Cisco Secure ACS Remote Agents インストレーション コンフィギュレーション ガイド 4.2
Cisco Secure ACS Remote Agent for Windows のインストール
Cisco Secure ACS Remote Agent for Windows のインストール
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 678KB) | フィードバック

目次

Cisco Secure ACS Remote Agent for Windows のインストール

システム要件

ACS 要件

ハードウェア要件

オペレーティング システム要件

テスト済みの Windows セキュリティ パッチ

ネットワーク要件

ACS Remote Agent for Windows のインストール

ACS Remote Agent for Windows のアンインストール

ACS Remote Agent for Windows のアップグレード

Windows 認証の設定

ドメイン コントローラ認証の設定

メンバー サーバ認証の設定

ローカル セキュリティ ポリシーの設定

リモート エージェント サービスの設定

Cisco Secure ACS Remote Agent for Windows のインストール

この章では、Cisco Secure Access Control Server(ACS)Remote Agent for Windows のインストールについて説明します。

この章は、次の項で構成されます。

システム要件

ネットワーク要件

ACS Remote Agent for Windows のインストール

ACS Remote Agent for Windows のアンインストール

ACS Remote Agent for Windows のアップグレード

Windows 認証の設定

システム要件

ACS Remote Agent for Windows を実行するコンピュータは、次の要件を満たしている必要があります。

ACS 要件

ハードウェア要件

オペレーティング システム要件

ACS 要件

ACS Remote Agent for Windows バージョン 4.2 には、ACS SE バージョン 4.2 を使用する必要があります。他のリリースの Cisco Secure ACS はサポートされていません。

ハードウェア要件

ACS Remote Agent for Windows を実行するコンピュータは、次の要件を満たしている必要があります。

550 MHz 以上の Pentium III プロセッサ

256 MB の RAM

250 MB 以上の空きディスク容量

オペレーティング システム要件

ACS Remote Agent for Windows を実行するコンピュータは、次のいずれかのオペレーティング システムを使用する必要があります。

Windows 2000 Server(Service Pack 3 または Service Pack 4 をインストール済みのもの)。

Windows 2003 Server(Service Pack 1 または Service Pack 2 をインストール済みのもの)。

Windows 2000 Advanced Server:

Service Pack 3 または Service Pack 4 がインストール済みである

Microsoft クラスタリング サービスはインストールされていない

Windows 2000 Advanced Server に固有のその他の機能が有効になっていない


) Windows 2000 Advanced Server のマルチプロセッサ機能はテスト済みではないため、サポートされていません。Windows 2000 Datacenter Server はサポート対象外のオペレーティング システムです。


Windows Server 2003, Standard Edition

Windows Server 2003, Enterprise Edition

ACS Remote Agent for Windows 4.2 は、Japanese Operating System(JOS)の Windows 2000 および Windows 2003 でもサポートされています。

テスト済みの Windows セキュリティ パッチ

ACS Remote Agent for Windows 4.2 は、次の Microsoft Knowledge Base の記事に記載されている Windows Server 2003 パッチでテスト済みです。

819696

823182

823559

824105

824141

824146

825119

828028

828035

828741

832894

835732

837001

837009

839643

840374

ACS Remote Agent for Windows は、次の Microsoft Knowledge Base の記事に記載されている Windows 2000 Server パッチでテスト済みです。

329115

823182

823559

823980

824105

824141

824146

825119

826232

828035

828741

828749

835732

837001

839643


) シスコシステムズでは、Windows Server 2000 および Windows Server 2003 を ACS で使用する場合には、対応する Microsoft セキュリティ パッチをすべてインストールすることをサポートおよび推奨しています。Cisco の今までの事例では、このパッチが原因で ACS の動作に問題が発生することはありません。
セキュリティ パッチのインストール後に ACS の動作に問題が発生した場合は、TAC にお問い合せください。問題の解決に向けて対応します。


ネットワーク要件

ACS Remote Agent をインストールする前に、次のことを確認します。

ACS Remote Agent for Windows を実行するコンピュータは、サポートする ACS SE に ping できる必要があります。

ゲートウェイ デバイスは、ACS Remote Agent for Windows を実行するコンピュータと ACS SE の間のトラフィックを許可する必要があります。さらに、リモート エージェントは CSAgent.ini に設定されている TCP ポートで TCP 通信を受信する必要があります。ACS がすべてのサービスを使用する場合、デフォルトの TCP ポートは、2004、2006、および 2007 です。アプライアンスは、TCP ポート 2003 で TCP 通信を受信する必要があります。


CSAgent.ini ファイルを使用して、Remote Agent が ACS との通信に使用するポートを設定できます。通信ポートを変更する場合、Remote Agent が使用するポートで、介在するゲートウェイ デバイスが TCP トラフィックを許可するように設定します。Remote Agent が使用するポートの変更方法の詳細については、「リモート エージェントの設定」を参照してください。


