Management Center for IDS Sensors 2.0 ユーザ ガイド
Cisco Secure ACS と Management Center for IDS Sensors(IDS MC)の相互運用
Cisco Secure ACS と Management Center for IDS Sensors(IDS MC)の相互運用
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Cisco Secure ACS と Management Center for IDS Sensors(IDS MC)の相互運用

概要

Cisco Secure ACS の初期設定

Cisco Secure ACS 初期設定用のチェックリスト

CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する

Cisco Secure ACS での管理アカウントの作成

CiscoWorks ログイン モジュールを TACACS+ に設定する

Cisco Secure ACS を AAA サーバとして登録し、同期化する

Cisco Secure ACS へのデータの入力

Cisco Secure ACS のロールと特権

ロールの作成

ロールの編集

ロールの削除

Cisco Secure ACS に管理対象装置を AAA クライアントとして追加する

Network Device Grouping

IDS MC 用のユーザ グループの設定

ユーザの追加

Cisco Secure ACS と Management Center for IDS Sensors(IDS MC)の相互運用

この章は、次の項で構成されています。

「概要」

「Cisco Secure ACS の初期設定」

「Cisco Secure ACS へのデータの入力」

概要

この付録では、Cisco Secure Access Control Server(ACS)と Management Center for IDS Sensors(IDS MC)を相互運用する手順を詳しく説明します。

Cisco Secure ACS は、IDS MC など、シスコのデバイス管理アプリケーションをサポートします。管理アプリケーションを使用して管理対象のネットワーク デバイスを設定しているユーザに対するコマンド権限付与を行います。コマンド権限付与に対するサポートを達成するには、Cisco Secure ACS を使用して権限付与を行うように設定された管理アプリケーションごとに、固有のコマンド権限付与セット タイプ(IDS MC ではロールと呼ばれる)を使用します。

Cisco Secure ACS は、TACACS+ を使用して管理アプリケーションと通信します。IDS MC が Cisco Secure ACS と通信するには、Cisco Secure ACS 側で、CiscoWorks サーバが TACACS+ を使用する AAA クライアントとして設定されている必要があります。また、CiscoWorks サーバに、有効な管理者名とパスワードを入力する必要もあります。これらの要件により、IDS MC と Cisco Secure ACS 間の通信の妥当性が保証されます。

IDS MC は Cisco Secure ACS と最初に通信するとき、Cisco Secure ACS にコマンド権限付与セット タイプの作成を命令します。コマンド権限付与セット タイプは、Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションに表示されます。また、TACACS+ でカスタム サービスに権限付与することも命令します。カスタム サービスは、HTML インターフェイスの Interface Configuration セクションの TACACS+(Cisco IOS)ページに表示されます。

IDS MC が Cisco Secure ACS に対する、カスタム TACACS+ サービスおよびデバイスのコマンド権限付与セット タイプを命令した後は、IDS MC によってサポートされている各ロールにコマンド権限付与セットを設定し、ネットワーク管理者のユーザ グループまたはネットワーク管理者である個々のユーザにそれらのセットを適用できます。

Cisco Secure ACS を使用するには、次のことを確認します。

コマンド権限付与セットを持ち、IDS MC で必要な機能を実行するために必要なコマンドが含まれている。

ユーザ ロールを持ち、IDS MC に適用済みで、ロールに対応するコマンド権限付与セットが設定されている。

Network Access Restriction(NAR)がプロファイルに適用されている場合、管理するデバイス グループ(またはデバイス)へのアクセスが許可される内容である必要がある。

IDS MC によって管理されているデバイスが Cisco Secure ACS を使用してコマンド権限付与を行う場合、shell コマンド権限付与セットが設定されている。

ネットワーク デバイス グループを使用している場合、CiscoWorks サーバは Not Assigned ネットワーク デバイス グループ以外に存在している必要がある。

たとえば、デバイスをインポートするには、共有プロファイルで、権限付与されたコマンド セット、NAR の下のデバイス定義、および管理特権が含まれているユーザ ロール内に show config コマンドが含まれていることを確認します。

