Cisco Secure ACS Appliance ユーザガイド 3.2
管理者と管理ポリシー
管理者と管理ポリシー
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

管理者と管理ポリシー

管理者アカウント

管理者アカウントについて

管理者特権

管理者アカウントの追加

管理者アカウントの編集

ロックアウトされた管理者アカウントのロック解除

管理者アカウントの削除

アクセス ポリシー

アクセス ポリシーのオプション

アクセス ポリシーのセットアップ

セッション ポリシー

セッション ポリシーのオプション

セッション ポリシーのセットアップ

管理者と管理ポリシー

この章では、HTML インターフェイスの Administration Control セクションにある Cisco Secure ACS Appliance 機能について説明します。

この章では、次のトピックについて取り上げます。

「管理者アカウント」

「アクセス ポリシー」

「セッション ポリシー」

管理者アカウント

この項では、Cisco Secure ACS 管理者の詳細について説明します。

この項では、次のトピックについて取り上げます。

「管理者アカウントについて」

「管理者特権」

「管理者アカウントの追加」

「管理者アカウントの編集」

「ロックアウトされた管理者アカウントのロック解除」

「管理者アカウントの削除」

管理者アカウントについて

管理者は、Cisco Secure ACS HTML インターフェイスの唯一のユーザです。Cisco Secure ACS HTML インターフェイスにブラウザからアクセスするには、管理者アカウントを使用して Cisco Secure ACS にログインする必要があります。


) Cisco Secure ACS 管理者アカウントは Cisco Secure ACS に固有のものです。この管理者アカウントは、ネットワーク、オペレーティング システム、またはその他のソフトウェアの管理者アカウントとは関係ありません。


HTML インターフェイスでは、管理者は Cisco Secure ACS で提供されるすべての機能を設定できます。ただし、HTML インターフェイスのさまざまな部分にアクセスできる特権は、その管理者のアクセスを禁止する HTML インターフェイスの部分に対する特権を取り消すことによって制限できます。

たとえば、HTML インターフェイスの Network Configuration セクションへのアクセスを、ネットワーク管理を担当する管理者だけに制限することもできます。それを行うには、該当する管理者アカウントだけに Network Configuration 特権を選択します。管理者特権の詳細については、「管理者特権」を参照してください。

Cisco Secure ACS 管理者アカウントには、Cisco Secure ACS ユーザ アカウントやネットワーク ユーザ認証との相関関係はありません。Cisco Secure ACS では、ネットワーク サービス要求の認証用に作成されたアカウントと、Cisco Secure ACS の管理アクセス用に作成されたアカウントは、別々の内部データベースに保存されます。

管理者特権

個々の管理者ごとに特権を割り当てることにより、Cisco Secure ACS 管理者に適切な特権を付与できます。特権を制御するには、Add Administrator ページまたは Edit Administrator ページでオプションを選択します。それらのオプションを次に示します。

User and Group Setup :HTML インターフェイスの User Setup セクションおよび Group Setup セクションに対して、次の特権オプションがあります。

Add/Edit users in these groups :その管理者がユーザを追加および編集したり、ユーザを Editable groups リスト内のグループに割り当てられるようにします。

Setup of these groups :その管理者が Editable groups リスト内のグループの設定を変更できるようにします。

Available Groups :管理者が編集特権を 持っていない ユーザ グループと、管理者がユーザを追加 できない ユーザ グループの一覧を表示します。

Editable Groups :管理者が編集特権を 持っている ユーザ グループと、管理者がユーザを追加 できる ユーザ グループの一覧を表示します。

Shared Profile Components :HTML インターフェイスの Shared Profile Components セクションに対して、次の特権オプションがあります。

Network Access Restriction Sets :その管理者が Network Access Restriction Sets 機能に完全にアクセスできるようにします。

Downloadable ACLs :その管理者が Downloadable PIX ACLs 機能に完全にアクセスできるようにします。

Create New Device Command Set Type :その管理者アカウントを別の Cisco アプリケーションで有効な認定証として使用して、新しいデバイス コマンド セット タイプを追加できるようにします。この特権を使用して Cisco Secure ACS に追加された新しいデバイス コマンド セット タイプは、HTML インターフェイスの Shared Profile Components セクションに表示されます。

Shell Command Authorization Sets :その管理者が Shell Command Authorization Sets 機能に完全にアクセスできるようにします。

PIX Command Authorization Sets :その管理者が PIX Command Authorization Sets 機能に完全にアクセスできるようにします。


