Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
管理者と管理ポリシー
管理者と管理ポリシー
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

管理者と管理ポリシー

管理者アカウント

管理者アカウントについて

特権

Administration Control 特権

ポリシーの影響

グループ アクセス特権

パスワードの失効とアカウントのロックアウト

適合認定のサポート

ログイン

アカウントの追加、編集、および削除

アカウントの追加または編集

アカウントの削除

ポリシー オプションの設定

アクセス ポリシーの設定

セッション ポリシーの設定

パスワード ポリシーの設定

Administration Control ページのリファレンス

Administration Control ページ

Add Administrator ページと Edit Administrator ページ

Administrator Password Policy ページ

Access Policy Setup ページ

Session Policy Setup ページ

管理者と管理ポリシー

この章では、Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)の Administration Control セクションにある機能について説明します。

この章は、次の項で構成されています。

「管理者アカウント」

「ログイン」

「アカウントの追加、編集、および削除」

「ポリシー オプションの設定」

「Administration Control ページのリファレンス」

管理者アカウント

ACS Web インターフェイスにアクセスできるのは、管理者アカウントのユーザだけです。

この項では、次のトピックについて取り上げます。

「管理者アカウントについて」

「特権」

「グループ アクセス特権」

「パスワードの失効とアカウントのロックアウト」

「適合認定のサポート」

管理者アカウントについて

Administration Control ページにあるリンクにより、個々の管理者または管理者グループの名前、パスワード、および特権を確立するページに移動できます。

ACS の管理者アカウントには、次のような特徴があります。

ACS に固有であり、Windows の管理者アカウント、ACS TACACS+ アカウント、または他の ACS ユーザ アカウントなど、それ以外のアカウントと関連はありません。

外部 ACS ユーザとの関連はありません。ACS は、ACS 管理者アカウントを別個の内部データベースに保存します。

特権

各管理者に与えられる特権により、Web インターフェイスへのアクセス権が決まります。デフォルトでは、新しい管理者にはいずれの特権も与えられていません。

Administration Control 特権

Administration Control 特権を持っている管理者は、Administration Control ページのすべてのエリアにアクセスできます。これらの管理者は、Administration Control ページにより、管理者を管理したり、管理アクセス ポリシーを制御するページにアクセスしたりできます。限定された管理者が自分のパスワードを更新できます。図11-1 に、Administration Control 特権によって与えられるアクセス権を示します。

図11-1 Administration Control 特権

 

管理者または管理者グループに与えることができる特権には、次のような例があります。

共有プロファイル コンポーネント

ネットワーク、システム、およびインターフェイスの設定

管理制御

外部ユーザ データベース、ポスチャ確認、Network Access Profile(NAP; ネットワーク アクセス プロファイル)

レポートおよびアクティビティ

たとえば、Administration Control 特権を持つ管理者が、ネットワーク管理の役割も持っている管理者が使用できるように、Web インターフェイスの Network Configuration セクションへのアクセス権を設定するとします。この場合は、Network Configuration 特権のみをオンにして該当する管理者アカウントに与えます。

一方、管理者または管理者グループにすべての特権が与えられるように設定することもできます。この場合は、Grant All(特権)オプションをクリックします。

Web インターフェイスには、管理者に与えるアクセス権の種類を制御するフィルタ機能も用意されています。たとえば、ユーザのグループに対して読み取り専用アクセス権を持つ管理者を設定したり、または同じグループに対する追加および編集アクセス権を与えたりすることができます。


) 管理者に与えられる特権のレポートを生成する場合の詳細については、「ログとレポート」を参照してください。


ポリシーの影響

Administration Control ページには、アクセス ポリシー、セッション ポリシー、およびパスワード ポリシーの設定ページへのリンクもあります。これらのポリシーは、すべてのアカウント ログインに影響を与えます。ポリシーには、次の設定オプションがあります。

アクセス ポリシー:IP アドレスの制限、HTTP ポートの制限、および Secure Socket Layer(SSL)のセットアップ。

セッション ポリシー:タイムアウト、自動ローカル ログイン、および無効な IP アドレス接続への応答。

パスワード ポリシー:パスワード確認、ライフタイム、非アクティビティ、および不正な試行。

グループ アクセス特権

ACS には、グループまたはグループ内のユーザに対する管理者のアクセス権の種類を決定するオプションがあります。これらのオプションをイネーブルにすると、アクセス可能なグループすべてに関して、次の特権が管理者に与えられます。

ユーザ ページの追加または編集

グループ ページの編集

ユーザ ページへの読み取りアクセス

グループ ページへの読み取りアクセス

表11-1 は、これらのオプションを選択した場合の相互動作の説明を示します。

 

表11-1 グループ アクセス オプション

追加および
編集アクセス
読み取りアクセス
結果

No

No

管理者は、Editable groups 内のユーザを表示できない。

No

Yes

管理者は、Editable groups 内のユーザを表示できるが、Submit は使用できない。

Yes

No

どちらの場合にもフルアクセス権が与えられる。このオプションをイネーブルにすると、Add/Edit Users in these groups の設定が読み取りアクセスより優先されます。

Yes

Yes

パスワードの失効とアカウントのロックアウト

ログインが正常に行われると、管理者の画面には、ACS Web インターフェイス のメイン ページが表示されます。ただし、すべてのログインは、有効期限、アカウントのロックアウト、およびパスワード設定オプションなどの Administration Contorl ページで設定した制限事項の対象となります。

パスワードのライフタイムとパスワードの非アクティビティに設定する制限により、パスワードの変更またはアカウントのロックアウトを強制できます。また、失敗した試行に設定する制限によってパスワードの変更を強制することもできます。特権を持つ管理者は、手動でアカウントをロックできます。アカウントのロックアウトの場合は、特権を持つ管理者がそのアカウントをロック解除する必要があります。

