Cisco Secure ACS Appliance ユーザガイド 3.2
配備上の検討事項
配備上の検討事項
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

配備上の検討事項

Cisco Secure ACS の基本の配備要件

システムのインストール要件

ネットワークおよびポートの要件

Cisco Secure ACS の基本的な配備要素

ネットワーク トポロジ

ダイヤルアップ トポロジ

ワイヤレス ネットワーク

VPN を使用したリモート アクセス

リモートアクセス ポリシー

セキュリティ ポリシー

管理アクセス ポリシー

管理ユーザと一般ユーザの分離

データベース

ユーザの数

データベースのタイプ

ネットワーク レイテンシと信頼性

推奨される配備順序

配備上の検討事項

Cisco Secure ACS Appliance の配備は、複雑なプロセスの繰り返しになる場合があり、必要となる個々の実装によって異なります。 この章では、配備プロセスのさまざまな側面について説明します。ここで紹介する要素は、Cisco Secure ACS を配備する前に検討する必要があります。

Cisco Secure ACS を配備する際の複雑さは、一般的には AAA サーバの質に、また具体的には高度な性能、柔軟性、および Cisco Secure ACS の機能に比例しています。AAA は当初、ダイヤルアップ サービスによるユーザ アクセスを 1 点で集中的に制御するために考案されました。しかし、ユーザ データベースが大きくなり、AAA クライアントが広範な地域に分散されるようになるにつれ、AAA サーバには、さらに多くの機能が要求されるようになりました。地域的な、さらにはグローバルな要件が一般的になりました。現在では、Cisco Secure ACS は、ダイヤルアップ アクセス、ダイヤルアウト アクセス、ワイヤレス、VLAN アクセス、ファイアウォール、VPN コンセントレータ、管理制御などについて AAA サービスの提供を求められています。サポートされる外部データベースの数も増加し続け、複数のデータベースと複数の Cisco Secure ACS の利用も珍しくなくなりました。この章には、配備する Cisco Secure ACS の規模に関係なく、大変役立つ情報が記載されています。このガイドで触れられていない配備作業について質問がある場合は、シスコの技術担当窓口にお問い合せください。

この章では、次のトピックについて取り上げます。

「Cisco Secure ACS の基本の配備要件」

「Cisco Secure ACS の基本的な配備要素」

「推奨される配備順序」

Cisco Secure ACS の基本の配備要件

ここでは、Cisco Secure ACS を正しく配備するために満たす必要がある最小要件について詳しく説明します。

この項では、次のトピックについて取り上げます。

「システムのインストール要件」

「ネットワークおよびポートの要件」

システムのインストール要件

Cisco Secure ACS Appliance を完全に設定および配備する前に、このアプライアンスを正しくインストールする必要があります。アプライアンスのインストールに関する説明と手順については、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

ネットワークおよびポートの要件

Cisco Secure ACS の配備を開始するには、使用するネットワークが次の要件を満たしている必要があります。

Cisco IOS デバイス上で TACACS+ と RADIUS を完全にサポートするためには、AAA クライアントで Cisco IOS Release 11.2 以降を実行する必要があります。

Cisco IOS 以外の AAA クライアントには、TACACS+、RADIUS、またはその両方が設定されている必要があります。

ダイヤルイン、VPN、またはワイヤレス クライアントは、適切な AAA クライアントに接続できる必要があります。

Cisco Secure ACS が、すべての AAA クライアントに 対して ping を実行できる必要があります。

Cisco Secure ACS と他のネットワーク デバイスの間にあるゲートウェイ デバイスでは、該当する機能やプロトコルをサポートするのに必要なポートでの通信が許可されている必要があります。Cisco Secure ACS が受信するポートについては、 表2-1 を参照してください。

ネットワーク ユーザを許可するときに、Cisco Secure ACS で Windows の Grant Dial-in Permission to User 機能を使用するには、該当するユーザ アカウントの Windows User Manager or Active Directory Users and Computers で、このオプションが選択されている必要があります。