また、デバイスをインポートする特権を持っている場合、インポートする各デバイスを管理するには、デバイスレベルの権限が必要です。

TACACS+ のセキュリティ上の利点については、『User Guide for Cisco Secure ACS』を参照してください。


) Cisco Secure ACS 認証を使用した場合でも、CiscoWorks Common Services ソフトウェアは、Compact Database や Database Checkpoint などの CiscoWorks Common Services 固有のユーティリティに対してはローカルの権限付与機能を使用します。これらのアクションを実行するには、実行者はローカルで定義されていて、適切な特権レベルが与えられている必要があります。


Cisco Secure ACS の初期設定

この項では、IDS MC と相互運用するように Cisco Secure ACS の設定を正しく行うために実行する必要のあるタスクの概要を説明します。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS 初期設定用のチェックリスト」

「CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する」

「Cisco Secure ACS での管理アカウントの作成」

「CiscoWorks ログイン モジュールを TACACS+ に設定する」

「Cisco Secure ACS を AAA サーバとして登録し、同期化する」

Cisco Secure ACS 初期設定用のチェックリスト

次のチェックリストでは、IDS MC を Cisco Secure ACS と統合するために必要な手順を説明します。各ステップには、いくつかのサブステップがある場合があります。ステップおよびサブステップは、順番に実行する必要があります。このチェックリストには、いくつかのステップを実行する特定の手順への参照が示されています。


ステップ 1 認証と権限付与の管理モデルを定義します。

管理モデルは、IDS MC に依存することなく設定および定義されますが、IDS MC を使用する前に定義する必要があります。使用する管理ロールおよび管理アカウントも定義する必要があります。

IDS MC を管理するための管理モデル、ロール、およびアカウントが定義されます。

詳細については、『 User Guide for Cisco Secure ACS for Windows Server 』を参照してください。

ステップ 2 Cisco Secure ACS の適用性を確認します。

Cisco Secure ACS がバージョン 3.1 以降を実行していることを確認します。CiscoWorks Common Services(CWCS)ソフトウェアには、それより前のバージョンの Cisco Secure ACS との互換性がありません。Cisco Secure ACS が 3.1 より前のソフトウェア バージョンを実行している場合は、続行する前に Cisco Secure ACS をアップグレードします。

また、IDS MC のデフォルト ロールだけを採用するか、カスタマイズしたロールを Cisco Secure ACS に設定するかを決定する必要もあります。

Cisco Secure ACS は 3.1 以降を実行しています。

詳細については、次を参照してください。

1. 「Cisco Secure ACS のロールと特権」

2. User Guide for Cisco Secure ACS for Windows Server

ステップ 3 Cisco Secure ACS で、CiscoWorks サーバを AAA クライアントとして設定します。

認証と権限付与が実行されるには、CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する必要があります。この設定によって、CiscoWorks サーバとの通信時に使用する Cisco Secure ACS の IP アドレスとキー(共有秘密)の両方が設定されます。

Cisco Secure ACS の Network Configuration Section に、CiscoWorks サーバが AAA クライアントとしてリストされます。

詳細については、次を参照してください。

1. 「CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する」

2. User Guide for Cisco Secure ACS for Windows Server

ステップ 4 Cisco Secure ACS で管理アカウントを作成します。

Cisco Secure ACS サーバ上に CiscoWorks 専用の管理アカウントを作成します。これは、IDS MC などの各クライアント アプリケーションの Cisco Secure ACS 設定を設定およびアップデートするために CiscoWorks が使用する管理アカウントです。


ヒント この後に、Cisco Secure ACS 上のこの管理アカウントの監査データを表示して、Cisco Secure ACS 上で CiscoWorks が実行したアクションを確認できます。


CiscoWorks の管理アカウントが Cisco Secure ACS に設定されます。

詳細については、次を参照してください。

1. 「Cisco Secure ACS での管理アカウントの作成」

2. User Guide for Cisco Secure ACS for Windows Server

ステップ 5 CiscoWorks Login Module を TACACS+ に設定します。

CiscoWorks の Server Configuration 領域で、Login Module を TACACS+ に設定します。この設定によって、CiscoWorks に次が設定されます。

使用するログイン モジュール

Cisco Secure ACS の IP アドレス

ACS 共有秘密(キー)