ACS には、Account Never Expires オプションがあり、自動アカウント ロックアウト オプションとパスワード設定オプションをグローバルに無効にできます。特定の管理者の Account Never Expires オプションをイネーブルにすると、管理者をロックアウトするすべてのオプションが無視されます。

アカウントがロックアウトされた場合は、ACS に Login Process Fail ページが表示されます。オプションの種類に応じて、次のようなパスワード変更用のページが ACS に表示されます。

ログインを試みると、パスワード更新のページが表示されます。

Administration Control 特権を持っていない場合には、ナビゲーション バーで Administration Control ボタンをクリックすると Change Password ページが表示されます。Change Password ページには、パスワード基準のリストが表示されます。

図11-2 に、ログイン時のプロセス フローを示します。

図11-2 ログイン プロセス フロー

 

1管理者の試行回数が Incorrect Password Attempt 制限に達すると、ACS はその管理者アカウントをロックします。この時点で、正常にログインできなくなります。ただし、Account Never Expires が設定されている場合には、アカウントをロックアウトできません。

2管理者は正常にログインしました。したがって、ACS は、パスワードが誤って使用されただけであれば、Incorrect Password Attempt 制限を超過していても、管理者に再試行を許可します。

適合認定のサポート

ACS には、適合認定をサポートできるオプションがあります。たとえば、Administration Control 特権を持つ管理者は、Administration Control 特権を他の管理者に与えるかどうかを決定できます。この特権を持っていない管理者は、管理者の詳細設定にアクセスできません。

管理者によるすべてのログイン試行は、 Account Never Expires オプションをオンにしていない限り、パスワードおよびアカウントに設定したポリシーに従って処理されます。たとえば ACS では、パスワードのライフタイム、アクティビティ、および間違ったパスワード試行に対して制限を設けることができます。これらのオプションにより、パスワードを強制的に変更させたり、アカウントを自動的にロックアウトしたりすることができます。特権を持つ管理者は、アカウントをロックアウトすることも可能です。また、最後のパスワード変更と最後のアカウント アクティビティを管理者ごとに監視できます。

さらに、レポートへのアクセス権を制限することができます。たとえば、Administration Audit レポート設定を変更する管理者の権限をイネーブルまたはディセーブルにすることができます。

ユーザ グループへの管理者アクセス権を設定することもできます。グループのセットアップやユーザの追加または編集を許可する対象の管理者を選択できます。ACS では、ユーザおよびグループに対する管理者の読み取りアクセスを設定することも可能です。

ログイン

ACS のログイン ページは、Web インターフェイスへのアクセス ポイントです。パスワードの有効期限が切れたり、ポリシーの変更によってパスワードが影響を受けたりすると、ログイン時に ACS によってパスワードの変更を強制されます。ロックアウトされた場合は、Administration Control 特権を持っている管理者に連絡してください。


) 管理者は、ログインして ACS サービスを管理するために、Windows ドメイン管理者アカウントを持っている必要があります。ただし、Windows ドメイン管理者が ACS にログインすることはできません。ACS にログインできるのは、有効な ACS アカウントを持っている管理者だけです。詳細については、『Installation Guide for Cisco Secure ACS for Windows Release 4.1』または『Installation Guide for Cisco Secure ACS Solution Engine Release 4.1』を参照してください。


ACS for Windows

クライアントからログインするには、管理者アカウントを持っている必要があります。ただし、セッション ポリシーには Allow automatic local login オプションが含まれています。このオプションがイネーブルの場合、ACS を実行しているサーバのログイン ページをバイパスできます。このオプションは、予期しないロックアウトの場合に使用できます。自動ローカル ログインの詳細については、「セッション ポリシーの設定」を参照してください。

ACS Solution Engine

ブラウザから ACS Web インターフェイスにアクセスするには、管理者アカウントを使用して ACS にログインします。

最初にログインする管理者は、Command Line Interface(CLI; コマンドライン インターフェイス)で Add ACS Admin コマンドを使用し、最初のアカウントの管理者名とパスワードを作成する必要があります。CLI の詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。

ACS によってすべての管理者がロックアウトされた場合は、CLI の Unlock <administrator name> コマンドを使用します。このコマンドは、Administration Control 特権を持つ管理者だけが使用できます。CLI の詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。

ログインするには、次の手順を実行します。


ステップ 1 ACS を起動するには、Cisco Secure ACS プログラム グループの ACS Admin ボタンをクリックします。

Cisco Secure ACS のログイン ページが表示されます。

ステップ 2 Username と Password のフィールドに値を入力します。

ステップ 3 Login ボタンをクリックします。

Cisco Secure ACS のメイン ページが表示されます。


 

アカウントの追加、編集、および削除

Administration Control 特権を持つ管理者は、管理者アカウントを追加、編集、および削除できます。

この項では、次のトピックについて取り上げます。

アカウントの追加または編集

アカウントの削除

アカウントの追加または編集

管理者アカウントを追加または編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

現在のアカウントが Administration Control 特権を持っている場合は、「Administration Control ページ」が表示されます。持っていない場合は、Change Password ページが表示されます。

ステップ 2 Add Administrator をクリックして Add Administrator ページを表示します。または、編集対象の管理者アカウントの名前をクリックして、Edit Administrator administrator_name ページを表示します。

ステップ 3 Administrator Name、Password、および Password Confirmation の各フィールドに、新しいアカウントを入力します。必要に応じて、既存アカウントの Password フィールドと Password Confirmation フィールドの値を変更します。これらのフィールドの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。

ステップ 4 Account Never Expires オプションをオンにして、この管理者のアカウントが失効しないようにします。詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。

ステップ 5 Account Locked チェックボックスをオンにして、このアカウントをロックします。Account Locked チェックボックスをオンにした場合は、ボックスをオフにするとアカウントがロック解除されます。