) 他の Cisco ネットワーク管理アプリケーション、たとえば CiscoWorks2000 などによって Cisco Secure ACS の設定がアップデートされている場合は、追加のコマンド許可セット特権オプションが表示される場合があります。


Network Configuration :その管理者が HTML インターフェイスの Network Configuration セクションにある各機能に完全にアクセスできるようにします。

System Configuration... :HTML インターフェイスの System Configuration セクションにある機能に対する特権オプションがあります。次のそれぞれの機能について、オプションを使用可能にすると、その管理者はその機能に完全にアクセスできるようになります。

Service Control :この機能の詳細については、「サービスの制御」を参照してください。

Date/Time Format Control :この機能の詳細については、「日付形式の制御」を参照してください。

Logging Control :この機能の詳細については、「ロギング」を参照してください。

Local Password Management :この機能の詳細については、「ローカル パスワード管理」を参照してください。

DB Replication :この機能の詳細については、「CiscoSecure データベース複製」を参照してください。

RDBMS Synchronization :この機能の詳細については、「RDBMS の同期」を参照してください。

IP Pool Address Recovery :この機能の詳細については、「IP プール アドレスの回復」を参照してください。

IP Pool Server Configuration :この機能の詳細については、「IP プール サーバ」を参照してください。

ACS Backup :この機能の詳細については、「Cisco Secure ACS のバックアップ」を参照してください。

ACS Restore :この機能の詳細については、「Cisco Secure ACS システムの復元」を参照してください。

ACS Service Management :この機能の詳細については、「Cisco Secure ACS Active Service Management」を参照してください。

VoIP Accounting Configuration :この機能の詳細については、「VoIP アカウンティングの設定」を参照してください。

ACS Certificate Setup :この機能の詳細については、「Cisco Secure ACS 証明書のセットアップ」を参照してください。

Global Authentication Setup :この機能の詳細については、「グローバル認証のセットアップ」を参照してください。

Appliance Configuration :この機能の詳細については、「アプライアンスの設定」を参照してください。

Support Operations :この機能の詳細については、「サポート」を参照してください。

View Diagnostic Logs :この機能の詳細については、「診断ログの表示またはダウンロード」を参照してください。

Appliance Upgrade Status :この機能の詳細については、「アプライアンスのアップグレード ステータス」を参照してください。

Interface Configuration :その管理者が HTML インターフェイスの Interface Configuration セクションにある各機能に完全にアクセスできるようにします。

Administration Control :その管理者が HTML インターフェイスの Administration Control セクションにある各機能に完全にアクセスできるようにします。

External User Databases :その管理者が HTML インターフェイスの External User Databases セクションにある各機能に完全にアクセスできるようにします。

Reports & Activity :HTML インターフェイスの Reports and Activity セクションにあるレポートと機能に関する特権オプションが入っています。次のそれぞれの機能について、オプションを使用可能にすると、その管理者はその機能に完全にアクセスできるようになります。

TACACS+ Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

TACACS+ Administration :このレポートの詳細については、「アカウンティング ログ」を参照してください。

RADIUS Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

VoIP Accounting :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Passed Authentications :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Failed Attempts :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Logged-in Users :このレポートの詳細については、「アカウンティング ログ」を参照してください。

Purge of Logged-in Users :この機能の詳細については、「ログインしたユーザの削除」を参照してください。

Disabled Accounts :このレポートの詳細については、「ダイナミック管理レポート」を参照してください。

ACS Backup and Restore :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

DB Replication :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

RDBMS Synchronization :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

Administration Audit :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

ACS Service Monitor :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

User Change Password :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

Appliance Status :このレポートの詳細については、「ダイナミック管理レポート」を参照してください。

Appliance Administration Audit :このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

管理者アカウントの追加

始める前に

管理者アカウントを追加するときに使用できるオプションについては、「管理者特権」を参照してください。

Cisco Secure ACS 管理者アカウントを追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

ステップ 2 Add Administrator をクリックします。

Add Administrator ページが表示されます。

ステップ 3 Administrator Details テーブルの各ボックスに次のように入力します。

a. Administrator Name ボックスに、新しい Cisco Secure ACS 管理者アカウントのログイン名(32 文字以内)を入力します。

b. Password ボックスに、新しい Cisco Secure ACS 管理者アカウントのパスワード(32 文字以内)を入力します。

c. Confirm Password ボックスに、もう一度パスワードを入力します。

ステップ 4 すべてのユーザ グループに対するユーザ グループ編集特権も含め、すべての特権を選択するには、 Grant All をクリックします。

すべての特権オプションが選択されます。すべてのユーザ グループが Editable groups リストへ移動します。


ヒント すべてのユーザ グループに対するユーザ グループ編集特権も含め、すべての特権をクリアするには、Revoke All をクリックします。

ステップ 5 ユーザおよびユーザ グループ編集特権を付与するには、次の手順に従います。

a. User & Group Setup で適切なチェックボックスをオンにします。

b. ユーザ グループを Editable groups リストへ移動するには、そのグループを Available groups リストの中で選択し、 --> (右矢印ボタン)をクリックします。

