアクセスを拒否または許可できます。

グループのフィルタリングを行うと、外部 LDAP データベースで予期されるグループ メンバーシップを取得できます。たとえば、NAP のグループのフィルタリングが LDAP_GRP1, LDAP_GRP2 として設定されている場合、正常に認証されるには、ユーザはいずれかの LDAP グループに所属している必要があります。

外部データベース認証時のグループ マッピングの実行中にグループのフィルタリングがチェックされます。


) グループのフィルタリングは NAP レベルで実行されます。NAP の選択処理中はユーザの外部データベースのメンバーシップがまだ認識されていないため、グループのフィルタリングを NAP の選択基準として使用することはできません。



) NAP は RADIUS のパケット処理だけに適用できるため、この機能は NAP レベルでの RADIUS 認証にのみ基準にできます。


EAP-TLS 認証のオブジェクト ID チェック

ACS では、OID と、ユーザ証明書の Enhanced Key Usage (EKU) フィールドを比較できます。OID と EKU が一致しない場合、ACS はアクセスを拒否します。オプションの詳細については、「Authentication for profile_name ページ」を参照してください。

OID の比較がイネーブルになっているときに有効な OID 文字列が入力されると、ユーザが EAP-TLS 認証用に提供したすべての証明書が、入力された OID と比較されます。OID が一致した場合にのみ認証が成功します。OID の比較がイネーブルになっていても、提供されたユーザ証明書の EKU フィールドに OID が含まれていない場合、認証は失敗します。

OID の比較をイネーブルにするには、次の作業を行う必要があります。

NAP ページの EAP-TLS をイネーブルにする。

数値、ドット、カンマ、およびスペースのみで OID 文字列を入力する。たとえば、1.3.6.1.5.5.7.3.2 は有効な OID 文字列です。

複数の OID をカンマ区切り形式で入力する。たとえば、1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 は有効な文字列です。

認証ポリシーの設定

NAP の認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 関連するポリシーの Authentication をクリックします。

Authentication Settings ページが表示されます。

ステップ 3 ACS の Global Authentication Setup ページから認証設定を読み込むには、 Populate from Global を選択します。詳細については、「Global Authentication Setup ページ」を参照してください。

ステップ 4 Credential Validation Databases を選択します。オプションの詳細については、「Authentication for profile_name ページ」を参照してください。

ステップ 5 Group Filtering を設定します。オプションの詳細については、「Authentication for profile_name ページ」を参照してください。

ステップ 6 MAC 認証を設定するには、次の手順を実行します。

a. MAC アドレス ユーザ要求の認証に使用する設定済みデータベースを選択します。設定済み LDAP サーバまたは ACS 内部データベースを使用して、ユーザが要求する MAC アドレスの認証を行うことができます。

b. ドロップダウン リストからグループを選択して、一致しない MAC アドレスに対するデフォルト マッピングを定義します。

オプションの詳細については、「Authentication for profile_name ページ」を参照してください。

ステップ 7 OID を比較します(オプション)。オプションの詳細については、「Authentication for profile_name ページ」を参照してください。

ステップ 8 Submit をクリックします。

Network Access Profiles ページが表示されます。

ステップ 9 変更内容を有効にするために、 Apply and Restart をクリックします。


 

NAP のポスチャ確認ポリシー設定

次のトピックでは、ポスチャ確認ポリシーについて説明します。

「ポスチャ確認規則について」

「ポスチャ確認ポリシーの設定」

「ポスチャ確認規則の削除」

「エージェントレス ホストに対するポスチャ確認の設定」

ポスチャ確認規則について

ポスチャ確認規則を使用して、ポスチャ確認コンポーネントを選択します。ポスチャ確認規則は、条件とアクションで構成されています。条件は、必須クレデンシャル タイプのセットです。アクションでは、ポスチャ確認で使用する内部ポリシーまたは外部サーバを決定します。ポスチャ確認規則は、ポスチャ トークンとポスチャ要求に対するアクションを返します。詳細については、 第 13 章「ネットワーク アクセス コントロールでのポスチャ確認」 を参照してください。

ACS では、ポスチャ確認規則を次のように解釈します。

ポスチャ クレデンシャルにプラグイン <必須クレデンシャル タイプ> から送信されたデータが含まれる場合には、内部、外部、または内部と外部両方のポスチャ確認方式 <内部ポリシーと外部サーバのリスト> を使用してポスチャ確認を実行します。

ACS は、選択されたポスチャ確認規則に関連付けられているすべてのポリシーを適用して、Application Posture Token(APT; アプリケーション ポスチャ トークン)を取得します。APT は、クライアントの状態を表します(クライアントはエンドポイントとも呼ばれます)。ACS は、得られた APT をすべて比較し、その中で最悪のポスチャ トークンを SPT として使用します。SPT は、クライアントの全体的なポスチャを表します。

ポリシーおよび関連する規則も設定して、これらのネットワークで使用される外部 AAA サーバの SoH を処理できます。

監査サーバとは、NAC 準拠 Posture Agent(PA; ポスチャ エージェント)の存在に依存することなく、クライアントに関するポスチャ情報を判別するシスコおよびサードパーティ製のサーバです。このタイプのクライアントは、NAC Agentless Host(NAH; NAC エージェントレス ホスト)と呼ばれます。監査サーバは、組織のセキュリティ ポリシーによってポスチャ確認を評価するために使用されます。詳細については、「ポスチャ確認ポリシーの設定」を参照してください。

Cisco PA は Cisco Trust Agent とも呼ばれます。

各規則に含まれる内容は、次のとおりです。

識別するための名前(ポスチャ確認ポリシー)

この規則をアクティブにするクレデンシャル タイプを定義する必須クレデンシャル タイプ

ポスチャ トークンを算出するために実行される内部ポリシーと外部サーバ。これらのポリシーは、ポスチャ確認規則の作成前に設定します。「ポリシーの設定」 を参照してください。

SPT ごとにクライアントに返されるポスチャ エージェント(PA)メッセージ

SPT ごとに AAA クライアントに送信される URL リダイレクト


) ACS は、ポリシーあたり 100 規則までサポートします。


ポスチャ規則の評価は、最初に一致する規則を採用する方法で行われます。ポスチャ確認ポリシーには、ゼロ個以上の順序付きポスチャ確認規則を入れることができます。ポスチャ確認ポリシーは、最初に一致する規則を使用して選択されます。

監査サーバの機能

監査サーバはホストをスキャンして、トークンを ACS に返します。監査サーバは、非同期ポート スキャン、HTTP リダイレクション、独自のクライアント、およびテーブル検索を使用して、ポスチャ確認情報を提供します。ACS は監査結果をポーリングします。したがって、監査サーバは次のポーリングが行われるまで結果を保持する必要があります。