表2-1 に、Cisco Secure ACS が AAA クライアント、他の Cisco Secure ACS やアプリケーション、および Web ブラウザと通信するために受信するポートの一覧を示します。Cisco Secure ACS は、これ以外のポートを使用して外部ユーザ データベースと通信します。ただし、特定のポートを受信するのではなく、そのような通信の発信側になります。それらのポートを、たとえば LDAP および RADIUS トークン サーバ データベースを使用して設定できる場合もあります。外部ユーザ データベースが受信するポートの詳細については、そのデータベースのマニュアルを参照してください。

 

表2-1 Cisco Secure ACS が受信するポート

機能/プロトコル
UDP または TCP
ポート

RADIUS 認証と許可

UDP

1645, 1812

RADIUS アカウンティング

UDP

1646, 1813

TACACS+

TCP

49

CiscoSecure データベースの複製

TCP

2000

同期パートナーとの RDBMS 同期

TCP

2000

User-Changeable Password Web アプリケーション

TCP

2000

ロギング

TCP

2001

リモート エージェント

TCP

2003

新規セッション用の管理 HTTP ポート

TCP

2002

管理 HTTP ポートの範囲

TCP

設定可能。デフォルトは 1024 ~ 65535

Cisco Secure ACS の基本的な配備要素

一般に、Cisco Secure ACS の配備が容易かどうかは、計画している実装の複雑さや、ポリシーと要件をどの程度まで定義したかに直接関連します。ここでは、Cisco Secure ACS の実装を開始する前に検討すべき基本的な要素を示します。

この項では、次のトピックについて取り上げます。

「ネットワーク トポロジ」

「リモートアクセス ポリシー」

「セキュリティ ポリシー」

「管理アクセス ポリシー」

「データベース」

「ネットワーク レイテンシと信頼性」

ネットワーク トポロジ

Cisco Secure ACS を配備する場合、企業ネットワークがどのように設定されているかが最も重要な要素になります。このトピックを深く追求することはこのガイドの範囲を超えますが、ここではネットワーク トポロジ オプションの増大によって、Cisco Secure ACS の配備上の判断がどのように複雑になっているかについて詳しく説明します。

AAA が作成された当時、ネットワーク アクセスは LAN に直接接続したデバイスか、モデムを介してアクセスするリモート デバイスだけに限定されていました。現在では、企業ネットワークは複雑な場合があり、トンネリング テクノロジーを利用して広範な地域に分散している可能性もあります。

ダイヤルアップ トポロジ

従来のダイヤルアップ アクセスのモデル(PPP 接続)では、モデムまたは ISDN 接続を使用するユーザは、AAA クライアントとして機能する Network Access Server(NAS; ネットワーク アクセス サーバ)を介してイントラネットへのアクセスを与えられます。ユーザは、小規模な企業で単一の AAA クライアントを介してのみ接続できることも、広範な地域に分散した多数の AAA クライアントを選択できることもあります。

小規模な LAN 環境では(図 2-1参照)、設計者は単一の Cisco Secure ACS を AAA クライアントの内部に配置し、ファイアウォールとその AAA クライアントによって外部アクセスから保護するのが普通です。この環境では通常、ユーザ データベースは小さく、AAA の Cisco Secure ACS にアクセスする必要があるデバイスは少数であり、データベースの複製はバックアップとしての セカンダリ Cisco Secure ACS だけに限定されます。

図 2-1 小規模なダイヤルアップ ネットワーク

 

比較的に大きなダイヤルイン環境でも、単一の Cisco Secure ACS と 1 つのバックアップという設定が適している場合があります。 この設定が適するかどうかは、ネットワークとサーバ アクセスのレイテンシによって決まります。図 2-2は、大規模なダイヤルイン配置の例を示しています。このシナリオでは、バックアップ用の Cisco Secure ACS を追加することが推奨されます。

図 2-2 大規模なダイヤルアップ ネットワーク

 