ステップ 6 Grant All または Revoke All をクリックして、すべての特権をグローバルに追加または削除します。これらのコマンドの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。既存アカウントから特権を削除すると、そのアカウントが無効になります。

ステップ 7 Available groups リスト ボックスと Editable groups リスト ボックスの間でグループ名を移動させます。現在の管理者は、有効にしたアクセス オプションに従って、Editable groups リストのグループと関連ユーザにアクセスすることができます。

ステップ 8 適切なオプションをオンにして、Editable groups とその関連ユーザにアクセス特権を与えます。これらのオプションの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。

ステップ 9 Shared Profile Components 領域で適切なオプションをオンにして、Web インターフェイスの Shared Profile Components セクション内にある特定の領域へのアクセスを許可します。これらのオプションの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。共有プロファイル コンポーネントの詳細については、「共有プロファイル コンポーネント」を参照してください。

ステップ 10 Network Configuration オプションをオンにして、Web インターフェイスの Network Configuration セクションへのアクセスを許可します。ネットワーク設定の詳細については、「ネットワーク設定」を参照してください。

ステップ 11 System Configuration 領域でオプションをオンにして、Web インターフェイスの System Configuration セクション内にあるページへのアクセス権を与えます。これらのオプションの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。システム設定の詳細については、「システム設定:基本」「システム設定:高度」および「ログとレポート」を参照してください。

ステップ 12 Interface Configuration オプションをオンにして、Web インターフェイスの Interface Configuration セクションへのアクセスを許可します。インターフェイスの設定の詳細については、「Web インターフェイスの使用方法」を参照してください。

ステップ 13 Administration Control オプションをオンにして、Web インターフェイスの Administration Control セクションへのアクセスを許可します。

ステップ 14 External User Databases オプションをオンにして、Web インターフェイスの External User Databases セクションへのアクセスを許可します。外部ユーザ データベースの詳細については、「ユーザ データベース」を参照してください。

ステップ 15 Posture Validation オプションをオンにして、Web インターフェイスの Posture Validation セクションへのアクセスを許可します。ポスチャ確認の詳細については、「ポスチャ確認」を参照してください。

ステップ 16 Network Access Profiles オプションをオンにして、Web インターフェイスの Network Access Profiles セクションへのアクセスを許可します。ネットワーク アクセス プロファイルの詳細については、「ネットワーク アクセス プロファイル」を参照してください。

ステップ 17 Reports and Activities 領域にあるオプションをオンにして、Web インターフェイスの Reports and Activities セクションへのアクセスを許可します。これらのオプションの詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。レポートの詳細については、「ログとレポート」を参照してください。

ステップ 18 Submit をクリックします。

ACS によって新しい管理者アカウントが保存されます。新しいアカウントは、Administration Control ページの管理者アカウントのリストに表示されます。


 

アカウントの削除

この機能を使用して管理者アカウントを削除します。アカウントを無効にするには、Revoke All ボタンをクリックします。ただし、使用しない管理者アカウントはすべて削除することを推奨します。

アカウントを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 削除する管理者アカウントの名前をクリックします。

Edit Administrator administrator_name ページが表示されます。この administrator_name は選択した管理者アカウントの名前です。

ステップ 3 Delete をクリックします。

確認ダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

ACS によって、管理者アカウントが削除されます。Administration Control ページの Administrators リストに、管理者アカウントが表示されなくなります。


 

ポリシー オプションの設定

これらのページのオプションにより、アクセス ポリシー、セッション ポリシー、およびパスワード ポリシーを制御します。

この項では、次のオプションについて取り上げます。

「アクセス ポリシーの設定」

「セッション ポリシーの設定」

「パスワード ポリシーの設定」

アクセス ポリシーの設定

Administration Control 特権を持つ管理者は、アクセス ポリシー機能を使用して、管理セッションで使用される IP アドレスと TCP ポート範囲によってアクセスを制限できます。Web インターフェイスへのアクセスにおいて、SSL(Secure Sockets Layer)を使用可能にすることもできます。

始める前に

管理者アクセスで SSL をイネーブルにする場合は、「ACS サーバ証明書のインストール」「認証局証明書の追加」の手順を実行しておく必要があります。SSL をイネーブルにした後、ACS は次の管理者ログイン時に SSL の使用を開始します。この変更により現在の管理者セッションが影響を受けることはありません。証明書がない場合は、SSL の設定を試みるとエラー メッセージが表示されます。

ACS のアクセス ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Access Policy をクリックします。

Access Policy Setup ページが表示されます。

ステップ 3 適切な IP Address Filtering オプションをクリックします。これらのオプションの詳細については、「Access Policy Setup ページ」を参照してください。

ステップ 4 IP Address Filtering オプションに従って、適切な IP アドレス範囲を入力します。

ステップ 5 適切な HTTP Port Allocation オプションをオンにして、全ポートを許可するか、または特定のポートへのアクセスを制限します。アクセスを制限する場合は、制限されるポートの範囲を入力します。これらのオプションの詳細については、「Access Policy Setup ページ」を参照してください。

ステップ 6 ACS で SSL を使用する場合は、このオプションをオンにします。このオプションの詳細については、「Access Policy Setup ページ」を参照してください。

ステップ 7 Submit をクリックします。

ACS はアクセス ポリシー設定を保存し、適用を開始します。


 

セッション ポリシーの設定

Administration Control 特権を持つ管理者は、セッション ポリシーの制御機能を使用して、次の動作をイネーブルまたはディセーブルにすることができます。

ローカル ログイン

無効な IP アドレス接続への応答

ACS のセッション ポリシーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Session Policy をクリックします。