監査サーバのセットアップの詳細については、「外部ポスチャ確認監査サーバの設定」を参照してください。

システム ポスチャ トークンの設定

システム ポスチャ トークンはコンピュータの状態に関連付けられ、ポスチャ トークンは NAC 準拠アプリケーションの状態に関連付けられます。

アクションは、受信されたポスチャ確認要求内のクレデンシャルにポリシーを適用した結果です。ACS は、要求に適用されたすべてのポリシーから得られたアクションどうしを比較して、各要求のポスチャ トークンを判別します。最悪のポスチャ トークンがシステム ポスチャ トークンになります。

URL リダイレクト ポリシー

URL リダイレクト ポリシーは、すべての HTTP トラフィックまたは HTTPS トラフィックを感染修復サーバにリダイレクトするメカニズムを提供します。感染修復サーバは、準拠しないホストが準拠するように必要なアップグレード処理を実行できるようにします。このポリシーは次の内容で構成されます。

感染修復サーバを示す URL

ホストからの HTTP または HTTPS パケットのうち、感染修復サーバのアドレス宛て以外のパケットをすべて取得し、必要な HTTP リダイレクションのためにスイッチ ソフトウェアにリダイレクトするスイッチ上の ACL

ホスト ポリシーの ACL 名、リダイレクト URL、および URL リダイレクト ACL は、RADIUS アトリビュート値オブジェクトを使用して含められます。

エラー時のフェール オープン

アップストリーム NAC サーバからポスチャ トークンを取得できないように、エラーに対してフェール オープンを設定することができます。フェール オープンを設定しない場合、ユーザ要求は拒否されます。

フェール オープンが設定済みで、アップストリーム ポスチャ確認サーバとの通信時にエラーが発生すると、ポスチャ確認が正常終了したかのようなポリシー結果になります。指定されたポリシーの SPT は、事前に定義された静的な値になります。

次のサーバに関連付けられているプロファイルのフェール オープンをイネーブルにするかどうかを選択できます。

外部ポスチャ確認サーバ:複数のサーバがプロファイルに設定されていると、障害の発生した各サーバによって APT が最終的な SPT になります。最悪のトークンが SPT として使用されます。SPT は、NAC クライアント コンピュータの全体的なポスチャを表します。「ポスチャ確認ポリシーの設定」 を参照してください。

監査サーバ:フェール オープンを設定すると、SPT は静的に設定されたポスチャ トークンに設定されます。「エージェントレス ホストに対するポスチャ確認の設定」 を参照してください。

ポスチャ確認ポリシーの設定

ポスチャ確認ポリシーには、1 つまたは複数のポスチャ確認規則を入れることができます。ACS がポスチャ確認ポリシーを使用してポスチャ確認要求を評価する場合、最初に一致したものが実装されます。選択された規則により、要求に対してどの内部ポリシーと外部ポリシーをアクティブにするかが決まります。

必要に応じて、Internal Posture Validation Setup または External Posture Validation Setup で、規則に関連付けられたポスチャ確認ポリシーを設定できます。

始める前に

Network Access Profiles > Authentication Settings ページ(「Authentication for profile_name ページ」を参照してください)で、Allow Posture Validation オプションがオンになっていることを確認します。

ポスチャ確認の設定が完了していることを確認します(詳細については、「ACS での NAC の設定」を参照してください)。

内部ポスチャ確認ポリシー、外部ポスチャ確認サーバ、またはその両方をプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 Add Rule をクリックします。

Posture Validation Rule ページが表示されます。このページのオプションの詳細については、「Posture Validation Rule for profile_name ページ」を参照してください。

ステップ 4 規則の名前を入力します。

ステップ 5 Required Credential Types を設定します。

ステップ 6 アクティブにする Internal Posture Validation Policies と External Posture Validation Servers を選択します。

ステップ 7 選択した外部ポスチャ確認サーバのフェール オープンを設定するには、次のいずれかを実行します。

フェール オープンに対してアクセスを拒否するには、 Reject User をオンにします。

Failure Posture Assessment フィールドで、次の項目を選択します。

Credential Type :障害が発生したサーバから返されている APT に代わる APT のネームスペース

Posture Token :障害発生時に使用されるポスチャ トークン

ステップ 8 (オプション) System Posture Token Configuration テーブルを使用して、System Posture Token の PA Message と URL Redirect を設定します。

ステップ 9 Submit をクリックします。Posture Validation ページが再表示されます。

ステップ 10 Posture Validation ページで Done をクリックします。

Network Access Profiles ページが表示されます。

ステップ 11 変更内容を有効にするために、 Apply and Restart を選択します。

ステップ 12 ポスチャ確認ポリシーに戻るには、 Cancel をクリックします。


 

ポスチャ確認規則の削除

内部ポスチャ確認ポリシー規則を削除するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 削除する規則名をクリックします。「Posture Validation Rule for profile_name ページ」が表示されます。

ステップ 4 Delete をクリックします。

警告メッセージが表示されます。

ステップ 5 OK をクリックします。


 

正常性ステートメントを処理するポスチャ確認ポリシーの設定

ポスチャ確認ポリシーには、1 つまたは複数のポスチャ確認規則を入れることができます。ACS がポスチャ確認ポリシーを使用してポスチャ確認要求を評価する場合、最初に一致したものが実装されます。選択された規則により、要求に対してどの内部ポリシーと外部ポリシーをアクティブにするかが決まります。

必要に応じて、Internal Posture Validation Setup または External Posture Validation Setup で、規則に関連付けられたポスチャ確認ポリシーを設定できます。

SoH のポスチャ確認規則を設定することもできます。

始める前に

次の条件が満たされていることを確認します。

Authentication Settings ページの Allow Posture Validation オプションをオンにする(「Authentication for profile_name ページ」を参照)。

ポスチャ確認の設定を行う(詳細については、「ACS での NAC の設定」を参照してください)。

Advanced Options ページの Microsoft Network Access Protection Settings チェックボックスをオンにする。

SoH のポスチャ確認規則をプロファイルに追加するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 Statement of Health Posture Validation Rules テーブルの Add Rule をクリックします。

Statement of Health Posture Validation Rule ページが表示されます。

ステップ 4 規則の名前を入力します。

ステップ 5 Endpoint Location を設定します。

ステップ 6 アクティブにする外部ポスチャ確認サーバを選択します。

ステップ 7 Network Policy Server(NPS; ネットワーク ポリシー サーバ)がクライアントの正常性ステートメントを確定できない場合に ACS がユーザを拒否するように設定するには、 Reject User チェックボックスをオンにします。