非常に大きく、広範な地域に分散したネットワーク(図 2-3)では、アクセス サーバがさまざまな国や都市に置かれていることがあります。ネットワーク レイテンシを問題にしなければ、中央の Cisco Secure ACS だけで十分な機能が得られる場合もありますが、長距離接続の信頼性が原因となって問題が起きるおそれがあります。そのような状況では、中央に 1 つだけ Cisco Secure ACS を置くよりも、複数のローカル Cisco Secure ACS を配置する方が望ましい場合があります。グローバルな一貫性を備えたユーザ データベースの必要性が最も重視される場合は、中央の Cisco Secure ACS からのデータベースの複製またはデータベースの同期が必要になります。Windows ユーザ データベースや Lightweight Directory Access Protocol(LDAP)などの外部データベースを認証に使用すると、分散され、ローカライズされた Cisco Secure ACS の配備はさらに複雑になります。Cisco Secure ACS では、複製およびデータベース同期のすべてのトラフィックに暗号化が使用されますが、Cisco Secure ACS で WAN を通じて送信されるネットワーク情報とユーザ情報を保護するために、追加のセキュリティ手段が必要になる場合があります。

図 2-3 広範な地域に分散したネットワーク

 

ワイヤレス ネットワーク

ワイヤレス ネットワークのアクセス ポイントは、AAA サービスの比較的新しいクライアントです。Cisco Aironet シリーズなど、ワイヤレス アクセス ポイント(AP)は、モバイル エンドユーザ クライアントに LAN へのブリッジ型接続を提供します。この AP へは簡単にアクセスできるので、認証は絶対に必要です。また、通信の盗聴が容易なので、暗号化も必要です。このように、セキュリティはダイヤルアップ シナリオの場合よりも大きな役割を果たすので、この項の後の部分で詳しく説明します。

ワイヤレス ネットワークでは、スケーリングが重要な問題になる場合があります。Wireless LAN(WLAN; ワイヤレス LAN)の特徴の 1 つである移動性は、ダイヤルアップ ネットワークと同様の考慮を必要とします。ただし、有線 LAN とは異なり、WLAN は簡単に拡張できます。WLAN テクノロジーでは、AP を介して接続できるユーザの数に制限がありますが、AP の数を迅速に増やすことが可能です。ダイヤルアップ ネットワークの場合のように、WLAN は、すべてのユーザに完全なアクセスを許可したり、サイト、建物、フロア、または部屋ごとのさまざまなサブネットに制限付きのアクセスを提供したりできます。その結果、ユーザが AP 間を「移動」できるという、WLAN 特有の問題が発生します。

単純な WLAN では、AP が 1 つだけインストールされている場合があります(図 2-4)。AP が 1 つしかないので、主な問題はセキュリティです。この環境では、一般に、小さなユーザ ベースと少数のネットワーク デバイスに気を遣うだけで済みます。ネットワーク上の別のデバイスに AAA サービスを提供しても、Cisco Secure ACS への負荷が特に大きくなることはありません。

図 2-4 単純な WLAN

 

大きな建物の中やキャンパス環境など、複数の AP が配備されている LAN では、Cisco Secure ACS の配備方法に関する判断が少し複雑になります。図 2-5は、すべての AP が同じ LAN 上にあることを示していますが、これらの AP が LAN 全体に分散し、ルータやスイッチなどを介して接続されている場合があります。比較的大きく、地理的に分散した WLAN では、Cisco Secure ACS の配備は、広範な地域に分散した大きなダイヤルアップ LAN での配備によく似ています(図 2-3)。

図 2-5 キャンパス WLAN

 

このことは、地域的なトポロジがキャンパス WLAN の場合に、特に当てはまります。このモデルは、WLAN を多数の小さなサイトに配備し、それらのサイトを図 2-4に示されている単純な WLAN に似せると、変更の必要が生じます。これは、都市や州、国、またはグローバルに分散したチェーン店に当てはまる場合があります(図 2-6)。

図 2-6 小さなサイトの大規模な配備

 