ACS Remote Agent for Windows のインストール

始める前に

ご使用のリモート エージェントのコンフィギュレーション プロバイダーとなる Cisco Secure ACS for Windows の IP アドレスを確認します。コンフィギュレーション プロバイダーの詳細については、「 コンフィギュレーション プロバイダー 」を参照してください。


) マシンにおいて CSA(Cisco Security Agent)が有効になっている場合は、ACS Remote Agent for Windows 4.2 をインストールする前に無効にしてください。


ACS Remote Agent を Windows オペレーティング システムにインストールするには、次の手順に従います。


ステップ 1 ローカル管理者アカウントを使用して、ACS Remote Agent をインストールする Microsoft Windows サーバにログインします。

ステップ 2 ACS Software Migration CD を Microsoft Windows サーバの CD-ROM ドライブに挿入します。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、ダイアログボックスが表示されます。 Cancel をクリックして、ダイアログボックスを閉じます。


) 必須のサービスパックがコンピュータにインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS Remote Agent のインストール前またはインストール後のどちらでも適用可能です。インストールは続行されますが、インストールの完了後に必須のサービスパックをインストールする必要があります。インストールしない場合、ACS Remote Agent が正しく動作しない可能性があります。
Windows のサービスパックの詳細については、Microsoft の Web サイトを参照してください。


ステップ 3 ACS Software Migration CD にある Windows リモート エージェント サブディレクトリを見つけます。

ステップ 4 Windows リモート エージェント サブディレクトリにある Setup.exe を実行します。

Welcome ダイアログボックスにセットアップ プログラムに関する基本情報が表示されます。

ステップ 5 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Choose Destination Location ダイアログボックスが表示されます。

ステップ 6 Destination フォルダの下にインストール先が表示されます。インストール先は変更できます。

Next をクリックします。

ステップ 7 Agent Services ダイアログボックスが表示され、ACS Remote Agent for Windows がサポートするオプションのリストが示されます。

ステップ 8 使用するエージェント サービスを選択します。

Logging Service

Windows Authentication Service

Next をクリックします。Configuration Provider ダイアログボックスが表示されます。

ステップ 9 Hostname ボックスに、ご使用のリモート エージェントのコンフィギュレーションを管理する ACS SE のホスト名または IP アドレスを入力します。


) ホスト名を入力する場合、DNS が正常に動作しているか、アプライアンスのホスト名がローカル hosts ファイルにあるかを確認してください。
IP アドレスまたはホスト名は、Remote Agent の使用前であれば、コンフィギュレーション ファイル CSAgent.ini を編集して後から追加することができます。


ステップ 10 Next をクリックします。

セットアップ プログラムによって ACS Remote Agent for Windows がインストールされます。

Setup Complete ダイアログボックスに、コンピュータを再起動する際のオプションのリストが表示されます。

ステップ 11 いずれかのリブート オプションを選択します。


) インストールを正常に完了するには、リブートする必要があります。後でリブートするように指定した場合は、リモート エージェント サービスを使用する前にリブートしてください。


ステップ 12 Finish をクリックします。

セットアップ プログラムが終了します。自動リブートを指定した場合、Windows が再起動します。


 

次の手順:

次の該当する作業を行います。

Windows ドメイン ユーザ データベースを使用してユーザ認証を行う場合は、「 Windows 認証の設定 」に説明されている追加の Windows 設定を行う必要があります。


) リモート エージェントをアンインストールした後に再インストールする場合、アンインストール前のリモート エージェント サービスのコンフィギュレーションは保持されません。詳細については、「Windows 認証の設定」を参照してください。


ロギング サービスを使用する場合は、ACS SE に追加の設定を行う必要があります。詳細については、『User Guide for ACS Solution Engine 4.2』を参照してください。

ACS Remote Agent for Windows のアンインストール

Windows Control Panel を使用して、ACS Remote Agent for Windows をアンインストールします。他に、アンインストールのための特別な手順はありません。


) ご使用のコンピュータに ACS Remote Agent for Windows を再インストールする予定がない場合は、すべての ACS SE から該当するリモート エージェントのコンフィギュレーションを削除してください。


ACS Remote Agent for Windows のアップグレード

アップグレードするには、旧バージョンのリモート エージェントをアンインストールしてから、新規バージョンをインストールする必要があります。

ACS Remote Agent for Windows ソフトウェアをアップグレードするには、次の手順に従います。


ステップ 1 ACS Remote Agent for Windows のアンインストール の手順を実行して、リモート エージェントの旧バージョンを削除します。

ステップ 2 ACS Remote Agent for Windows のインストール の手順を実行して、アップグレードするバージョンの ACS Remote Agent for Windows をインストールします。