Session Policy Setup ページが表示されます。

ステップ 3 適切なポリシーをクリックし、適切な情報を入力してポリシーをセットアップします。これらのオプションおよびフィールドの詳細については、「Session Policy Setup ページ」を参照してください。

ステップ 4 Submit をクリックします。

ACS は、セッション ポリシー設定を保存して適用を開始します。


 

パスワード ポリシーの設定

Add Administrator ページの Password Policy ボタンから、Administrator Password Policy ページにアクセスできます。パスワード ポリシーを設定しない場合は、いずれの管理者もログイン、管理者の作成、および特権の割り当てを行うことができます。

Administrator Password Policy ページには、次の制御機能があります。

複雑なパスワードを強制する

ライフタイムを制限する

非アクティブなアカウントを制限する

不正なログイン試行を制限する

パスワード ポリシーをセットアップするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Administration Control ページが表示されます。

ステップ 2 Password Policy をクリックします。

Administrator Password Policy ページが表示されます。

ステップ 3 適切なオプションをオンにし、適切な値を入力します。これらのオプションおよびフィールドの詳細については、「Administrator Password Policy ページ」を参照してください。

ステップ 4 Submit をクリックします。

ACS は、パスワード ポリシーの設定を保存し、次のログインから適用を開始します。


 

Administration Control ページのリファレンス

次のトピックでは、ナビゲーション バーの Administration Control ボタンからアクセスするページについて説明します。

「Administration Control ページ」

「Add Administrator ページと Edit Administrator ページ」

「Administrator Password Policy ページ」

「Access Policy Setup ページ」

「Session Policy Setup ページ」

Administration Control ページ

Administration Control ページは、管理者アカウントとポリシー設定を開始するときに開く最初のページです。Administration Control 特権を持つ管理者だけがこのページにアクセスできます。

このページを開くには、ナビゲーション バーで Administration Control ボタンをクリックします。

 

表11-2 Administration Control(特権を持つ管理者)

オプション
説明

Administrators

設定されているすべての管理者の一覧を表示します。

<administrator_name>

Edit Administrator <administrator_name> ページを開きます。詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。

Add Administrator

Add Administrator ページを開きます。詳細については、「Add Administrator ページと Edit Administrator ページ」を参照してください。

Access Policy

Access Policy Setup ページを開きます。このページでブラウザのネットワーク アクセスを制御します。詳細については、「Administrator Password Policy ページ」を参照してください。

Session Policy

Session Policy Setup ページを開きます。このページには、HTTP セッションの設定の詳細が表示されます。詳細については、「Session Policy Setup ページ」を参照してください。

Password Policy

Administrator Password Policy ページを開きます。詳細については、「Administrator Password Policy ページ」を参照してください。

関連項目

「アカウントの追加または編集」

「アカウントの削除」

「アクセス ポリシーの設定」

「セッション ポリシーの設定」

「パスワード ポリシーの設定」

Add Administrator ページと Edit Administrator ページ

Add Administrator ページと Edit Administrator ページの領域を使用して、次の操作を行います。

管理者を追加する(Add Administrator ページのみ)

パスワードを追加、編集、および監視する

ロックアウトされたアカウントを監視および再有効化する

特権を有効または無効にする

これらのページを開くには、Administration Control をクリックし、Add Administrator をクリックするか <administrator_name> をクリックして、管理者を編集します。

表11-3 に、次のオプションの説明を示します。

「Administrator Details」

「Administrative Privileges」

「User & Group Setup」

「Shared Profile Components」

「Network Configuration」

「System Configuration」

「Interface Configuration」

「Administration Control」

「External User Databases」

「Posture Validation」

「Network Access Profiles」

「Reports & Activity」

 

表11-3 Add Administrator ページと Edit Administrator ページ

オプション
説明
Administrator Details

Administrator Name
(Add Administrator ページにのみ表示)

ACS 管理者アカウントのログイン名。管理者名には、左山カッコ(<)、右山カッコ(>)、およびバックスラッシュ(\)を含まない 1 ~ 32 文字を使用できます。ACS 管理者名は、ネットワーク ユーザ名と一致する必要はありません。

ACS では、事前に設定された管理者の名前変更は許可されないため、Edit Administrator ページに管理者名は表示されません。名前を変更するには、アカウントを削除し、新しい名前でアカウントを設定します。アカウントを無効にするには、すべての特権を無効にします。

Password

パスワードは、管理者ユーザがダイヤルイン認証で使用するパスワードに一致させるか、または別のパスワードにすることができます。ACS は、Administrator Password Policy ページの Password Validation Options セクションにあるオプションを適用します。

パスワードは、最小長 4 文字で構成され、数字が少なくとも 1 つ含む必要があります。パスワードには、ユーザ名または逆ユーザ名を含めることはできません。また、前の 4 つのパスワードのいずれとも一致せず、ASCII 文字を使用する必要があります。パスワードにエラーがあると、パスワード基準が表示されます。

パスワード ポリシーに変更があってパスワードの変更がない場合、管理者はログイン状態のままになります。ACS は、次回のログインから新しいパスワード ポリシーを適用します。

Confirm Password

Password フィールドのパスワードを確認します。パスワード入力にエラーがあると、エラー メッセージが表示されます。

Last Password Change
(Edit Administrator ページのみ)

このページの管理者アクションまたはログイン時のパスワードの失効により、パスワードが変更される変更日を表示します。(読み取り専用)有効期限ではなく、変更日を常に表示します。新しいアカウントが送信されるまでは表示されません。

Last Activity
(Edit Administrator ページのみ)

最後に正常にログインした日付を表示します。(読み取り専用)新しいアカウントが送信されるまでは表示されません。

Account Never Expires

手動ロックアウトの場合を除いて、Administrator Password Policy ページのロックアウト オプションを無効にすることによりアカウントのロックアウトを防止します。このため、アカウントが失効することはありませんが、パスワードの変更ポリシーは有効のままになります。デフォルトではオフ(無効)です。