選択したグループが Editable groups リストへ移動します。

c. Editable groups リストからユーザ グループを削除するには、そのグループを Editable groups リストの中で選択し、 <-- (左矢印ボタン)をクリックします。

選択したグループが Available groups リストへ移動します。

d. すべてのユーザ グループを Editable groups リストへ移動するには、 >> をクリックします。

Available groups リスト内のユーザ グループが Editable groups リストへ移動します。

e. Editable groups リストからすべてのユーザ グループを削除するには、 << をクリックします。

Editable groups リスト内のユーザ グループが Available groups リストへ移動します。

ステップ 6 残りの特権オプションを付与するには、Administrator Privileges テーブルの中で該当するチェックボックスをオンにします。

ステップ 7 Submit をクリックします。

Cisco Secure ACS で新しい管理者アカウントが保存されます。新しいアカウントは、Administration Control ページの管理者アカウントのリストに表示されます。


 

管理者アカウントの編集

Cisco Secure ACS 管理者アカウントを編集して、その管理者に付与した特権を変更できます。すべての特権を取り消すことにより、管理者アカウントを事実上使用不可にすることもできます。


) 管理者アカウントの名前は変更できませんが、管理者アカウントを削除した後、新しい名前でアカウントを作成できます。管理者アカウントの削除方法については、「管理者アカウントの削除」を参照してください。管理者アカウントの作成方法については、「管理者アカウントの追加」を参照してください。


管理者特権オプションについては、「管理者特権」を参照してください。

始める前に

管理者アカウントの編集中に使用できるオプションについては、「管理者特権」を参照してください。

Cisco Secure ACS 管理者アカウント特権を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Cisco Secure ACS に Administration Control ページが表示されます。

ステップ 2 特権を編集する管理者アカウントの名前をクリックします。

Edit Administrator name ページが表示されます。 name は、選択した管理者アカウントの名前です。

ステップ 3 管理者パスワードを変更するには、次の手順に従います。

a. Password ボックスでアスタリスクをダブルクリックし、その管理者の新しいパスワード(32 文字以内)を入力します。

マスクされた既存のパスワードが新しいパスワードに置き換えられます。

b. Confirm Password ボックスでアスタリスクをダブルクリックし、新しい管理者パスワードをもう一度入力します。

新しいパスワードは、ステップ 9 で Submit をクリックすると、即時に有効になります。

ステップ 4 Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、編集中のアカウントの所有者である管理者に Cisco Secure ACS HTML インターフェイスへのアクセスを許可するには、 Reset current failed attempts count チェックボックスをオンにします。


) Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、その管理者は、ステップ 4 が実行されるまで Cisco Secure ACS にアクセスできません。管理アカウントを再び有効にする方法については、「ロックアウトされた管理者アカウントのロック解除」を参照してください。


ステップ 5 すべてのユーザ グループに対するユーザ グループ編集特権も含め、すべての特権を選択するには、 Grant All をクリックします。

すべての特権オプションが選択されます。すべてのユーザ グループが Editable groups リストへ移動します。

ステップ 6 すべてのユーザ グループに対するユーザ グループ編集特権も含め、すべての特権をクリアするには、 Revoke All をクリックします。

すべての特権オプションがクリアされます。すべてのユーザ グループが Available groups リストへ移動します。

ステップ 7 ユーザおよびユーザ グループ編集特権を付与するには、次の手順に従います。

a. User & Group Setup で、該当するチェックボックスをオンにします。

b. すべてのユーザ グループを Editable groups リストへ移動するには、 >> をクリックします。

Available groups リスト内のユーザ グループが Editable groups リストへ移動します。

c. ユーザ グループを Editable groups リストへ移動するには、そのグループを Available groups リストの中で選択し、 --> (右矢印ボタン)をクリックします。

