Cisco Security Manager 4.3 インストレーション ガイド
ユーザ アカウントの管理
ユーザ アカウントの管理
発行日;2012/09/12 | 英語版ドキュメント(2012/06/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ユーザ アカウントの管理

アカウントの作成

ローカル アカウント

ACS アカウント

非 ACS アカウント

ユーザの権限

Security Manager ACS 権限

CiscoWorks ロールについて

CiscoWorks Common Services デフォルト ロール

認可タイプの選択および Common Services 内のユーザへのロールの割り当て

Cisco Secure ACS ロールについて

Cisco Secure ACS デフォルト ロール

Cisco Secure ACS ロールのカスタマイズ

Security Manager 内の権限とロールのデフォルトの関連付け

Security Manager と Cisco Secure ACS の統合

ACS 統合要件

初期 Cisco Secure ACS セットアップ手順の概要

Cisco Secure ACS で実行する統合手順

Cisco Secure ACS でのユーザとユーザ グループの定義

Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加

Cisco Secure ACS での管理制御ユーザの作成

CiscoWorks で実行する統合手順

CiscoWorks でのローカル ユーザの作成

システム識別ユーザの定義

CiscoWorks での AAA セットアップ モードの設定

ACS ステータス通知用の SMTP サーバとシステム管理者の電子メール アドレスの設定

Daemon Manager の再起動

Cisco Secure ACS でのユーザ グループへのロール割り当て

NDG を使用しないユーザ グループへのロールの割り当て

NDG とロールのユーザ グループへの関連付け

Security Manager と ACS の相互作用のトラブルシューティング

複数のバージョンの Security Manager と 1 つの ACS の使用

ACS モードで認証に失敗する

読み取り専用アクセスが付与されたシステム管理者

ACS の変更が Security Manager に表示されない

ACS で設定されたデバイスが Security Manager に表示されない

CiscoSecure ACS が到達不能になった後の Security Manager での作業

CiscoSecure ACS へのアクセスの復元

マルチホーム デバイスに伴う認証の問題

NAT 境界の背後に設置されたデバイスに伴う認証の問題

Common Services 4.0 を使用したローカル RBAC

認証モードの設定

ユーザ管理

グループ管理

ロール管理

ユーザ アカウントの管理

ユーザ アカウントの管理には、アカウントの作成とユーザの権限が含まれます。

「アカウントの作成」。アカウントには、Security Manager Server のローカル アカウント、CiscoWorks Common Services サーバの ACS アカウント、または Common Services サーバの非 ACS アカウントがあります。

「ユーザの権限」。権限(または特権)は、実行を許可されるタスクです。権限は、Security Manager 内のユーザ ロールによって定義されます。Security Manager 内のロールは、ユーザ名とパスワードの認証後に設定されます。認証は、ログイン中に Security Manager によって行われます。

アカウントの作成

Cisco Security Manager を使用するには、インストール中に作成した admin アカウントを使用してログインして、各ユーザのアカウントを作成する必要があります。次のタイプのアカウントを作成できます。

「ローカル アカウント」

「ACS アカウント」

「非 ACS アカウント」

ローカル アカウント

ローカル アカウントは、CiscoWorks Common Services サーバではなく、Security Manager サーバで定義されます。これは Security Manager サーバに固有です。次のパスに従います。

Security Manager がインストールされているサーバ >

Configuration Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン >

[Tools] >

[Security Manager Administration] >

[Server Security] >

[Local User Setup] >

[Add]


ヒント ローカル アカウントは、CiscoWorks ローカル ログイン モジュールを使用します。ただし、CiscoWorks インターフェイスではなく、Security Manager ユーザ インターフェイスを使用して操作します。

ACS アカウント

ACS アカウントは、Security Manager サーバではなく、CiscoWorks Common Services サーバで定義されます。(最初は明らかではないこともありますが、Security Manager には、Common Services 内の Server Security Tools を相互起動するためのボタンがあります)。次のパスに従います。

Security Manager がインストールされているサーバ >

Configuration Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Tools] >

[Security Manager Administration] >

[Server Security] >

[AAA Setup](このボタンは Common Services 内の Server Security Tools を相互起動します)>

[ACS]


ヒント ACS アカウントは、(1)ACS タイプの AAA Mode Setup(これは [Authentication Mode Setup] ページにあります)、および(2)CiscoWorks Common Services の ACS ログイン モジュールを使用します。ただし、ACS ログイン モジュールを選択する必要はありません。これは、ACS タイプの [AAA Mode Setup] を選択すると自動的に選択されます。

非 ACS アカウント

非 ACS アカウントは、Security Manager サーバではなく、CiscoWorks Common Services サーバで定義されます。次のパスに従います。

Security Manager がインストールされているサーバ >

Configuration Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Tools] >

[Security Manager Administration] >

[Server Security] >

[AAA Setup] >

[Local RBAC] >


ヒント 非 ACS アカウントは、(1)Local RBAC タイプの AAA Mode Setup(これは [Authentication Mode Setup] ページにあります)、および(2)CiscoWorks Common Services の次のログイン モジュールのいずれかを使用します。CiscoWorks Local(デフォルトのログイン モジュール)、IBM SecureWay Directory、KerberosLogin、Local NT System、MS Active Directory、Netscape Directory、RADIUS、または TACACS+。

ユーザの権限

Cisco Security Manager が、ログイン前にユーザ名とパスワードを認証します。これらが認証されると、Security Manager がアプリケーション内のユーザ ロールを設定します。このロールによって、実行が認可されるタスクまたは操作のセットである権限(特権とも呼ばれる)が定義されます。特定のタスクまたはデバイスに対して認可されなかった場合は、関連するメニュー項目、目次内の項目、およびボタンが非表示またはディセーブルになります。加えて、選択した情報を表示したり、選択した操作を実行したりするための権限がないことを伝えるメッセージが表示されます。

Security Manager の認証と認可は、CiscoWorks サーバと Cisco Secure Access Control Server(ACS)のどちらかによって管理されます。デフォルトで、CiscoWorks は、認証と認可を管理しますが、CiscoWorks Common Services の [AAA Mode Setup] ページを使用して Cisco Secure ACS を変更できます。ACS 統合の詳細については、この章の次の項を参照してください。

「Security Manager と Cisco Secure ACS の統合」

「Security Manager と ACS の相互作用のトラブルシューティング」

Security Manager 4.3 よりも前、Cisco Secure ACS を使用する重要なメリットは、(1)特殊な権限セット(特定のポリシー タイプの設定だけをユーザに許可する場合など)を使用して非常に粒度の高いユーザ ロールを作成できることと、(2)ネットワーク デバイス グループ(NDG)を設定することによって特定のデバイスにユーザを制限できることでした。このような粒度の高い特権(効率的な「ロールベース アクセス コントロール」(RBAC))は、Cisco Secure ACS を使用していない限り、Security Manager 4.2 以前のバージョンでは利用できませんでした。Security Manager 4.3 では、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 を使用するため、このような粒度の高い特権(RBAC)を利用できます。

Security Manager 4.3 では、ACS 4.2 との互換性が維持されています。「Security Manager と Cisco Secure ACS の統合」を参照してください。


) RBAC 機能を ACS から Common Services に移行したいユーザは、手動で行う必要があります。移行スクリプトも、他の移行サポートもありません。



ヒント Security Manager 権限ツリーの全体を表示するには、Cisco Secure ACS にログインしてから、ナビゲーション バーの [Shared Profile Components] をクリックします。詳細については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください。

次のトピックで、ユーザ権限について説明します。

「Security Manager ACS 権限」

「CiscoWorks ロールについて」

「Cisco Secure ACS ロールについて」

「Security Manager 内の権限とロールのデフォルトの関連付け」

Security Manager ACS 権限

Cisco Security Manager はデフォルトの ACS ロールと権限を提供します。デフォルト ロールをカスタマイズすることも、ニーズに合わせて追加のロールを作成することもできます。ただし、新しいロールを定義する場合、または、デフォルト ロールをカスタマイズする場合は、選択した権限が Security Manager アプリケーションの観点から適切であることを確認してください。たとえば、表示権限を伴わない変更権限を付与した場合、そのユーザはアプリケーションを使用できなくなります。

Security Manager 権限は次のカテゴリに分類されます。個々の権限に関する説明については、Cisco Secure ACS に統合されているオンライン ヘルプを参照してください(権限の表示方法については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください)。

[View]:現在の設定の表示を可能にします。主な表示権限を次に示します。

[View] > [Policies]: さまざまなタイプのポリシーの表示を可能にします。このフォルダには、ファイアウォールや NAT などのさまざまなポリシー クラスの権限が含まれています。

[View] > [Objects]: さまざまなタイプのポリシー オブジェクトの表示を可能にします。このフォルダには、ポリシー オブジェクト タイプごとの権限が含まれています。

[View] > [Admin]: Security Manager 管理設定の表示を可能にします。

[View] > [CLI]: デバイス上で設定された CLI コマンドの表示と、展開しようとしているコマンドのプレビューを可能にします。

[View] > [Config Archive]: 設定アーカイブに保存されている設定の一覧表示を可能にします。デバイス設定や CLI コマンドは表示できません。

[View] > [Devices]: [Device] ビュー内のデバイスと関連情報(デバイス設定、プロパティ、割り当てなど)の表示を可能にします。NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。

[View] > [Device Managers]: Cisco IOS ルータ用の Cisco Router and Security Device Manager(SDM)など、あるデバイス専用のデバイス マネージャ(読み取り専用バージョン)の起動を可能にします。

[View] > [Topology]: [Map] ビューで設定されたマップの表示を可能にします。

[View] > [Event Viewer]: Real Time Viewer と Historical Viewer の両方で Event Viewer のイベントの表示を可能にします。