 

Windows 認証の設定

ACS で Windows データベースを使用してユーザを認証する場合は、信頼できるユーザ認証およびグループ マッピングを確立するための追加の設定を行う必要があります。要件は、リモート エージェントをドメイン コントローラにインストールしたかメンバー サーバにインストールしたかによって異なります。

この項は、次のトピックで構成されます。

ドメイン コントローラ認証の設定

メンバー サーバ認証の設定

ドメイン コントローラ認証の設定

ACS Remote Agent for Windows がドメイン コントローラで実行されており、Windows ユーザ データベースを使用してユーザを認証する必要がある場合、必要な追加設定は、Windows ネットワーク構成によって異なります。手順の最初に述べたように、後続の手順には、リモート エージェントがドメイン コントローラで実行されている場合には常に適用されるものもあれば、特定の条件でのみ必要となるものもあります。

常に適用される手順と、Windows ネットワーク構成に適用される手順だけを実行してください。


ステップ 1 CISCO ワークステーションを追加します。

認証要求の Windows 要件を満たすには、ユーザがログインを試みる Windows ワークステーションを ACS に指定する必要があります。ACS は、AAA クライアントが送信した認証要求からはこの情報を判別できないため、すべての要求に対して汎用ワークステーション名を使用します。ワークステーションの名前として CISCO を使用します。

ローカル ドメイン、および ACS がユーザ認証に使用するそれぞれの信頼できるドメインと子ドメインで、次のことを確認します。

CISCO という名前のコンピュータ アカウントが存在する。

Windows が認証するすべてのユーザに CISCO という名前のコンピュータにログインする権限がある。

詳細については、ご使用のオペレーティング システムに対応した Microsoft のマニュアルを参照してください。

ステップ 2 サーバ サービスのステータスを確認します。

リモート エージェントは、Microsoft Windows の標準サービスである Server サービスに依存しています。リモート エージェントを実行しているコンピュータで、Server サービスが実行され、その Startup Type が Automatic に設定されていることを確認します。


ヒント Server サービスを設定するには、ローカル管理者アカウントを使用して ACS を実行しているコンピュータにログインします。Start > Programs Administrative Tools > Services を選択します。サービスがアルファベット順に表示されます。


詳細については、ご使用のオペレーティング システム用の Microsoft のマニュアルを参照してください。

ステップ 3 NT LAN Manager(NTLM)のバージョンを確認します。


) この手順は、ACS が信頼できるドメインまたは子ドメインに属するユーザを認証する場合にのみ必要となります。


ACS は、LAN Manager(LM)、NTLM バージョン 1、または NTLM バージョン 2 のプロトコルを使用してWindows クレデンシャルの認証をサポートします。LAN Manager が最も脆弱なプロトコルであり、NTLM バージョン 2 が最強のプロトコルです。複数のプロトコルをサポートできますが、次のことを確認する必要があります。

a. 使用する NTLM のバージョンに関わらず、LAN Manager Authentication レベルを設定する必要があります。適切な Windows セキュリティ ポリシー エディタで、Local Policies > Security Options を選択し、LAN Manager Authentication Level policy を見つけ、ポリシーを設定します。たとえば、LM または NTLM バージョン 1 を使用している場合は、Send LM & NTLM responses に設定します。各種オプションおよび NTLM バージョン 2 の設定については、Microsoft の Web サイトで適切な NTLM 認証レベルに関するマニュアルを参照してください。

b. 上記の設定以外に、NTLM バージョン 2 を使用する場合は、次のことも確認する必要があります。

ユーザ認証を実行する各 Windows 2000 ドメイン コントローラに Windows 2000 Service Pack 2 または Microsoft hot fix KB893318 が適用されている。Microsoft の Web サイトを参照してください。

または

ユーザ認証を実行する各ドメイン コントローラに Windows 2003 Service Pack 1 がインストールされている。このバージョンにはパッチは必要ありません。

ステップ 4 ユーザ アカウントを作成します。


ヒント リモート エージェントをアップグレードまたは再インストールし、以前のインストールでユーザ アカウントが作成されている場合は、別のユーザ アカウントを使用してリモート エージェント サービスを実行するときのみ、この手順を実行します。


リモート エージェントを実行しているドメイン コントローラのドメインに、リモート エージェント サービスの実行に使用できるドメイン ユーザ アカウントを作成する必要があります(後続の手順を参照してください)。

a. ドメイン ユーザ アカウントを作成します。このユーザ アカウントを使用してリモート エージェント サービスを実行します。ユーザ アカウントには、ドメインの特定のグループ メンバーシップは必要ありません。