選択したグループが Editable groups リストへ移動します。

d. Editable groups リストからすべてのユーザ グループを削除するには、 << をクリックします。

Editable groups リスト内のユーザ グループが Available groups リストへ移動します。

e. Editable groups リストからユーザ グループを削除するには、そのグループを Editable groups リストの中で選択し、 <-- (左矢印ボタン)をクリックします。

選択したグループが Available groups リストへ移動します。

ステップ 8 残りの特権オプションを付与するには、Administrator Privileges テーブルの中で該当するチェックボックスをオンにします。

ステップ 9 残りの特権オプションを取り消すには、Administrator Privileges テーブルの中で該当するチェックボックスをクリアします。

ステップ 10 Submit をクリックします。

Cisco Secure ACS で管理者アカウントへの変更が保存されます。


 

ロックアウトされた管理者アカウントのロック解除

Cisco Secure ACS では、Cisco Secure ACS の HTML インターフェイスへのアクセスを試みた場合、誤ったパスワードを入力した連続回数が Session Policy Setup ページで指定された回数を超えた管理者のアカウントは、使用不可になります。その管理者は、使用不可になった管理者アカウントの試行失敗カウンタがリセットされるまで、HTML インターフェイスにアクセスできません。

Cisco Secure ACS で管理者アカウントが使用不可になるまでの連続ログイン失敗回数を設定する方法の詳細については、「セッション ポリシー」を参照してください。

管理者の試行失敗カウントをリセットするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Cisco Secure ACS に Administration Control ページが表示されます。

ステップ 2 アカウントを再び使用可能にする管理者の名前をクリックします。

Edit Administrator name ページが表示されます。 name は、選択した管理者アカウントの名前です。

Confirm Password ボックスの下に Reset current failed attempts count チェックボックスが表示された場合、その管理者アカウントは HTML インターフェイスにアクセスできません。

ステップ 3 Reset current failed attempts count チェックボックスをオンにします。

ステップ 4 Submit をクリックします。

Cisco Secure ACS で管理者アカウントへの変更が保存されます。


 

管理者アカウントの削除

Cisco Secure ACS 管理者アカウントが必要なくなったら、そのアカウントを削除できます。使用しない管理者アカウントは削除することを推奨します。

Cisco Secure ACS 管理者アカウントを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Cisco Secure ACS に Administration Control ページが表示されます。

ステップ 2 Administrators テーブルで、削除する管理者アカウントの名前をクリックします。

Edit Administrator name ページが表示されます。 name は、選択した管理者アカウントの名前です。

ステップ 3 Delete をクリックします。

Cisco Secure ACS に確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS で、その管理者アカウントが削除されます。Administration Control ページの Administrators テーブルに、削除した管理者アカウントが表示されなくなります。


 

アクセス ポリシー

Access Policy 機能は、Cisco Secure ACS の HTML インターフェイスへのアクセスに影響を及ぼします。IP アドレス、および管理セッションに使用する TCP ポートの範囲によって、アクセスを制限できます。また、HTML インターフェイスへのアクセス用に SSL を使用可能にすることもできます。

この項では、次のトピックについて取り上げます。

「アクセス ポリシーのオプション」

「アクセス ポリシーのセットアップ」

アクセス ポリシーのオプション

Access Policy Setup ページで、次のオプションを設定できます。

IP Address Filtering :次の IP アドレス フィルタリング オプションがあります。

Allow all IP addresses to connect :任意の IP アドレスから HTML インターフェイスにアクセスできるようにします。

Allow only listed IP addresses to connect :IP Address Ranges テーブルで指定されたアドレス範囲内の IP アドレスから、HTML インターフェイスにアクセスできるようにします。

Reject connections from listed IP addresses :IP Address Ranges テーブルで指定されたアドレス範囲外の IP アドレスから、HTML インターフェイスにアクセスできるようにします。

IP Address Ranges :IP Address Ranges テーブルには、IP アドレス範囲を設定するための行が 10 行あります。範囲を指定する場合は、常に開始と終了の IP アドレスもその範囲に含まれます。範囲を定義するために入力する IP アドレスは、最後のオクテット以外は一致する必要があります(Class C 形式)。

IP Address Ranges テーブルには、次のボックスごとに 1 つずつ列があります。

Start IP Address :現在の行で指定する範囲の最小の IP アドレスを定義します。

End IP Address :現在の行で指定する範囲の最大の IP アドレスを定義します。

HTTP Port Allocation :HTML インターフェイスへのリモート アクセスに使用される TCP ポートを設定するための、次のオプションがあります。

Allow any TCP ports to be used for Administration HTTP Access :管理 HTTP セッションに使用されるポートに TCP ポートの全範囲を含めることができるようにします。