Login Module が TACACS+ に設定されます。

詳細については、次を参照してください。

1. 「CiscoWorks ログイン モジュールを TACACS+ に設定する」

2. User Guide for Cisco Secure ACS for Windows Server

ステップ 6 Cisco Secure ACS を AAA サーバとして登録し、同期化します。

CiscoWorks の VPN/Security Management Solution セクションで、Cisco Secure ACS によって AAA サービスが実行されるように設定します。この設定によって、Cisco Secure ACS で使用する IP アドレス、ポート、および管理者クレデンシャルの設定が登録されます。次に、Cisco Secure ACS に登録するアプリケーション(たとえば、IDS MC)を選択します。


) CiscoWorks では、複数の異なる AAA サーバを選択することはできません。したがって、Cisco Secure ACS に登録するアプリケーションを選択する際は、リストされているすべてのアプリケーションを登録する必要があります。


Cisco Secure ACS が AAA サーバとして登録され、Cisco Secure ACS の Shared Profile Components セクションでアプリケーションの詳細が確認できるようになります。

詳細については、次を参照してください。

1. 「Cisco Secure ACS を AAA サーバとして登録し、同期化する」

2. User Guide for Cisco Secure ACS for Windows Server

ステップ 7 必要に応じて、Cisco Secure ACS に次のデータを入力します。

編集したロール

ネットワーク デバイス

ネットワーク デバイス グループ

ユーザ グループ

ユーザ

ネットワーク要件に基づいて、Cisco Secure ACS の認証と権限付与の機能を定義します。

詳細については、次を参照してください。

1. 「Cisco Secure ACS へのデータの入力」

2. User Guide for Cisco Secure ACS for Windows Server


 

CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する

この手順を Cisco Secure ACS で実行し、CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定します。

CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Network Configuration を選択します。

ステップ 3 AAA Clients テーブルの下の Add Entry をクリックします。


) この手順は、Cisco Secure ACS で Network Device Group(NDG; ネットワーク デバイス グループ)を使用していないことを前提としています。NDG を使用している場合は、CiscoWorks サーバが割り当てられる NDG の名前をクリックしてから、AAA Clients テーブルの下の Add Entry をクリックします。CiscoWorks サーバは、Not Assigned ネットワーク デバイス グループ以外に存在している必要があります。


Add AAA Client ページが表示されます。

ステップ 4 CiscoWorks サーバのホスト名を AAA Client Hostname フィールドに入力します。ホスト名は、大文字で正しく入力する必要があります。

ステップ 5 CiscoWorks サーバの IP アドレスを AAA Client IP Address フィールドに入力します。

ステップ 6 共有秘密を Key フィールドに入力します。

ステップ 7 Authenticate Using リストから TACACS+(Cisco IOS)を選択します。

ステップ 8 変更内容を保存し、Cisco Secure ACS を再起動するには、 Submit + Restart をクリックします。

Cisco Secure ACS が再起動し、CiscoWorks サーバが AAA Clients テーブルに表示されます。


 

Cisco Secure ACS での管理アカウントの作成

この手順を Cisco Secure ACS で実行して、管理アカウントを設定します。この手順で設定したクレデンシャルは、後で CiscoWorks を同期化する際に使用されます。

管理アカウントを作成するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Administration Control をクリックします。

ステップ 3 Add Administrator をクリックします。

Add Administrator ページが表示されます。

ステップ 4 管理者名を入力します。

ステップ 5 パスワードを入力します。

ステップ 6 パスワードを Confirm Password フィールドに再入力します。

ステップ 7 Administrator Privileges ボックスで、 Grant All をクリックします。

ステップ 8 変更内容を保存するには、 Submit をクリックします。

新しい管理アカウントが設定されます。


 

CiscoWorks ログイン モジュールを TACACS+ に設定する

この手順では、CiscoWorks ログイン モジュールを TACACS+ に設定し、Cisco Secure ACS を TACACS+ サーバとして指定します。また、この手順では、ACS の IP アドレス、ポート、および共有秘密キーの登録も行います。

CiscoWorks ログイン モジュールを TACACS+ に設定するには、次の手順を実行します。


ステップ 1 CiscoWorks にログインします。

ステップ 2 Server Configuration > Setup > Security > Select Login Module を選択します。

Select Login Module ページが表示されます。デフォルトの AAA サーバ設定である CiscoWorks Local が選択された状態で表示されます。