[View] > [Report Manager]: Report Manager のレポートの表示を可能にします。

[View] > [Schedule Reports]: Report Manager のレポートのスケジューリングを可能にします。

[Modify]:現在の設定の変更を可能にします。

[Modify] > [Policies]: さまざまなタイプのポリシーの変更を可能にします。このフォルダには、さまざまなポリシー クラスの権限が含まれています。

[Modify] > [Objects]: さまざまなタイプのポリシー オブジェクトの変更を可能にします。このフォルダには、ポリシー オブジェクト タイプごとの権限が含まれています。

[Modify] > [Admin]: Security Manager 管理設定の変更を可能にします。

[Modify] > [Config Archive]: 設定アーカイブ内のデバイス設定の変更を可能にします。加えて、アーカイブへの設定の追加と設定アーカイブ ツールのカスタマイズを可能にします。

[Modify] > [Devices]: デバイスの追加と削除だけでなく、デバイスのプロパティと属性の変更を可能にします。追加するデバイスに関するポリシーを検出するには、[Import] 権限もイネーブルにする必要があります。加えて、[Modify] > [Devices] 権限をイネーブルにした場合は、[Assign] > [Policies] > [Interfaces] 権限もイネーブルになっていることを確認してください。NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。

[Modify] > [Hierarchy]: デバイス グループの変更を可能にします。

[Modify] > [Topology]: [Map] ビュー内のマップの変更を可能にします。

[Modify] > [Manage Event Monitoring]: 任意のデバイスに対して Security Manager のモニタリングをイネーブルおよびディセーブルにすることを可能にします。それにより、Security Manager は、デバイスからのイベントの受信および処理を開始または停止します。

[Assign]:デバイスと VPN へのさまざまなポリシー タイプの割り当てを可能にします。このフォルダには、さまざまなポリシー クラスの権限が含まれています。

[Approve]:ポリシー変更と展開ジョブの承認を可能にします。

[Control]:ping などのデバイスに対するコマンドの発行を可能にします。この権限は、接続診断に使用されます。

[Deploy]:ネットワーク内のデバイスに対する設定変更の展開と、以前の展開設定に戻すためのロールバックの実施を可能にします。

[Import]:すでにデバイス上に展開された設定の Security Manager へのインポートを可能にします。デバイスの表示特権とデバイスの変更特権も持っている必要があります。

[Submit]:設定変更の送信と承認を可能にします。

ヒント

変更、割り当て、承認、インポート、制御、または展開権限を選択した場合は、対応する表示権限も選択する必要があります。そうしなかった場合は、Security Manager が正しく機能しません。

ポリシーの変更権限を選択した場合は、対応するポリシーの割り当て権限と表示権限も選択する必要があります。

その定義の一部としてポリシー オブジェクトを使用するポリシーを許可した場合は、これらのオブジェクト タイプに表示権限も付与する必要があります。たとえば、ルーティング ポリシーを変更するための権限を選択した場合は、ルーティング ポリシーに必要なオブジェクト タイプのネットワーク オブジェクトとインターフェイス ロールを表示するための権限も選択する必要があります。

その定義の一部として他のオブジェクトを使用するオブジェクトを許可する場合も同様です。たとえば、ユーザ グループを変更するための権限を選択した場合は、ネットワーク オブジェクト、ACL オブジェクト、および AAA サーバ グループを表示するための権限も選択する必要があります。

NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。NDG はポリシー権限に対して次のような影響を与えます。

ポリシーを表示するには、そのポリシーが割り当てられた少なくとも 1 つのデバイスに対する権限を持っている必要があります。

ポリシーを変更するには、そのポリシーが割り当てられたすべてのデバイスに対する権限を持っている必要があります。

VPN ポリシーを表示、変更、または割り当てるには、VPN トポロジ内のすべてのデバイスに対する権限を持っている必要があります。

デバイスにポリシーを割り当てるには、ポリシーが割り当てられた他のデバイスに対する権限を持っているかどうかに関係なく、そのデバイスの権限のみが必要です(上述したように、VPN ポリシーは例外です)。ただし、権限を持っていないデバイスに割り当てられているポリシーを変更することはできません。

CiscoWorks ロールについて

CiscoWorks Common Services 内で作成されたユーザには、1 つ以上のロールが割り当てられます。各ロールに割り当てられた権限によって、各ユーザが Security Manager 内で実行を認可される操作が決定されます。

次のトピックで、CiscoWorks ロールについて説明します。

「CiscoWorks Common Services デフォルト ロール」

「認可タイプの選択および Common Services 内のユーザへのロールの割り当て」

CiscoWorks Common Services デフォルト ロール

CiscoWorks Common Services には、Security Manager 用の次のデフォルト ロールが用意されています。

Help Desk :Help Desk ユーザは、デバイス、ポリシー、オブジェクト、およびトポロジ マップを表示できます(ただし、変更はできません)。

Approver :変更および CLI 変更の修正を承認できます。

Network Operator :表示権限に加えて、Network Operator は、CLI コマンドと Security Manager 管理設定を表示できます。Network Operator は、設定アーカイブを変更したり、デバイスにコマンド(ping など)を発行したりすることもできます。

Network Administrator :変更のみ展開できます。


) Cisco Secure ACS は、さまざまな権限セットを含む Network Administrator という名前のデフォルト ロールを特徴とします。詳細については、「Cisco Secure ACS ロールについて」を参照してください。


System Administrator :System Administrator は、変更、ポリシー割り当て、アクティビティとジョブの承認、検出、展開、およびデバイスに対するコマンドの発行を含む、すべての Security Manager 権限にアクセスできます。


ヒント Security Manager では、System Administrator ロールは最高レベルの権限を持っています。


Super Admin :管理および承認タスクを含む、CiscoWorks のすべての操作を実行できます。デフォルトでは、このロールは完全な特権を持っています。


ヒント Security Manager では、Super Admin ロールは最高レベルの権限を持っていません。また、Super Admin ロールは ACS ではなく、Common Services に固有のものです。


Security Administrator :変更の修正、割り当て、および送信のみできます。

Security Approver :変更の修正のみ承認できます。

Image Manager

各デフォルト ロールの追加タスクは、Security Manager 4.3 に最初に表示される機能である Image Manager に定義されています。

Image Manager の起動

Security Manager のリポジトリへのイメージの追加

イメージ アップグレード ジョブの作成

ローカル アカウント(Security Manager サーバに定義されている Security Manager に固有)を使用する場合、これらの追加タスクが 表 8-1 に示されているさまざまなロールに割り当てられます。

表 8-1 デフォルト ロールの Image Manager タスク

ロール
タスク
起動と表示
リポジトリへのイメージの追加
イメージ アップグレード ジョブの作成

Help Desk

Yes

No

No

Approver

Yes

No

No

Network Operator

Yes

No

No

Network Administrator

Yes

Yes

Yes

System Administrator

Yes

Yes

Yes

Security Administrator

Yes

No

No

Security Manager 権限と CiscoWorks ロールの関連付けについては、「Security Manager 内の権限とロールのデフォルトの関連付け」を参照してください。

Image Manager の RBAC 権限マトリクスを示す一連の表の詳細については、 付録 C「Image Manager の権限マトリクス」 を参照してください。

ヒント

追加のアプリケーションがサーバ上にインストールされた場合に、追加のロール(データのエクスポートなど)が Common Services に表示される場合があります。データのエクスポート ロールは、サードパーティ開発者用であり、Security Manager では使用されません。

CiscoWorks ロールの定義は変更できませんが、各ユーザに割り当てるロールを定義できます。詳細については、「認可タイプの選択および Common Services 内のユーザへのロールの割り当て」を参照してください。

CiscoWorks で権限テーブルを生成するには、[Server] > [Reports] > [Permission] を選択して、[Generate Report] をクリックします。

認可タイプの選択および Common Services 内のユーザへのロールの割り当て

CiscoWorks Common Services 4.0 では、[Local User Setup] > [Add] ページを使用して、(1)ローカル ユーザに選択可能な 3 つの認可タイプのいずれかを選択し、(2)ロールをユーザに割り当てます。3 つの認可タイプは次のとおりです。

Full Authorization

Enable Task Authorization

Enable Device Authorization

Common Services にローカル ユーザを追加する場合、この 3 つの認可タイプ(Full Authorization、Enable Task Authorization、または Enable Device Authorization)のいずれかを選択する必要があります。

3 つの認可タイプのいずれかを選択することで、ローカル ユーザに必要なロールを選択できます。ローカル ユーザに必要なロールを選択することは、ユーザが実行を許可される操作を定義することになるので重要です。

たとえば、Help Desk ロールを選択した場合、ユーザは表示操作に制限され、データを変更できません。また、Network Operator ロールを割り当てた場合、ユーザは設定アーカイブを変更することもできます。特定のユーザに複数のロールを割り当てることができます。

デフォルトでは、Help Desk ロールがイネーブルになっています。デフォルト ロールをクリアして、任意のロールをデフォルト ロールに設定することもできます。


ヒント ユーザ権限を変更したら、Security Manager クライアントを再起動する必要があります。

関連項目

「Security Manager ACS 権限」

「Security Manager 内の権限とロールのデフォルトの関連付け」

「CiscoWorks ロールについて」


ステップ 1 次のパスに従い、Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン(または十分な権限があるユーザ アカウント)>

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Local User Setup]

ステップ 2 次のいずれかを実行します。

ユーザを作成するには、[Add] をクリックして、[Username]、[Password]、[Verify Password]、および [Email] の各フィールドに適切な情報を入力します。

既存のユーザの認可を変更するには、ユーザ名の横にあるチェックボックスをオンにして、[Edit] をクリックします。

ステップ 3 ユーザに Security Manager で利用可能なすべてのロール(Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver)を持たせる場合は、[Full Authorization] を選択します。