) Reject User オプションは、NPS サーバがクライアントの正常性ステートメントを確定できない場合にのみ機能します。


ステップ 8 NPS サーバがクライアントの正常性ステートメントを確定できない場合に使用されるトークンを指定する場合、次の作業を行います。

Reject User チェックボックスをオフにします。

Failure Posture Token フィールドのドロップダウン リストから、割り当てるトークンのタイプを選択します。


) ユーザが拒否されていない場合でも、NPS サーバは正常性ステートメントを確認して適切なトークを ACS に返します。

NPS サーバがクライアントの正常性ステートメントを確定できない場合のみ、ACS は正常性ステートメントのポスチャ規則に指定したトークンを使用します。したがって、ここで選択するトークンは、NPS サーバが正常性ステートメントを処理できなかった場合だけに使用される「フェイルセーフ」トークンとなり、必ずしも選択する必要はありません。


ステップ 9 URL Redirect テーブルで、システム ポスチャ トークンのタイプごとに、ユーザのリダイレクト先となるサーバの URL を入力します。

ステップ 10 Submit をクリックします。

Posture Validation ページが再表示されます。

ステップ 11 Posture Validation ページで Done をクリックします。

Network Access Profiles ページが表示されます。

ステップ 12 変更内容を有効にするために、 Apply and Restart をクリックします。

ステップ 13 ポスチャ確認ポリシーに戻るには、 Cancel をクリックします。


 

正常性ステートメントのポスチャ確認規則の削除

SoH のポスチャ確認規則を削除するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 削除する規則名をクリックします。Statement of Health Posture Validation Rule for profile_name ページが表示されます。

ステップ 4 Delete をクリックします。

警告メッセージが表示されます。

ステップ 5 OK をクリックします。


 

エージェントレス ホストに対するポスチャ確認の設定

ポスチャ確認規則は、ポスチャ確認について返されるポスチャ トークンを定義します。ポスチャ確認テーブルには、ポスチャ確認規則と監査設定が含まれます。

ポスチャ確認規則に含まれる内容は、次のとおりです。

規則をアクティブにする必須クレデンシャル タイプを定義する必須クレデンシャル

ポスチャ トークンを算出するために実行されるローカル ポリシーおよび外部サーバ

ポスチャ トークンごとにクライアントに返される PA メッセージ

ポスチャ トークンごとに AAA クライアントに送信される URL リダイレクト

ポスチャ確認ポリシーには、0 ~ n 個の順序付きポスチャ規則を入れることができます。

必須クレデンシャル タイプに一致する最初のポスチャ確認が選択されます。

返されるポスチャ トークンは、選択されたローカル ポリシーおよび外部ポスチャ サーバから返される最悪のアセスメントです。

クライアントがエージェントレス ホストの場合、選択済された監査サーバがクライアントを監査します。

NAH のポスチャ確認ポリシーを設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Posture Validation を選択します。

Posture Validation ページが表示されます。

ステップ 3 Select Audit を選択します。

「Select External Posture Validation Audit for Profile_name ページ」が表示されます。

ステップ 4 関連する監査サーバを選択します。ポスチャ確認に監査サーバを使用しない場合は、 Do Not Use Audit Server を選択します。

ステップ 5 フェール オープンをイネーブルにするには、次の手順を実行します。

a. Do Not reject when Audit failed チェックボックスをオンにします。

b. 障害発生時に使用する ポスチャ トークン を選択します。

c. 監査サーバの session-timeout 値を入力します。

d. ユーザ グループを割り当てるには、 Assign a User Group チェックボックスをオンにして、ドロップダウン リストからグループを選択します。

ステップ 6 Submit をクリックします。

ステップ 7 変更内容を有効にするために、 Apply and Restart をクリックします。


 

認可規則について

認可ポリシーは、NAP に適用される規則で構成されます。認可ポリシーを使用して、認証済みユーザを認可します。認可規則は、グループ メンバーシップ、ポスチャ確認、またはその両方に基づくことができます。認可アクションは、RAC と ACL から作成されます。

RAC の設定の詳細については、「RADIUS 認可コンポーネント」を参照してください。ダウンロード可能な ACL の詳細については、「ダウンロード可能 IP ACL」を参照してください。

クレデンシャルは、識別およびポスチャ認可で使用されます。各アプリケーションのポスチャ クレデンシャルは個別に評価されます。クレデンシャルはポスチャ確認ポリシーと比較されます。

認可ポリシーを設定する場合には、次の場合の結果を考慮します。

ユーザ認証は、ユーザ グループに対する割り当てである。

ポスチャ確認は、システム ポスチャ トークンである。

EAP-FAST 認証とポスチャ確認を同じセッションに設定すると、ユーザ グループおよびポスチャ トークンに割り当てられる。

認可ポリシーは、ACS ユーザ グループとポスチャ トークンを、デバイスに送信される RADIUS アトリビュートのセットに変換したものです。特定のユーザ グループに対してアクセスを拒否するか、あるいは返されたトークンに基づいてアクセスを拒否できます。

認可規則は次のように定義できます。

user-group = selected-user-group または posture-assessment = selected-posture-assessment の場合、選択済み RAC または選択済み DACL を使用してプロファイルをプロビジョニングします。

認可規則は、NAP 内でのデバイス プロビジョニングの変動をグループ メンバーシップおよびポスチャ トークンに基づいて許可します。NAP ごと、グループごと、およびポスチャごとに考えられるマッピングの組み合せは、論理的に非常に多くなります。しかし、実際には、ほとんどのユーザがデフォルトの場合で網羅されます。たとえば、healthy である通常のユーザです。例外は、特別なアクセス権(たとえば、管理者)を必要とするグループや、ポスチャが Infected または Quarantined であるユーザなどです。したがって、認可規則を作成する場合は、最初に通常の条件を定義した後に、より具体的なマッピングを必要とする例外のセットを定義すると有用です。

また、アクションとして明示的に拒否(access-reject を送信)するために認可規則を使用することもできます。

認可規則を設定した後は、選択したユーザ グループの Network Access Restriction(NAR; ネットワーク アクセス制限)ポリシーをオンにしても、NAP ポリシーは無効になりません。NAR 評価の結果に応じて、受け入れまたは拒否が適用されます。詳細については、「ネットワーク アクセス制限」を参照してください。

共有 RAC

NAP を使用すると、同一の RADIUS アトリビュートをプロビジョニングして、異なるユーザ、グループ、および NAP に対し別の値を設定できます。1 ユーザ 1 グループ 1 プロファイルという方針は、プロファイルベースのポリシーを使用することで、さらに柔軟になりました。NAP ごとに、ポリシーが RADIUS アトリビュート値に基づいて認証および認可する内容を設定できます。