ヒント ユーザ アカウントには、ACSuser のように認識しやすい名前を割り当ててください。監視ポリシーをイネーブルにした場合、Event Viewer でこのユーザ名のエントリを参照すると、失敗した ACS の認証に関する問題をより簡単に診断できます。


b. 作成したユーザ アカウントに対して、ACS が認証する必要のあるユーザを含むすべての Active Directory(AD)フォルダの Read all properties 権限を許可します。AD フォルダの権限を許可するには、Microsoft Management Console(MMC)から AD にアクセスし、ACS が認証するユーザを含むフォルダのセキュリティ プロパティを設定します。


ヒント ユーザの AD フォルダのセキュリティ プロパティにアクセスするには、フォルダを右クリックして Properties を選択し、Security タブをクリックします。Add をクリックして、ユーザ名を加えます。


詳細については、 Windows 2000 Server Active Directory を参照してください。

ステップ 5 ローカル セキュリティ ポリシーを設定します。


) この手順は、ACS が信頼できるドメインまたは子ドメインに属するユーザを認証する場合にのみ必要となります。



ヒント リモート エージェントをアップグレードまたは再インストールし、以前のインストールで次の手順が実行されている場合は、別のユーザ アカウントを使用してリモート エージェント サービスを実行するときのみ、この手順を実行する必要があります。


前の手順で作成したユーザ アカウントについて、次のローカル セキュリティ ポリシーにユーザを追加します。

Act as part of the operating system

Log on as a service


) Remote Agent を実行するには、ユーザ アカウントがローカルまたはドメイン管理者のメンバーになっている必要があります。詳細については、「ローカル セキュリティ ポリシーの設定」を参照してください。


ステップ 6 サービスを設定します。


) この手順は、ACS が信頼できるドメインまたは子ドメインに属するユーザを認証する場合にのみ必要となります。


前の手順でセキュリティ ポリシーに追加したユーザとして実行されるようにリモート エージェント サービスを設定します。

詳細については、「 リモート エージェント サービスの設定 」を参照してください。

ステップ 7 NetBIOS を有効にします。

ACS には、信頼できるドメインまたは子ドメインのドメイン コントローラと通信するために NetBIOS が必要です。このため、次で NetBIOS を有効にする必要があります。

リモート エージェントを実行しているドメイン コントローラ。

ACS が認証する必要のあるユーザを含むドメインの信頼できるドメイン コントローラ。

ACS が認証する必要のあるユーザを含む子ドメインのドメイン コントローラ。

NetBIOS を有効にするには、次の手順に従います。

a. 各ドメイン コントローラで、ネットワーク接続の TCP/IP プロパティの詳細設定にアクセスします。

b. Windows Internet Name Service(WINS)タブをクリックします。

c. 必要に応じて NetBIOS を設定します。

詳細については、適切な Microsoft のマニュアルを参照してください。

ステップ 8 DNS の動作を確認します。

特に AD でユーザを認証する場合は、DNS がネットワーク上で正常に稼働している必要があります。その他の ACS 機能も、RADIUS ベースのトークン サーバ認証や ACS Service Management イベント通知 E メールなどの DNS を使用する場合があります。IP アドレスではなくホスト名を使用してこれらの機能を設定したときに DNS が正常に稼働していないと、これらの機能が失敗し、AD に送信された認証要求も失敗することがあります。

詳細については、ご使用のオペレーティング システム用の Microsoft のマニュアルを参照してください。

ステップ 9 DNS サフィックスを指定します。


) この手順は、ACS が複数のドメインの AD を使用してユーザを認証する場合にのみ必要です。


リモート エージェントを実行しているドメイン コントローラにおいて、ネットワーク接続で信頼できるドメインと子ドメインが個別に DNS サフィックスとしてリストされるように、リモート エージェントが使用するネットワーク接続を設定します。

a. ネットワーク接続の TCP/IP プロパティの詳細設定にアクセスします。

b. DNS タブをクリックします。

c. 必要に応じて、 Append these DNS suffixes リストを設定します。

詳細については、Microsoft の Web サイトで、Windows 2000 または Windows 2003 で DNS を使用するための TCP/IP の設定方法に関する適切なドキュメントを参照してください。

ステップ 10 WINS を設定します。

ACS が信頼できるドメインまたは子ドメインに属するユーザを認証する必要があり、リモート エージェントが DNS に依存してそれらのドメイン内のドメイン コントローラに接続できない場合は、ネットワーク上の WINS を有効にする必要があります。

詳細については、ご使用のオペレーティング システム用の Microsoft のマニュアルを参照してください。

ステップ 11 LMHOSTS ファイルを設定します。


) この手順は、上記の手順を実行した後に、信頼できるドメインまたは子ドメインに属するユーザに関する Windows 認証およびグループ マッピングが信頼できない場合にのみ実行します。


