Cisco Secure ACS Appliance ユーザガイド 3.2
概要
概要
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

概要

Cisco Secure ACS とは

Cisco Secure ACS の仕様

システムのパフォーマンス仕様

Cisco Secure ACS のサービス

AAA サーバの機能と概念

Cisco Secure ACS と AAA クライアント

AAA プロトコル:TACACS+ および RADIUS

TACACS+

RADIUS

認証

認証に関する考慮事項

認証とユーザ データベース

認証プロトコルとデータベースの互換性

パスワード

その他の認証関連機能

許可

Max Sessions

動的使用クォータ

共有プロファイル コンポーネント

Cisco デバイス管理アプリケーションのサポート

その他の許可関連機能

アカウンティング

その他のアカウンティング関連機能

管理

管理セッション用の HTTP ポートの割り当て

ネットワーク デバイス グループ

その他の管理関連機能

Cisco Secure ACS の HTML インターフェイス

Cisco Secure ACS の HTML インターフェイスについて

HTML インターフェイスのセキュリティ

HTML インターフェイスのレイアウト

HTML インターフェイスの URL

ネットワーク環境と管理セッション

管理セッションと HTTP プロキシ

ファイアウォールを経由した管理セッション

NAT ゲートウェイを経由した管理セッション

HTML インターフェイスへのアクセス

HTML インターフェイスからのログオフ

オンライン ヘルプとオンライン マニュアル

オンライン ヘルプの使用方法

オンライン マニュアルの使用方法

概要

この章では、Cisco Secure ACS Appliance の概要を説明します。

この章では、次のトピックについて取り上げます。

「Cisco Secure ACS とは」

「Cisco Secure ACS の仕様」

「AAA サーバの機能と概念」

「Cisco Secure ACS の HTML インターフェイス」

Cisco Secure ACS とは

Cisco Secure ACS は、Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング:「トリプル A」と発音)サービスを、ネットワーク アクセス サーバ、PIX ファイアウォール、ルータなど、AAA クライアントとして機能するネットワーク デバイスに提供します。図 1-1 の AAA クライアントは、AAA クライアント機能を備え、Cisco Secure ACS でサポートされているいずれかの AAA プロトコルを使用するデバイスを表しています。

図 1-1 単純な AAA シナリオ

 

Cisco Secure ACS では、ルータとスイッチのアクセス管理だけでなく、アクセス制御とアカウンティングが中央に集約されます。Cisco Secure ACS により、ネットワーク管理者はユーザ グループ全体に対して、アカウントを迅速に管理し、サービス提供のレベルをグローバルに変更します。図 1-1 に示した外部ユーザ データベースはオプションですが、一般的なユーザ リポジトリの多数の実装がサポートされるので、会社は社内ユーザ リポジトリの構築によって得られた実際的な知識と、その構築に対するこれまでの投資を活用できます。

Cisco Secure ACS でサポートされる シスコの AAA クライアントには、Cisco 2509、2511、3620、3640、AS5200、AS5300、AS5800、Cisco PIX Firewall、Cisco Aironet Access Point ワイヤレス ネットワーキング デバイス、Cisco VPN 3000 Concentrator、および Cisco VPN 5000 Concentrator などがあります。また、Terminal Access Controller Access Control System(TACACS+)または Remote Access Dial-In User Service(RADIUS)プロトコルを設定できるサードパーティ製のデバイスもサポートされます。Cisco Secure ACS では、それらのデバイスがすべて AAA クライアントとして扱われます。Cisco Secure ACS では、TACACS+ および RADIUS プロトコルを使用して AAA サービスが提供され、セキュアな環境が保証されます。Cisco Secure ACS における TACACS+ および RADIUS のサポートの詳細については、「AAA プロトコル:TACACS+ および RADIUS」を参照してください。

Cisco Secure ACS の仕様

この項では、Cisco Secure ACS のパフォーマンス仕様と、Cisco Secure ACS を構成するサービスについて説明します。


) Cisco Secure ACS Appliance のハードウェア仕様については、『Installation and Setup Guide for Cisco Secure ACS』を参照してください。


この項では、次のトピックについて取り上げます。

「システムのパフォーマンス仕様」

「Cisco Secure ACS のサービス」

システムのパフォーマンス仕様

Cisco Secure ACS のパフォーマンスは、ネットワークのトポロジ、ネットワーク管理、ユーザ データベースの選択、およびその他の要因によって大きく影響されます。たとえば、Cisco Secure ACS で実行できる 1 秒当たりの認証数は、1 GB のイーサネット バックボーン上で内部ユーザ データベースを使用している場合の方が、10 MB の LAN 上で外部ユーザ データベースを使用している場合よりずっと多くなります。

使用中のネットワーク設定で予想される Cisco Secure ACS のパフォーマンスの詳細については、シスコの営業担当者にお問い合せください。次の項目は、システム パフォーマンスに関してよく寄せられる質問に対する一般的な回答です。使用するネットワークにおける Cisco Secure ACS のパフォーマンスは、使用環境と AAA 要件によって異なります。

CiscoSecure ユーザ データベースでサポートされる最大ユーザ数 :理論上、CiscoSecure ユーザ データベースでサポートできるユーザ数に制限はありません。シスコのテストでは、100,000 ユーザを超えるデータベースで支障なく Cisco Secure ACS を使用できました。単一の Cisco Secure ACS で内部と外部のすべてのデータベースと照合する認証を行う場合、実用上の限度は 300,000 ~ 500,000 ユーザです。この数は、複製した複数の Cisco Secure ACS に認証の負荷を分散すると、大幅に増加します。

ユーザ数当たりの 1 秒当たりトランザクション数 :CiscoSecure ユーザ データベース内に 10,000 人のユーザがいるとすると、Cisco Secure ACS では 1 秒当たり 80 回の RADIUS フル ログイン サイクル(認証、アカウンティング開始、およびアカウンティング終了)、および 1 秒当たり約 40 回の TACACS+ ログインが可能です。このパフォーマンスは、データベースが大きくなると、ほぼそれに比例して低下します。

サポートされる AAA クライアントの最大数 :Cisco Secure ACS では、約 5,000 の AAA クライアント設定に対する AAA サービスをサポートできます。この制限は、主に Cisco Secure ACS の HTML インターフェイスの制限です。HTML インターフェイスのパフォーマンスは、Cisco Secure ACS の AAA クライアント設定がおよそ 5,000 を超えると低下します。しかし、Cisco Secure ACS では、1 つの AAA クライアント設定で複数の物理ネットワーク デバイスを表すことができます。ただし、その場合には、それらのネットワーク デバイスが同じ AAA プロトコルを使用し、同じ共有秘密情報を使用している必要があります。この機能を利用した場合は、実際にサポートされる AAA クライアントの数を 5,000 から大幅に増やすことができます。

Cisco Secure ACS のサービス

Cisco Secure ACS は一連のサービスとして稼動し、それらのサービスが Cisco Secure ACS 機能のコアとなっています。これらのサービスは、ネットワークにアクセスするユーザの認証、許可、およびアカウンティングを制御します。 各サービスの詳細については、「概要」を参照してください。Cisco Secure ACS Appliance のサービスには、次のものがあります。

CSAdmin :Cisco Secure ACS を管理するための HTML インターフェイスを提供します。

CSAuth :認証サービスを提供します。

CSDBSync :CiscoSecure ユーザ データベースと外部 RDBMS アプリケーションとの同期をとります。

CSLog :アカウンティングとシステム アクティビティの両方について、ロギング サービスを提供します。

CSMon :Cisco Secure ACS のパフォーマンスのモニタリング、記録、および通知のほか、一部のシナリオに自動的に対応します。

CSTacacs :TACACS+ AAA クライアントと CSAuth サービスの間の通信を提供します。

CSRadius :RADIUS AAA クライアントと CSAuth サービスの間の通信を提供します。

各モジュールは、シリアル コンソールから個別に起動と停止ができます。あるいは、Cisco Secure ACS の HTML インターフェイスから、またはこのアプライアンスのシリアル コンソールから、グループでの起動と停止ができます。HTML インターフェイスを使用したサービスの停止と起動については、「サービスの制御」を参照してください。シリアル コンソールを使用したサービスの停止と起動については、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