Restrict Administration Sessions to the following port range From Port X to Port Y :管理 HTTP セッションに使用されるポートを、 X ボックスと Y ボックスで指定された範囲(X と Y も含む)だけに制限します。指定した範囲のサイズによって、同時管理セッションの最大数が決まります。

Cisco Secure ACS では、ポート 2002 を使用してすべての管理セッションが開始されます。ポート 2002 をポート範囲に含める必要はありません。 また、Cisco Secure ACS では、ポート 2002 だけの HTTP ポート範囲を定義することはできません。指定するポート範囲には、ポート 2002 以外のポートが 1 つ以上含まれている必要があります。

Cisco Secure ACS 管理ポートの範囲で HTTP トラフィックを許可するように設定されたファイアウォールは、ポート 2002 を通じた HTTP トラフィックも許可する必要があります。これはこのポートが、Web ブラウザが管理セッションを開始するためにアドレッシングする必要があるポートであるためです。


) Cisco Secure ACS をファイアウォールの外部から管理できるようにすることは推奨できません。ファイアウォールの外部から HTML インターフェイスにアクセスできるようにした場合は、HTTP ポート範囲をできるだけ狭くしてください。これは、アクティブな管理ポートが不正なユーザによって偶発的に発見されるのを防止するのに役立ちます。不正なユーザがアクティブな管理セッションの HTTP ポートを利用するためには、正規のホストの IP アドレスになりすます、つまり「スプーフィング」を行う必要があります。


Secure Socket Layer SetupUse HTTPS Transport for Administration Access チェックボックスは、HTML インターフェイスへのアクセスに使用される Web ブラウザと CSAdmin サービスの間の HTTP トラフィックを暗号化するために、Cisco Secure ACS でセキュア ソケット レイヤ プロトコルを使用するかどうかを定義します。このオプションを使用可能にした場合、ブラウザと Cisco Secure ACS の間の HTTP トラフィックは、すべて暗号化されます。これは URL にも反映され、HTTPS で始まる URL になります。さらに、ほとんどのブラウザは、接続が SSL 暗号化されたときにインジケータが表示されます。

SSL を使用可能にするには、事前に 「証明書のインストール」「認証局証明書の追加」の手順を完了しておく必要があります。

アクセス ポリシーのセットアップ

アクセス ポリシーのオプションについては、「アクセス ポリシーのオプション」を参照してください。

始める前に

管理アクセス用に SSL を使用可能にする場合は、この手順の前に、「証明書のインストール」「認証局証明書の追加」の手順を完了しておく必要があります。

Cisco Secure ACS のアクセス ポリシーをセットアップするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Cisco Secure ACS に Administration Control ページが表示されます。

ステップ 2 Access Policy をクリックします。

Access Policy Setup ページが表示されます。

ステップ 3 すべての IP アドレスから HTML インターフェイスにリモート アクセスできるようにするには、IP Address Filtering テーブルで Allow all IP addresses to connect オプションを選択します。

ステップ 4 HTML インターフェイスへのリモート アクセスを、指定した範囲 にある IP アドレスだけに許可するには、次の手順に従います。

a. IP Address Filtering テーブルで、 Allow only listed IP addresses to connect オプションを選択します。

b. HTML インターフェイスへのリモート アクセスを許可する各 IP アドレスの範囲を、IP Address Ranges テーブルの 1 行に 1 範囲ずつ入力します。Start IP Address ボックスに、その範囲の最小の IP アドレス(16 文字以内)を入力します。End IP Address ボックスに、その範囲の最大の IP アドレス(16 文字以内)を入力します。ドット区切りの 10 進形式を使用してください。


) 範囲を定義するために入力する IP アドレスは、最後のオクテット以外は一致する必要があります。


ステップ 5 HTML インターフェイスへのリモート アクセスを、指定した IP アドレス範囲 からだけに許可するには、次の手順に従います。

a. IP Address Filtering テーブルで、 Reject connections from listed IP addresses オプションを選択します。

b. HTML インターフェイスへのリモート アクセスを禁止する各 IP アドレスの範囲を、IP Address Ranges テーブルの 1 行に 1 範囲ずつ入力します。Start IP Address ボックスに、その範囲の最小の IP アドレス(16 文字以内)を入力します。End IP Address ボックスに、その範囲の最大の IP アドレス(16 文字以内)を入力します。