ヒント [Full Authorization] を選択する場合、[Enable Task Authorization] は選択できません(オプション ボタン形式のため)。



ヒント [Full Authorization] を選択する場合、[Enable Device Authorization] は選択できません(オプション ボタン形式のため)。


a. この手順のステップ 6 に進みます。

ステップ 4 新しいユーザに、選択したロールのみ(たとえば、Network Operator のみ)を持たせる場合は、[Enable Task Authorization] を選択します。


ヒント [Enable Task Authorization] を選択する場合、[Full Authorization] は選択できません(オプション ボタン形式のため)。



ヒント [Enable Task Authorization] を選択する場合、[Enable Device Authorization] は選択できません(オプション ボタン形式のため)。


a. 次のロールを 1 つ以上選択します。Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver。各ロールの詳細については、「CiscoWorks Common Services デフォルト ロール」を参照してください。

b. この手順のステップ 8 に進みます。

ステップ 5 新しいユーザを、Security Manager インストールに存在するすべてのデバイス グループではなく、選択するデバイス グループに対してのみ認可させる場合は、[Enable Device Authorization] を選択します。(デバイス グループは [Device Groups] ページ([Security Manager] > [Tools] > [Security Manager Administration] > [Device Groups])で定義できます)。


ヒント [Enable Device Authorization] を選択する場合、[Full Authorization] は選択できません(オプション ボタン形式のため)。



ヒント [Enable Device Authorization] を選択する場合、[Enable Task Authorization] は選択できません(オプション ボタン形式のため)。ただし、特定のデバイス グループに対して個別のロールを選択できます。


a. 新しいユーザが認可されるデバイス グループを選択します。

b. 次のロールを 1 つ以上選択します。Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver。各ロールの詳細については、「CiscoWorks Common Services デフォルト ロール」を参照してください。

ステップ 6 [OK] をクリックして変更を保存します。

ステップ 7 Security Manager クライアントを再起動します。


 

Cisco Secure ACS ロールについて

Common Services 4.0 よりも前、Cisco Secure ACS ではアプリケーション固有のロール(効率的な「ロールベース アクセス コントロール」(RBAC))をサポートしていたため、Common Services よりも柔軟性の高い Security Manager 権限の管理が可能でした。

このような粒度の高い特権(RBAC)は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 で利用できます。各ロールは、Security Manager タスクに対する認可レベルを決定する権限セットで構成されます。Cisco Secure ACS で、各ユーザ グループに(およびオプションで個別のユーザにも)ロールを割り当てます。これによって、グループ内の各ユーザは、そのロールに対して定義された権限によって認可される操作を実行できます。

加えて、これらのロールを Cisco Secure ACS デバイス グループに割り当てて、デバイスのセットごとに権限を区別できるようにできます。


) Cisco Secure ACS デバイス グループは、Security Manager デバイス グループとは無関係です。


次のトピックで、Cisco Secure ACS ロールについて説明します。

「Cisco Secure ACS デフォルト ロール」

「Cisco Secure ACS ロールのカスタマイズ」

Cisco Secure ACS デフォルト ロール

Cisco Secure ACS には、CiscoWorks と同じロール(「CiscoWorks ロールについて」を参照)に加えて、次のロールが含まれています。

Security Approver :Security Approver は、デバイス、ポリシー、オブジェクト、マップ、CLI コマンド、および管理設定を表示できます(ただし、変更はできません)。加えて、Security Approver は、アクティビティに含まれる設定変更を承認または拒否できます。

Security Administrator :表示権限が付与されていることに加えて、Security Administrator は、デバイス、デバイス グループ、ポリシー、オブジェクト、およびトポロジ マップを変更できます。彼らは、デバイスと VPN トポロジにポリシーを割り当てたり、システムに新しいデバイスをインポートするための検出を実行したりすることもできます。

Network Administrator :表示権限に加えて、Network Administrator は、設定アーカイブを変更したり、展開を実行したり、デバイスにコマンドを発行したりできます。


) Cisco Secure ACS Network Administrator ロール内に含まれる権限は、CiscoWorks Network Administrator ロール内に含まれる権限と同じではありません。詳細については、「CiscoWorks ロールについて」を参照してください。


CiscoWorks と違って、Cisco Secure ACS を使用すれば、各 Security Manager ロールに関連付けられた権限をカスタマイズできます。デフォルト ロールの変更方法については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください。

Security Manager 権限と Cisco Secure ACS ロールの関連付けについては、「Security Manager 内の権限とロールのデフォルトの関連付け」を参照してください。

関連項目

「Security Manager と Cisco Secure ACS の統合」

「ユーザの権限」

Cisco Secure ACS ロールのカスタマイズ

Cisco Secure ACS を使用すれば、各 Security Manager ロールに関連付けられた権限を変更できます。特定の Security Manager タスクを対象とする権限が付与された特殊なユーザ ロールを作成することによって、Cisco Secure ACS をカスタマイズすることもできます。


) ユーザ権限を変更したら、Security Manager を再起動する必要があります。


関連項目

「Security Manager ACS 権限」

「Security Manager 内の権限とロールのデフォルトの関連付け」


ステップ 1 Cisco Secure ACS のナビゲーション バーで、[Shared Profile Components] をクリックします。

ステップ 2 [Shared Components] ページで [Cisco Security Manager] をクリックします。Security Manager 用に設定されたロールが表示されます。

ステップ 3 次のいずれかを実行します。

ロールを作成するには、[Add] をクリックします。ロールの名前を入力して、オプションで、説明を入力します。

既存のロールを変更するには、そのロールをクリックします。

ステップ 4 権限ツリー内のチェックボックスをオン/オフして、そのロールに対する権限を定義します。

ツリーのブランチに対応するチェックボックスをオンにすると、そのブランチ内のすべての権限が選択されます。たとえば、[Assign] チェックボックスをオンにすると、すべての割り当て権限が選択されます。

個々の権限に関する説明がウィンドウに表示されます。詳細については、「Security Manager ACS 権限」を参照してください。


ヒント 変更、承認、割り当て、インポート、制御、または展開権限を選択した場合は、対応する表示権限も選択する必要があります。そうしなかった場合は、Security Manager が正しく機能しません。


ステップ 5 [Submit] をクリックして変更を保存します。

ステップ 6 Security Manager を再起動します。


 

Security Manager 内の権限とロールのデフォルトの関連付け

表 8-2 に、Security Manager 権限、CiscoWorks Common Services ロール、および Cisco Secure ACS 内のデフォルト ロールの関連付けを示します。一部のロール(Super Admin、Security Administrator、および Security Approver)は、Cisco Secure ACS のデフォルト ロールと特に関連付けられていないので含まれていません。特定の権限に関する詳細については、「Security Manager ACS 権限」を参照してください。

 

表 8-2 Security Manager と CiscoWorks Common Services のロール関連付けに対するデフォルトの権限

権限
ロール
System Admin.
Security Admin.
Security Approver
Network Admin.
Approver
Network Operator
Help Desk
表示権限

デバイスの表示

Yes

Yes

Yes

Yes

Yes

Yes

Yes

ポリシーの表示

Yes

Yes

Yes

Yes

Yes

Yes

Yes

オブジェクトの表示

Yes

Yes

Yes

Yes

Yes

Yes

Yes

トポロジの表示

Yes

Yes

Yes

Yes

Yes

Yes

Yes

CLI の表示

Yes

Yes

Yes

Yes

Yes

Yes

No

管理設定の表示

Yes

Yes

Yes

Yes

Yes

Yes

No

設定アーカイブの表示

Yes

Yes

Yes

Yes

Yes

Yes

Yes

デバイス マネージャの表示

Yes

Yes

Yes

Yes

Yes

Yes

No

変更権限

デバイスの変更

Yes

Yes

No

No

No

No

No

階層の変更

Yes

Yes

No

No

No

No

No

ポリシーの変更

Yes

Yes

No

No

No

No

No

イメージの変更

Yes

Yes

No

No

No

No

No

オブジェクトの変更

Yes

Yes

No

No

No

No

No

トポロジの変更

Yes

Yes

No

No

No

No

No

管理設定の変更

Yes

No

No

No

No

No

No

設定アーカイブの変更

Yes

Yes

No

Yes

No

Yes

No

その他の権限

ポリシーの割り当て

Yes

Yes

No

No

No

No

No

ポリシーの承認

Yes

No

Yes

No

No

No

No

CLI の承認

Yes

No

No

No

Yes

No

No

検出(インポート)

Yes

Yes

No

No

No

No

No

展開

Yes

No

No

Yes

No

No

No

制御

Yes

No

No

Yes

No

Yes

No

送信

Yes

Yes

No

No

No

No

No

Security Manager と Cisco Secure ACS の統合

この項では、Cisco Secure ACS と Cisco Security Manager の統合方法について説明します。

Cisco Secure ACS は、Security Manager などの管理アプリケーションを使用しているユーザに管理対象ネットワーク デバイスを設定するためのコマンド認可を提供します。コマンド認可に対するサポートは、一連の権限が含まれる一意のコマンド認可セット タイプ(Security Manager ではロールと呼ばれている)によって提供されます。これらの権限(特権とも呼ばれる)によって、特定のロールを持つユーザが Security Manager 内で実行できるアクションが決定されます。

Cisco Secure ACS は、TACACS+ を使用して管理アプリケーションと通信します。Security Manager と Cisco Secure ACS が通信するためには、Cisco Secure ACS 内の CiscoWorks サーバを TACACS+ を使用する AAA クライアントとして設定する必要があります。加えて、CiscoWorks サーバに Cisco Secure ACS へのログインに使用する管理者名とパスワードを提供する必要があります。これらの要件を満たすことによって、Security Manager と Cisco Secure ACS 間の通信の有効性が保証されます。