AAA サーバの機能と概念

Cisco Secure ACS は AAA サーバであり、AAA クライアントとして動作可能なネットワーク デバイスに AAA サービスを提供します。

AAA サーバとしての Cisco Secure ACS には、 AAA クライアントに AAA サービスを提供するための多数のテクノロジーが組み込まれています。Cisco Secure ACS を理解するには、それらのテクノロジーに関する知識が必要です。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS と AAA クライアント」

「AAA プロトコル:TACACS+ および RADIUS」

「認証」

「許可」

「アカウンティング」

「管理」

Cisco Secure ACS と AAA クライアント

AAA クライアントはネットワーク デバイス上で実行されるソフトウェアであり、これを使用することにより、ユーザ セッションの認証、許可、およびロギング(アカウンティング)を AAA サーバに委任することができます。AAA クライアントは、エンドユーザのクライアント アクセス要求をすべて Cisco Secure ACS へ送り、ユーザの認証とサービス要求の許可を得るように設定されている必要があります。AAA クライアントは、TACACS+ または RADIUS プロトコルを使用して、認証要求を Cisco Secure ACS へ送ります。Cisco Secure ACS は、問い合せ先として設定されたユーザ データベースを使用して、ユーザ名とパスワードを検証します。Cisco Secure ACS は、成功または失敗の応答を AAA クライアントへ返し、AAA クライアントは、受信した応答に基づいてユーザ アクセスを許可または拒否します。ユーザ認証が成功した場合、Cisco Secure ACS は AAA クライアントへ一連の許可アトリビュートを送信します。その後、AAA クライアントは、Cisco Secure ACS へアカウンティング情報の転送を開始します。

ユーザの認証が正常に終了した場合、追加のセキュリティと特権の管理を提供するための一連のセッション アトリビュート(許可)を AAA クライアントへ送信できます。それらのアトリビュートには、IP アドレス プール、アクセス コントロール リスト、または接続のタイプ(たとえば、IP、IPX、Telnet)が含まれる場合があります。最近では、ネットワーキング ベンダーはユーザ セッション プロビジョニングの様相が幅を広げつつあることに対処して、返されたアトリビュート セットの用途を拡大しています。

AAA プロトコル:TACACS+ および RADIUS

Cisco Secure ACS では、TACACS+ と RADIUS の両方の AAA プロトコルを使用できます。 表1-1 に、2 つのプロトコルの比較を示します。

 

表1-1 TACACS+ と RADIUS のプロトコルの比較

比較点
TACACS+
RADIUS

伝送プロトコル

TCP:コネクション型トランスポート層プロトコル、信頼できる全二重データ伝送

UDP:コネクションレス型トランスポート層プロトコル、確認応答やデリバリの保証を伴わないデータグラム交換

使用されるポート

49

認証および許可:1645 および 1812

アカウンティング:1646 および 1813

暗号化

完全なパケット暗号化

16 バイトまでのパスワードだけを暗号化

AAA アーキテクチャ

認証、許可、アカウンティングの各サービスを別々に制御

認証と許可を 1 つのサービスとして結合

適している用途

デバイス管理

ユーザ アクセスの制御

TACACS+

Cisco Secure ACS は、シスコシステムズのドラフト 1.77 で定義された TACACS+ プロトコルに準拠しています。詳細については、Cisco IOS ソフトウェアのマニュアルまたは Cisco.com( http://www.cisco.com )を参照してください。

RADIUS

Cisco Secure ACS は、1997 年 4 月にドラフトで定義され、次の Requests for Comments(RFC)で定義された RADIUS プロトコルに準拠しています。

RFC 2138、Remote Authentication Dial In User Service

RFC 2139、RADIUS Accounting

RFC 2865

RFC 2866

RFC 2867

RFC 2868

RFC 2869

認証とアカウンティングに使用されるポートは、RADIUS の RFC 文書で変更されました。 新旧の RFC をサポートするため、Cisco Secure ACS はポート 1645 とポート 1812 で認証要求を受信します。アカウンティングの場合、ポート 1646 とポート 1813 でアカウンティング パケットを受信します。

標準の IETF RADIUS アトリビュートのサポートに加えて、Cisco Secure ACS には RADIUS Vendor-Specific Attribute(VSA)のサポートも組み込まれています。Cisco Secure ACS には、次の RADIUS VSA が事前定義されています。

Cisco IOS/PIX

Cisco VPN 3000

Cisco VPN 5000

Ascend

Juniper

Microsoft

Nortel

また、Cisco Secure ACS は、ユーザ定義の RADIUS VSA を最大 10 個サポートします。新しい RADIUS VSA を定義すると、Cisco Secure ACS で事前定義された RADIUS VSA とまったく同じようにそれを使用できます。Cisco Secure ACS の HTML インターフェイスの Network Configuration セクションでは、ユーザ定義の RADIUS VSA を AAA プロトコルとして使用するよう、AAA クライアントを設定できます。Interface Configuration では、ユーザ定義の RADIUS VSA に対して、ユーザ レベルとグループ レベルのアトリビュートを使用可能にすることができます。User Setup および Group Setup では、使用可能にしたユーザ定義の RADIUS VSA のアトリビュートに値を設定できます。

ユーザ定義の RADIUS VSA の作成方法の詳細については、「カスタム RADIUS ベンダーと VSA」を参照してください。

認証

認証とは、ユーザの ID を判別し、その情報を確認することです。従来の認証では、名前と固定のパスワードが使用されます。より新しくセキュアな方式では、CHAP や One-Time Password(OTP)などのテクノロジーが使用されます。Cisco Secure ACS は、これらのさまざまな認証方式をサポートしています。

認証と許可の間には、基本的な暗黙の関係があります。ユーザに付与する許可権限が多いほど、認証を強力にする必要があります。Cisco Secure ACS では、各種の方式の認証を提供することで、この関係をサポートします。

認証に関する考慮事項

ユーザ名とパスワードは、最も一般的で、最も単純かつ安価な認証方式です。特別な機器は必要ありません。これは、クライアントに簡単に適用できるので、サービス プロバイダーに人気のある方式です。この方式の欠点は、ユーザ名やパスワードの情報が他の人に漏れたり、簡単に推測されたり、キャプチャされる場合があることです。暗号化されていない単純なユーザ名とパスワードは、強力な認証メカニズムとは言えませんが、認証や特権のレベルが低いインターネット アクセスなどには十分です。

ネットワーク上のパスワード キャプチャの危険を減らすには、暗号化を使用します。TACACS+ や RADIUS などのクライアントおよびサーバ アクセス制御プロトコルでは、パスワードがネットワーク内でキャプチャされるのを防ぐため、パスワードが暗号化されます。ただし、TACACS+ と RADIUS は、AAA クライアントとアクセス制御サーバの間でのみ機能します。そのため、認証プロセスでこのポイントを通過する前に、権限のない者がクリア テキストのパスワードを入手するおそれがあります。たとえば、末端にネットワーク アクセス サーバがある電話回線や ISDN 回線を通じてダイヤルアップしたエンドユーザ クライアントの通信、またはエンドユーザ クライアントとホスティング デバイスの間での Telnet セッションを使用した通信の場合です。