他のドメイン コントローラとの通信を確認する最後の方法として、ACS を実行しているドメイン コントローラで、LMHOSTS ファイルを設定して、ACS が認証する必要のあるユーザを含む信頼できるドメインまたは子ドメインの各ドメイン コントローラのエントリを含めます。


ヒント LMHOSTS ファイルの形式は非常に特殊です。LMHOSTS ファイルの設定要件を理解しておく必要があります。


詳細については、適切な Microsoft のマニュアルを参照してください。

LMHOSTS ファイルの例が Windows オペレーティング システムに含まれています。サンプル ファイルのデフォルトの場所とファイル名は、 <systemroot>\system32\drivers\etc\lmhosts.sam です。


 

メンバー サーバ認証の設定

リモート エージェントがメンバー サーバで稼働しており、Windows ユーザ データベースを使用してユーザを認証する必要がある場合、必要な追加の設定は、Windows ネットワーク構成によって異なります。手順の最初の部分で述べたように、次の手順のほとんどは、リモート エージェントがメンバー サーバで稼働している場合は常に適用されますが、中には特定の条件でのみ必要となるものもあります。常に適用される手順および使用中の Windows ネットワーク構成に適用される手順だけを実行してください。

メンバー サーバ認証を設定するには、次の手順に従います。


ステップ 1 ドメイン メンバーシップを確認します。

Windows 認証ができない一般的な設定エラーの 1 つに、ユーザ認証に使用する Windows ドメインと、メンバー サーバのワークグループに割り当てられている名前が同じになっていることが挙げられます。当たり前のことのようですが、リモート エージェントを実行するコンピュータが正しいドメインに属しているかどうか確認してください。


ヒント コンピュータのドメイン メンバーシップを確認するには、Windows デスクトップで、My Computer > Properties > Network Identification を選択し、タブの内容を読みます。


リモート エージェントを実行しているコンピュータが構成計画で必要なドメインのメンバーでない場合、作業を続行する前にこの状況を修正してください。

詳細については、ご使用のオペレーティング システムに対応した Microsoft のマニュアルを参照してください。

ステップ 2 CISCO ワークステーションを追加します。

認証要求の Windows 要件を満たすには、ユーザがログインを試みる Windows ワークステーションを ACS に指定する必要があります。ACS ではこの情報を AAA クライアントによって送信された認証要求から確認できないため、すべての要求に対して汎用ワークステーション名を使用します。ワークステーションの名前として CISCO を使用します。

ローカル ドメイン、および ACS がユーザ認証に使用するそれぞれの信頼できるドメインと子ドメインで、次のことを確認します。

CISCO という名前のコンピュータ アカウントが存在する。

Windows が認証するすべてのユーザに CISCO という名前のコンピュータにログインする権限がある。

詳細については、ご使用のオペレーティング システム用の Microsoft のマニュアルを参照してください。

ステップ 3 サーバ サービスのステータスを確認します。

ACS 認証サービスは、Microsoft Windows の標準サービスである Server サービスに依存しています。リモート エージェントを実行しているコンピュータで、Server サービスが実行され、その Startup Type が Automatic に設定されていることを確認します。


ヒント Server サービスを設定するには、ローカル管理者アカウントを使用して ACS を実行しているコンピュータにログインし、Start > Programs Administrative Tools > Services を選択します。サービスがアルファベット順に表示されます。


詳細については、ご使用のオペレーティング システム用の Microsoft のマニュアルを参照してください。

ステップ 4 NTLM のバージョンを確認します。


) この手順は、ACS が信頼できるドメインまたは子ドメインに属するユーザを認証する場合にのみ必要となります。ACS では変更は必要ありません。Windows でのみ変更が必要です。


ACS は、LAN Manager(LM)、NTLM バージョン 1、または NTLM バージョン 2 のプロトコルを使用してWindows クレデンシャルの認証をサポートします。LAN Manager が最も脆弱なプロトコルであり、NTLM バージョン 2 が最強のプロトコルです。複数のプロトコルをサポートできますが、次のことを確認する必要があります。

a. 使用する NTLM のバージョンに関わらず、LAN Manager Authentication レベルを設定する必要があります。適切な Windows セキュリティ ポリシー エディタで、Local Policies > Security Options を選択し、LAN Manager Authentication Level policy を見つけ、ポリシーを設定します。たとえば、LM または NTLM バージョン 1 を使用している場合は、Send LM & NTLM responses に設定します。各種オプションおよび NTLM バージョン 2 の設定については、Microsoft の Web サイトで適切な NTLM 認証レベルに関するマニュアルを参照してください。

b. ステップ a の設定以外に、NTLM バージョン 2 を使用する場合は、次のことも確認する必要があります。

ユーザ認証を実行する各 Windows 2000 ドメイン コントローラに Windows 2000 Service Pack 2 または Microsoft hot fix KB893318 が適用されている。Microsoft の Web サイトを参照してください。