ステップ 3 Available Login Modules リストから TACACS+ を選択し、 Next をクリックします。

Login Module Options ページが表示されます。

ステップ 4 Cisco Secure ACS の IP アドレスを Server フィールドに入力します。

ステップ 5 Port フィールドに 49 (TACACS+ サービス ポート)を入力します。

ステップ 6 前の手順で Cisco Secure ACS に設定した共有秘密を Key フィールドに入力します。

ステップ 7 Debug の隣の False オプション ボタンをクリックします。

ステップ 8 表示された 3 つのオプションから、いずれかのログイン フォールバック オプションを選択します。

ステップ 9 変更内容を保存するには、 Finish をクリックします。

Select Login Module ページが再び表示されます。今度は、モジュールが TACACS+ として指定されています。


 

Cisco Secure ACS を AAA サーバとして登録し、同期化する

Cisco Secure ACS を CiscoWorks サーバに登録し、同期化するには、次の手順を実行します。


ステップ 1 CiscoWorks サーバで、 VPN/Security Management Solution > Administration > Configuration > AAA Server を選択します。

AAA Server Information ウィンドウが表示されます。デフォルトの AAA サーバ設定である CiscoWorks 2000 Local が選択されています。

ステップ 2 Login Module が変更されたことを示して Synchronize ボタンがアクティブになっていることを確認します。


) Login Module が変更されていない場合、このページのアクションは実行できません。


ステップ 3 Synchronize をクリックします。

ACS Server フィールドおよび ACS Port Number フィールドが、入力した値が読み込まれた状態で表示されます。また、Login ボックスの 3 つのフィールドが使用可能になります。

ステップ 4 管理者名を入力します。

ステップ 5 管理パスワードを入力します。

ステップ 6 Cisco Secure ACS 共有秘密を入力します。

ステップ 7 Register をクリックします。

Registration Selection ウィンドウが表示されます。

ステップ 8 Available Applications フィールドの各クライアント アプリケーション名を選択し、 Add > をクリックして、Selected Applications フィールドに移動します。

ステップ 9 OK をクリックします。

選択したアプリケーションにより、そのアプリケーションのロールと特権が Cisco Secure ACS サーバに登録されます。登録が完了すると、ステータス メッセージが表示されます。

ステップ 10 OK をクリックして、ステータス メッセージを閉じます。

ステップ 11 Finish をクリックします。

Cisco Secure ACS の管理者名、パスワード、および共有秘密が保存されます。ステータス メッセージが表示されます。

ステップ 12 OK をクリックして、ステータス メッセージを閉じます。


 

Cisco Secure ACS へのデータの入力

Cisco Secure ACS に CiscoWorks と相互運用するための初期設定を行なった後、Cisco Secure ACS で、CiscoWorks との相互運用方法に影響を与える手順を追加で実行できます。これらの手順で、編集したロール、ネットワーク デバイス グループ(NDG)、ユーザ グループ、およびユーザを Cisco Secure ACS に入力できます。これらの手順をどのように実行するかは、設定した管理モデル全体と、意図する Cisco Secure ACS の利用方法によって決まります。


) Cisco Secure ACS では、ネットワーク要件に適合するようにカスタマイズできる、複雑な認証と権限付与の機能がサポートされます。ここに示す手順では、Cisco Secure ACS にデータを入力し、展開する方法についての基本的なガイダンスだけを提供します。詳細については、ご使用の Cisco Secure ACS のユーザ ガイドを参照してください。


この項では、次のトピックについて取り上げます。

「Cisco Secure ACS のロールと特権」

「ロールの作成」

「ロールの編集」

「ロールの削除」

「Cisco Secure ACS に管理対象装置を AAA クライアントとして追加する」

「Network Device Grouping」

「IDS MC 用のユーザ グループの設定」

「ユーザの追加」

Cisco Secure ACS のロールと特権

IDS MC を Cisco Secure ACS に登録すると、IDS MC でセキュリティ特権の管理に使用できるデフォルト ロールが作成されます。ユーザ アカウントは、コンフィギュレーション ファイルの生成、承認、展開などの特定のタスクを実行するのに適切な特権を持っている必要があります。つまり、ユーザによる IDS MC の使用は、そのユーザの Cisco Secure ACS 内のユーザ アカウントの権限によって制御されます。6 種類のアカウント、つまり権限付与ロールは、IDS MC でデフォルトで利用できます。これらのデフォルト ロールのリストと説明を 表 C-1 に示します。