高度なレベルのセキュリティ サービスを提供するネットワーク管理者、およびパスワード キャプチャによる不正なアクセスを少なくしたいと考える企業では、OTP を使用できます。Cisco Secure ACS は、PAP for Point-to-Point Protocol(PPP)リモートノード ログインを含む複数のタイプの OTP ソリューションをサポートします。トークン カードは、最も強力な OTP 認証メカニズムの 1 つと考えられています。

認証とユーザ データベース

Cisco Secure ACS は、さまざまなユーザ データベースをサポートします。具体的には、CiscoSecure ユーザ データベースと、次のような外部ユーザ データベースがサポートされます。

Windows のユーザ データベース

汎用 LDAP

Novell NetWare Directory Services(NDS)

CRYPTOCard トークン サーバ

SafeWord トークン サーバ

PassGo トークン サーバ

RSA SecurID トークン サーバ

ActivCard トークン サーバ

Vasco トークン サーバ

上記のトークン サーバのほか、RADIUS サーバ インターフェイスを提供するすべてのトークン サーバがサポートされます。トークン サーバのサポートの詳細については、「トークン サーバのユーザ データベース」を参照してください。

認証プロトコルとデータベースの互換性

Cisco Secure ACS が認証用にサポートする各種のパスワード プロトコルは、Cisco Secure ACS がサポートするさまざまなデータベースで一律にサポートされるわけではありません。Cisco Secure ACS がサポートするパスワード プロトコルの詳細については、「パスワード」を参照してください。

表1-2 に、非 EAP 認証プロトコルのサポート状況を示します。

 

表1-2 非 EAP 認証プロトコルとユーザ データベースの互換性

データベース
ASCII/PAP
CHAP
ARAP
MS-CHAP v.1
MS-CHAP v.2

Cisco Secure ACS

Windows SAM

×

×

Windows AD

×

×

LDAP

×

×

×

×

Novell NDS

×

×

×

×

LEAP プロキシ RADIUS サーバ

×

×

すべてのトークン サーバ

×

×

×

×

表1-3 に、EAP 認証プロトコルのサポート状況を示します。

 

表1-3 EAP 認証プロトコルとユーザ データベースの互換性

データベース
LEAP
EAP-MD5
EAP-TLS
PEAP(EAP-GTC)
PEAP(EAP-MS
CHAPv2)
EAP-FAST フェーズ 0
EAP-FAST フェーズ 2

Cisco Secure ACS

Windows SAM

×

×

Windows AD

×

LDAP

×

×

×

×

Novell NDS

×

×

×

×

LEAP プロキシ RADIUS サーバ

×

×

すべてのトークン サーバ

×

×

×

×

×

×

パスワード

Cisco Secure ACS は、多くの一般的なパスワード プロトコルをサポートしています。

ASCII/PAP

CHAP

MS-CHAP

LEAP

EAP-MD5

EAP-TLS

PEAP(EAP-GTC)

PEAP(EAP-MSCHAPv2)

EAP-FAST

ARAP

使用されるセキュリティ制御プロトコル(RADIUS または TACACS+ など)のバージョンとタイプ、および AAA クライアントとエンドユーザ クライアントの設定に基づいて、これらのパスワード認証プロトコルを使用したパスワード処理が可能です。この後のトピックでは、パスワード処理のさまざまな条件と機能について概要を説明します。

トークン サーバの場合、Cisco Secure ACS はトークン サーバのクライアントとして動作し、トークン サーバに応じて独自仕様の API インターフェイスか RADIUS インターフェイスを使用します。詳細については、「トークン サーバと Cisco Secure ACS について」を参照してください。

Cisco Secure ACS では、さまざまな要件に応じて、幅広いレベルのセキュリティを同時に使用できます。基本的なユーザとネットワーク間のセキュリティ レベルは PAP です。これは非暗号化セキュリティですが、クライアントにとって便利で簡単なセキュリティを提供します。PAP では、Windows データベースとの照合による認証が可能です。この設定を使用すると、ユーザは一度ログインするだけで済みます。CHAP では、より高度なレベルのセキュリティが可能になり、エンドユーザ クライアントから AAA クライアントへの通信時にパスワードを暗号化できます。CHAP では CiscoSecure ユーザ データベースを使用できます。ARAP は、Apple クライアントをサポートするために組み込まれています。

PAP、CHAP、および ARAP の比較

PAP、CHAP、および ARAP は、パスワードの暗号化に使用される認証プロトコルです。ただし、各プロトコルごとにセキュリティ レベルが異なります。

PAP :クリア テキストのパスワード(暗号化されていないパスワード)を使用し、最も単純な認証プロトコルです。Windows ユーザ データベースをユーザの認証に使用している場合は、PAP パスワードの暗号化または MS-CHAP を使用する必要があります。

CHAP :チャレンジ/応答メカニズムと、応答での片方向の暗号化を使用します。Cisco Secure ACS で CHAP を使用すると、最もセキュアな暗号化メカニズムから最もセキュアでない暗号化メカニズムまで下方向にネゴシエートでき、プロセス内で伝送されるパスワードは保護されます。CHAP のパスワードは再使用可能です。CiscoSecure ユーザ データベースを認証に使用している場合は、PAP と CHAP のどちらでも使用できます。CHAP では Windows ユーザ データベースを使用できません。

ARAP :双方向のチャレンジ/応答メカニズムを使用します。AAA クライアントはエンドユーザ クライアントに対して認証を要求し、エンドユーザ クライアントは AAA クライアントに対して認証を要求します。

MS-CHAP

Cisco Secure ACS では、Microsoft Challenge-Handshake Authentication Protocol(MS-CHAP)をユーザ認証に使用できます。MS-CHAP と標準の CHAP の違いは、次のとおりです。

MS-CHAP Response パケットのフォーマットは、Microsoft Windows および LAN Manager 2.x と互換性があります。MS-CHAP フォーマットでは、認証者がクリア テキストまたは可逆性の暗号化パスワードを保存する必要はありません。

MS-CHAP は、認証者が制御できる認証再試行メカニズムを備えています。

MS-CHAP では、Failure パケットの Message フィールドに障害コードが追加されます。

MS-CHAP の詳細については、RFC draft-ietf-pppext-mschap-00.txt の「RADIUS Attributes for MS-CHAP Support」を参照してください。

EAP サポート

IETF 802.1x に基づいた Extensible Authentication Protocol(EAP)は、エンドツーエンド フレームワークの 1 つであり、これを使用すると、AAA クライアントの設定を変更しなくても認証タイプを作成できます。EAP の詳細については、『 PPP Extensible Authentication Protocol (EAP) RFC 2284 』を参照してください。

Cisco Secure ACS は、次のような EAP をサポートします。

EAP-MD5 :相互認証をサポートしない EAP プロトコルです。

EAP-TLS :トランスポート層セキュリティが組み込まれた EAP です。詳細については、『 EAP-TLS Deployment Guide for Wireless LAN Networks 』、および「EAP-TLS 認証」を参照してください。

LEAP :Cisco Aironet ワイヤレス機器によって使用される EAP プロトコルです。相互認証をサポートします。

PEAP :保護付きの EAP です。EAP-Generic Token Card(GTC)プロトコルおよび EAP-MSCHAPv2 プロトコルと一緒に実装されます。詳細については、「PEAP 認証」を参照してください。

EAP-FAST :EAP Flexible Authentication via Secured Tunnel(EAP-FAST)は、EAP 認証の暗号化を高速に処理し、EAP-GTC 認証をサポートします。詳細については、「EAP-FAST 認証」を参照してください。

Cisco Secure ACS のアーキテクチャは、EAP については拡張可能であり、上記以外の各種 EAP も、それらのプロトコルが成熟するに従ってサポートされる予定です。