または

ユーザ認証を実行する各ドメイン コントローラに Windows 2003 Service Pack 1 がインストールされている。このバージョンにはパッチは必要ありません。

ステップ 5 ユーザ アカウントを作成します。


ヒント リモート エージェントをアップグレードまたは再インストールし、すでに次の項目が実行されている場合は、別のユーザ アカウントを使用してリモート エージェント サービスを実行するときのみ、この手順を実行する必要があります。


リモート エージェントを実行しているドメイン コントローラのドメインに、リモート エージェント サービスの実行に使用できるドメイン ユーザ アカウントが含まれている必要があります(後続の手順を参照してください)。

a. ドメイン ユーザ アカウントを作成します。このユーザ アカウントを使用してリモート エージェント サービスを実行します。ユーザ アカウントには、ドメインの特定のグループ メンバーシップは必要ありません。

ドメイン ユーザ アカウントの作成方法の詳細については、Microsoft の Web サイトを参照してください。


ヒント ユーザ アカウントには、ACSuser のように認識しやすい名前を割り当ててください。監視ポリシーをイネーブルにした場合、Event Viewer でこのユーザ名のエントリを参照すると、失敗した ACS の認証に関する問題をより簡単に診断できます。


b. 作成したユーザ アカウントに対して、ACS が認証する必要のあるユーザを含むすべての AD フォルダの Read all properties 権限を許可します。AD フォルダの権限を許可するには、MMC を使用して AD にアクセスし、ACS が認証するユーザを含むフォルダのセキュリティ プロパティを設定します。


ヒント ユーザの AD フォルダのセキュリティ プロパティにアクセスするには、フォルダを右クリックして Properties を選択し、Security タブをクリックします。Add をクリックして、ユーザ名を加えます。


詳細については、 Windows 2000 Server Active Directory を参照してください。

ステップ 6 ローカル セキュリティ ポリシーを設定します。

前の手順で作成したユーザ アカウントについて、次のローカル セキュリティ ポリシーにユーザを追加します。

Act as part of the operating system

Log on as a service

詳細については、「 ローカル セキュリティ ポリシーの設定 」を参照してください。

ステップ 7 サービスを設定します。

前の手順でセキュリティ ポリシーに追加したユーザとして実行されるようにリモート エージェント サービスを設定します。

詳細については、「 リモート エージェント サービスの設定 」を参照してください。

ステップ 8 NetBIOS を有効にします。

ACS には、ユーザ認証要求を送信するすべてのドメイン コントローラと通信するために NetBIOS が必要です。このため、次で NetBIOS を有効にする必要があります。

リモート エージェント コンピュータを実行しているメンバー サーバ。

ACS を含むドメインのドメイン コントローラ。

ACS が認証する必要のあるユーザを含む信頼できるドメインのドメイン コントローラ。

ACS が認証する必要のあるユーザを含む子ドメインのドメイン コントローラ。

NetBIOS を有効にするには、次の手順に従います。

a. 各ドメイン コントローラで、ネットワーク接続の TCP/IP プロパティの詳細設定にアクセスします。

b. WINS タブをクリックします。

c. 必要に応じて NetBIOS を設定します。

詳細については、適切な Microsoft のマニュアルを参照してください。

ステップ 9 DNS の動作を確認します。

特に AD でユーザを認証する場合は、DNS がネットワーク上で正常に稼働している必要があります。RADIUS ベースのトークン サーバ認証や Service Management のイベント通知 E メールなど、その他の ACS 機能も、DNS を使用する場合があります。IP アドレスではなくホスト名を使用してこれらの ACS 機能を設定した場合、DNS は正常に稼働しません。さらに、これらの ACS 機能が失敗し、AD に送信された認証要求も失敗することがあります。

詳細については、ご使用のオペレーティング システムに対応した Microsoft のマニュアルを参照してください。

ステップ 10 DNS サフィックスを指定します。


) この手順は、ACS が複数のドメインの AD を使用してユーザを認証する場合にのみ必要です。


リモート エージェントを実行しているメンバー サーバにおいて、ネットワーク接続で各ドメインが DNS サフィックスとしてリストされるように、リモート エージェントが使用するネットワーク接続を設定します。

a. ネットワーク接続の TCP/IP プロパティの詳細設定にアクセスします。

b. DNS タブをクリックします。

c. 必要に応じて、Append these DNS suffixes リストを設定します。

詳細については、適切な Microsoft のマニュアルを参照してください。

ステップ 11 WINS を設定します。

ACS で信頼できるドメインまたは子ドメインに属するユーザを認証する必要があり、リモート エージェントが DNS に依存してそれらのドメイン内のドメイン コントローラに接続できない場合は、ネットワーク上の WINS を有効にする必要があります。