特定のグループ(たとえば、管理)で、企業の LAN、VPN、および WLAN の NAP 向けに異なる認可プロファイルが必要な場合、特別なアクセスを許可するように特定の RADIUS アトリビュート セットを割り当てることができます。ユーザが請負業者のグループにいる場合は、より厳しいセキュリティ保護手段を指定できる、異なる値を持つ同じアトリビュート セットを取得できます。NAP 向け RAC の設定の詳細については、「RAC および NAP について」を参照してください。

アトリビュートのマージ

グループ アトリビュートまたはユーザ アトリビュートよりも、RADIUS アトリビュートを優先することができます。これらのオプションを選択すると、ACS は、RADIUS アトリビュート、ダウンロード可能 ACL、および動的に作成される他のアトリビュートをマージします。RADIUS アトリビュートは、ユーザ レコード レベル、グループ レベル、および共有 RAC レベルに置くことができます。

アトリビュートのマージは、優先順位の高いものから順に無効化する処理が繰り返されます。順序は次のようになります。

ユーザによる上書き

動的なセッション(ポスチャ トークンなど)

認証プロトコル(セッション タイムアウト、無線のセッション キーなど)

ダウンロード可能 ACL(割り当て)

共有 RAC

静的グループ

グループ、RAC、ユーザ アトリビュートをマージするときは、グループ レベルのアトリビュート セットによる最終プロファイルの作成が保証されないことに注意してください。選択した内容によっては、アトリビュート セットが RAC で上書きされる可能性があります。

割り当てられた共有 RAC 内のアトリビュートは、静的 ACS グループに定義されたアトリビュートよりも優先されます。そのアトリビュート セットは、ダウンロード可能 ACL のアトリビュートによって無効になります。NAP 認可ポリシーを使用するときは、注意してください。

認可規則の設定

始める前に

サービスごとのプロビジョニング コンポーネント(共有 RAC および DACL)を定義します。サービスで必要な場合は、特定の設定が必要なユーザ グループ用にカスタム RAC と DACL を作成します。

認可規則を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Authorization ポリシーを選択します。

Authorization Rule ページが表示されます。

ステップ 3 Add Rule をクリックします。

新しい規則の行が表示されます。

ステップ 4 認可規則の条件を定義します。

ドロップダウン リストから User Group を選択します。

NAC ネットワークの場合は、 System Posture Token を選択します( NAC ネットワーク以外の場合は、System Posture Token を Any のままにします)。

条件オプションの詳細については、「Authorization Rules for profile_name ページ」を参照してください。

ステップ 5 認可規則のアクションを定義します。

認可規則が一致したときには、アクセスを拒否するか、実装する一方または両方の認可アクションを選択することができます。

Deny Access :このオプションをオンにすると、条件が一致するユーザに対してアクセスを拒否できます。このオプションを選択すると、他のアクション オプションはグレー表示されます。

Shared RAC :ドロップダウン リストから共有 RAC を選択します。

Downloadable ACL :ドロップダウン リストからダウンロード可能 ACL を選択します。

アクション オプションの詳細については、「Authorization Rules for profile_name ページ」を参照してください。

ステップ 6 RADIUS アトリビュートによる優先を設定します。

次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位の RADIUS アトリビュートを使用しない場合は、オフにします。

Include RADIUS attributes from user's group

Include RADIUS attributes from user record

ステップ 7 Submit をクリックします。


 

関連項目

「RADIUS 認可コンポーネント」

「ダウンロード可能 IP ACL」

デフォルト認可規則の設定

条件が定義されていない場合や一致する条件が見つからない場合に、デフォルト認可規則を設定できます。共有 RAC と DACL の選択内容に基づいてアクセスを拒否または許可できます。

デフォルト認可規則を設定するには、次の手順を実行します。


ステップ 1 Network Access Profiles を選択します。

ステップ 2 選択したプロファイルの Authorization ポリシーを選択します。

「Authorization Rules for profile_name ページ」が表示されます。

ステップ 3 Add Rule をクリックします。

ステップ 4 If a condition is not defined or there is no matched condition というテキストが含まれる行の認証アクションを選択します。

ステップ 5 認証アクションを選択します。

デフォルト規則に実装する次の認可アクションを選択できます。

Deny Access:このオプションを選択すると、条件が一致するユーザに対してアクセスを拒否できます。このオプションでは、共有 RAC も DACL も選択する必要はありません。

Shared RAC:ドロップダウン リストから共有 RAC を選択します。詳細については、「プロファイルのトラブルシューティング」を参照してください。

Downloadable ACL:ドロップダウン リストからダウンロード可能 ACL を選択します。詳細については、「ダウンロード可能 IP ACL」を参照してください。

ステップ 6 RADIUS アトリビュートによる優先を設定します。

次のオプションはデフォルトでオンになります。ユーザ レコード単位またはユーザのグループ単位の RADIUS アトリビュートを使用しない場合は、オフにします。

Include RADIUS attributes from user's group

Include RADIUS attributes from user record

ステップ 7 Submit をクリックします。


 

認可規則の順序変更

認可ポリシーの最初に一致したものが、クライアント要求を認可するために実装されます。


) 最も優先順位の高い認可ポリシーをリストの一番上に置く必要があります。User Group にグループ Any を選択したり、ポスチャ トークンの最初の一致にアセスメント Any を選択したりした場合、認可では最初の一致が受け入れられるため、基になるポリシーは有効ではありません。


ポリシー内の条件の順序を指定する場合は、各条件が true になる可能性を判断し、可能性の最も高い条件を先頭に、最も低い条件を末尾に配置します。

認可規則の順序を変更するには、次の手順を実行します。


ステップ 1 Authorization Rules ページで、オプション ボタンをクリックして順序を変更する認可規則を選択します。

ステップ 2 Up または Down をクリックして順序を設定します。


 

認可規則の削除

認可規則を削除するには、次の手順を実行します。


ステップ 1 Authorization Rules ページで、オプション ボタンをクリックして削除する認可規則を選択します。

ステップ 2 Delete をクリックして、選択した規則を削除します。

デフォルトで、ユーザ レコードまたはグループ レコードからの RADIUS アトリビュート規則はイネーブルになります。


 

プロファイルのトラブルシューティング

デバイスに送信されたプロファイルが予期したものと異なる場合は、認可ポリシーが変更されてグループ アトリビュートまたはユーザ アトリビュートがディセーブルになっている可能性があります。これらのアトリビュートは、ポリシーが割り当てる RAC とマージされています。これ以外には、ACS が自動的に特定のアトリビュートを認証プロトコルの一部として追加する可能性や、外部監査サーバが特定の Session-Timeout を指示する可能性もあります。