基本的なパスワード設定

いくつかの基本的なパスワード設定があります。


これらの設定は、すべて着信認証に分類されます。


ASCII/PAP/CHAP/MS-CHAP/ARAP に単一のパスワードを使用アカウントをセットアップする管理者と、認証を取得するユーザの両方にとって最も便利な方式です。ただし、CHAP パスワードは PAP パスワードと同じものであり、PAP パスワードは ASCII/PAP のログイン時にクリア テキストで伝送されるため、CHAP パスワードの安全性が脅かされるおそれがあります。

ASCII/PAP と CHAP/MS-CHAP/ARAP に別々のパスワードを使用セキュリティのレベルを上げるために、ユーザに 2 つの異なるパスワードを与えることができます。ASCII/PAP パスワードの安全性が脅かされた場合でも、CHAP/ARAP パスワードの安全性は維持されます。

外部ユーザ データベースによる認証外部ユーザ データベースによる認証では、ユーザは CiscoSecure ユーザ データベースにパスワードを保存する必要がありません。代わりに、そのユーザを認証するためにどの外部ユーザ データベースに問い合せればよいか、Cisco Secure ACS によって記録されます。

拡張パスワード設定

Cisco Secure ACS は、次のような拡張パスワード設定をサポートしています。

着信パスワードほとんどの Cisco Secure ACS ユーザが使用するパスワードです。これらのパスワードは TACACS+ と RADIUS のどちらのプロトコルでもサポートされます。パスワードは内部の CiscoSecure ユーザ データベースに保管されており、発信パスワードが設定されている場合でも、通常は外部ソースにまで渡されることはありません。

発信パスワードTACACS+ プロトコルは発信パスワードをサポートしており、AAA クライアントが別の AAA クライアントとエンドユーザ クライアントによって認証される必要がある場合などに使用されます。その場合は、CiscoSecure ユーザ データベースのパスワードが、別の AAA クライアントとエンドユーザ クライアントへ返送されます。

トークン キャッシングトークン キャッシングが使用可能な場合、ISDN ユーザは最初の認証時に入力した OTP と同じ OTP を使用して、2 番目の B チャネルに(限られた時間だけ)接続できます。さらにセキュリティを高めるには、AAA クライアントからの B チャネル認証要求のユーザ名の値に OTP を組み込み(たとえば、Fred password )、パスワード値に ASCII/PAP/ARAP パスワードを含める必要があります。その場合、TACACS+ および RADIUS サーバは、トークンが引き続きキャッシュされていることを確認し、ユーザが採用した設定に応じて、着信パスワードを単一の ASCII/PAP/ARAP または別個の CHAP/ARAP パスワードと照合し、その妥当性をチェックします。

TACACS+ SENDAUTH 機能を使用すると、AAA クライアントは発信認証を介して、それ自身を別の AAA クライアントまたはエンドユーザ クライアントに対して認証できます。発信認証には、PAP、CHAP、ARAP のいずれかを使用できます。発信認証を使用すると、Cisco Secure ACS パスワードが送出されます。デフォルトでは、設定に応じて ASCII/PAP または CHAP/ARAP パスワードが使用されますが、ユーザ用に別個の SENDAUTH パスワードを設定することを推奨します。それによって、Cisco Secure ACS の着信パスワードの安全性が脅かされなくなります。

発信パスワードを使用して最高レベルのセキュリティを維持したい場合は、CiscoSecure ユーザ データベースの中で、着信パスワードと異なる発信パスワードを使用してユーザを設定することを推奨します。

パスワードのエージング

Cisco Secure ACS では、パスワードのエージングを採用するかどうか、また、どのように採用するかを選択できます。パスワード エージングの制御は、CiscoSecure ユーザ データベースと Windows ユーザ データベースのどちらにあってもかまいません。それぞれのパスワード エージングのメカニズムは、要件および設定の構成が異なります。

CiscoSecure ユーザ データベースによって制御されるパスワード エージング機能では、次のいずれかの条件下でユーザに強制的にパスワードを変更させることができます。

指定した日数の経過後

指定した回数のログイン後

新規ユーザが初めてログインしたとき

CiscoSecure ユーザ データベースによって制御されるパスワード エージング機能の要件と設定方法については、「CiscoSecure User Database のパスワード エージングの使用可能設定」を参照してください。

Windows ベースのパスワード エージング機能を使用すると、次のパスワード エージング パラメータを制御できます。

最大パスワード経過日数

最小パスワード経過日数

Windows のパスワード エージングの方式と機能は、使用している Windows オペレーティング システムによって、また、Active Directory(AD)や Security Accounts Manager(SAM)を採用しているかどうかによって異なります。Windows ベースのパスワード エージング機能の要件と設定方法については、「Windows データベース内のユーザのパスワード エージングの使用可能設定」を参照してください。

User-Changeable Passwords

Cisco Secure ACS では、ユーザが Web ベースのユーティリティを使用してパスワードを変更できる別個のプログラムをインストールできます。User-Changeable Passwords の詳しいインストール方法については、『 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords 』を参照してください。

その他の認証関連機能

この項で述べた認証関連機能のほかに、Cisco Secure ACS には次の機能があります。

外部ユーザ データベースを使用した未知のユーザの認証(「未知のユーザの処理」参照)

Microsoft Windows を実行しているコンピュータの認証(「マシン認証」参照)

Microsoft Windows のコールバック機能(「ユーザ コールバック オプションの設定」参照)

外部データ ソースを使用して、パスワードを含むユーザ アカウントを設定する機能(「RDBMS の同期について」参照)

外部ユーザがイネーブル パスワードによって認証を行う機能(「ユーザの TACACS+ イネーブル パスワード オプションの設定」参照)

他の AAA サーバに対する認証要求のプロキシ(「分散システムでのプロキシ」参照)

プロキシされた認証要求からの設定可能文字列の削除(「ストリッピング」参照)

許可

許可では、あるユーザが実行できる事柄が決定されます。Cisco Secure ACS では、AAA クライアントにユーザ プロファイル ポリシーを送信して、そのユーザがアクセス可能なネットワーク サービスを決定できます。許可を設定することにより、さまざまなユーザとグループに多様なレベルのサービスを提供することができます。たとえば、標準的なダイヤルアップ ユーザには、特別な顧客やユーザと同じアクセス特権を与えないように設定することが可能です。また、セキュリティのレベル、アクセス時間、およびサービスのレベルによって差別化を行うこともできます。

Cisco Secure ACS のアクセス制限機能を使用すると、時間帯や曜日に基づいて、ログインを許可または拒否できます。たとえば、特定の日に使用不可にできる一時アカウント用のグループを作成することもできます。この機能により、サービス プロバイダーは 30 日間の無料試用期間を提供できます。これと同じ許可機能を使用して、ログイン許可を月~金曜日の午前 9 時~午後 5 時だけに制限した顧問用の一時アカウントを作成することもできます。

ユーザを、PPP、AppleTalk Remote Access(ARA)、Serial Line Internet Protocol(SLIP)、または EXEC など、1 つのサービスだけに制限するか、それらのサービスの特定の組み合せだけに制限することもできます。サービスを選択した後、IP や IPX などのレイヤ 2 およびレイヤ 3 のプロトコルを制限し、アクセス リストを個別に適用できます。ユーザごと、またはグループごとのアクセス リストにより、ネットワーク内の重要な情報が保存されている部分にユーザがアクセスするのを禁止したり、File Transfer Protocol(FTP; ファイル転送プロトコル)や Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)など、特定のサービスを使用できないようにすることができます。