図 2-6のモデルでは、Cisco Secure ACS の位置は、すべてのユーザがすべての AP へのアクセスを必要とするのか、それとも地域的なアクセスやローカル ネットワーク アクセスを必要とするのかによって異なります。これらの要素は、データベース タイプの他に、ローカルまたは地域的な Cisco Secure ACS が必要であるかどうかと、データベースの連続性をどのように維持するかを決定します。この非常に大規模な配備モデルでは、セキュリティも一層複雑な問題になります。

VPN を使用したリモート アクセス

Virtual Private Networks(VPN; バーチャル プライベート ネットワーク)の先進的な暗号化とトンネリングを組織で使用すると、インターネットやエクストラネットといったサードパーティのネットワーク上にセキュアなエンドツーエンドのプライベート ネットワーク接続を確立できます(図 2-7)。VPN には、次のような利点があります。

コスト削減 :サードパーティのネットワークと VPN を利用することにより、高額の専用回線やフレームリレー回線を使用する必要がなくなり、ローカルの Internet Service Provider(ISP; インターネット サービス プロバイダー)を介してリモート ユーザを社内ネットワークへ接続でき、リソースを消費するモデム バンクへの高額なフリーダイヤル通話や長距離通話を使用せずに済みます。

セキュリティ :VPN は、先進的な暗号化および認証プロトコルを使用して、最高レベルのセキュリティを提供し、データを不正なアクセスから保護します。

スケーラビリティ :VPN を使用した企業では、ISP 内のリモート アクセス インフラストラクチャを使用できます。したがって、大がかりなインフラストラクチャを追加することなく容量を大幅に増加できます。

ブロードバンド テクノロジーとの互換性 :VPN を使用すると、モバイル利用者や在宅勤務者が社内ネットワークへのアクセスに DSL やケーブルなどの高速ブロードバンド接続を利用でき、柔軟性と効率が大幅に向上します。

図 2-7 単純な VPN 設定

 

VPN によるネットワークへのアクセスには、次の 2 つのタイプがあります。

サイト間 VPN :複数の固定されたサイト間、たとえばリモート オフィスと中央オフィスの間で、インターネットなどのパブリック ネットワークを介した大規模な暗号化が可能になり、従来型の WAN を拡張できます。

リモート アクセス VPN :モバイル ユーザまたはリモート ユーザと社内ネットワークの間で、ISP などのサードパーティ ネットワークと VPN クライアント ソフトウェアを介して、セキュアな暗号化接続を実現できます。

一般的に言って、サイト間 VPN は典型的な WAN 接続と見ることができ、通常では初期接続の安全性確保に AAA を使用することはなく、多くの場合、デバイス指向型の IPSec トンネリング プロトコルが使用されます。ただし、VPN は従来型のリモート接続テクノロジー(モデムか ISDN)によく似ており、AAA モデルが非常に効果的に使用されます(図 2-8)。

図 2-8 企業 VPN ソリューション

 

VPN の詳しい実装方法については、リファレンス ガイドの『 A Primer for Implementing a Cisco Virtual Private Network 』を参照してください。

リモートアクセス ポリシー

リモート アクセスは幅広い概念です。一般に、これはユーザが LAN に接続する方法、または LAN から外部リソース(つまりインターネット)に接続する方法を定義したものです。これを実現するには、いくつかの方式があります。そのような方式としては、ダイヤルイン、ISDN、ワイヤレス ブリッジ、およびセキュア インターネットの各接続があります。それぞれの方式には特有の長所と短所があり、AAA サービスを提供するための独特な難しさがあります。このため、企業ネットワーク トポロジにはリモート アクセス ポリシーが緊密に結び付いています。アクセス方式に加えて、それ以外の決定も Cisco Secure ACS の配備方法に影響を及ぼす場合があります。たとえば、特定のネットワーク ルーティング(アクセス リスト)、時間帯アクセス、AAA クライアント アクセスに対する個々の制限事項、Access Control List(ACL; アクセス コントロール リスト)などです。

ISDN または Public Switched Telephone Network(PSTN; 公衆電話交換網)を通じてダイヤルインする在宅勤務者やモバイル ユーザに対しては、リモート アクセス ポリシーを実装できます。それらのポリシーは、Cisco Secure ACS および AAA クライアントを使用して企業キャンパスで実施されます。企業ネットワークの内部では、リモート アクセス ポリシーで個々の従業員からのワイヤレス アクセスを制御できます。