ただし、CiscoWorks が Cisco Secure ACS に登録するデフォルト ロールをそのまま使用する必要はありません。独自の要件に適合するように、ロールの削除、デフォルト ロールのカスタマイズ、または追加ロールの作成を行うことができます。その操作は、Cisco Secure ACS の Shared Profile Components セクションで行います。

 

表 C-1 Cisco Secure ACS の IDS MC 用デフォルト ロール マトリクス

タスク
ロール
Help Desk
Approver
Network Operator
Network Administrator
Reports Only
System Administrator

デバイス

表示

不可

管理

不可

不可

不可

不可

設定

表示

不可

編集

不可

不可

不可

不可

展開

表示

不可

生成

不可

不可

不可

不可

承認

不可

不可

不可

不可

展開

不可

不可

不可

管理

表示

不可

修正

不可

不可

不可

不可

不可

レポート

表示

生成

不可

不可

不可

不可

削除

不可

不可

不可

不可

不可

ルール

表示

不可

編集

不可

不可

不可

不可

不可

削除

不可

不可

不可

不可

不可

ロールの作成

Cisco Secure ACS に新しいロールを設定するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。


) Shared Profile Components ページには、登録済みの共有プロファイル コンポーネントのセットそれぞれに対応する見出しがあります。


ステップ 3 Management Center for IDS Sensors 共有プロファイル コンポーネント セットをリストから選択します。

IDS MC の登録済みロールを示すテーブルが表示されます。

ステップ 4 新しいロールのベースラインとして使用するロールの名前を選択します。

選択したロールに割り当てられている特権の階層が表示されます。

ステップ 5 Copy to Clipboard をクリックします。

IDS MC のロールのページに戻ります。

ステップ 6 Add をクリックします。

クリップボードにコピーしたベースライン ロールの特権を持つ、名前のないロールが表示されます。


) ベースライン ロールをコピーしていない場合は、どの項目も選択されていない状態で IDS MC の特権の階層が表示されます。


ステップ 7 作成するロールの名前を入力します。

ステップ 8 作成するロールの説明を入力します。

ステップ 9 新しいロールに割り当てられている特権を、変更する各項目の隣にあるチェックボックスをオンまたはオフにすることで編集します。チェックボックス内のチェック マークは、権限が付与されていることを示します(プラス記号は、ツリー構造の部分が非表示になっていることを示します。さらに詳しく表示するには、プラス記号をクリックします)。

ステップ 10 新しいロールに割り当てる特権の設定を完了したら、 Submit をクリックします。

新しいロールが、IDS MC のロールのページにあるリストに表示されます。


 

ロールの編集

Cisco Secure ACS に登録したロールをカスタマイズするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。


) Shared Profile Components ページには、登録済みの共有プロファイル コンポーネントのセットそれぞれに対応する見出しがあります。


ステップ 3 Management Center for IDS Sensors 共有プロファイル コンポーネント セットをリストから選択します。

IDS MC の登録済みロールを示すテーブルが表示されます。

ステップ 4 編集するロールの名前を選択します。

選択したロールに割り当てられている特権の階層が表示されます。

ステップ 5 必要に応じて、次のステップのいずれかまたは複数を実行します。

a. ロールの名前を編集します。

b. ロールの説明を編集します。

c. ロールに割り当てられている特権を、変更する各項目の隣にあるチェックボックスをオンまたはオフにすることで編集します。チェックボックス内のチェック マークは、権限が付与されていることを示します。


) デフォルトの特権の簡単な説明は、Cisco Secure ACS Help ページに表示されます。権限を割り当てる項目に関する特定の情報については、IDS MC のオンライン ヘルプを参照してください。


ステップ 6 ロールに割り当てる名前、説明、および特権の編集を完了したら、Submit をクリックします。


 

ロールの削除

Cisco Secure ACS に登録したロールを削除するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。


) Shared Profile Components ページには、登録済みの共有プロファイル コンポーネントのセットそれぞれに対応する見出しがあります。


ステップ 3 Management Center for IDS Sensors 共有プロファイル コンポーネント セットをリストから選択します。

IDS MC の登録済みロールを示すテーブルが表示されます。

ステップ 4 削除するロールの名前を選択します。

確認メッセージが表示されます。

ステップ 5 OK をクリックして、確認メッセージを承認して閉じます。


 