急速に成長しているサービスの 1 つが、さまざまなサービス プロバイダーによって提供され、多くの企業で採用されている Virtual Private Dial-Up Network(VPDN)による許可です。Cisco Secure ACS では、特定のユーザに関する情報をネットワーク デバイスに提供し、インターネットなどのパブリック ネットワークを通じたセキュアなトンネルを設定できます。その情報は、アクセス サーバ(そのユーザのホーム ゲートウェイなど)に関する情報の場合もあれば、顧客の施設内でユーザの妥当性を検査するホーム ゲートウェイ ルータに関する情報の場合もあります。いずれの場合でも、Cisco Secure ACS を VPDN の両端で使用できます。

Max Sessions

Max Sessions は、1 人のユーザまたは 1 つのグループで使用可能な同時セッションの数を制限する必要がある組織にとって、便利な機能です。

User Max Sessions :たとえば、インターネット サービス プロバイダーは、1 人のアカウント保持ユーザを 1 セッションだけに制限できます。

Group Max Sessions :たとえば、企業の管理者は、リモート アクセス インフラストラクチャを複数の部門間で均等に共有できるようにし、任意の 1 部門の全ユーザについて、同時セッションの最大数を制限できます。

User Max Sessions と Group Max Sessions だけの制御に加えて、Cisco Secure ACS では、管理者が Group Max Sessions 値とグループ ベースの User Max Sessions 値、つまりユーザのメンバーシップに基づいた User Max Sessions 値を指定できます。たとえば、管理者は「営業」グループに Group Max Sessions 値 50 を割り当て、「営業」グループのメンバーのセッション数を 1 人 5 セッションまでに制限できます。この場合、グループ アカウントの各メンバーは、一度に 5 セッションを超えて使用することはできませんが、グループ全体では、最大 50 セッションまでアクティブにできます。

Max Sessions 機能の詳細については、「ユーザ グループの最大セッション数の設定」および 「ユーザの最大セッション数オプションの設定」を参照してください。

動的使用クォータ

Cisco Secure ACS では、ユーザのネットワーク使用クォータを定義できます。クォータを使用すると、グループ内の各ユーザ、または個人ユーザのネットワーク アクセスを制限できます。クォータは、セッションの継続時間、または合計セッション数によって定義されます。クォータは、絶対的なものとして定義することも、1 日、1 週間、または 1 か月に期間を区切って定義することもできます。クォータを超えたユーザにアクセス権を付与するために、セッション クォータ カウンタを必要に応じてリセットできます。

時間ベースのクォータをサポートするには、すべての AAA クライアント上でアカウンティング更新パケットを使用可能にすることを推奨します。更新パケットを使用可能にしなかった場合、クォータは、ユーザがログオフして AAA クライアントからアカウンティング停止パケットを受信したときにだけ更新されます。ユーザがネットワークへのアクセスに使用している AAA クライアントに障害が起きても、セッション情報は更新されません。ISDN などでの複数セッションの場合には、すべてのセッションが終了するまでクォータが更新されず、そのユーザに割り当てられているクォータを最初のチャネルで使い果たした場合でも、2 番目のチャネルが許可されます。

使用クォータの詳細については、「ユーザ グループの使用クォータの設定」および 「ユーザの使用クォータ オプションの設定」を参照してください。

共有プロファイル コンポーネント

Cisco Secure ACS では、複数のユーザ グループとユーザに適用できる許可プロファイル コンポーネントを指定できます。たとえば、複数のユーザ グループに同じネットワーク アクセス制限を課すことができます。グループごとに何度もネットワーク アクセス制限を設定しなくても、1 つのネットワーク アクセス制限セットを HTML インターフェイスの Shared Profile Components セクション内に設定し、作成したネットワーク アクセス制限セットを各グループが使用するように設定できます。

Cisco Secure ACS でサポートされている共有プロファイル コンポーネントのタイプについては、「共有プロファイル コンポーネントについて」を参照してください。

Cisco デバイス管理アプリケーションのサポート

Cisco Secure ACS は、Cisco デバイス管理アプリケーションをサポートするために、管理アプリケーションを使用してネットワーク デバイスを管理するネットワーク ユーザに、コマンド許可を提供しています。管理アプリケーション ユーザに対するコマンド許可をサポートするには、Cisco Secure ACS を許可に使用するよう設定された管理アプリケーションごとに、固有のコマンド許可セット タイプを使用します。

Cisco Secure ACS は、TACACS+ を使用して管理アプリケーションと通信します。管理アプリケーションが Cisco Secure ACS と通信するには、Cisco Secure ACS でその管理アプリケーションが TACACS+ を使用する AAA クライアントとして設定されている必要があります。また、デバイス管理アプリケーションに、有効な管理者名とパスワードを指定する必要があります。管理アプリケーションが初めて Cisco Secure ACS と通信するときは、これらの要件によって通信の妥当性が保証されます。AAA クライアントの設定方法については、「AAA クライアントの設定」を参照してください。管理者アカウントについては、「管理者アカウント」を参照してください。

さらに、管理アプリケーションを使用する管理者は、Create New Device Command Set Type 特権が使用可能になっている必要があります。管理アプリケーションは、初めて Cisco Secure ACS と通信したときに、Cisco Secure ACS に対し、HTML インターフェイスの Shared Profile Components セクションに表示されるデバイス コマンド セット タイプの作成を指示します。また、カスタム サービスの 1 つが、TACACS+ によって許可されるような設定を指示します。このカスタム サービスは、HTML インターフェイスの Interface Configuration セクションにある TACACS+(Cisco IOS)ページに表示されます。TACACS+ サービスを使用可能にする方法については、「TACACS+ のプロトコル設定オプション」を参照してください。管理アプリケーション用のデバイス コマンド許可セットについては、「コマンド許可セット」を参照してください。

管理アプリケーションがカスタム TACACS+ サービスとデバイス コマンド許可セット タイプを Cisco Secure ACS に指示すると、管理アプリケーションでサポートされるそれぞれの役割に対してコマンド許可セットを設定できます。また、それらのセットを、ネットワーク管理者が属しているユーザ グループ、またはネットワーク管理者である個人ユーザに適用できます。コマンド許可セットの設定方法については、「コマンド許可セットの追加」を参照してください。共有デバイス コマンド許可セットをユーザ グループに適用する方法については、「ユーザ グループのデバイス管理コマンド許可の設定」を参照してください。共有デバイス コマンド許可セットをユーザに適用する方法については、「ユーザのデバイス管理コマンド許可の設定」を参照してください。

その他の許可関連機能

この項で述べた許可関連機能のほかに、Cisco Secure ACS には次の機能があります。

最大 500 グループまでサポートできる、ユーザのグループ管理(「ユーザ グループ管理」参照)

外部ユーザ データベースのユーザを特定の Cisco Secure ACS グループにマッピングする機能(「ユーザ グループのマッピングと仕様」参照)

失敗の回数が、管理者が指定した数を超えたときに、アカウントを使用不可にする機能(「ユーザ アカウントを使用不可にするオプションの設定」参照)

特定の日にアカウントを使用不可にする機能(「ユーザ アカウントを使用不可にするオプションの設定」参照)

アクセスの時間帯と曜日を制限する機能(「ユーザ グループのデフォルト時間帯アクセスの設定」参照)

リモート アドレスの Caller Line Identification(CLID)と Dialed Number Identification Service(DNIS)に基づいてネットワーク アクセスを制限する機能(「ユーザ グループのネットワーク アクセス制限の設定」参照)

エンドユーザ クライアント ホストの IP アドレス割り当て用の IP プール(「ユーザ グループの IP アドレス割り当て方式の設定」参照)

ユーザごと、およびグループごとの TACACS+ または RADIUS アトリビュート(「高度なオプション」参照)

設定可能なアカウンティング データ ログを含む Voice-over-IP(VoIP)のサポート(「ユーザ グループの VoIP サポートの使用可能設定」参照)