) TACACS+ のセキュリティ メリットを理解するには、『User Guide for Cisco Secure Access Control Server』を参照してください。


Security Manager が初めて Cisco Secure ACS と通信するときに、デフォルト ロールの作成を Cisco ACS に指示します。このロールは、Cisco Secure ACS HTML インターフェイスの [Shared Profile Components] セクションに表示されます。また、TACACS+ による認可をカスタム サービスに指示します。このカスタム サービスは、HTML インターフェイスの [Interface Configuration] セクション内の [TACACS+ (Cisco IOS)] ページに表示されます。その後で、各 Security Manager ロールに含まれる権限を変更したり、これらのロールをユーザとユーザ グループに適用したりできます。

次のトピックで、Cisco Secure ACS と Security Manager の使用方法について説明します。

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」

「Cisco Secure ACS で実行する統合手順」

「CiscoWorks で実行する統合手順」

「Daemon Manager の再起動」

「Cisco Secure ACS でのユーザ グループへのロール割り当て」

ACS 統合要件

Cisco Secure ACS を使用するには、次の手順を完了する必要があります。

Security Manager 内で必要な機能を実行するために必要な権限を含むロールを定義しました。

Network Access Restriction(NAR)には、NAR をプロファイルに適用する場合に管理するデバイス グループ(またはデバイス)が含まれています。

管理対象デバイス名は、Cisco Secure ACS と Security Manager で綴りと大文字/小文字を合わせる必要があります。この制限は、表示名に適用され、デバイス上で定義されるホスト名には適用されません。ACS の命名制限は Security Manager の命名制限よりも厳密なため、先に、ACS 内でデバイスを定義する必要があります。

PIX/ASA セキュリティ コンテキスト、FWSM、および IPS デバイスに関して満たさなければならないその他のデバイス表示名要件があります。これらについては、「NDG を使用しないデバイスの AAA クライアントとしての追加」に記載されています。

ヒント

ACS 統合の前にデバイスが Security Manager にすでにインポートされている場合は、それらのデバイスを AAA クライアントとして ACS に追加してから統合することを推奨します。AAA クライアントの名前は、CSM 内でのデバイスの表示名と一致する必要があります。一致していないと、それらのデバイスは、ACS 統合後に Security Manager のデバイス リストに表示されなくなります。

複数の Cisco Secure ACS サーバを使用するフォールトトレラントなインフラストラクチャの構築を強く推奨します。複数のサーバを使用することによって、いずれかの ACS サーバの通信機能が失われても、Security Manager 内の作業を継続できます。

Cisco Secure ACS と統合できるのは 1 つのバージョンの Security Manager だけです。そのため、組織で 2 つの異なるバージョンの Security Manager が同時に使用されている場合は、2 つの異なる Cisco Secure ACS サーバとの統合を実施する必要があります。ただし、別の ACS を使用しなくても、新しいバージョンの Security Manager にアップグレードできます。

Cisco Secure ACS 認証が使用されている場合でも、CiscoWorks Common Services ソフトウェアは Compact Database や Database Checkpoint などの CiscoWorks Common Services 固有のユーティリティのローカル認可を使用します。これらのユーティリティを使用するには、ユーザをローカルに定義して、適切な権限を付与する必要があります。

関連項目

「初期 Cisco Secure ACS セットアップ手順の概要」

「Security Manager と Cisco Secure ACS の統合」

初期 Cisco Secure ACS セットアップ手順の概要

次の手順では、Cisco Secure ACS と Security Manager を使用して実行する必要のあるすべてのタスクの概要を示します。この手順には、各ステップの実行に使用されるより詳しい手順への参照が含まれています。

関連項目

「ACS 統合要件」

「Security Manager と Cisco Secure ACS の統合」


ステップ 1 管理認証および認可モデルを計画します。

Security Manager を使用する前に、管理モデルを決定する必要があります。これには、使用する予定の管理ロールとアカウントの定義も含まれます。


ヒント 潜在的管理者のロールと権限を定義するときに、イネーブルにするワークフローも考慮する必要があります。この選択は、アクセスの制限方法に影響します。


詳細については、次の説明を参照してください。

「Cisco Secure ACS ロールについて」

『User Guide for Cisco Security Manager』

『User Guide for Cisco Secure Access Control Server』

ステップ 2 Cisco Secure ACS、Cisco Security Manager、および CiscoWorks Common Services をインストールします。

Cisco Secure ACS をインストールします。別のサーバ上に CiscoWorks Common Services と Cisco Security Manager をインストールします。Cisco Secure ACS と Security Manager を同じサーバ上で実行しないでください。

詳細については、次の説明を参照してください。

Release Notes for Cisco Security Manager 』(サポートされている Cisco Secure ACS のバージョンの詳細)

「Security Manager サーバ、Common Services、および AUS のインストール」

『Installation Guide for Cisco Secure ACS for Windows Server』

ステップ 3 Cisco Secure ACS で統合手順を実行します。

Security Manager ユーザを ACS ユーザとして定義し、それらを計画されたロールに基づいてユーザ グループに割り当て、すべての管理対象デバイス(および CiscoWorks/Security Manager サーバ)を AAA クライアントとして追加し、管理制御ユーザを作成します。

詳細については、「Cisco Secure ACS で実行する統合手順」を参照してください。

ステップ 4 CiscoWorks Common Services で統合手順を実行します。

Cisco Secure ACS で定義されたシステム識別ユーザと一致するローカル ユーザを設定し、同じユーザをシステム識別セットアップ用に定義し、ACS を AAA セットアップ モードとして設定し、SMTP サーバとシステム管理者の電子メール アドレスを設定します。

詳細については、「CiscoWorks で実行する統合手順」を参照してください。

ステップ 5 Daemon Manager を再起動します。

Security Manager サーバの Daemon Manager を再起動して、構成した AAA 設定を有効にします。

詳細については、「Daemon Manager の再起動」を参照してください。

ステップ 6 Cisco Secure ACS でユーザ グループにロールを割り当てます。

Cisco Secure ACS で設定されたユーザ グループごとにロールを割り当てます。使用すべき手順は、Network Device Group(NDG; ネットワーク デバイス グループ)を設定したかどうかによって異なります。

詳細については、「Cisco Secure ACS でのユーザ グループへのロール割り当て」を参照してください。


 

Cisco Secure ACS で実行する統合手順

次のトピックで、Cisco Security Manager と統合する場合に Cisco Secure ACS で実行すべき手順について説明します。列挙された順にタスクを実行します。これらの項で説明する手順の詳細については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。

1. 「Cisco Secure ACS でのユーザとユーザ グループの定義」

2. 「Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加」

3. 「Cisco Secure ACS での管理制御ユーザの作成」

Cisco Secure ACS でのユーザとユーザ グループの定義

Security Manager のすべてのユーザを Cisco Secure ACS で定義し、彼らの職務権限に応じたロールを割り当てる必要があります。この最も簡単な方法は、ACS で使用可能なデフォルト ロールに従ってユーザを複数のグループに分ける方法です。たとえば、すべてのシステム管理者をあるグループに割り当て、すべてのネットワーク オペレータを別のグループに割り当てるといった具合です。ACS 内のデフォルト ロールの詳細については、「Cisco Secure ACS デフォルト ロール」を参照してください。

デバイスに対するフル権限を持つ System Administrator ロールを割り当てる新しいユーザを作成する必要があります。このユーザに対して設定された資格情報が、後で、CiscoWorks の [System Identity Setup] ページで使用されます。「システム識別ユーザの定義」を参照してください。

この段階で、ユーザを複数のグループに割り当てることはまれであることに注意してください。これらのグループに対する実際のロールの割り当ては、CiscoWorks、Security Manager、およびその他のアプリケーションが Cisco Secure ACS に登録された後で実行されます。


ヒント この手順では、初期 Cisco Secure ACS 統合中のユーザ アカウントの作成方法について説明します。統合を完了したら、ユーザ アカウントを作成して、適切なグループに割り当てることができます。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」

「Cisco Secure ACS でのユーザ グループへのロール割り当て」


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 次の手順を使用して、フル権限を持つユーザを設定します。ユーザとユーザ グループの設定時に使用可能なオプションの詳細については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。

a. ナビゲーション バーの [User Setup] をクリックします。

b. [User Setup] ページで、新しいユーザの名前を入力して [Add/Edit] をクリックします。


ヒント admin という名前のユーザは作成しないでください。admin ユーザは Security Manager のフォールバック ユーザです。ACS システムが何らかの理由で停止した場合は、admin アカウントを使用して Security Manager サーバ上の CiscoWorks Common Services にログインし、AAA モードを CiscoWorks ローカル認証に変更して、製品の使用を続けることができます。


c. [User Setup] の下の [Password Authentication] リストから認証方式を選択します。

d. 新しいユーザのパスワードを入力して確認します。

e. ユーザに割り当てるべきグループとして [Group 1] を選択します。

f. [Submit] をクリックしてユーザ アカウントを作成します。

ステップ 3 Security Manager ユーザごとにこのプロセスを繰り返します。ユーザは割り当てられたロールに基づいてグループに分けることを推奨します。

グループ 1:System Administrator

グループ 2:Security Administrator

グループ 3:Security Approver

グループ 4:Network Administrator

グループ 5:Approver

グループ 6:Network Operator

グループ 7:Help Desk

各ロールに関連付けられたデフォルト権限の詳細については、「Security Manager 内の権限とロールのデフォルトの関連付け」を参照してください。ユーザ ロールのカスタマイズ方法については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください。


) この段階で、グループはどのロールも定義されていないユーザの集合でしかありません。統合プロセスが完了してから、各ユーザにロールを割り当てます。「Cisco Secure ACS でのユーザ グループへのロール割り当て」を参照してください。