アトリビュートのマージが選択されていないことを確認してください。


) NAC 展開の Session-Timeout 値は、ACS のパフォーマンスに大きな影響を与える可能性があります。ネットワークの規模および ACS トランザクション キャパシティに合せて、値を調整してください。


ポリシーの複製およびバックアップ

複製するために NAP を選択すると、すべての NAP ポリシーが完全に複製されます。プロファイルには、設定内容のコラボレーションが含まれます。プロファイルの複製コンポーネントは、次のとおりです。

ネットワーク アクセス プロファイル

ポスチャ確認設定

AAA クライアントおよびホスト

外部データベース設定

グローバル認証設定

NDG

ディクショナリ

共有プロファイル コンポーネント(RAC、NAF、およびダウンロード可能 ACL)

追加のロギング アトリビュート

EAP-FAST は複製に異なるメカニズムを使用するため、EAP-FAST も確認する必要があります。


) プロファイルの複製は、ネットワーク設定のデバイス テーブルの複製とは相反するため、同時にこれら両方のコンポーネントをオンにしないでください。ACS での複製は、同じバージョンの ACS 間に限り動作します。複製には、外部データベースやその他すべてのグローバル ACS 設定パラメータは含まれません。


複製の詳細については、「ACS 内部データベースの複製」を参照してください。

Network Access Profiles ページのリファレンス

次のトピックでは、ACS Web インターフェイスの Network Access Profile セクションにあるページについて説明します。

「Network Access Profiles ページ」

「Profile Setup ページ」

「Create Profile from Template ページ」

「Protocols Settings for profile_name ページ」

「Authentication for profile_name ページ」

「Posture Validation ページ」

「Posture Validation Rule for profile_name ページ」

「Authorization Rules for profile_name ページ」

「Select External Posture Validation Audit for Profile_name ページ」

Network Access Profiles ページ

Network Access Profiles ページは、プロファイルベースのポリシーを設定するときに開く最初のページです。

このページを開くには、ナビゲーション バーの Network Access Profiles をクリックします。

 

表14-20 Network Access Profiles ページ

オプション
説明

Name

プロファイルの設定をアクティブにします。「Profile Setup ページ」が開きます。

Policies

プロトコル、認証、ポスチャ確認、および認可ポリシーへのリンクが含まれます。

Protocols:パスワード プロトコルと EAP の設定を行います。「Protocols Settings for profile_name ページ」が開きます。

Authentication:プロファイルの認証ポリシーを制御します。「Authentication for profile_name ページ」が開きます。このページでは、ユーザ クレデンシャルの検証に使用するデータベースを選択できます。

Posture Validation:ポスチャ確認ポリシーを設定します。「Posture Validation ページ」が開きます。

Authorization:radius-profile タグおよびアクセス コントロール リスト(ACL)名に対し、ユーザ グループとシステム ポスチャ トークンの結果との間でマッピングします。「Authorization Rules for profile_name ページ」が開きます。

Add Profile

NAP を設定する「Profile Setup ページ」が開きます。

Add Template Profile

NAC L3 IP、NAC L2 IP、およびエージェントレス ホストを含むテンプレートの中から 1 つ選択し、それをベースにしてプロファイルを作成します。テンプレートを使用すると、プロファイルを容易に作成できます。「Create Profile from Template ページ」が開きます。

Up ボタンと Down ボタン

プロファイルの順序を変更します。Up または Down のボタンをクリックして、ソート順序を変更します。

Deny access when no profile matches

このオプションがオンの場合、アクセス要求がどのプロファイルとも一致しなければ認証に失敗し、ACS はアクセス要求を拒否します。一致しないアクセス要求を処理する場合に、このオプションの使用をお勧めします。

Grant access using global configuration, when no profile matches

このオプションがオンの場合、アクセス要求がどのプロファイルとも一致しなければ認証に失敗し、ACS はデフォルト設定に基づいてアクセス要求を許可します。その後、未知ユーザ ポリシーによりパケットの処理が決まります。このオプションは、NAP による TACACS+ で使用します。

Apply and Restart

ACS を再起動して修正を適用します。

関連項目

「NAP の管理」

「プロファイル テンプレートの使用」

Profile Setup ページ

このページで、ネットワーク アクセス プロファイルを追加、編集、クローニング、または削除します。

このページを開くには、 Network Access Profiles > Add Profile を選択するか、プロファイルの Name を選択します。

 

表14-21 Profile Setup ページ

オプション
説明

Name

プロファイル名。

Description

プロファイルの説明。

Active

プロファイルをアクティブまたは非アクティブにします。

Network Access Filter

このプロファイルで使用するために選択可能な NAFS のリスト(デフォルト = Any)。

Protocol Types

ACS がアクセス要求を許可する対象のクライアントのベンダー タイプのリスト。

Allow Any Protocol Type :Protocol type リストのすべてのプロトコル タイプを許可します。

Allow Selected Protocol Types :Selected リストのプロトコル タイプのみを使用します。矢印は、リスト間でプロトコル タイプを移動するために使用します。

Advanced Filtering

Attribute

すべての RADIUS アトリビュートのリスト。各 RADIUS アトリビュートは番号で一意に識別されます。たとえば、001 はベンダー固有アトリビュートを除いて、User-Name を表す番号です。ベンダー固有アトリビュート(VSA)は、番号 026 を ID として使用します。形式は次のようになります。

Cisco AV-pair 026 / <vendor type> / <vendor attribute>

たとえば、026/009/001 は Cisco AV-pair アトリビュートです。


) ACS では Cisco IOS RADIUS AV ペアをサポートします。AV ペアを選択する前に、AAA クライアントによってサポートされていることを確認してください。AAA クライアントがサポートしない AV ペアの場合、その条件は必ず失敗します。


Operator

各アトリビュートに適切な演算子のリスト。規則要素が true かどうかを評価するときに ACS が使用する比較方法を定義します。

= (等しい):規則要素が true になるのは、アトリビュート内の値が、指定された値に完全に等しい場合です。

!= (等しくない):規則要素が true になるのは、アトリビュート内の値が、指定された値と等しくない場合です。

> 大なり ):規則要素が true になるのは、アトリビュート内の値が、指定された値より大きい場合です。

< 小なり ):規則要素が true になるのは、アトリビュート内の値が、指定された値より小さい場合です。

<= 小なりイコール ):規則要素が true になるのは、アトリビュート内の値が、指定された値以下の場合です。

>= 大なりイコール ):規則要素が true になるのは、アトリビュート内の値が、指定された値以上の場合です。

contains :規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の一部が、指定された文字列と一致した場合です。

starts wit h:規則要素が true になるのは、アトリビュートに文字列が含まれ、その文字列の先頭部分が、指定された文字列と一致した場合です。

regular expression :規則要素が true になるのは、指定した正規表現と一致する文字列がアトリビュートに含まれる場合です。ACS では、次に示す正規表現がサポートされています。