Cisco Secure ACS のリモート ポリシーを使用すると、制御に中央でのリモート ユーザの認証と許可を使用できます。CiscoSecure ユーザ データベースでは、すべてのユーザ ID、パスワード、特権が保持されます。Cisco Secure ACS のアクセス ポリシーは、Cisco AS5300 Network Access Server などのネットワーク アクセス サーバに ACL の形でダウンロードするか、特定の期間だけ、または特定のアクセス サーバ上でアクセスを許可することによってダウンロードできます。

リモート アクセス ポリシーは、企業全体のセキュリティ ポリシーの一部です。

セキュリティ ポリシー

シスコでは、ネットワークを保守しているすべての組織で、その組織用のセキュリティ ポリシーを作成することを推奨しています。セキュリティ ポリシーの緻密さ、性質、および範囲は、Cisco Secure ACS の配備方法に直接影響します。

包括的なセキュリティ ポリシーを作成して保守する方法の詳細については、次のドキュメントを参照してください。

Network Security Policy: Best Practices White Paper

Delivering End-to-End Security in Policy-Based Networks

Cisco IOS Security Configuration Guide

管理アクセス ポリシー

ネットワークの管理ではスケールが問題になります。ネットワーク デバイスへの管理アクセス用にポリシーを提供するかどうかは、ネットワークのサイズと、ネットワークを保守するために必要な管理者の数によって決まります。ネットワーク デバイス上でのローカル認証は、行うことはできますが、スケーラブルではありません。大きなネットワークでは、ネットワーク管理ツールを使用すると便利ですが、それぞれのネットワーク デバイス上でローカル認証が使用されている場合、通常のポリシーはネットワーク デバイスへの 1 回のログインだけで成り立っています。 これでは、十分なネットワーク デバイス セキュリティを推進できません。Cisco Secure ACS を使用すると、中央に集中された管理者データベースを使用でき、1 か所で管理者の追加や削除ができます。AAA クライアントの管理アクセスを制御するために推奨される AAA プロトコルは、TACACS+ です。その理由は、TACACS+ ではデバイスへの AAA クライアントの管理アクセスをコマンド単位で制御できるからです(コマンド許可)。この目的に RADIUS が適していないのは、最初の認証時に許可情報が 1 回しか転送されないからです。

アクセスのタイプも重要な検討事項です。AAA クライアントに対する管理アクセス レベルを複数設定する場合、または管理者のサブセットを特定のシステムだけに制限する場合は、Cisco Secure ACS とネットワーク デバイス単位のコマンド許可を使用して、ネットワーク管理者を必要に応じて制限できます。ローカル認証を使用した場合は、管理アクセス ポリシーが、デバイスへのログインの省略または制御アクセスへの特権レベルの使用だけに制限されます。特権レベルを使用したアクセスの制御は、手間がかかり、それほどスケーラブルではありません。これを行うには、特定のコマンドの特権レベルを AAA クライアント デバイス上で変更し、ユーザ ログイン用に特定の特権レベルを定義する必要があります。コマンド特権レベルを編集することにより、かえって問題が発生しやすくなります。Cisco Secure ACS でコマンド許可を使用する場合、制御対象のコマンドの特権レベルを変更する必要はありません。AAA クライアントは構文解析のためにコマンドを Cisco Secure ACS へ送り、Cisco Secure ACS は、管理者にそのコマンドを使用する許可があるかどうかを判別します。AAA を使用すると、すべての AAA クライアント上で Cisco Secure ACS 上のすべてのユーザに対する認証が可能になり、それらのデバイスへのアクセスを AAA クライアント単位で制限できます。

ネットワーク デバイスの数が少ない小規模ネットワークでは、ネットワーク管理者が 1 ~ 2 人で済む場合があります。通常では、デバイス上のローカル認証で十分です。認証で提供される以上にきめ細かな制御が必要な場合は、何らかの許可の手段が必要になります。前に述べたように、特権レベルを使用したアクセスの制御は、手間がかかる場合があります。Cisco Secure ACS を使用すると、この問題が軽減されます。