ステップ 4 CiscoWorks Common Services でシステム識別ユーザとして使用する新しいユーザを作成します。このユーザをシステム管理者グループに割り当て、デバイスに対するすべての特権を付与します。このユーザに対して設定された資格情報が、後で、CiscoWorks の [System Identity Setup] ページで使用されます。「システム識別ユーザの定義」を参照してください。

ステップ 5 「Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加」に進みます。


 

Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加

Security Manager にデバイスをインポートするには、Cisco Secure ACS で各デバイスを AAA クライアントとして設定する必要があります。加えて、CiscoWorks/Security Manager サーバを AAA クライアントとして設定する必要があります。

Security Manager が、Catalyst 6500/7600 デバイス用の FWSM を含むファイアウォール デバイス上で設定されたセキュリティ コンテキストを管理している場合は、それぞれのコンテキストを個別に Cisco Secure ACS に追加する必要があります。同様に、IPS デバイス上で定義されたすべての仮想センサーを追加する必要もあります。

管理対象デバイスを追加する方式は、NDG を作成して特定のデバイス セットの管理にユーザを制限するかどうかによって異なります。次のように進めます。

すべてのデバイスへのアクセスをユーザに許可する場合は、「NDG を使用しないデバイスの AAA クライアントとしての追加」に記載されているようにデバイスを追加します。

特定の NDG へのアクセスだけをユーザに許可する場合は、「Security Manager で使用するネットワーク デバイス グループの設定」に記載されているようにデバイスを追加します。

NDG を使用しないデバイスの AAA クライアントとしての追加

この手順では、デバイスを Cisco Secure ACS の AAA クライアントとして追加する方法について説明します。使用可能なオプションの詳細については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。


ヒント CiscoWorks/Security Manager サーバを AAA クライアントとして追加することを忘れないでください。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 Cisco Secure ACS のナビゲーション バーで、[Network Configuration] をクリックします。

ステップ 2 [AAA Clients] テーブルの下で [Add Entry] をクリックします。

ステップ 3 [Add AAA Client] ページで AAA クライアントのホスト名(32 文字以下)を入力します。AAA クライアントのホスト名は、Security Manager 内でデバイスとして使用する予定の表示名と一致させる 必要があります

たとえば、Security Manager でドメイン名をデバイス名に付加する場合は、ACS 内の AAA クライアントのホスト名を <device_name>.<domain_name> にする必要があります。

CiscoWorks サーバに名前を付ける場合は、完全修飾ホスト名を使用することを推奨します。ホスト名の綴りが正しいことを確認してください(ホスト名は大文字と小文字が区別されません)。

その他の命名規則を次に示します。

PIX または ASA セキュリティ コンテキスト、あるいは、FWSM 経由で検出された FWSM セキュリティ コンテキスト: <parent_display_name>_<context_name>

FWSM ブレード: <chassis_name>_FW_<slot_number>

シャーシ経由で検出された FWSM セキュリティ コンテキスト: <chassis_name>_FW_<slot_number>_<context_name>

IPS センサー: <IPSParentName>_<virtualSensorName>

ステップ 4 [AAA Client IP Address] フィールドにネットワーク デバイスの IP アドレスを入力します。デバイスに IP アドレスが設定されていない場合(仮想センサーや仮想コンテキストなど)は、アドレスの代わりに単語の dynamic を入力します。


) マルチホーム デバイス(複数の NIC が実装されたデバイス)を追加している場合は、各 NIC の IP アドレスを入力します。各アドレスの間で Enter を押します。加えて、Security Manager サーバ上の gatekeeper.cfg ファイルを変更する必要があります。


ステップ 5 [Key] フィールドに共有秘密キーを入力します。

ステップ 6 [Authenticate Using] リストから [TACACS+ (Cisco IOS)] を選択します。

ステップ 7 [Submit] をクリックして変更を保存します。追加したデバイスが [AAA Clients] テーブル内に表示されます。

ステップ 8 このプロセスを繰り返して、新しいデバイスを追加します。

ステップ 9 追加したデバイスを保存するには、[Submit + Restart] をクリックします。

ステップ 10 「Cisco Secure ACS での管理制御ユーザの作成」に進みます。


 

Security Manager で使用するネットワーク デバイス グループの設定

Cisco Secure ACS を使用すれば、特定の管理対象デバイスを含む NDG を設定できます。たとえば、地理的地域別の NDG や組織構造と一致する NDG を作成できます。NDG を Security Manager と一緒に使用すれば、管理対象デバイスに応じて、さまざまなレベルの権限をユーザに付与できます。たとえば、NDG を使用することによって、ユーザ A に、ヨーロッパに設置されたデバイスに対するシステム管理者権限とアジアに設置されたデバイスに対するヘルプ デスク権限を割り当てることができます。その後で、正反対の権限をユーザ B に割り当てることができます。

NDG は直接はユーザに割り当てません。その代わりに、ユーザ グループごとに定義したロールに NDG を割り当てます。各 NDG は 1 つのロールにしか割り当てることができませんが、各ロールに複数の NDG を含めることができます。これらの定義は、選択されたユーザ グループの定義の一部として保存されます。

ヒント

各デバイスは 1 つの NDG のメンバーにしかなれません。

NDG は、Security Manager で設定可能なデバイス グループに 関連付けられません

NDG の管理方法については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。

次のトピックで、NDG の設定に関する基本的な情報とステップについて説明します。

「NDG とユーザ権限」

「NDG 機能のアクティブ化」

「NDG の作成」

「NDG とロールのユーザ グループへの関連付け」

NDG とユーザ権限

NDG はユーザを特定のデバイス セットに制限するため、次のように、ポリシー権限に影響します。

ポリシーを表示するには、そのポリシーが割り当てられた少なくとも 1 つ のデバイスに対する権限を持っている必要があります。

ポリシーを変更するには、そのポリシーが割り当てられた すべて のデバイスに対する権限を持っている必要があります。

VPN ポリシーを表示、変更、または割り当てるには、VPN トポロジ内の すべて のデバイスに対する権限を持っている必要があります。

デバイスにポリシーを割り当てるには、ポリシーが割り当てられた他のデバイスに対する権限を持っているかどうかに関係なく、そのデバイスの権限のみが必要です(上述したように、VPN ポリシーは例外です)。ただし、権限を持っていないデバイスに割り当てられているポリシーを変更することはできません。


) オブジェクトを変更するには、そのオブジェクトを使用しているすべてのデバイスに対する変更権限を持っている必要はありません。ただし、そのデバイス上で定義されたデバイスレベルのオブジェクトの上書きを変更するには、特定のデバイスに対する変更権限を持っている必要があります。


関連項目

「Security Manager で使用するネットワーク デバイス グループの設定」

「ユーザの権限」

NDG 機能のアクティブ化

NDG を作成して、デバイスを追加するには、NDG 機能をアクティブにする必要があります。

関連項目

「NDG の作成」

「NDG とロールのユーザ グループへの関連付け」

「NDG とユーザ権限」

「Security Manager で使用するネットワーク デバイス グループの設定」


ステップ 1 Cisco Secure ACS のナビゲーション バーで、[Interface Configuration] をクリックします。

ステップ 2 [Advanced Options] をクリックします。

ステップ 3 スクロール ダウンしてから、[Network Device Groups] チェックボックスをオンにします。

ステップ 4 [Submit] をクリックします。

ステップ 5 「NDG の作成」に進みます。


 

NDG の作成

この手順では、NDG を作成して、デバイスを追加する方法について説明します。各デバイスは 1 つの NDG にしか属することができません。


ヒント CiscoWorks/Security Manager サーバを含む特別な NDG を作成することを強く推奨します。

はじめる前に

「NDG 機能のアクティブ化」に記載されているように、NDG 機能をアクティブにします。

関連項目

「NDG とロールのユーザ グループへの関連付け」

「NDG とユーザ権限」

「Security Manager で使用するネットワーク デバイス グループの設定」


ステップ 1 ナビゲーション バーで、[Network Configuration] をクリックします。

最初は、すべてのデバイスが Not Assigned に配置されます。この場所には、NDG 内に存在しなかったすべてのデバイスが保存されます。Not Assigned は NDG で ない ことに注意してください。

ステップ 2 NDG を作成します。

a. [Add Entry] をクリックします。

b. [New Network Device Group] ページで、NDG の名前を入力します。最大長は 24 文字です。スペースを使用できます。

c. (オプション)NDG 内のすべてのデバイスで使用されるキーを入力します。NDG 用のキーを定義すると、NDG 内の個別のデバイスに対して定義されたすべてのキーが上書きされます。

d. [Submit] をクリックして NDG を保存します。

e. このプロセスを繰り返して、新しい NDG を作成します。

ステップ 3 NDG にデバイスを追加します。各デバイスは 1 つの NDG のメンバーにしかなれないことに注意してください。

a. [Network Device Groups] エリアで、NDG の名前をクリックします。

b. [AAA Clients] エリアで、[Add Entry] をクリックします。

c. NDG に追加するデバイスの詳細を定義してから、[Submit] をクリックします。詳細については、「NDG を使用しないデバイスの AAA クライアントとしての追加」を参照してください。

d. このプロセスを繰り返して、残りのデバイスを NDG に追加します。Not Assigned カテゴリに残すことを検討すべき唯一のデバイスが、デフォルト AAA サーバです。

e. 最後のデバイスを設定したら、[Submit + Restart] をクリックします。

ステップ 4 「Cisco Secure ACS での管理制御ユーザの作成」に進みます。


ヒント Cisco Secure ACS と CiscoWorks Common Services の統合プロセスが完了しなければ、ロールを各 NDG に関連付けることができません。「NDG とロールのユーザ グループへの関連付け」を参照してください。