^ キャレット ):^ 演算子は、文字列の先頭と一致します。

$ ドル ):$ 演算子は、文字列の末尾と一致します。


) 演算子の contains、start with、および regular expression は、文字列タイプのアトリビュート値にしか使用できません。


Value

アトリビュートに適切な値。

cisco-av-pair

{026/009/001} cisco-av-pair アトリビュートの場合は、av-pair-key と av-pair-value の演算子および値。

Submit

修正内容を送信します。「Profile Setup ページ」に戻ります。

Clone

NAP のコピーを作成します。

Delete

警告を表示した後にプロファイルを削除します。

Cancel

変更を実装せずに「Profile Setup ページ」に戻ります。

関連項目

「ネットワーク アクセス フィルタ」

「NAP の管理」

「プロファイルのクローニング」

Create Profile from Template ページ

このページを使用して、テンプレートから新しいプロファイルを作成します。

このページを開くには、 Network Access Profiles > Add Profile from Template を選択します。

 

表14-22 Create Profile from Template ページ

オプション
説明

Name

プロファイルの名前。

Description

プロファイルの説明。

Template

使用可能なテンプレートのリスト。


) NAC L3 IP テンプレートの場合は、「Protocols Settings for profile_name ページ」で Allow Posture Validation の設定を行う必要があります。


Active

プロファイルをアクティブまたは非アクティブにします。

Submit

修正内容を送信します。「Profile Setup ページ」に戻ります。

Cancel

変更を実装せずに「Profile Setup ページ」に戻ります。

関連項目

「プロファイル テンプレートの使用」

Protocols Settings for profile_name ページ

このページを使用して、パスワード プロトコルと EAP の設定を行います。

このページを開くには、 Network Access Profiles > Protocols (プロファイルごとに表示)を選択します。

 

表14-23 Protocols Settings for profile_name ページ

オプション
説明

Populate from Global

Protocol Settings に ACS Global Authentication の設定を読み込みます。この方法によって、新しいプロファイルの認証設定が容易になります。

Authentication Protocols

Allow PAP

PAP をイネーブルにします。PAP は、クリアテキストのパスワード(つまり暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。

Allow CHAP

CHAP をイネーブルにします。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Windows ユーザ データベースでは使用できません。

Allow MS-CHAPv1

MS-CHAPv1 をイネーブルにします。

Allow MS-CHAPv2

MS-CHAPv2 をイネーブルにします。

Allow Agentless Request Processing

MAC アドレス要求を受信するプロファイルの認証プロセスを設定できるようにします。

EAP Configuration

Allow RADIUS Key Wrap

PEAP、EAP-FAST、および EAP-TLS 認証の RADIUS キー ラップのアトリビュートをイネーブルにします。

PEAP

PEAP タイプ。PEAP による認証をイネーブルにするには、少なくとも 1 つのボックスをオンにします。ほとんどの場合は、すべてのボックスをオンにします。


) PEAP は証明書ベースの認証プロトコルです。認証が行われるのは、ACS Certificate Setup ページで必要な手順を完了した場合に限られます。


Allow EAP-MSCHAPv2:PEAP 認証において EAP-MS-CHAPv2 をイネーブルにします。AD 認証に使用します。

Allow EAP-GTC:PEAP 認証において EAP-GTC をイネーブルにします。RSA Secure ID 認証に使用します。

Allow Posture validation:PEAB 使用時にポスチャ データの収集をイネーブルにします。このオプションは EAP over UDP を使用します。「Create Profile from Template ページ」で NAC L3 IP Profile Template を使用するには、Allow Posture Validation をオンにする必要があります。

Allow EAP TLS:PEAP 認証において EAP-TLS をイネーブルにします。

EAP FAST

Allow EAP-FAST

EAP-FAST 認証をイネーブルにします。オフの場合、他の EAP-FAST 関連オプションはすべて関係なくなります。次の一部の設定では、PC ベースの認証エージェント(EAP-FAST クライアント)上に対応する設定が必要です。

Use PACS

ACS が EAP-FAST クライアントに認可 PAC をプロビジョニングするようにする場合にオンにします。このオプションがオフの場合、PAC に関連するすべてのオプションはディセーブルになります。

Allow anonymous in-band PAC provisioning

このチェックボックスがオンの場合、ACS はクライアントとのセキュアな匿名 TLS ハンドシェイクを確立して、クライアントにいわゆる PAC を提供します。その際、EAP-FAST のフェーズ 0 が使用され、内部方式として EAP-MS-CHAP が使用されます。

Allow full TLS renegotiation in case of Invalid PAC

クライアントが無効な PAC を使用して認証するときに、ACS で完全な TLS 再ネゴシエーションを許可する場合にオンにします。

Allow anonymous in-band PAC provisioning

ACS でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立して、クライアントにいわゆる PAC を提供する(EAP-FAST のフェーズ 0 が使用され、内部方式として EAP-MSCHAP が使用される)場合にオンにします。

Enable anonymous TLS renegotiation

このオプションでは、エンドユーザ クライアントと ACS の間で匿名の TLS ハンドシェイクが可能になります。フェーズ 0 の内部方式として EAP-MS-CHAP だけが使用されます。

Allow authenticated in-band PAC provisioning

ACS は Secure Sockets Layer(SSL)サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中に、クライアントに PAC を提供します。このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が ACS にインストールされている必要があります。

Accept client on authenticated provisioning:プロトコルを少し短くする場合にイネーブルにします。

Require client certificate for provisioning:Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)証明書を使用してクライアントを設定する場合にイネーブルにします。

Allow Stateless session resume

イネーブルの場合、ACS は EAP-FAST クライアントの認可 PAC のプロビジョニングを行い、常に EAP-FAST のフェーズ 2(デフォルト = enabled)を実行します。

Authorization PAC TTL <number> <timeframe>:ユーザ認可 PAC の有効期限を決定します。ACS は期限切れの認可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。

When receiving client certificate, select one of the following lookup methods

Certificate SAN Lookup:クライアント証明書の Subject Alternative Name フィールドに基づいて証明書を検索する場合に選択します。