Account Locked

Password Policy ページのロックアウト オプションによってロックアウトされた管理者がログインできないようにします。このオプションをオフ(ディセーブル)にすると、ロックアウトされた管理者がロック解除されます。

Administration Control 特権を持つ管理者は、このオプションを使用して、手動でアカウントをロックアウトしたり、ロックされたアカウントをリセットしたりできます。システムには、ロックアウトの理由を説明したメッセージが表示されます。

管理者がアカウントをロック解除すると、ACS は、Last Password Change フィールドと Last Activity フィールドの値を管理者がアカウントをロック解除する日付にリセットします。

ロックされたアカウントをリセットしても、失敗した試行のロックアウトおよびロック解除のメカニズムの設定に影響はありません。

Administrative Privileges

Web インターフェイスの User Setup セクションと Group Setup セクションの特権オプションを含みます。

デフォルトでは、リモート管理者に特権は与えられていません。

Grant All

すべての特権を有効にします。ACS は、すべてのユーザ グループを Editable Groups リストに移動します。特権を持つ管理者は、個別に特権を割り当てることにより、それぞれの ACS 管理者に特権を与えることもできます。どちらの場合でも、管理者は Grant All によって有効になったオプションを個別に無効にすることができます。

デフォルトでは、新しい管理者アカウントのすべての特権が制限されます。

Revoke All

すべての特権をクリア(制限)します。ACS は、Editable Groups リストからすべてのユーザ グループを削除します。既存アカウントのすべての特権を削除すると、そのアカウントは実質的に無効になります。管理者は、Revoke All によって無効になったオプションを個別に有効にすることができます。

また、すべての特権を無効にすることによってアカウントを無効にすることもできます。

User & Group Setup

Add/Edit users in these groups

管理者は、ユーザを追加または編集し、Editable groups リストにあるグループにユーザを割り当てることができます。

このオプションをイネーブルにすると、これらのグループ オプションのユーザに対する読み取りアクセスの設定よりもこの設定が優先されます。

Setup of these groups

管理者は Editable groups リストにあるグループの設定を編集できます。

このオプションをイネーブルにすると、これらのグループ オプションの読み取りアクセスの設定よりもこの設定が優先されます。

Read access to users in these groups

Editable groups のユーザに対する読み取り専用アクセスを可能にします。

Add/Edit users in these groups オプションをイネーブルにすると、これらのグループ オプションのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。

Add/Edit users in these groups オプションをオン(イネーブル)にしている場合は、この設定がイネーブルかディセーブルかは動作に影響しません。Add/Edit users in these groups の設定はこの設定より優先され、管理者は、Editable groups 内のすべてのユーザを編集できます。

Add/Edit users in these groups オプションがオフ(ディセーブル)になっている場合は、次のようになります。

このチェックボックスをオンにして、管理者に Editable groups 内のユーザに対する読み取りアクセスを許可します。この場合、管理者は変更を送信できません。

このチェックボックスをオフにすると、管理者はユーザを参照できません。

Read access of these groups

Editable groups のユーザに対する読み取り専用アクセスを可能にします。

Add/Edit users in these groups オプションをイネーブルにすると、これらのグループ オプションのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。

Add/Edit users in these groups オプションをオン(イネーブル)にしている場合は、この設定がイネーブルかディセーブルかは動作に影響しません。Add/Edit users in these groups の設定はこの設定より優先され、管理者は Editable groups を編集できます。

Add/Edit users in these groups オプションがオフ(ディセーブル)になっている場合は、次のようになります。

このチェックボックスをオンにして、管理者に Editable groups リストに対する読み取りアクセスを許可します。この場合、管理者は変更を送信できません。

このチェックボックスをオフにすると、管理者はグループを参照できません。

Available groups

すべてのユーザ グループをリストで示します。管理者は、このリストのグループへのアクセス権を持っていません。

Editable groups

管理者がアクセス権を持っているユーザ グループをリストで示します。User & Group Setup 領域内の他のオプションにより、このリストにあるこれらのグループと関連付けられたユーザへの管理者アクセス権に適用される制限が決まります。

>> をクリックしてすべてのグループを追加するか、<< をクリックしてすべてのグループを削除します。> をクリックして 1 つのグループを追加するか、< をクリックして 1 つのグループを削除します。


) このセクションのアクセス設定は、外部認証者のグループ マッピングに適用されません。


Shared Profile Components

Network Access Restriction Sets

Network Access Restriction Sets 機能にフルアクセスできるようにします。

Network Access Filtering Sets

Network Access Filtering Sets 機能にフルアクセスできるようにします。

Downloadable ACLs

Downloadable PIX ACLs 機能にフルアクセスできるようにします。

RADIUS Authorization Components

RAC にフルアクセスできるようにします。

Create new Device Command Set Type

新規デバイス コマンド セット タイプを追加するための有効なクレデンシャルとして、他の Cisco アプリケーションでこの管理者アカウントを使用できます。この特権を使用して ACS に追加した新規デバイス コマンド セット タイプは、Web インターフェイスの Shared Profile Components セクションに表示されます。

Shell Command Authorization Sets

Shell Command Authorization Sets 機能にフルアクセスできるようにします。

PIX/ASA Command Authorization Sets

PIX/ASA Command Authorization Sets 機能にフルアクセスできるようにします。


) たとえば、CiscoWorks などの Cisco ネットワーク管理アプリケーションによって ACS の設定がアップデートされた場合は、追加のコマンド認可セット特権オプションが表示されることがあります。


Network Configuration

Web インターフェイスの Network Configuration セクションにある機能にフルアクセスできるようにします。

System Configuration

Web インターフェイスの System Configuration セクションにある機能の特権オプションが含まれています。それぞれの機能でオプションをイネーブルにすると、その機能にフルアクセスできるようになります。