 

Cisco Secure ACS での管理制御ユーザの作成

Cisco Secure ACS の [Administration Control] ページを使用して、CiscoWorks Common Services の AAA セットアップ モードの定義に使用される管理者アカウントを定義します。Security Manager は、このアカウントを使用して、ACS サーバにアクセスしてアプリケーションを登録したり、デバイス グループ メンバーシップとグループ セットアップを問い合わせたり、その他の基本的な ACS とのデータのやり取りを行ったりします。詳細については、「CiscoWorks での AAA セットアップ モードの設定」を参照してください。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 Cisco Secure ACS のナビゲーション バーで、[Administration Control] をクリックします。

ステップ 2 [Add Administrator] をクリックします。

ステップ 3 [Add Administrator] ページで、管理者の名前とパスワードを入力します。

ステップ 4 次の管理者特権を選択します。

Under Users and Group Setup

グループ内のユーザに対する読み取りアクセス

これらのグループの読み取りアクセス

Under Shared Profile Components

デバイス コマンド セット タイプの作成

ネットワーク設定

ステップ 5 [Submit] をクリックして管理者を作成します。管理者の設定時に使用可能なオプションの詳細については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。


 

CiscoWorks で実行する統合手順

Cisco Secure ACS での統合タスク(「Cisco Secure ACS で実行する統合手順」を参照)が完了したら、CiscoWorks Common Services でいくつかのタスクを完了する必要があります。Common Services は、Cisco Security Manager や Auto Update Server などのインストール対象アプリケーションの Cisco Secure ACS への登録を実行します。

次のトピックで、Cisco Security Manager と統合する場合に CiscoWorks Common Services で実行する手順について説明します。

「CiscoWorks でのローカル ユーザの作成」

「システム識別ユーザの定義」

「CiscoWorks での AAA セットアップ モードの設定」

「ACS ステータス通知用の SMTP サーバとシステム管理者の電子メール アドレスの設定」

CiscoWorks でのローカル ユーザの作成

CiscoWorks Common Services の [Local User Setup] ページを使用して、Cisco Secure ACS で作成されたシステム識別ユーザ(「Cisco Secure ACS でのユーザとユーザ グループの定義」を参照)とまったく同じローカル ユーザ アカウントを作成します。このローカル ユーザ アカウントは、後で、システム識別セットアップに使用されます。詳細については、「システム識別ユーザの定義」を参照してください。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 次のパスに従い、Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Local User Setup]

ステップ 2 [Add] をクリックします。

ステップ 3 Cisco Secure ACS でシステム識別ユーザを作成したときに入力したものと同じ名前とパスワードを入力します。「Cisco Secure ACS でのユーザとユーザ グループの定義」を参照してください。

ステップ 4 [Roles] の下のチェックボックスをすべてオンにします。

ステップ 5 [OK] をクリックしてユーザを作成します。


 

システム識別ユーザの定義

CiscoWorks Common Services の [System Identity Setup] ページを使用して、同じサーバ上に配置された同じドメインおよびアプリケーション プロセスに属しているサーバ間通信をイネーブルにする信頼ユーザ(システム識別ユーザと呼ばれる)を作成します。アプリケーションは、システム識別ユーザを使用して、リモート CiscoWorks サーバ上のプロセスを認証します。これは、特に、ユーザのログイン前に、アプリケーションの同期化が必要な場合に役立ちます。

加えて、システム識別ユーザは、プライマリ タスクがすでにログイン ユーザに対して認可されている場合にサブタスクを実行するためによく使用されます。

ここで設定したシステム識別ユーザは、CiscoWorks ではローカル ユーザとして(すべてのロールが割り当てられる)、ACS ではデバイスに対するすべての特権を持つユーザとして定義する必要もあります。必要な特権を持つユーザを選択しなかった場合は、Security Manager で設定されたすべてのデバイスとポリシーを表示できない可能性があります。先に進む前に次の手順を実行したことを確認してください。

「Cisco Secure ACS でのユーザとユーザ グループの定義」

「CiscoWorks でのローカル ユーザの作成」

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 次のパスに従い、Common Services の [System Identify Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Multi-Server Trust Management] >

System Identity Setup

ステップ 2 Cisco Secure ACS で作成したシステム識別ユーザの名前を入力します。「Cisco Secure ACS でのユーザとユーザ グループの定義」を参照してください。

ステップ 3 このユーザのパスワードを入力して確認します。

ステップ 4 [Apply] をクリックします。


 

CiscoWorks での AAA セットアップ モードの設定

CiscoWorks Common Services の [AAA Setup Mode] ページを使用して、Cisco Secure ACS を必要なポートと共有秘密キーを含む AAA サーバとして定義します。加えて、最大 2 台のバックアップ サーバを定義できます。

この手順は、CiscoWorks と Security Manager(およびオプションの Auto Update Server)の Cisco Secure ACS への登録を実行します。


ヒント CiscoWorks Common Services または Cisco Security Manager をアンインストールした場合は、ここで設定した AAA セットアップが保存されません。加えて、この設定はバックアップして再インストール後に復元できません。そのため、いずれかのアプリケーションの新しいバージョンにアップグレードする場合は、AAA セットアップ モードを再設定して、Security Manager を ACS に再登録する必要があります。差分アップデートの場合は、このプロセスが必要ありません。AUS などの新しいアプリケーションを CiscoWorks 上にインストールする場合は、そのアプリケーションと Cisco Security Manager を再登録する必要があります。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 次のパスに従い、Common Services の [AAA Mode Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[AAA Mode Setup]

ステップ 2 [Available Login Modules] の下で [TACACS+] を選択します。

ステップ 3 AAA タイプとして [ACS] を選択します。

ステップ 4 最大 3 つの Cisco Secure ACS サーバの IP アドレスを [Server Details] エリアに入力します。セカンダリ サーバとターシャリ サーバは、プライマリ サーバで障害が発生した場合のバックアップとして機能します。すべてのサーバで同じバージョンの Cisco Secure ACS が実行している必要があります。


) 設定されたすべての TACACS+ サーバが応答しなかった場合は、admin CiscoWorks ローカル アカウントを使用してログインしてから、AAA モードを Non-ACS/CiscoWorks Local に変更する必要があります。TACACS+ サーバのサービスが回復されたら、AAA モードを ACS に変更する必要があります。


ステップ 5 [Login] エリアで、Cisco Secure ACS の [Administration Control] ページで定義した管理者の名前を入力します。詳細については、「Cisco Secure ACS での管理制御ユーザの作成」を参照してください。

ステップ 6 この管理者のパスワードを入力して確認します。

ステップ 7 Security Manager サーバを Cisco Secure ACS の AAA クライアントとして追加したときに入力した共有秘密キーを入力して確認します。「NDG を使用しないデバイスの AAA クライアントとしての追加」を参照してください。

ステップ 8 [Register all installed applications with ACS] チェックボックスをオンにして、Security Manager とその他のインストール済みアプリケーションを Cisco Secure ACS に登録します。

ステップ 9 [Apply] をクリックして設定値を保存します。経過表示バーに登録の進捗が表示されます。登録が完了するとメッセージが表示されます。

ステップ 10 Cisco Security Manager の Daemon Manager サービスを再起動します。「Daemon Manager の再起動」を参照してください。

ステップ 11 Cisco Secure ACS に再ログインしてロールを各ユーザ グループに割り当てます。「Cisco Secure ACS でのユーザ グループへのロール割り当て」を参照してください。


 

ACS ステータス通知用の SMTP サーバとシステム管理者の電子メール アドレスの設定

すべての ACS サーバが使用不能になった場合は、Security Manager でタスクを実行できません。ログイン ユーザは、ACS 認可が必要なタスクを実行しようとすると、強制的に(変更を保存する機会を与えられずに)アプリケーションからログアウトされます。

SMTP サーバとシステム管理者を識別するように Common Services を設定した場合は、すべての ACS サーバが使用不能になったときに、Security Manager から管理者に電子メール メッセージが送信されます。このメッセージにより、早急な対応を必要とする問題に対して警告を出すことができます。管理者は、Common Services から非 ACS 関連イベントに関する電子メール メッセージを受け取ることもあります。


ヒント Security Manager は、展開ジョブの完了、アクティビティの承認、ACL ルールの期限切れなどのイベント タイプに関する電子メール通知を送信できます。ここで設定する SMTP サーバはこれらの通知にも使用されますが、送信者の電子メール アドレスは Security Manager で設定されます。このような電子メール アドレスの設定方法については、このバージョンの製品の『User Guide for Cisco Security Manager』か、クライアントのオンライン ヘルプを参照してください。


ステップ 1 次のパスに従い、Common Services の [System Preferences] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

admin アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Admin] >

[System Preferences]

ステップ 2 [System Preferences] ページで、Security Manager が使用可能な SMTP サーバのホスト名または IP アドレスを入力します。SMTP サーバは、電子メール メッセージの送信に対してユーザ認証を要求できません。

ステップ 3 CiscoWorks が電子メールの送信に使用可能な電子メール アドレスを入力します。これは、Security Manager の通知の送信に使用される電子メール アドレスと同じにする必要はありません。

ACS サーバが使用不能になると、このアカウントに(およびこのアカウントから)メッセージが送信されます。

ステップ 4 [Apply] をクリックして変更を保存します。


 

Daemon Manager の再起動

この手順では、Security Manager サーバの Daemon Manager の再起動方法について説明します。この操作は、構成した AAA 設定値を有効にするために行う必要があります。そうすれば、Cisco Secure ACS で定義された資格情報を使用して CiscoWorks に再ログインできます。