アカウンティング

AAA クライアントは、RADIUS および TACACS+ プロトコルが提供するアカウンティング機能を使用して、各ユーザ セッションに関連したデータを記録用に AAA サーバに通知します。Cisco Secure ACS は、アカウンティング レコードを Comma-Separated Value(CSV; カンマ区切り)形式のログ ファイルに書き込みます。これらのログは、課金、セキュリティ監査、およびレポート生成用の一般的なデータベース アプリケーションや表計算アプリケーションに簡単にインポートできます。サードパーティ製のレポーティング ツールを使用して、アカウンティング データを管理することもできます。たとえば、Extraxi 製の aaa-reports!( http://www.extraxi.com )は Cisco Secure ACS をサポートしています。

作成できるアカウンティング ログのタイプには、次のものがあります。

TACACS+ アカウンティング :セッションの開始時刻と停止時刻を一覧表示し、AAA クライアント メッセージをユーザ名と一緒に記録します。また、呼び出し側回線 ID 情報を提供し、各セッションの継続時間を記録します。

RADIUS アカウンティング :セッションの停止時刻と開始時刻を一覧表示し、AAA クライアント メッセージをユーザ名と一緒に記録します。また、呼び出し側回線 ID 情報を提供し、各セッションの継続時間を記録します。

管理アカウンティング :ネットワーク デバイス上で入力されたコマンドを、使用可能な TACACS+ コマンド許可と一緒に一覧表示します。

Cisco Secure ACS のロギング機能の詳細については、「概要」を参照してください。

その他のアカウンティング関連機能

この項で述べたアカウンティング関連機能のほかに、Cisco Secure ACS には次の機能があります。

複数の Cisco Secure ACS Appliances からリモート エージェントへアカウンティング データを転送できる中央ロギング(「リモート ロギング」参照)

ログに追加情報をキャプチャするための設定可能な補足ユーザ ID フィールド(「ユーザ データの設定オプション」参照)

必要な量の情報をキャプチャできる設定可能なログ(「アカウンティング ログ」参照)

管理

Cisco Secure ACS は、AAA 機能の設定、保守、および保護のための柔軟な管理方式を備えています。Cisco Secure ACS の管理はほとんどすべて、HTML インターフェイスを通じて行うことができます。HTML インターフェイスにアクセスする手順を含む、HTML インターフェイスの詳細については、「Cisco Secure ACS の HTML インターフェイス」を参照してください。

管理セッション用の HTTP ポートの割り当て

HTTP ポート割り当て機能を使用すると、Cisco Secure ACS で管理 HTTP セッションに使用する TCP ポートの範囲を設定できます。この範囲を HTTP ポート割り当て機能によって狭めることにより、管理セッション用に開いたポートからネットワークに不正にアクセスされる危険が少なくなります。

ファイアウォールを通じて Cisco Secure ACS を管理することは推奨できません。ファイアウォールで管理するには、Cisco Secure ACS で使用される範囲の HTTP 管理セッション ポート上で、HTTP トラフィックを許可するようファイアウォールを設定する必要があります。この範囲を小さくすると、不正なアクセスの危険は減りますが、ファイアウォールの外部からの Cisco Secure ACS の管理を許容した場合は、より大きな攻撃の危険が残ります。Cisco Secure ACS 管理ポートの範囲で HTTP トラフィックを許可するように設定されたファイアウォールは、ポート 2002 を通じた HTTP トラフィックも許可する必要があります。これはこのポートが、Web ブラウザが管理セッションを開始するためにアドレッシングする必要があるポートであるためです。


) HTTP ポートの範囲が広いと、セキュリティ上の危険が生じるおそれがあります。アクティブな管理ポートが不正なユーザによって偶発的に発見されるのを防ぐために、HTTP ポートの範囲は、できるだけ狭くしてください。Cisco Secure ACS は、個々の管理セッションに関連付けられた IP アドレスをトラッキングします。不正なユーザがアクティブな管理セッションの HTTP ポートを利用するためには、正規のリモート ホストの IP アドレスになりすます、つまり「スプーフィング」を行う必要があります。


HTTP ポート割り当て機能の設定方法については、「アクセス ポリシー」を参照してください。

ネットワーク デバイス グループ

Network Device Group(NDG; ネットワーク デバイス グループ)を使用すると、AAA クライアントおよび AAA サーバの集合を単一の論理グループとして表示および管理できます。管理を単純化するために、各グループに簡便な名前を割り当て、その名前でグループ内のすべてのデバイスを参照できます。グループを作成すると、Cisco Secure ACS 内に 2 つのレベルのネットワーク デバイスが作成されます。つまり、個々のルータ、アクセス サーバ、AAA サーバ、または PIX Firewall などの独立したデバイスと NDG です。NDG は、AAA クライアントと AAA サーバの集合に名前を付けたものです。

1 つのネットワーク デバイスは一度に 1 つの NDG だけに所属できます。

NDG を使用すると、多数の AAA クライアントが広範な地域に分散されている組織でも、論理上の環境を Cisco Secure ACS 内に編成し、物理的なセットアップは別途適用できます。たとえば、ヨーロッパにあるすべてのルータを Europe という名前のグループに含め、米国内のすべてのルータを US というグループに含めることができます。この方法は、それぞれの地域にある AAA クライアントが同じ部門分けによって管理されている場合には特に便利です。あるいは、部、課、ビジネス機能など、その他のアトリビュートによって環境を編成することもできます。

ユーザのグループを NDG に割り当てることも可能です。NDG の詳細については、「ネットワーク デバイス グループの設定」を参照してください。

その他の管理関連機能

この項で述べた管理関連機能のほかに、Cisco Secure ACS には次の機能があります。

管理者ごとに異なる特権を定義する機能(「管理者アカウント」参照)

管理者のアクティビティをログに記録する機能(「Cisco Secure ACS システム ログ」参照)

ログインしたユーザの一覧を表示する機能(「ダイナミック管理レポート」参照)

モニタリング、通知、ロギング、および限定的な自動障害応答機能を提供する CSMonitor サービス(「Cisco Secure ACS Active Service Management」参照)

ユーザ、グループ、ネットワーク デバイス、およびカスタム RADIUS VSA の設定を自動化する機能(「RDBMS の同期」参照)

CiscoSecure ユーザ データベース コンポーネントを他の Cisco Secure ACS へ複製する機能(「CiscoSecure データベース複製」参照)

定期的およびオンデマンドの Cisco Secure ACS システムのバックアップ(「Cisco Secure ACS のバックアップ」参照)

Cisco Secure ACS の設定、ユーザ アカウント、およびグループ プロファイルをバックアップ ファイルから復元する機能(「Cisco Secure ACS システムの復元」参照)

Cisco Secure ACS の HTML インターフェイス

この項では、Cisco Secure ACS の HTML インターフェイスと、このインターフェイスを使用する手順について説明します。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS の HTML インターフェイスについて」

「HTML インターフェイスのレイアウト」

「HTML インターフェイスの URL」

「ネットワーク環境と管理セッション」

「HTML インターフェイスへのアクセス」

「HTML インターフェイスからのログオフ」

「オンライン ヘルプとオンライン マニュアル」

Cisco Secure ACS の HTML インターフェイスについて

Cisco Secure ACS をインストールした後、その設定と管理は HTML インターフェイスを通じて行います。HTML インターフェイスを使用すると、LAN または WAN 上のすべての接続から Cisco Secure ACS の設定を簡単に修正できます。

Cisco Secure ACS の HTML インターフェイスは、Web ブラウザで表示できるように設計されています。この設計では、主として HTML が使用されていますが、使いやすさを考慮して一部に Java 機能が組み合せてあります。この設計により、インターフェイスの即応性とわかりやすさが確保されます。Java が組み込まれているため、管理セッションに使用するブラウザは Java をサポートしている必要があります。サポートされているブラウザの一覧については、リリース ノートを参照してください。リリース ノートの最新バージョンは、Cisco.com
http://www.cisco.com )に掲載されています。