Certificate CN Lookup:クライアント証明書の Common Name フィールドに基づいて証明書を検索する場合に選択します。

Do not use PACs

イネーブルにすると、ACS が EAP-FAST を実行するかどうかを決定しますが、トンネル PAC またはマシン PAC の発行や受け入れを行いません。PAC の要求はすべて無視され、ACS は PAC のない Success-TLV で応答します。このオプションがオフの場合、PAC に関連するすべてのオプションはディセーブルになります。

Requires Client Certificate:クライアント証明書を使用した EAP-FAST トンネルの確立をサポートする場合に選択します。

Disable Client Certificate Lookup and Comparisons :クライアント証明書の検索をディセーブルにし、公開鍵インフラストラクチャ(PKI)証明書を使用してクライアントを設定するかどうかを選択します。このオプションがイネーブルになっている場合、EAP-FAST PKI 認可バイパスが呼び出されます。一般に認可は、外部データベースからユーザ グループのデータおよび証明書を取得して行われます。次に、ACS は、少なくとも証明書、CN、または SAN のうち 1 つと、クライアントが提供した証明書から受信した値を比較します。比較が成功すると、グループは ACS ユーザ グループにマッピングされます。それ以外の場合、認証は失敗します。PKI 認可バイパスがイネーブルになっている場合、このステージは省略され、セッションは事前に定義されたユーザ グループにマッピングされます。詳細については、「PAC Free EAP-FAST」を参照してください。

Assign Group:これらの要求を ACS ユーザ グループにマッピングするグループを選択します。

Allowed inner methods

イネーブルの場合、EAP-FAST トンネル内で実行される内部 EAP 方式を決定します。 匿名インバンド プロビジョニング の場合、下位互換性のために、EAP-GTC と EAP-MS-CHAPv2 をイネーブルにする必要があります。ほとんどの場合、すべての内部方式をオンにする必要があります。


) ACS は必ず、最初にイネーブルになった EAP 方式を使用して、認証プロセスを開始します。たとえば、EAP-GTC と EAP-MS-CHAPv2 を選択する場合、最初にイネーブルになる EAP 方式は EAP-GTC です。


EAP-GTC:2 要素認証(たとえば OTP)を使用します。

EAP-MSCHAPv2:AD 認証で使用されます。

EAP-TLS:認証で証明書を使用します。

Posture Validation

EAP-FAST ポスチャ確認モードを決定します。次のいずれかのポスチャ確認モードを選択します。

None :認証は実行されますが、クライアントからポスチャ確認データは要求されず、SPT も返されません。

Required :認証とポスチャ確認は、同じ認証セッションで実行されます。その結果、SPT が返されます。このオプションが選択されているときに、クライアントから要求されるポスチャ クレデンシャルを受信しないと、認証は失敗します。NAC を実装している場合は、このオプションをイネーブルにする必要があります。

Optional :クライアントがポスチャ データを提供しない場合があります。クライアントがポスチャ データを ACS に提供できない場合は、デフォルト SPT を設定します。

Use Token :デフォルト ポスチャ トークンとして使用する SPT をドロップダウン リストから選択します。

Posture Only :認証セッション内で、認証内部方式を実行せずにポスチャ確認を実行します。このオプションはポスチャ確認の SPT を返します。

EAP-TLS

EAP-TLS 認証のイネーブル化

EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、ACS Certificate Setup ページで必要な手順を完了した場合に限られます。

Allow EAP-TLS :EAP-TLS 認証をイネーブルにする場合はオンにします。

EAP-MD5

EAP ベースの MD5 ハッシュ認証をイネーブルにします。

関連項目

「NAP のプロトコル設定」

Authentication for profile_name ページ

このページを使用して、認証規則でプロファイルが使用するデータベースを指定し、MAC アドレス設定のエージェントレス要求処理の設定を行います。

このページを表示するには、 Network Access Profiles > Authentication (プロファイルごとに表示)を選択します。

 

表14-24 Authentication for profile_name ページ

オプション
説明

Credential Validation Databases

ユーザを確認できる使用可能なデータベースと選択済みデータベースのリスト。データベースのリストには、ACS Internal Database と、External User Databases > Unknown User Policy で設定されたすべてのデータベースが表示されます。Unknown User Policy でデータベースが失敗するように設定されている場合、そのデータベースは確認データベースになることができず、エラー メッセージを表示して失敗します。

Populate from Global

Authentication Settings に、System Configuration > Global Authentication Setup ページを読み込みます。認証設定が容易になります。

Group Filtering

このオプションを使用して、LDAP 外部データベースで定義されたグループに基づいてグループのフィルタリングを設定します。

Available Groups/Selected Groups

ユーザを確認できる使用可能なグループと選択済みグループのリスト。このグループのリストには、LDAP 外部ユーザ データベースで設定されたグループが含まれています。矢印を使用して、Available Groups リストと Selected Groups リスト間で移動させます。

Authenticate MAC With

ACS は、LDAP サーバまたは ACS 内部データベースで MAC アドレスを認証できます。

ACS は、判読可能な形式で MAC-48 アドレスを表す、次の 3 つの標準形式をサポートします。

送信順にハイフン(-)で区切られた 2 桁の 16 進数のグループ 6 個で構成される。たとえば、01-23-45-67-89-ab。

コロン(:)で区切れられた 2 桁の数字のグループ 6 個で構成される。たとえば、01:23:45:67:89:ab。

ドット(.)で区切られた 4 桁の 16 進数のグループ 3 個で構成される。たとえば、0123.4567.89ab。

LDAP Server

選択すると、 External User Databases > External User Database Configuration ページで選択可能なサーバから LDAP サーバを設定します。

ACS は、LDAP サーバを使用して MAC アドレスを検索し、MAC アドレスの LDAP グループのアトリビュートを取得します。LDAP サーバに MAC アドレスが存在すると、ACS は、設定済みの ACS の LDAP 外部データベースで設定されている ACS グループに LDAP グループをマッピングします。

Internal ACS Database

選択すると、関連するユーザ グループごとに MAC アドレス用のフィールドが表示されます。

それぞれの NAP は、Authentication ページに最大 10,000 件の MAC アドレスを保持できます。それぞれの NAP は最大 100 件のマッピング(1 つ以上の MAC アドレスのリストから 1 つのグループへのマップ)を保持できます。つまり、MAC のリストからユーザグループへのマッピングを最大で 100 行まで保持できます。1 つの NAP では、最大 10,000 件の MAC アドレスを同じユーザグループにマッピングできます。

Default Action(エージェントレス要求がユーザ グループに割り当てられなかった場合)

MAC アドレスが LDAP サーバまたは ACS 内部データベースで検出されなかった場合、または LDAP サーバに接続できない場合に、MAC アドレスの割り当て先グループを指定します。