多数のデバイスを管理する必要がある大規模な企業ネットワークでは、実際上、Cisco Secure ACS を使用することが不可欠になります。多数のデバイスの管理には、多様なアクセス レベルを持つ多数のネットワーク管理者が必要となるので、管理者またはデバイスの変更時に必要となるネットワーク デバイスの設定変更をトラッキングする手段としてローカル制御を使用することには、どうしても無理があります。CiscoWorks 2000 などのネットワーク管理ツールを使用すると、この負担を軽減できますが、それでもセキュリティの維持という問題が残ります。Cisco Secure ACS では最大 100,000 ユーザを快適に処理できるので、Cisco Secure ACS がサポートするネットワーク管理者の数が問題になることはほとんどありません。 AAA サポートに RADIUS を使用するリモート アクセス人口が多い場合、企業の IT チームは、管理チーム用に Cisco Secure ACS を使用する独立した TACACS+ 認証を考慮する必要があります。 こうした認証を使用すると、一般ユーザが管理チームから分離され、ネットワーク デバイスへの不用意なアクセスが発生する機会が減ります。これがソリューションとして適さない場合は、TACACS+ を管理ログイン(シェルまたは exec)に使用し、RADIUS をリモート ネットワーク アクセスに使用すると、ネットワーク デバイス用に十分なセキュリティが得られます。

管理ユーザと一般ユーザの分離

一般ネットワーク ユーザが、ネットワーク デバイスにアクセスできないようにしておくことが重要です。一般ユーザが不正なアクセスを意図しない場合でも、不用意なアクセスによって偶発的にネットワーク アクセスが混乱するおそれがあります。AAA と Cisco Secure ACS を使用すると、一般ユーザと管理ユーザを分離できます。

そのような分離を行うために最も簡単で推奨される方式は、一般リモート アクセス ユーザに RADIUS を使用し、管理ユーザに TACACS+ を使用することです。その場合の問題点は、管理者も一般ユーザと同様にリモート ネットワーク アクセスを必要とする場合があることです。Cisco Secure ACS を使用すると、これによる問題は起きません。Cisco Secure ACS では、管理者は RADIUS と TACACS+ の両方の設定を利用できます。RADIUS ユーザは許可を使用して、PPP(またはその他のネットワーク アクセス プロトコル)を許可されたプロトコルとして設定できます。TACACS+ では、管理者だけがシェル(exec)アクセスを許可されるように設定されます。

たとえば、管理者が一般ユーザとしてネットワークにログインしようとする場合、AAA クライアントは認証と許可のプロトコルとして RADIUS を使用し、PPP プロトコルが許可されます。一方、同じ管理者が設定を変更するために AAA クライアントにリモート接続する場合、AAA クライアントは認証と許可に TACACS+ プロトコルを使用します。この管理者は、TACACS+ の下でシェルにアクセスできるように Cisco Secure ACS で設定されているので、そのデバイスへのログインを許可されます。この場合、AAA クライアントは Cisco Secure ACS 上に 2 つの別々な設定を持つ必要があります。1 つは RADIUS 用で、1 つは TACACS+ 用です。IOS の下で PPP ログインとシェル ログインを効果的に分離する AAA クライアントの設定の例を次に示します。

aaa new-model
tacacs-server host ip-address
tacacs-server key secret-key
radius-server host ip-address
radius-server key secret-key
aaa authentication ppp default group radius
aaa authentication login default group tacacs+ local
aaa authentication login console none
aaa authorization network default group radius
aaa authorization exec default group tacacs+ none
aaa authorization command 15 default group tacacs+ none
username user password password
line con 0
login authentication console

逆に、一般ユーザが自分のリモート アクセス権を使用してネットワーク デバイスにログインしようとした場合は、Cisco Secure ACS によってユーザ名とパスワードのチェックと承認が行われ、この許可プロセスは失敗します。なぜなら、そのユーザはデバイスへのシェル アクセスまたは exec アクセスの許可された認定証を持っていないからです。