詳細については、ご使用のオペレーティング システムに対応した Microsoft のマニュアルを参照してください。

ステップ 12 LMHOSTS ファイルを設定します。


) 上記の手順を実行した後、Windows 認証およびグループ マッピングが信頼できない場合にのみこの手順を実行します。


ドメイン コントローラとの通信を確認する最後の方法として、リモート エージェントを実行しているメンバー サーバで、LMHOSTS ファイルを設定して、ACS が認証する必要のあるユーザを含む各ドメイン コントローラのエントリを含めます。子ドメインのドメイン コントローラも含める必要があります。


ヒント LMHOSTS ファイルの形式は非常に特殊です。LMHOSTS ファイルの設定要件を理解しておく必要があります。


詳細については、適切な Microsoft のマニュアルを参照してください。

LMHOSTS ファイルの例が Windows オペレーティング システムに含まれています。サンプル ファイルのデフォルトの場所とファイル名は、 <systemroot> \system32\drivers\etc\lmhosts.sam です。


 

ローカル セキュリティ ポリシーの設定

始める前に

この手順は、リモート エージェントが次のどちらかの状況に当てはまる場合にのみ必要となります。

メンバー サーバで実行され、Windows ユーザ データベースを使用してユーザを認証する必要がある。

ドメイン コントローラで実行され、信頼できるドメインまたは子ドメインでユーザを認証する必要がある。

あらかじめ、リモート エージェントの実行に使用するユーザ アカウントを作成しておく必要があります。設定要件の詳細については、次の項の該当する手順を参照してください。

メンバー サーバ認証の設定

ドメイン コントローラ認証の設定

ローカル セキュリティ ポリシーを設定するには、次の手順に従います。


ステップ 1 ローカル管理者アカウントを使用して、ACS を実行しているコンピュータにログインします。

ステップ 2 Start > Settings > Control Panel > Administrative Tools > Local Security Policy を選択します。


ヒント Start メニューで Control Panel を展開できない場合は、Start > Settings > Control Panel を選択し、Administrative Tools をダブルクリックします。次に、Local Security Policy をダブルクリックします。

Local Security Settings ウィンドウが表示されます。

ステップ 3 Name カラムの Local Policies をダブルクリックし、次に User Rights Assignment をクリックします。

Local Security Settings ウィンドウに、ポリシーおよび関連設定のリストが表示されます。次の 2 つのポリシーを設定する必要があります。

Act as part of the operating system

Log on as a service

ステップ 4 Act as part of the operating system ポリシーおよび Log on as a service ポリシーは、次の手順に従って設定します。

a. ポリシー名をダブルクリックします。

Local Policy Setting ダイアログボックスが表示されます。

b. Add をクリックします。

Select Users or Groups ダイアログボックスが表示されます。

c. Add ボタンの下にあるボックスに、ユーザ アカウントのユーザ名を入力します。


) ユーザ名は、ドメインを指定した形式である必要があります。たとえば、CORPORATE ドメインに ACSuser という名前のユーザを作成した場合は、CORPORATE\ACSuser と入力します。


d. Check Names をクリックします。

Enter Network Password ダイアログボックスが表示されます。

e. 次の手順を実行します。

Connect as :ドメインを指定したユーザ名を入力します。ユーザ名は、c. で指定したドメインに存在している必要があります。たとえば、指定したドメインが CORPORATE であり、echamberlain がそのドメイン内で有効なユーザである場合は、CORPORATE\echamberlain と入力します。

Password :指定したユーザ アカウントのパスワードを入力します。 OK をクリックします。

c. のユーザ名が存在するかどうかが確認されます。Enter Network Password ダイアログボックスが閉じます。

f. Select Users or Groups ダイアログボックスで、 OK をクリックします。

Select Users or Groups ダイアログボックスが閉じます。

ユーザ名が、Local Policy Setting ダイアログボックスの Assign To リストに追加されます。

g. OK をクリックします。

Local Policy Setting ダイアログボックスが閉じます。c. で入力したドメインを指定した形式のユーザ名が、設定したポリシーに関連する設定画面に表示されます。

h. c. で指定したユーザ名が、修正したポリシーの Local Setting カラムに表示されていることを確認します。表示されない場合は、これらの手順を繰り返します。


ヒント 追加したユーザ名を確認する際に、Local Setting カラムを広げる操作が必要な場合があります。


) Effective Setting カラムは、動的に更新されません。後述のステップで、Effective Setting カラムに必要な情報が含まれていることを確認する方法を説明します。