Service Control

サービス ログ ファイルの設定へのアクセス、および ACS サービスの停止と再起動ができるようにします。

Date/Time Format Control

日付形式の制御にアクセスできるようにします。

Logging Control

Logging Configuration ページに関連付けられたレポート オプションにアクセスできるようにします。Logging Configuration ページにアクセスするには、System Configuration をクリックしてから Logging をクリックします。

Administration Audit Configuration

この管理者が Administration Audit レポート設定を変更できるようにします。

Password Change Configuration

この管理者が Password Change レポート設定を変更できるようします。

Password Validation

ユーザ パスワードの確認パラメータにアクセスできるようにします。

DB Replication

ACS 内部データベース複製にアクセスできるようにします。

RDBMS Syncronization

RDBMS 同期化にアクセスできるようにします。

IP Pool Address Recovery

IP プール アドレス復旧にアクセスできるようにします。

IP Pool Server Configuration

IP プールの設定にアクセスできるようにします。

ACS Backup

ACS バックアップにアクセスできるようにします。

ACS Restore

ACS 復元にアクセスできるようにします。

Active Service Management

システム モニタリングとイベント ロギングにアクセスできるようにします。

VoIP Accounting Configuration

VoIP アカウンティング設定にアクセスできるようにします。

ACS Certificate Setup

ACS 証明書のセットアップにアクセスできるようにします。

Global Authentication Setup

グローバル認証セットアップの特権を与えます。EAP-FAST Files Generation configuration ページにアクセスする必要があるすべての管理者は、Global Authentication Setup 特権をイネーブルにしておく必要があります。

NAC Attributes management
(ACS Solution Engine)

NAC アトリビュート管理にアクセスできるようにします。

Appliance Configuration
(ACS Solution Engine)

アプライアンスの設定にアクセスできるようにします。

Support Operations
(ACS Solution Engine)

サポート操作にアクセスできるようにします。

View Diagnostic Logs
(ACS Solution Engine)

診断ログにアクセスできるようにします。

Appliance Upgrade Status
(ACS Solution Engine)

アプライアンスのアップグレード ステータス レポートにアクセスできるようにします。

Interface Configuration

Web インターフェイスの Interface Configuration セクションにある機能にフルアクセスできるようにします。

Administration Control

Web インターフェイスの Administration Control セクションにある機能にフルアクセスできるようにします。

External User Databases

Web インターフェイスの External User Database セクションにある機能にフルアクセスできるようにします。

Posture Validation

Network Admission Control(NAC; ネットワーク アドミッション コントロール)設定にアクセスできるようにします。

Network Access Profiles

NAP を使用したサービスベースのポリシー設定にアクセスできるようにします。

Reports & Activity

これらのログにアクセスするには、ナビゲーション バーの Reports and Activities ボタンをクリックします。

TACACS+ Accounting

TACACS+ セッション情報が記録されている TACACS+ Accounting ログにアクセスできるようにします。

TACACS+ Administration

設定コマンドをリストで示す TACACS+ Administration ログにアクセスできるようにします。

RADIUS Accounting

RADIUS セッション情報を記録した RADIUS Accounting ログにアクセスできるようにします。

VoIP Accounting

VoIP セッション情報を記録した VoIP Accounting ログにアクセスできるようにします。

Passed Authentications

成功した認証要求をリストで示す Passed Authentication ログにアクセスできるようにします。

Failed Attempts

認証および認可の失敗をリストで示す Failed Attempts ログにアクセスできるようにします。

Logged-In Users

AAA クライアントからサービスを受けるすべてのユーザをリストで示す Logged-in Users ログにアクセスできるようにします。

Purge of Logged-in Users

ユーザがログイン中と表示されているが、AAA クライアントへの接続が失われていて、実際にはユーザがログインしていない場合は、Purge をクリックしてそのセッションのアクティビティを終了します。このリストからユーザを削除しても、ユーザは AAA クライアントからログオフされませんが、アカウンティングのセッション レコードは終了します。このリストを印刷するには、右側のウィンドウの一部を右クリックし、ブラウザからウィンドウを印刷します。

Disabled Accounts

無効になったユーザ アカウントすべてをリストで示す Disabled Accounts ログにアクセスできるようにします。

ACS Backup and Restore

バックアップと復元のアクティビティをリストで示す ACS Backup and Restore ログにアクセスできるようにします。

DB Replication

データベースの複製アクティビティをリストで示す Database Replication ログにアクセスできるようにします。

RDBMS Syncronization

RDBMS 同期化アクティビティをリストで示す RDBMS Synchronization ログにアクセスできるようにします。

Administration Audit

システム管理者のアクションをリストで示す Administration Audit ログにアクセスできるようにします。

ACS Service Monitor

ACS サービスの開始と停止をリストで示す ACS Service Monitoring ログにアクセスできるようにします。

User Change Password

ユーザが開始したパスワード変更をリストで示す User Password Changes ログにアクセスできるようにします。

Entitlement Reports

ユーザおよび管理者のエンタイトルメント レポートにアクセスできるようにします。

Appliance Status
(ACS Solution Engine)

リソースの利用率を記録する Appliance Status ログにアクセスできるようにします。

Appliance Administration Audit
(ACS Solution Engine)