データベース

トポロジに関する検討のほかに、ユーザ データベースも Cisco Secure ACS の配備方法の決定に大きく影響する要素の 1 つです。ユーザ データベースのサイズ、ネットワーク内でのユーザの分散状況、アクセス要件、およびユーザ データベースのタイプは、Cisco Secure ACS の配備方法に影響します。

ユーザの数

Cisco Secure ACS は企業環境用に設計されており、100,000 ユーザを快適に処理できます。通常、これは 1 つの会社にとって十分すぎる数です。この数を超える環境では、ユーザ ベースが分散されているのが普通で、複数の Cisco Secure ACS 設定が適しています。これは、WAN に障害が起きた場合に認証サーバが失われ、ローカル ネットワークがアクセス不能になるおそれがあるからです。また、単一の Cisco Secure ACS で処理するユーザの数が減ることにより、一定時間内に発生するログインの数が減り、データベース自体にかかる負荷が減るため、パフォーマンスが向上します。

データベースのタイプ

Cisco Secure ACS は、CiscoSecure ユーザ データベースや、サポートされている任意の外部データベースでのリモート認証の使用など、いくつかのデータベース オプションをサポートしています。 データベースのオプション、タイプ、および機能の詳細については、「認証とユーザ データベース」「ユーザ データベース」、または「ユーザ グループのマッピングと仕様」を参照してください。それぞれのデータベース オプションには、スケーラビリティとパフォーマンスに関して特有の利点と制限があります。

ネットワーク レイテンシと信頼性

ネットワークのレイテンシと信頼性も、Cisco Secure ACS の配備方法にとって重要な要素です。認証における遅延の結果、エンドユーザ クライアント側または AAA クライアント側でタイムアウトが起きる場合があります。

グローバルに分散した企業など、大きく広がったネットワークでの一般的な規則は、Cisco Secure ACS を 1 地域に 1 つ以上配備することです。これは、サイト間に信頼できる高速接続がないと不十分な場合もあります。多くの企業では、インターネットのリンクを使用できるよう、サイト間にセキュア VPN 接続を使用しています。セキュア VPN 接続は、時間と費用の節約に役立ちますが、専用のフレームリレー リンクや T1 リンクのような速度と信頼性は得られません。たとえば WAN でリンクされたレジを持つ小売店など、信頼できる認証サービスがビジネス機能にとって重要である場合、リモートの Cisco Secure ACS への WAN 接続が失われると、致命的な状況に陥る可能性があります。

同じ問題が、Cisco Secure ACS によって使用される外部データベースにもあります。そのようなデータベースは、信頼できる適時のアクセスが保証されるよう、Cisco Secure ACS のすぐ近くに配備する必要があります。ローカルの Cisco Secure ACS とリモート データベースを組み合せて使用すると、リモートの Cisco Secure ACS を使用した場合と同じ問題が起きます。このシナリオで考えられるもう 1 つの問題は、ユーザがタイムアウトする場合があることです。AAA クライアントが Cisco Secure ACS に接続できても、Cisco Secure ACS の待っている応答が遅延したり、外部のユーザ データベースから応答が到着しない場合が考えられます。Cisco Secure ACS がリモートだったとすると、AAA クライアントはタイムアウトし、代わりの方法でそのユーザを認証しようとしますが、後者の場合、エンドユーザ クライアントの方が先にタイムアウトする可能性があります。

推奨される配備順序

Cisco Secure ACS の配備には、あらゆる状況に通用するような決まった方法はありません。Cisco Secure ACS の高レベル機能によって必要な操作が選択され、ナビゲーション ツールバーに表示されるので、その順序に従うようにしてください。また、これらの配備作業の多くは反復的な作業です。配備を進めるにつれて、インターフェイスの設定などのように、同じ作業を何度も繰り返すことになります。

追加管理者の設定 :アプライアンスの初期設定とインストール時には、管理者を 1 人だけ設定してあります。管理ポリシーを確立し、それを保守するための各自の詳細な計画に従って、追加の管理者を設定する必要があります。