Act as part of the operating system ポリシーと Log on as a service ポリシーの設定が完了すると、ユーザ アカウントが、設定したポリシーの Local Setting カラムに表示されます。

ステップ 5 変更したセキュリティ ポリシー設定が、ACS を実行するコンピュータに適用されていることを確認します。

a. Local Security Settings ウィンドウを閉じます。

Effective Setting カラムの情報をリフレッシュするには、ウィンドウを閉じます。

b. Local Security Settings ウィンドウを再び開きます。 Start > Programs > Administrative Tools > Local Security Policy を選択します。

c. Name カラムの Local Policies をダブルクリックし、 User Rights Assignment をダブルクリックします。

Local Security Settings ウィンドウに、ポリシーおよびその関連設定の更新済みリストが表示されます。

d. Act as part of the operating system ポリシーおよび Log on as a service ポリシーの Effective Setting カラムに、追加したユーザ名が表示されていることを確認します。


) ポリシーに設定したユーザ名が、両方のポリシーの Effective Setting カラムに表示されない場合は、ローカル設定と競合するセキュリティ ポリシー設定がドメイン コントローラに存在する可能性があります。ローカル設定がこれらの 2 つのポリシー設定に適用されるように、ドメイン コントローラ上のセキュリティ ポリシーを設定して、競合を解決してください。ドメイン コントローラ上のセキュリティ ポリシーの設定については、ご使用のオペレーティング システムに対応する Microsoft のマニュアルを参照してください。


これで、ユーザ アカウントには、リモート エージェント サービスの実行と Windows 認証のサポートに必要な特権が割り当てられました。

ステップ 6 Local Security Settings ウィンドウを閉じます。


 

リモート エージェント サービスの設定

始める前に

この手順は、リモート エージェントが次のどちらかの状況に当てはまる場合にのみ必要となります。

メンバー サーバで実行され、Windows ユーザ データベースを使用してユーザを認証する必要がある。

ドメイン コントローラで実行され、信頼できるドメインまたは子ドメインでユーザを認証する必要がある。

あらかじめ、リモート エージェントの実行に使用するユーザ アカウントを作成し、リモート エージェント サービスを実行するために必要な権限を割り当てておく必要があります。設定要件の詳細については、「 メンバー サーバ認証の設定 」または「 ドメイン コントローラ認証の設定 」の該当する手順を参照してください。

ACS サービスを設定するには、次の手順に従います。


ステップ 1 ローカル管理者アカウントを使用して、リモート エージェントを実行しているコンピュータにログインします。

ステップ 2 Start > Settings > Control Panel > Administrative Tools > Services を選択します。


ヒント Start メニューで Control Panel を展開できない場合は、Start > Settings > Control Panel を選択し、Administrative Tools をダブルクリックします。次に、Services をダブルクリックします。

Services ウィンドウに、サービス グループのリスト、および現在のグループに登録されているサービスすべてのリストが表示されます。サービス グループのリストは、ラベル付きの Tree になっています。現在のグループに登録されているサービスは、Tree リストの右側に表示されます。

ステップ 3 Tree リストで、 Services (local) をクリックします。

リモート エージェントをサポートするためにインストールされた Windows サービスが、Cisco Secure ACS Agent としてサービスのリストに表示されます。サーバ名は、CSAgent です。

ステップ 4 リモート エージェント サービスを設定するには、次の手順に従います。

a. サービスのリストで、CiscoSecure ACS Agent サービスを右クリックして、ショートカット メニューから Properties を選択します。

Computer Browser Properties (Local Computer) ダイアログボックスが表示されます。

b. Log On タブをクリックします。

c. This account オプションをクリックします。

d. This account オプションの横にあるボックスに、アカウントのユーザ名を入力します。


) ユーザ名は、ドメインを指定した形式である必要があります。たとえば、CORPORATE ドメインに ACSuser という名前のユーザを作成した場合は、CORPORATE\ACSuser と入力します。


e. Password ボックスにユーザ アカウントのパスワードを入力し、さらに Confirm Password ボックスに再度入力します。

f. OK をクリックします。

CSAgent サービスは、ユーザ アカウントの特権を使用して実行するように設定する必要があります。

ステップ 5 CSAgent サービスを再起動するには、次の手順に従います。

a. Computer Browser Properties (Local Computer) ダイアログボックスで、 General タブをクリックします。

b. Stop をクリックします。

サービスを停止している間、Service Control ダイアログボックスが表示されます。

c. Start をクリックします。

サービスを起動している間、Service Control ダイアログボックスが表示されます。

リモート エージェント サービスは、指定したユーザ アカウントの特権を使用して実行されます。