OID Comparison

オブジェクト ID と、ユーザ証明書の Enhanced Key Usage (EKU) フィールドを比較します。

Enter OIDs separated by comma

OID 文字列に含められるのは、ドット(.)、カンマ(,)、およびスペースだけです。複数の OID をカンマ区切り形式で入力できます。

Submit

変更内容を ACS 内部データベースに送信します。

Cancel

新しい変更内容を送信せずに「Network Access Profiles ページ」に戻ります。

関連項目

「NAP の認証ポリシー設定」

Posture Validation ページ

このページを使用して、ポスチャ確認規則の順序変更と関連付けを行います。

このページを表示するには、「Network Access Profiles ページ」で Posture Validation をクリックします。

 

表14-25 Posture Validation ページ

フィールド
説明
Posture Validation Rules

Rule Name

ポスチャ確認規則の名前。

Required Credential Types

Available Credentials リストに、ACS が要求しないクレデンシャル タイプが表示されます。

Selected Credentials リストには、このポスチャ確認規則を使用してポスチャ確認要求を評価するために、ポスチャ確認要求で ACS が必要とするクレデンシャル タイプが表示されます。

Associate With

規則に関連付けられたポリシー。

Up/Down

評価の順序を設定します。

Add Rule

新規ポスチャ確認規則を作成する 「Posture Validation Rule for profile_name ページ」を開きます。

Select Audit

NAH の監査サーバを設定する 「Select External Posture Validation Audit for Profile_name ページ」を開きます。NAC 準拠の AAA クライアントは、監査サーバに問い合せることで、Cisco Trust Agent とのポスチャ確認セッションを開始する試みに応答しないコンピュータの NAC を処理できます。Cisco Ttust Agent がコンピュータにインストールされていない場合や、その他の理由で CTA が到達不能になっている場合、NAC 準拠の AAA クライアントは監査サーバ上でポスチャ確認を実行しようとします。監査サーバから返される結果はポスチャ トークンです。

関連項目

第 13 章「ポスチャ確認」

「ポスチャ確認ポリシーの設定」

Posture Validation Rule for profile_name ページ

このページを使用して、ポスチャ確認規則を定義します。

このページを表示するには、「Posture Validation ページ」 Add Rule をクリックします。

 

表14-26 Posture Validation Rule for profile_name ページ

フィールド
説明

Rule Name

識別するための規則名を表示します。

Add Rule

クリックすると、ポスチャ確認規則を追加できます。Posture Validation Rule 設定ページが表示されます。

Edit Rule

Rule Name を選択します。特定のプロファイルを編集する Posture Validation Rule 設定ページが表示されます。

Action

Select Internal Posture Validation Policies

この規則の要求で受信したアトリビュートに ACS が適用する、内部ポスチャ確認ポリシーを選択します。

Select External Posture Validation Server

この規則の要求で受信したアトリビュートに ACS が適用する、外部ポスチャ確認サーバ ポリシーを選択します。

Failure Action

フェール オープン機能を設定するにはオンにします。

Failure Posture Token

サプリカントに返されるクレデンシャル タイプ(AV のペア)を選択します。

クレデンシャル タイプのポスチャ トークンを選択します。

System Posture Token Configuration

このテーブルを使用して、SPT を AAA クライアントに返すように設定します。設定変更できない 6 つの SPT があらかじめ定義されています。SPT 結果は、最良のものから順に示されます。

System Posture Token:ポスチャ トークンごとの Posture Agent Message および URL Redirect。

System Posture Token:ポスチャ エージェントごとに表示されるメッセージ。

URL Redirect:ポスチャ トークンごとに AAA クライアントに送信される URL リダイレクト。

関連項目

「ポスチャ確認ポリシーの設定」

「外部ポリシー サーバの設定」

「ポスチャ確認ポリシーの設定」

Select External Posture Validation Audit for Profile_name ページ

このページを使用して、ポスチャ確認用の外部ポスチャ確認監査サーバを選択します。

このページを表示するには、「Posture Validation ページ」 Select Audit をクリックします。

 

フィールド
説明

Select

外部ポスチャ確認監査サーバを選択するか、 Do Not Use Audit Server を選択します。

Fail Open Configuration

アップストリーム NAC サーバからポスチャ トークンを取得しないように、発生する可能性があるエラーの処理方法を決定します。フェール オープンが設定されていない場合、ACS はユーザ要求を拒否します。

Do not reject when Audit failed

フェール オープンをイネーブルまたはディセーブルにします(デフォルト = イネーブル)。

Use this token when unable to retrieve posture data:適切なトークン

Timeout:セッションのタイムアウト値

Assign a User Group:転送先ユーザ グループ

関連項目

「外部ポスチャ確認監査サーバの設定」

「エージェントレス ホストに対するポスチャ確認の設定」

Authorization Rules for profile_name ページ

このページで、ネットワーク アクセス プロファイルの認可規則のセットを一覧表示します。

このページを表示するには、「Network Access Profiles ページ」で Authorization をクリックします。

 

表14-27 Authorization Rules for profile_name ページ

フィールド
説明
Condition

User Group

ユーザがマッピングされた ACS グループ。このフィールドは、この規則のユーザのグループを定義します。認可規則が認証に基づいていない場合は、 Any を選択します。

System Posture Token

ポスチャ確認の結果として返されたポスチャ トークン。ACS は設定されたアクションを続行する前に、トークンのステ―タスを確認します。ポスチャ トークンを使用してユーザ グループを確認できます。ポスチャ確認を使用していない場合は、 Any を選択します。

Action

Deny Access

設定済みポリシーのいずれにも一致しない要求へのアクセスを拒否します。

Shared RAC

Shared Profile Components > RADIUS Authorization Components オプションで定義される RAC のリスト。


) 認可ポリシーのセッション タイムアウト設定を使用するように外部ポスチャ確認監査サーバを設定する場合は、共有 RAC を選択する必要があります。「ポリシーの設定」および 「External Posture Validation Audit Setup ページ」を参照してください。


Downloadable ACL

Shared Profile Components > Downloadable IP ACLs で定義されるダウンロード可能 ACL のリスト。

If a MAC address is not defined or there is no matched mapping

一致する条件が検出されない場合のデフォルト アクション。

Include RADIUS attributes from user's group

ユーザのグループごとに RADIUS アトリビュートの使用をイネーブルにします。

Include RADIUS attributes from user record

ユーザ レコードごとに RADIUS アトリビュートの使用をイネーブルにします。

関連項目

「認可規則の設定」

「デフォルト認可規則の設定」