シリアル コンソールでのアクティビティをリストで示す Appliance Administration Audit ログにアクセスできるようにします。

関連項目

「サービス制御」

「日付形式の制御」

「ローカル パスワードの管理」

「ACS バックアップ」

「ACS システムの復元」

「ACS アクティブ サービス管理」

「VoIP アカウンティングの設定」

「アプライアンスの設定 (ACS Solution Engine のみ)」

「Support ページ (ACS Solution Engine のみ)」

「診断ログの表示またはダウンロード (ACS Solution Engine のみ)」

「アプライアンスのアップグレード ステータス(ACS Solution Engine のみ)」

「ACS 内部データベースの複製」

「RDBMS 同期化」

「IP プール サーバ」

「IP プール アドレスの復旧」

「グローバル認証のセットアップ」

「ACS 証明書のセットアップ」

「NAC Attribute Management(ACS Solution Engine のみ)」

「アプライアンスの設定 (ACS Solution Engine のみ)」

「ACS ログとレポートについて」

「パスワードの失効とアカウントのロックアウト」

「アカウントの追加、編集、および削除」

Administrator Password Policy ページ

Administrator Password Policy ページを使用して、パスワード確認、ライフタイム、非アクティビティ、および不正な試行のオプションを設定します。パスワード ポリシーを設定しない場合は、いずれの管理者もログイン、管理者の作成、および特権の割り当てを行うことができます。

このページを開くには、Administration Control をクリックしてから、Password Policy をクリックします。

ACS は、次の場合にエラーを返します。

仕様が範囲外になっている。

ユーザがこのページの基準を満たさない。

表11-4 に、次のオプションの説明を示します。

「Password Validation オプション」

「Password Lifetime オプション」

「Password Inactivity オプション」

「Incorrect Password Attempt オプション」

 

表11-4 Administrator Password Policy

オプション
説明
Password Validation オプション

Password may not contain the username

このオプションがイネーブルになって場合は、パスワードにユーザ名や逆ユーザ名を含めることはできません。

Minimum length n characters

n は、最小パスワード長を指定します(デフォルトは 4、 範囲は 4 ~ 20 です)。

Password must contain:

複雑なパスワードを強制するには、このオプションを使用します。

upper case alphabetic characters

このオプションがイネーブルになっている場合は、パスワードに大文字の英文字を含める必要があります。

lower case alphabetic characters

このオプションがイネーブルになっている場合は、パスワードに小文字の英文字を含める必要があります。

numeric characters

このオプションがイネーブルになっている場合は、パスワードに数字を含める必要があります。

non alphanumeric characters

このオプションがイネーブルになっている場合は、パスワードに非英数字を含める必要があります(たとえば、@)。

Password must be different from the previous n versions

このオプションがイネーブルになっている場合は、n 回前までのパスワードと異なるパスワードを使用する必要があります(デフォルト値は 1、範囲は 1 ~ 99)。

Password Lifetime オプション

Following a change of password:

このオプションを使用して、管理者パスワードのライフタイムに制限を設定します。値 n は、パスワードが最後に変更されてからの経過日数を表します。

The password will require change after n days

Following a change of password がイネーブルになっている場合、n は、パスワード エージングにより ACS がパスワードの変更を要求するまでの日数を示します(デフォルトは 30 )。範囲は 1 ~ 365 です。オン(イネーブル)にした場合、The Administrator will be locked after n days オプションを設定すると、ACS は 2 つの Password Lifetime オプションを比較して大きいほうの値を選択します。

The Administrator will be locked out after n days

Following a change of password がイネーブルになっている場合、n は、関連付けられた管理者アカウントをパスワード エージングにより ACS がロックアウトするまでの日数を示します(デフォルトは 30、範囲は 1 ~ 365)。

Password Inactivity オプション

Following last account activity:

これらのオプションを使用して、非アクティブな管理者アカウントの使用に制限を設けます。値 n は、アクティブだったとき(管理者ログイン)からの経過日数を表します。

The password will require change after n days

Following the last account activity がイネーブルになっている場合、n は、パスワードが非アクティブであるために ACS がパスワードの変更を要求するまでの日数を示します(デフォルトは 30)。範囲は 1 ~ 365 です。オン(イネーブル)にした場合、Administrator will be locked after n days オプションを設定すると、ACS は 2 つの Password Inactivity オプションを比較して大きいほうの値を選択します。


) セキュリティを高めるため、ACS は非アクティブなパスワードの制限値に近づいているユーザに警告しません。


The Administrator will be locked out after n days

Following the last account activity がイネーブルになっている場合、n は、関連付けられた管理者アカウントをパスワードが非アクティブであるために ACS がロックアウトするまでの日数を示します(デフォルトは 30、範囲は 1 ~ 365)。


) セキュリティを高めるため、ACS は非アクティブなアカウントの制限値に近づいているユーザに警告しません。


Incorrect Password Attempt オプション

Lock out Administrator after n successive failed attempts

このオプションがイネーブルになっている場合、 n は、不正なパスワード試行の許容回数を示します。オンになっている場合、 n を 0 に設定することはできません。このオプションがディセーブルになっている(オフ)場合、ACS はログイン試行(デフォルトは 3、範囲は 1 ~ 98)の失敗を何度でも許可します。


) セキュリティを高めるため、ACS は試行の失敗回数の上限に近づいているユーザに警告しません。特定の管理者の Account Never Expires オプションをイネーブルにすると、このオプションは無視されます。


Access Policy Setup ページ

Access Policy Setup ページを使用して、IP アドレスと範囲でのアクセスの設定、HTTP アクセスの設定、および Secure Sockets Layer(SSL)のセットアップを行います。

Access Policy Setup ページを開くには、Administration Control をクリックしてから、Access Policy をクリックします。