関連項目

「初期 Cisco Secure ACS セットアップ手順の概要」

「ACS 統合要件」


ステップ 1 Security Manager サーバがインストールされたマシンにログインします。

ステップ 2 [Start] > [Programs] > [Administrative Tools] > [Services] を選択して [Services] ウィンドウを開きます。

ステップ 3 右ペインに表示されたサービスのリストから、[Cisco Security Manager Daemon Manager] を選択します。

ステップ 4 ツールバーで [Restart Service] ボタンをクリックします。

ステップ 5 「Cisco Secure ACS でのユーザ グループへのロール割り当て」に進みます。


 

Cisco Secure ACS でのユーザ グループへのロール割り当て

CiscoWorks、Security Manager、およびその他のインストール済みアプリケーションを Cisco Secure ACS に登録したら、Cisco Secure ACS で設定したユーザ グループのそれぞれにロールを割り当てることができます。これらのロールによって、各グループ内のユーザが Security Manager で実行を許可されるアクションが決定されます。

ユーザ グループにロールを割り当てる手順は、NDG が使用されるかどうかによって異なります。

「NDG を使用しないユーザ グループへのロールの割り当て」

「NDG とロールのユーザ グループへの関連付け」

NDG を使用しないユーザ グループへのロールの割り当て

この手順では、NDG が定義されていない場合のユーザ グループへのデフォルト ロールの割り当て方法について説明します。詳細については、「Cisco Secure ACS デフォルト ロール」を参照してください。

はじめる前に

デフォルト ロールごとにユーザ グループを作成します。「Cisco Secure ACS でのユーザとユーザ グループの定義」を参照してください。

次のトピックに記載された手順を実行します。

「Cisco Secure ACS で実行する統合手順」

「CiscoWorks で実行する統合手順」

関連項目

「CiscoWorks ロールについて」

「Cisco Secure ACS ロールについて」


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 ナビゲーション バーの [Group Setup] をクリックします。

ステップ 3 リストからシステム管理者用のユーザ グループを選択(「Cisco Secure ACS でのユーザとユーザ グループの定義」を参照)してから、[Edit Settings] をクリックします。


ヒント グループ名を意味のある名前に変更して、正しいグループを特定しやすいようにすることができます。グループを選択して、[Rename Group] をクリックし、名前を変更します。


ステップ 4 このグループに System Administrator ロールを割り当てます。

a. [TACACS+ Settings] の下の [CiscoWorks] エリアまでスクロール ダウンします。

b. 最初の [Assign] オプションを選択して、CiscoWorks ロールのリストから [System Administrator] を選択します。

c. [Cisco Security Manager Shared Services] エリアまでスクロール ダウンします。

d. 最初の [Assign] オプションを選択して、Cisco Secure ACS ロールのリストから [System Administrator] を選択します。

e. [Submit] をクリックして、グループ設定を保存します。

ステップ 5 残りのロールに対してこのプロセスを繰り返して、各ロールを適切なユーザ グループに割り当てます。

Cisco Secure ACS で [Security Approver] ロールまたは [Security Administrator] ロールを選択するときは、最も近い CiscoWorks ロールとして [Network Administrator] を選択することを推奨します。

ACS 内のデフォルト ロールのカスタマイズ方法については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください。


 

NDG とロールのユーザ グループへの関連付け

NDG とロールを関連付けて Security Manager で使用する場合は、[Group Setup] ページの次の 2 か所で定義を作成する必要があります。

[CiscoWorks] エリア

[Cisco Security Manager] エリア

各エリア内の定義は、できるだけ細部まで一致する必要があります。CiscoWorks Common Services 内に存在しないカスタム ロールまたは ACS ロールを関連付ける場合は、そのロールに割り当てられた権限に基づいて、できるだけ近い定義を作成するようにします。

Security Manager で使用されるユーザ グループごとの関連付けを作成する必要があります。たとえば、西部地域のサポート担当者を含むユーザ グループがある場合は、そのユーザ グループを選択して、西部地域内のデバイスを含む NDG と Help Desk ロールを関連付けることができます。

はじめる前に

NDG 機能をアクティブにして、NDG を作成します。「Security Manager で使用するネットワーク デバイス グループの設定」を参照してください。

関連項目

「ACS 統合要件」

「初期 Cisco Secure ACS セットアップ手順の概要」


ステップ 1 ナビゲーション バーの [Group Setup] をクリックします。

ステップ 2 [Group] リストからユーザ グループを選択してから、[Edit Settings] をクリックします。


ヒント グループ名を意味のある名前に変更して、正しいグループを特定しやすいようにすることができます。グループを選択して、[Rename Group] をクリックし、名前を変更します。


ステップ 3 CiscoWorks 内で使用する NDG とロールをマップします。

a. [Group Setup] ページで、[TACACS+ Settings] の下の [CiscoWorks] エリアまでスクロール ダウンします。

b. [Assign a Ciscoworks on a per Network Device Group Basis] を選択します。

c. [Device Group] リストから NDG を選択します。

d. この NDG を関連付けるべきロールを 2 つめのリストから選択します。

e. [Add Association] をクリックします。関連付けが [Device Group] ボックスに表示されます。

f. このプロセスを繰り返して、新しい関連付けを作成します。

g. 関連付けを削除するには、[Device Group] からそれを選択して、[Remove Association] をクリックします。

ステップ 4 Cisco Security Manager 内で使用する NDG とロールをマップします。以前のステップで定義した関連付けにできるだけ近い関連付けを作成する必要があります。

a. [Group Setup] ページで、[TACACS+ Settings] の下の [Cisco Security Manager] エリアまでスクロール ダウンします。

b. [Assign a Cisco Security Manager on a per Network Device Group Basis] を選択します。

c. [Device Group] リストから NDG を選択します。

d. この NDG を関連付けるべきロールを 2 つめのリストから選択します。

e. [Add Association] をクリックします。関連付けが [Device Group] ボックスに表示されます。

f. このプロセスを繰り返して、新しい関連付けを作成します。


) Cisco Secure ACS で [Security Approver] ロールまたは [Security Administrator] ロールを選択するときは、最も近い CiscoWorks ロールとして [Network Administrator] を選択することを推奨します。



) CiscoWorks Common Services には「Network Administrator」というデフォルトのロールがあります。Cisco Secure ACS には「Network Admin」というデフォルトのロールがあります。これらのロールは同一ではありません。Cisco Security Manager 内での権限のいくつかについて、ロールが異なっています。


ステップ 5 [Submit] をクリックして設定値を保存します。

ステップ 6 このプロセスを繰り返して、残りのユーザ グループ用の NDG を定義します。

ステップ 7 作成した関連付けを保存するには、[Submit + Restart] をクリックします。

ACS 内のデフォルト ロールのカスタマイズ方法については、「Cisco Secure ACS ロールのカスタマイズ」を参照してください。


 

Security Manager と ACS の相互作用のトラブルシューティング

次のトピックで、Security Manager と Cisco Secure ACS の相互作用のやり方が原因で発生する可能性のある一般的な問題の解決方法について説明します。

「複数のバージョンの Security Manager と 1 つの ACS の使用」

「ACS モードで認証に失敗する」

「読み取り専用アクセスが付与されたシステム管理者」

「ACS の変更が Security Manager に表示されない」

「ACS で設定されたデバイスが Security Manager に表示されない」

「Cisco Secure ACS が到達不能になった後の Security Manager での作業」

「Cisco Secure ACS へのアクセスの復元」

「マルチホーム デバイスに伴う認証の問題」

「NAT 境界の背後に設置されたデバイスに伴う認証の問題」

複数のバージョンの Security Manager と 1 つの ACS の使用

1 つの Cisco Secure ACS と 2 つの異なるバージョンの Security Manager を一緒には使用できません。たとえば、Security Manager 3.3.1 と Cisco Secure ACS を統合してから、別の部署で既存のインストールをアップグレード せずに Security Manager 4.0.1 の使用を計画している場合は、Security Manager 4.0.1 と、Security Manager 3.3.1 用に使用されているものとは別の ACS を統合する必要があります。

既存の Security Manager インストールをアップグレードすれば、同じ Cisco Secure ACS を使用し続けることができます。必要に応じて、権限設定が更新されます。

ACS モードで認証に失敗する

Security Manager または CiscoWorks Common Services にログインしようとして続けて認証が失敗する場合は、Common Services を使用して Cisco Secure ACS を認証用の AAA サーバとして設定していたとしても、次の手順を実行します。

ACS サーバと、Common Services と Security Manager を実行しているサーバ間の接続が確立されていることを確認します。

使用しているユーザ資格情報(ユーザ名とパスワード)が ACS 内で定義されており、適切なユーザ グループに割り当てられていることを確認します。

ACS の [Network Configuration] ページで、Common Services サーバが AAA クライアントとして定義されていることを確認します。Common Services([AAA Mode Setup] ページ)と ACS([Network Configuration])で定義された共有秘密キーが一致することを確認します。

Common Services の [AAA Mode Setup] ページで、各 ACS サーバの IP アドレスが正しく定義されていることを確認します。

ACS の [Administration Control] ページで、正しいアカウントが定義されていることを確認します。

Common Services の [AAA Mode Setup] ページにアクセスして、Common Services と Security Manager(および AUS などの他のインストール済みアプリケーション)が Cisco Secure ACS に登録されていることを確認します。

ACS で [Administration Control] > [Access Setup] に移動して、ACS が HTTPS 通信用に設定されていることを確認します。

ACS ログに「key mismatch」エラーが書き込まれている場合は、Security Manager サーバがネットワーク デバイス グループ(NDG)のメンバーとして定義されているかどうかを確認します。その場合は、NDG 用のキーが事前に定義されていれば、そのキーが Security Manager サーバを含む NDG 内の個々のデバイスに対して定義されたキーよりも優先されることに注意してください。NDG 用に定義されたキーが、Security Manager サーバの秘密キーと一致することを確認します。