HTML インターフェイスは、ユーザとグループに関する情報の表示と編集を可能にするだけでなく、サービスの再起動、リモート管理者の追加、AAA クライアント情報の変更、システムのバックアップ、ネットワーク上の任意の場所から送られてきたレポートの表示なども行うことができます。レポートには、接続アクティビティのトラッキング、ログインしたユーザ、失敗した認証と許可の一覧、および管理者の最近のタスクが表示されます。

HTML インターフェイスのセキュリティ

HTML インターフェイスにアクセスするには、有効な管理者名とパスワードが必要です。管理者の認定証は、Cisco Secure ACS の Login ページで暗号化された後に Cisco Secure ACS へ送信されます。

管理セッションは、設定したアイドル時間が経過すると、タイムアウトされます。ただし、タイムアウトしたセッションについても、HTML インターフェイスからログアウトすることを推奨します。Cisco Secure ACS からのログアウトについては、「HTML インターフェイスからのログオフ」を参照してください。アイドル タイムアウト機能の設定方法については、「アクセス ポリシー」を参照してください。

管理セッション用に Secure Socket Layer(SSL; セキュア ソケット レイヤ)を使用可能にできます。SSL を使用すると、Web ブラウザと Cisco Secure ACS の間の通信がすべて暗号化されます。使用するブラウザは、SSL をサポートしている必要があります。この機能は、Administration Control セクションの Access Policy Setup ページで使用可能にできます。SSL を HTML インターフェイス セキュリティのために使用可能にする方法の詳細については、「アクセス ポリシー」を参照してください。

HTML インターフェイスのレイアウト

HTML インターフェイスは縦に 3 分割され、これらはフレームと呼ばれます。

Navigation Bar :ブラウザ ウィンドウの左側にある灰色のフレームです。このナビゲーション バーには、タスク ボタンが表示されています。それぞれのボタンを押すと、User Setup セクションや Interface Configuration セクションなど、Cisco Secure ACS アプリケーションの固有のセクションが設定領域(下記参照)に表示されます。このフレームは変更できず、常に次のボタンがあります。

User Setup :ユーザ プロファイルを追加および編集します。

Group Setup :ユーザ グループ用のネットワーク サービスとプロトコルを設定します。

Shared Profile Components :ユーザとグループに適用するネットワーク アクセス制限とコマンド許可のセットを追加および編集します。

Network Configuration :ネットワーク アクセス デバイスを追加および編集し、分散システムを設定します。

System Configuration :データベース情報とアカウンティングを設定します。

Interface Configuration :設定する製品の機能とオプションを表示または非表示にします。

Administration Control :アクセス ポリシーを定義および設定します。

External User Databases :認証用の外部データベースを設定します。

Reports and Activity :アカウンティング情報とロギング情報を表示します。

Online Documentation :ユーザ ガイドを表示します。

Configuration Area :ブラウザ ウィンドウの中央にあるフレームです。この設定領域には、ナビゲーション バーのボタンによって表されたセクションの Web ページが表示されます。設定領域は、情報の追加、編集、または削除を行う場所です。たとえば、User Setup Edit ページでは、このフレーム内でユーザ情報を設定します。


) ほとんどのページには、下部に Submit ボタンがあります。Submit をクリックすると、変更を確定できます。Submit をクリックしなかった場合、変更は保存されません。


Display Area :ブラウザ ウィンドウの右側にあるフレームです。この表示領域には、次のいずれかのオプションが表示されます。

Online Help設定領域に現在表示されているページの基本的なヘルプが表示されます。このヘルプは、中央のフレームで何ができるかについて基本的な情報を提供するものであり、詳細な情報を提供するものではありません。詳細な情報を表示するには、ページの下部にある Section Information をクリックし、オンライン マニュアルの該当する箇所へ進んでください。

Reports or Listsアカウンティング レポートを含む、レポートまたは一覧が表示されます。たとえば、User Setup では、特定の文字で始まるすべてのユーザ名を表示できます。指定した文字で始まるユーザ名の一覧は、このセクションに表示されます。それらのユーザ名は特定のユーザ設定へハイパーリンクされているので、名前をクリックすると、そのユーザを編集できます。

System MessagesSubmit がクリックされた後、入力したデータが間違っているか不完全な場合にメッセージが表示されます。たとえば、Password ボックスに入力した情報が User Setup セクションの Confirm Password ボックスに入力した情報に一致しない場合、エラー メッセージが表示されます。正しい情報を入力しなおして再送信できるよう、設定領域には誤った情報が残ります。

HTML インターフェイスの URL

HTML インターフェイスは、Web ブラウザから次のいずれかの URL で使用できます。

http:// IP address :2002

http:// hostname :2002

IP address は Cisco Secure ACS Appliance のドット区切り 10 進形式の IP アドレスで、 hostname は Cisco Secure ACS Appliance のホスト名です。ホスト名を使用する場合は、ネットワーク上で DNS が正しく機能しているか、ブラウザを実行しているコンピュータのローカルの hosts ファイルの中に、そのホスト名が記載されている必要があります。

Cisco Secure ACS が、管理セッションを保護するために SSL を使用するように設定されている場合は、次のように URL の中で HTTPS プロトコルを指定して HTML インターフェイスにアクセスすることもできます。

https:// IP address :2002

https:// hostname :2002

SSL が使用可能で HTTPS が指定されなかった場合、Cisco Secure ACS では初期要求が自動的に HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者の認定証が保護されます。SSL を使用可能にして管理セッションを保護する方法の詳細については、「アクセス ポリシー」を参照してください。

ネットワーク環境と管理セッション

管理セッションを実行するときは、HTTP プロキシ サーバを使用せず、ブラウザと Cisco Secure ACS の間にファイアウォールや NAT ゲートウェイを置かないことを推奨します。 このような制限事項は必ずしも現実的でない場合があるので、この項ではさまざまなネットワーク環境が管理セッションに与える影響についても取り上げます。

この項では、次のトピックについて取り上げます。

「管理セッションと HTTP プロキシ」

「ファイアウォールを経由した管理セッション」

「NAT ゲートウェイを経由した管理セッション」

管理セッションと HTTP プロキシ

Cisco Secure ACS では、管理セッションの HTTP プロキシがサポートされません。管理セッションに使用されるブラウザがプロキシ サーバを使用するように設定されている場合、Cisco Secure ACS からはプロキシ サーバの IP アドレスから発信された管理セッションが見え、コンピュータの実際のアドレスから発信された管理セッションは見えません。管理セッションのトラッキングでは、それぞれのブラウザが固有の IP を持つコンピュータ上に存在するとみなされます。

また、プロキシされる管理セッションの IP フィルタリングは、コンピュータの IP アドレスでなく、プロキシ サーバの IP アドレスを基礎としたものであることが必要です。これは、コンピュータの実際の IP アドレスを使用する管理セッション通信と矛盾します。管理セッションの IP フィルタリングの詳細については、「アクセス ポリシー」を参照してください。

こうした理由から、プロキシ サーバを使用するように設定された Web ブラウザを使用して管理セッションを行うことは推奨されません。プロキシ対応の Web ブラウザを使用した管理セッションのテストは行われていません。使用する Web ブラウザがプロキシ サーバを使用するように設定されている場合に Cisco Secure ACS の管理セッションを試みるときは、HTTP プロキシを使用不可にしてください。

ファイアウォールを経由した管理セッション

Network Address Translation(NAT; ネットワーク アドレス変換)を行わないファイアウォールの場合、ファイアウォールを経由して管理セッションを実行するには、Cisco Secure ACS とファイアウォールで追加設定が必要になる場合があります。これは、Cisco Secure ACS が管理セッションの開始時に HTTP ポートをランダムに割り当てるためです。