表11-5 に、次のオプションの説明を示します。

「IP Address Filtering」

「IP Address Ranges」

「HTTP Configuration」

「Secure Socket Layer Setup」

表11-5 Access Policy オプション

オプション
説明
IP Address Filtering

Allow all IP addresses to connect

任意の IP アドレスから Web インターフェイスにリモート アクセスができるようにします。

Allow only listed IP addresses to connect

Web インターフェイスにリモート アクセスができる IP アドレスを、指定した IP アドレス範囲内に制限します。

Reject connections from listed IP addresses

Web インターフェイスにリモート アクセスができる IP アドレスを、指定した IP アドレス範囲外に制限します。

IP フィルタリングは、リモート管理者の Web ブラウザから HTTP 要求で受信した IP アドレスで動作します。ブラウザが HTTP プロキシ サーバを使用するように設定されている場合、または、ブラウザがネットワーク アドレス変換を実行するネットワーク デバイスの背後のワークステーションで実行されている場合、HTTP プロキシ サーバまたは NAT デバイスの IP アドレスにのみ IP フィルタリングが適用されます。

IP Address Ranges

IP Address Ranges テーブルには、IP アドレス範囲を設定するための 10 行が用意されています。範囲には、最初と最後の値が常に含まれます。つまり、開始 IP アドレスと終了 IP アドレスは範囲に含まれます。

ドット付き 10 進形式を使用します。範囲を定義する IP アドレスは、最後のオクテットだけが異なる形式(Class C 形式)でなければなりません。

Start IP Address

指定した範囲内の最下位 IP アドレスを定義します(最大 16 文字)。

End IP Address

指定した範囲内の最上位 IP アドレスを定義します(最大 16 文字)。

HTTP Configuration
HTTP Port Allocation

 

Allow any TCP ports to be used for Administration HTTP Access

Web インターフェイスへのリモート アクセスで、ACS が任意の有効な TCP ポートを使用できるようにします。

Restrict Administration Sessions to the following port range From Port n to Port n

Web インターフェイスへのリモート アクセスで ACS が使用できるポートを制限します。ボックスを使用してポート範囲(ボックスあたり最大 5 桁)を指定します。範囲には、常に下限値と上限値が含まれます。つまり、開始ポート番号と終了ポート番号も範囲に含まれることになります。指定された範囲のサイズによって、同時管理の最大数が決まります。

ACS は、ポート 2002 を使用して、すべての管理セッションを開始します。ポート 2002 は、ポート範囲に入れる必要がありません。また、ACS では、ポート 2002 だけで構成される HTTP ポート範囲は定義できません。ポート範囲は、2002 以外の少なくとも 1 つのポートで構成する必要があります。

ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポートであるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。

ファイアウォールの外部からの ACS の管理を許可することは推奨しません。ファイアウォールの外部からの Web インターフェイスへのアクセスが必要な場合は、HTTP ポート範囲をできる限り狭くしてください。範囲を狭くすることで、不正なユーザがアクティブな管理ポートを偶然に発見するのを防ぐことができます。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なホストの IP アドレスになりすます(スプーフィング)ことがあります。

Secure Socket Layer Setup

Use HTTPS Transport for Administration Access

CSAdmin サービスと Web インターフェイスにアクセスする Web ブラウザとの間で、ACS が SSL プロトコルを使用して HTTP トラフィックを暗号化できるようにします。このオプションを使用すると、ブラウザと ACS の間の HTTP トラフィックの暗号化ができるようになり、HTTPS で始まる URL の表示に設定が反映されます。ほとんどのブラウザには、SSL 暗号化接続のインジケータが用意されています。

SSL をイネーブルにするには、まずサーバ証明書と認証局証明書をインストールします。System Configuration > ACS Certificate Setup を選択して、インストール プロセスにアクセスします。SSL をイネーブルにすると、ACS は、次の管理者ログイン時に HTTPS の使用を開始します。現在の管理セッションは影響を受けません。証明書が存在しない場合、ACS はエラーを表示します。

関連項目

「ACS サーバ証明書のインストール」

「認証局証明書の追加」

Session Policy Setup ページ

Session Policy Setup ページを使用して、タイムアウト、自動ローカル ログイン(ACS for Windows のみ)、および無効な IP アドレス接続に対する応答を含むセッション アトリビュートを設定します。

このページを開くには、Administration Control をクリックしてから、Session Policy をクリックします。

表11-6 に、セッション設定オプションの説明を示します。

 

表11-6 セッション ポリシー

オプション
説明
Session Configuration

Session idle timeout(分)

ACS が接続を終了するまでに、管理セッションのアイドル状態を維持する必要がある時間(分数)を指定します(最大 4 桁、5 ~ 1439)。

管理セッションが終了すると、ACS により、管理者に続行するかどうかを尋ねるダイアログボックスが表示されます。管理者が続行を希望すると、ACS によって新しい管理セッションが開始されます。

このパラメータは、ブラウザでの ACS 管理セッションにだけ適用されます。管理ダイヤルアップ セッションには適用されません。

Allow Automatic Local Login
(ACS for Windows)

ACS を実行しているコンピュータのブラウザを使用している場合は、ログインしなくても管理者が管理セッションを開始できるようにします。ACS は、local_login というデフォルトの管理者アカウントを使用して、 これらのセッションを実行します。

オフ(ディセーブル)の場合は、管理者が管理者名とパスワードを使用してログインする必要があります。


) 定義済み管理者アカウントがない場合の予期せぬロックアウトを防止するため、ACS は、ACS へのローカル アクセスの際に管理者名とパスワードを要求しません。


local_login 管理者アカウントには、Administration Control 特権が必要です。ACS は、local_login アカウントを使用する管理セッションを、local_login 管理者名の下の Administrative Audit レポートに記録します。

Respond to invalid IP address connections

Access Policy で無効として設定された IP アドレス範囲を使用して、リモート管理セッションを開始しようとした場合に、ACS がエラー メッセージを送信できるようにします。このチェックボックスをオフにすると、ACS は、無効なリモート接続が試行されてもエラー メッセージを表示しません(デフォルトは Enabled です)。

このオプションをディセーブルにすると、不正なユーザによる ACS の検出を防ぐことができます。