管理者のセットアップ方法の詳細については、「概要」を参照してください。

Cisco Secure ACS の HTML インターフェイスの設定 :Cisco Secure ACS の HTML インターフェイスを設定すると、使用する機能とコントロールだけを表示できます。この設定により、使用する予定のない HTML インターフェイス部分に煩わされることがなくなり、Cisco Secure ACS が使いやすくなります。ただし、その便利さの半面、Interface Configuration セクションで設定し忘れた機能とコントロールが表示されないという失敗もありえます。HTML インターフェイスの設定方法については、「インターフェイス設計の概念」を参照してください。

HTML インターフェイスの個別の設定方法については、インターフェイスの設定の章にある、次の項を参照してください。

「ユーザ データの設定オプション」

「高度なオプション」

「TACACS+ のプロトコル設定オプション」

「RADIUS のプロトコル設定オプション」

システムの設定 :System Configuration セクションには、日付の表示フォーマットの設定やパスワードの有効性検査から、データベースの複製や RDBMS 同期の設定まで、検討を必要とする機能が数多くあります。これらの機能は、「システムの設定:基本」で詳しく説明しています。初期のシステム設定で特に注意が必要なのは、Cisco Secure ACS で生成されるログとレポートのセットアップです。詳細については、「概要」を参照してください。

ネットワークの設定 :分散され、プロキシされる AAA 機能の制御は、HTML インターフェイスの Network Configuration セクションで行います。ここでは、AAA のクライアントとサーバの ID、位置、およびグループ分けを設定し、それぞれにどの認証プロトコルを採用するかを決定します。詳細については、「ネットワーク設定」を参照してください。

外部ユーザ データベースの設定 :配備のこの段階では、ユーザ認証アカウントの確立と保守のために外部データベースを実装するかどうか、およびその実装方法を決定する必要があります。通常、これは既存のネットワーク管理メカニズムによって決まります。Cisco Secure ACS がサポートしているデータベースのタイプと、それらのデータベースの設定方法については、「ユーザ データベース」を参照してください。

外部ユーザ データベースの実装に関する決定と同時に、Cisco Secure ACS データベースの複製、バックアップ、および同期についての要件を指定した詳細な計画を用意しておく必要があります。CiscoSecure ユーザ データベース管理の設定のさまざまな点については、「システムの設定:基本」に詳しい説明があります。

共有プロファイル コンポーネントの設定 :ネットワーク設定のほとんどの部分について設定が完了したら、ユーザ グループを設定する前に、共有プロファイル コンポーネントを設定する必要があります。採用するネットワーク アクセス制限とコマンド許可セットをセットアップし、それらに名前を付けるときは、ユーザ グループと単一ユーザのアクセス特権を指定するのに効率のよい基礎をレイアウトします。共有プロファイル コンポーネントの詳細については、「共有プロファイル コンポーネント」を参照してください。

グループの設定 :採用する外部ユーザ データベースをすでに設定してある場合は、ユーザ グループを設定する前に、外部ユーザ データベースに関連した Cisco Secure ACS 機能である、未知のユーザの処理とデータベース グループのマッピングをどのように実装するかを決めておく必要があります。詳細については、「未知のユーザの処理」および「ユーザ グループのマッピングと仕様」を参照してください。これが終わると、Cisco Secure ACS での許可と認証の実装方法に関する完全な計画に従って、ユーザ グループを設定できます。詳細については、「ユーザ グループ管理」を参照してください。

ユーザの設定 :グループの設定後は、ユーザ アカウントを作成できます。1 人のユーザが所属できるユーザ グループは 1 つだけであり、ユーザ レベルでの設定は、グループ レベルでの設定よりも優先されます。詳細については、「ユーザ管理」を参照してください。

レポートの設定 :Cisco Secure ACS の HTML インターフェイスの Reports and Activities セクションを使用して、Cisco Secure ACS で行うロギングの性質と範囲を指定できます。詳細については、「概要」を参照してください。