) 範囲を定義するために入力する IP アドレスは、最後のオクテット以外は一致する必要があります。


ステップ 6 有効なすべての TCP ポートを Cisco Secure ACS の管理セッションに使用できるようにしたい場合は、HTTP Port Allocation で Allow any TCP ports to be used for Administration HTTP Access オプションを選択します。

ステップ 7 指定した範囲の TCP ポートだけを Cisco Secure ACS の管理セッションに使用できるようにする場合は、次の手順に従います。

a. HTTP Port Allocation で、 Restrict Administration Sessions to the following port range From Port X to Port Y オプションを選択します。

b. X ボックスに、その範囲の最小の TCP ポート(5 文字以内)を入力します。

c. Y ボックスに、その範囲の最大の TCP ポート(5 文字以内)を入力します。

ステップ 8 HTML インターフェイスへの管理者アクセスに SSL 暗号化を使用可能にする場合は、Secure Socket Layer Setup で、 Use HTTPS Transport for Administration Access チェックボックスをオンにします。


) SSL を使用可能にするには、事前に 「証明書のインストール」「認証局証明書の追加」の手順を完了しておく必要があります。


ステップ 9 Submit をクリックします。

Cisco Secure ACS でアクセス ポリシーの設定が保存され、適用されます。

SSL を使用可能にした場合は、次回の管理者ログインのときに、Cisco Secure ACS で HTTPS の使用が開始されます。現行の管理者セッションは影響を受けません。


 

セッション ポリシー

Session Policy 機能は、Cisco Secure ACS 管理セッションのさまざまな点について制御します。

この項では、次のトピックについて取り上げます。

「セッション ポリシーのオプション」

「セッション ポリシーのセットアップ」

セッション ポリシーのオプション

Session Policy Setup ページでは、次のオプションを設定できます。

Session idle timeout (minutes) :管理セッションがアイドル状態になった後、その接続を維持しておく必要がある時間(分単位)を定義します。このパラメータは、ブラウザでの Cisco Secure ACS 管理セッションだけに適用されます。管理者ダイヤルアップ セッションには適用されません。

管理セッションが終了した管理者には、作業を続行するかどうかを尋ねるダイアログボックスが表示されます。管理者が続行を選択した場合は、Cisco Secure ACS で新しい管理セッションが開始されます。

Respond to Invalid IP Address Connections :Access Policy で設定された IP アドレス範囲にある無効な IP アドレスを使用してリモート管理セッションを開始しようとしたときに、応答としてエラー メッセージが返されるようにします。このオプションを使用不可にすると、権限のないユーザに Cisco Secure ACS が発見されるのを防止できます。

Lock out Administrator after X successive failed attempts X ボックスで指定した回数を超えて連続してログインに失敗した管理者を、Cisco Secure ACS でロックアウトできるようにします。X ボックスの値が 0(ゼロ)の場合は、連続した管理ログインの失敗が無制限に許容されます。このチェックボックスをオンにした場合、X ボックスをゼロに設定できなくなります。

セッション ポリシーのセットアップ

セッション ポリシーのオプションについては、「セッション ポリシーのオプション」を参照してください。

Cisco Secure ACS のセッション ポリシーをセットアップするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

Cisco Secure ACS に Administration Control ページが表示されます。

ステップ 2 Session Policy をクリックします。

Session Policy Setup ページが表示されます。

ステップ 3 Cisco Secure ACS の管理セッションが非アクティブになってから終了するまでの時間(分単位)を定義するには、Session idle timeout (minutes) ボックスに時間を分(4 文字以内)で入力します。

ステップ 4 無効な IP アドレスへの応答に関するポリシーを設定します。

a. 無効な IP アドレスから管理セッションが要求されたときに、メッセージを返すように Cisco Secure ACS を設定するには、 Respond to invalid IP address connections チェックボックスをオンにします。

b. 無効な IP アドレスから管理セッションが要求されたときに、メッセージを送信しないように Cisco Secure ACS を設定するには、 Respond to invalid IP address connections チェックボックスをクリアします。

ステップ 5 管理ログインの失敗回数に関するポリシーを設定します。

a. 管理ログインに一定の回数、連続して失敗した管理者を Cisco Secure ACS でロックアウトできるようにするには、 Lock out Administrator after X successive failed attempts チェックボックスをオンにします。

b. X ボックスに、Cisco Secure ACS で管理者をロックアウトするまでの連続ログイン失敗回数を入力します。 X ボックスには 4 文字まで入力できます。

ステップ 6 Submit をクリックします。

Cisco Secure ACS でユーザが設定したセッション ポリシーが保存され、適用されます。