読み取り専用アクセスが付与されたシステム管理者

フル権限を持つ System Administrator としてログインしたにもかかわらず、Security Manager のすべてのポリシー ページに読み取り専用アクセスしかできない場合は、Cisco Secure ACS で次の手順を実行します。

(NDG を使用している場合)Cisco Secure ACS のナビゲーション バーの [Group Setup] をクリックしてから、System Administrator ユーザ ロールが CiscoWorks と Cisco Security Manager の 両方 の必要なすべての NDG(特に、Common Services/Security Manager サーバを含む NDG)に関連付けられていることを確認します。

ナビゲーション バーの [Network Configuration] をクリックしてから、次の手順を実行します。

Common Services/Security Manager サーバが Not Assigned(デフォルト)グループに割り当てられていないことを確認します。

Common Services/Security Manager サーバが RADIUS ではなく TACACS+ を使用するように設定されていることを確認します。TACACS+ は、2 台のサーバ間でサポートされている唯一のセキュリティ プロトコルです。


) TACACS+ または RADIUS 用に Security Manager で管理するネットワーク デバイス(ルータ、スイッチ、ファイアウォールなど)を設定できます。


ACS の変更が Security Manager に表示されない

Security Manager と Cisco Secure ACS 4.x を使用している場合は、Security Manager サーバ上の Security Manager または CiscoWorks Common Services にログインしたときに ACS からの情報がキャッシュされます。Security Manager にログイン中に Cisco Secure ACS の [Network Configuration] と [Group Setup] で変更を加えた場合は、Security Manager で、その変更が、すぐに表示されない、または、すぐに有効にならない可能性があります。Security Manager と Common Services をログアウトしてそれらのウィンドウを閉じてから、再度ログインして、ACS からの情報をリフレッシュする必要があります。

ACS で変更を加える必要がある場合は、ログアウトして Security Manager ウィンドウを閉じてから、製品に再ログインする方法がベスト プラクティスです。


) Cisco Secure ACS 3.3 はサポートされていませんが、このバージョンの ACS を使用している場合は、Windows サービスを開いて Cisco Security Manager Daemon Manager サービスを再起動し、ACS の変更を Security Manager に表示させる必要があります。


ACS で設定されたデバイスが Security Manager に表示されない

Cisco Secure ACS 上で設定したデバイスが Security Manager に表示されない場合は、デバイスの表示名に伴う問題だと思われます。

Security Manager で定義するデバイスの表示名は、そのデバイスを AAA クライアントとして追加したときに ACS で設定した名前と一致する 必要があります 。このことは、特に、ドメイン名を使用する場合に重要です。Security Manager でドメイン名をデバイス名に付加する場合は、ACS 内の AAA クライアントのホスト名を <device_name>.<domain_name> にする必要があります(例:pixfirewall.cisco.com)。

Cisco Secure ACS が到達不能になった後の Security Manager での作業

Cisco Secure ACS が到達不能な場合は、Security Manager セッションが影響を受けます。そのため、複数の Cisco Secure ACS サーバを使用するフォールトトレラントなインフラストラクチャの構築を検討する必要があります。複数のサーバを使用することによって、いずれかの ACS サーバの通信機能が失われても、Security Manager 内の作業を継続できます。

セットアップに Cisco Secure ACS が 1 つしか含まれておらず、ACS が到達不能になった場合でも Security Manager での作業を継続する場合は、Security Manager サーバ上でのローカル AAA 認証に切り替えることができます。

手順

AAA モードに変更するには、次の手順を実行します。


ステップ 1 admin CiscoWorks ローカル アカウントを使用して Common Services にログインします。

ステップ 2 [Server] > [Security] > [AAA Mode Setup] を選択してから、AAA モードを Non-ACS/CiscoWorks Local に変更します。これによって、ローカル Common Services データベースとその組み込みロールを使用して認証と認可を実行できます。ローカル認証を利用するには、AAA データベース内にローカル ユーザを作成する必要があります。

ステップ 3 [Change] をクリックします。


 

Cisco Secure ACS へのアクセスの復元

Cisco Secure ACS がダウンしたために Security Manager にアクセスできなくなった場合は、次の手順を実行します。

ACS サーバ上で Windows サービスを起動して、CSTacacs サービスと CSRadius サービスが稼働しているかどうかを確認します。必要に応じて、これらのサービスを再起動します。

CiscoWorks Common Services で次の手順を実行します。


ステップ 1 admin ユーザとして Common Services にログインします。

ステップ 2 DOS ウィンドウを開いて、 NMSROOT \bin\perl ResetLoginModule.pl を実行します。

ステップ 3 Common Services を終了してから、 admin ユーザとして再度ログインします。

ステップ 4 [Server] > [Security] > [AAA Mode Setup] に移動してから、AAA モードを [Non-ACS] > [CW Local] モードに変更します。

ステップ 5 Windows サービスを開いて、Cisco Security Manager Daemon Manager サービスを再起動します。


 

マルチホーム デバイスに伴う認証の問題

Cisco Secure ACS に追加されたマルチホーム デバイス(複数の Network Interface Card(NIC; ネットワーク インターフェイス カード)が実装されたデバイス)が設定できない場合は、ユーザ ロールにデバイスの変更権限が含まれていたとしても、そのデバイスの IP アドレスの入力方法に伴う問題が発生する可能性があります。

マルチホーム デバイスを Cisco Secure ACS の AAA クライアントとして定義する場合は、NIC ごとの IP アドレスを定義してください。入力するたびに Enter を押します。詳細については、「NDG を使用しないデバイスの AAA クライアントとしての追加」を参照してください。

NAT 境界の背後に設置されたデバイスに伴う認証の問題

Cisco Secure ACS に追加された NAT 前または NAT 後の IP アドレスを持つデバイスを設定できない場合は、ユーザ ロールにデバイスの変更権限が含まれていたとしても、設定した IP アドレスに伴う問題が発生する可能性があります。

デバイスが NAT 境界の背後に設置されている場合は、Cisco Secure ACS の AAA クライアント設定でデバイスのすべての IP アドレス(NAT 前と NAT 後を含む)を定義してください。ACS への AAA クライアント設定の追加方法については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。

Common Services 4.0 を使用したローカル RBAC

Security Manager 4.3 よりも前、Cisco Secure ACS を使用する重要なメリットは、(1)特殊な権限セット(特定のポリシー タイプの設定だけをユーザに許可する場合など)を使用して非常に粒度の高いユーザ ロールを作成できることと、(2)ネットワーク デバイス グループ(NDG)を設定することによって特定のデバイスにユーザを制限できることでした。このような粒度の高い特権(効率的な「ロールベース アクセス コントロール」(RBAC))は、Cisco Secure ACS を使用していない限り、Security Manager 4.2 以前のバージョンでは利用できませんでした。Security Manager 4.3 では、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 を使用するため、このような粒度の高い特権(RBAC)を利用できます。

Security Manager 4.3 では、ACS 4.2 との互換性が維持されています。「Security Manager と Cisco Secure ACS の統合」を参照してください。


) RBAC 機能を ACS から Common Services に移行したいユーザは、手動で行う必要があります。移行スクリプトも、他の移行サポートもありません。


Common Services 4.0 には、ユーザのカスタム ロールを定義し、ユーザの既存のロールをカスタマイズするためのデバイスレベルの RBAC があります。次の機能を使用できます。

ユーザの管理(追加、削除、編集)

デバイスレベルの RBAC を提供するためのネットワーク デバイス グループ(NDG)の管理

カスタム ロールの管理

ユーザ グループ、デバイス グループへのロールのマッピング

「ネットワーク オブジェクトの表示」、「サービス オブジェクトの変更」、および「アクセス ルールの変更」などのポリシー オブジェクト タイプとポリシー タイプに対する粒度の高い特権。

次のエリアのタスクを完了することで、Common Services 4.0 を使用してローカル RBAC を実装できます。

「認証モードの設定」

「ユーザ管理」

「グループ管理」

「ロール管理」

認証モードの設定

次の手順を実行して、非 ACS アカウントを設定します。「非 ACS アカウント」を参照してください。

次に、[CiscoWorks Local] ログイン モジュールを選択します。


ヒント [CiscoWorks Local] は Security Manager のクリーン インストールのデフォルト値です。

ユーザ管理

Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Server Administration] >

[Home] >

[System Tasks] >

[Local User Setup]

[Local User Setup] ページで、ユーザを選択し、次のアクションのいずれかを選択できます。

Import Users

Export Users

Edit

Delete

Add

Modify My Profile

複数のユーザを選択する場合、[Edit] は選択できません。

ユーザを選択しない場合は、次のアクションのいずれかを選択できます。

Import Users

Add

Modify My Profile

[Edit] または [Add] を選択する場合は、次の 3 つの認可タイプのいずれかを選択できます。

Full Authorization

Enable Task Authorization

Enable Device Authorization

グループ管理

Security Manager の [Device Groups] ページに移動します。

Security Manager がインストールされているサーバ >

Configuration Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Tools] >

[Security Manager Administration] >

[Device Groups]

Common Services インターフェイス(Security Manager がインストールされているサーバ > Cisco Security Manager アプリケーションのデスクトップ アイコン)を使用してデバイス グループを管理することはできません。

ロール管理

[Role Management Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Role Management Setup]

[Role Management Setup] ページにはデフォルトのロール(Approver、Help Desk、Network Administrator、Network Operator、Security Administrator、Security Approver、Super Admin、および System Administrator)が表示されます。[Role Management Setup] ページには、追加したカスタム ロール(ある場合)も表示されます。

[Role Management] ページでは、Add、Edit、Delete、Copy、Export、Import、Set as default、および Clear default の各操作を実行できます。