Cisco Secure ACS を保護しているファイアウォールの外部のブラウザから管理セッションを実行できるようにするには、そのファイアウォールが、Cisco Secure ACS 用に設定されたポート範囲の HTTP トラフィックを許可する必要があります。HTTP ポートの範囲は、HTTP ポート割り当て機能を使用して制御できます。HTTP ポート割り当て機能の詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT を実行していないファイアウォールを通じて Cisco Secure ACS を管理することは可能ですが、ファイアウォールを通じて Cisco Secure ACS を管理することは推奨できません。詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

NAT ゲートウェイを経由した管理セッション

NAT を実行しているネットワーク デバイスを経由して管理セッションを行うことは推奨できません。管理者が NAT ゲートウェイの背後にあるコンピュータ上でブラウザを実行した場合、Cisco Secure ACS は NAT デバイスのパブリック IP アドレスからの HTTP 要求を受信します。このアドレスは、HTTP 要求の中に含まれているコンピュータのプライベート IP アドレスと矛盾します。これは、Cisco Secure ACS で許可されていません。

Cisco Secure ACS が NAT ゲートウェイの背後にあり、HTML インターフェイスへのアクセスに使用される URL が Cisco Secure ACS をホスト名で指定する場合は、ネットワーク上で DNS が正しく機能しているか、HTML インターフェイスへのアクセスに使用されるコンピュータの hosts ファイルに Cisco Secure ACS のエントリが存在すると、管理セッションは正しく動作します。

HTML インターフェイスへのアクセスに使用される URL が Cisco Secure ACS を IP アドレスで指定する場合は、ポート 2002 へのすべての接続を、ポート 2002 から Cisco Secure ACS へ転送するようにゲートウェイを設定します。さらに、HTTP ポート割り当て機能の使用が許可されているすべてのポートに、同様のマッピングを行う必要があります。シスコではそのような設定をテストしておらず、そうした実装は推奨できません。

HTML インターフェイスへのアクセス

管理セッションには、有効な管理者名とパスワードでログインする必要があります。

始める前に

HTML インターフェイスへのアクセスに使用するコンピュータに、サポートされた Web ブラウザがインストールされているかどうかを確認します。インストールされていない場合は、サポートされた Web ブラウザをインストールするか、すでにインストールされているコンピュータを使用します。サポートされているブラウザの一覧については、リリース ノートを参照してください。リリース ノートの最新バージョンは、Cisco.com( http://www.cisco.com )に掲載されています。

HTML インターフェイスでは一部で Java が使用されるため、HTML インターフェイスへのアクセスに使用するブラウザを実行するコンピュータでは、ブラウザの Java Virtual Machine が使用可能になっている必要があります。

HTML インターフェイスにアクセスするには、次の手順に従います。


ステップ 1 Web ブラウザを開きます。サポートされている Web ブラウザの一覧については、アクセスしようとしている Cisco Secure ACS のバージョンのリリース ノートを参照してください。リリース ノートの最新バージョンは、Cisco.com
http://www.cisco.com )に掲載されています。

ステップ 2 Web ブラウザの Address バーまたは Location バーに、該当する URL を入力します。入力できる URL の一覧については、「HTML インターフェイスの URL」を参照してください。

ステップ 3 Username ボックスに、有効な Cisco Secure ACS 管理者名を入力します。

ステップ 4 Password ボックスに、指定した管理者名のパスワードを入力します。

ステップ 5 Login をクリックします。

初期ページが表示されます。


 

HTML インターフェイスからのログオフ

HTML インターフェイスの使用が完了したら、ログオフするようにしてください。Cisco Secure ACS では使用されていない管理セッションをタイムアウトできますが、ログオフすると、使用後のブラウザを誰かが不正アクセスに利用したり、管理セッション用に開いたままになっている HTTP ポートを権限のないユーザが不正に使用したりすることを防止できます。

Cisco Secure ACS の HTML インターフェイスからログオフするには、 Logoff ボタンをクリックします。


) ブラウザ ウィンドウの右上隅に Logoff ボタンが表示されます。ただし、初期ページでは、このボタンが設定領域の左上に表示されます。


オンライン ヘルプとオンライン マニュアル

シスコでは、HTML インターフェイスで次の 2 つの情報源を提供しています。

オンライン ヘルプ :設定領域に表示されるページに関する基本的な情報が含まれています。

オンライン マニュアル :すべてのユーザ ガイドが含まれています。

オンライン ヘルプの使用方法

オンライン ヘルプは、表示領域のデフォルトのコンテンツです。設定領域に表示されるすべてのページに対して、対応するオンライン ヘルプ ページが存在します。各オンライン ヘルプ ページの上部には、そのページで説明するトピックの一覧があります。

オンライン ヘルプ ページの上部から特定のトピックへジャンプするには、ページの上部にある一覧からトピック名をクリックします。

Cisco Secure ACS では、次の 3 つのアイコンが多くのページに表示されます。

Question Mark :設定領域内のページのサブセクションには、多くの場合、疑問符が付いたアイコンがあります。オンライン ヘルプ ページの該当するトピックへジャンプするには、この疑問符のアイコンをクリックします。

Section Information :多くのオンライン ヘルプ ページには、ページの下部に Section Information アイコンがあります。オンライン マニュアルの該当するセクションを表示するには、このアイコンをクリックします。

Back to Help :オンライン ヘルプ ページに Section Information アイコンがある場合は、必ずそれに対応する設定領域内のページに Back to Help アイコンがあります。Section Information をクリックしてオンライン マニュアルにアクセスした場合、そのオンライン ヘルプ ページを再度表示したいときは、Back to Help アイコンをクリックします。

オンライン マニュアルの使用方法

オンライン マニュアルは、Cisco Secure ACS のユーザ ガイドです。このユーザ ガイドでは、Cisco Secure ACS の設定、操作、および概念に関する情報が提供されます。オンライン マニュアルに表示される情報は、使用している Cisco Secure ACS のバージョンのリリース日と同じ時点のものです。Cisco Secure ACS の最新のマニュアルについては、 http://www.cisco.com を参照してください。


ヒント 使用している HTML インターフェイスに関連したオンライン マニュアルを表示するには、任意のオンライン ヘルプ ページで Section Information をクリックします。


オンライン マニュアルにアクセスするには、次の手順に従います。


ステップ 1 Cisco Secure ACS の HTML インターフェイスで、 Online Documentation をクリックします。


ヒント オンライン マニュアルを新しいブラウザ ウィンドウ内に開くには、Online Documentation を右クリックしてから Open Link in New Window(Microsoft Internet Explorer の場合)をクリックするか、Open in New Window(Netscape Navigator の場合)をクリックします。

設定領域に目次が表示されます。

ステップ 2 目次からトピックを選択する場合は、目次をスクロールし、該当するトピックをクリックします。

選択したトピックのオンライン マニュアルが表示領域に表示されます。

ステップ 3 インデックスからトピックを選択する場合は、次の手順に従います。

a. Index をクリックします。

表示領域にインデックスが表示されます。

b. インデックスをスクロールし、調べるトピックのエントリを見つけます。


ヒント 頭文字の付いたショートカット リンクをクリックすると、インデックスの特定のセクションへジャンプします。

エントリが表示され、その後に番号が入ったリンクが表示されます。番号が入っているリンクをクリックすると、そのエントリ トピックの別のインスタンスへ進むことができます。

c. 知りたいトピックのインスタンス番号をクリックします。

選択したトピックのオンライン マニュアルが表示領域に表示されます。

ステップ 4 オンライン マニュアルを印刷する場合は、表示領域の中をクリックしてから、ブラウザのナビゲーション バーにある Print をクリックします。