Cisco Secure ACS に管理対象装置を AAA クライアントとして追加する

ネットワーク デバイス ベースでユーザ プロファイルまたはユーザ グループ プロファイルを設定するには、IDS MC によって管理されている各デバイスが Cisco Secure ACS に完全に設定されていることを確認する必要があります。

次の手順では、AAA クライアントを Cisco Secure ACS に追加する基本的な方法を示します。Cisco Secure ACS 内のネットワーク コンフィギュレーションの詳細については、ご使用の Cisco Secure ACS のユーザ ガイドを参照してください。

管理対象装置を AAA クライアントとして Cisco Secure ACS に追加するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Network Configuration をクリックします。

ステップ 3 AAA Clients テーブルの下の Add Entry をクリックします。


) この手順では、Cisco Secure ACS で NDG を使用していないことを前提としています。NDG を使用している場合は、ネットワーク デバイスが割り当てられる NDG の名前をクリックしてから、AAA Clients テーブルの下の Add Entry をクリックします。


Add AAA Client ページが表示されます。

ステップ 4 AAA Client Hostname にホスト名を入力します(最大 32 文字)。ホスト名は、Cisco Secure ACS と IDS MC で正確に同じスペルで、大文字で入力する必要があります。

ステップ 5 ネットワーク デバイスの IP アドレスを AAA Client IP Address フィールドに入力します。

ステップ 6 共有秘密を Key フィールドに入力します。


) Cisco Secure ACS では、実際には使用されていない場合でも、このフィールドをブランクにすることはできません。


ステップ 7 Authenticate Using リストから、使用するセキュリティ コントロール プロトコルを選択します。


) Cisco Secure ACS では、実際には使用されていない場合でも、このフィールドをブランクにすることはできません。


ステップ 8 Submit + Restart をクリックします。


) 新しいデバイスの設定は、Cisco Secure ACS を再起動するまで確立されません。各デバイスの設定後に再起動する代わりに、複数のデバイスを設定し、デバイスごとに Submit をクリックし、最後のデバイスを設定した後に Submit + Restart をクリックすると、全部一度に確立できます。



 

Network Device Grouping

Network Device Grouping は Cisco Secure ACS の拡張機能で、これを使用すると、ネットワーク デバイスの集合を 1 つのグループとして表示および管理できます。管理を簡素化するために、グループ内のすべてのデバイスを指すのに使用できる名前を各 NDG に割り当てることができます。


) Cisco Secure ACS HTML インターフェイスで Network Device Groups テーブルを表示するには、Interface Configuration セクションの Advanced Options ページで Network Device Groups オプションが選択されている必要があります。


ユーザまたはユーザ グループを NDG に割り当てることができます。ネットワーク デバイス グループを使用している場合、CiscoWorks サーバは Not Assigned ネットワーク デバイス グループ以外に存在している必要があります。

ネットワーク デバイス グループを作成するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Network Configuration をクリックします。

ステップ 3 Network Device Groups テーブルの下の Add Entry をクリックします。

ステップ 4 グループの名前を Network Device Group Name フィールドに入力します。

ステップ 5 Submit をクリックします。

Network Device Groups テーブルに新しい NDG が表示されます。


 

IDS MC 用のユーザ グループの設定

Cisco Secure ACS 内にユーザ グループを設定すると、追加したユーザごとにカスタマイズしたロールを作成する場合より、ユーザとロールの関連付けが簡単になります。1 つ以上の Cisco Secure ACS ユーザ グループが各 IDS MC ロールに関連付けられます。また、各ユーザは、1 つのグループに割り当てられます。「Cisco Secure ACS のロールと特権」を参照してください。

この手順では、Cisco Secure ACS 内にグループを設定する際に実行できることをすべて詳細に説明しているわけではありません。そのレベルの詳細は、このマニュアルの範囲外です。ユーザ グループのカスタマイズの詳細については、『User Guide for Cisco Secure ACS』を参照してください。

この手順は、次の基本的なユーザ グループを Cisco Secure ACS に確立する場合に使用します。

すべてのデバイスまたは特定のデバイスに対して TACACS+ プロトコルを使用するように設定されたもの。

特定の IDS MC ロールに割り当てられたもの。

確立するユーザ グループ、およびそれらのグループと確立したロールとの関係は、セキュリティ戦略と管理モデルによって決まります。


) IDS MC で使用されているロールというコンセプトは、Cisco Secure ACS のマニュアルでコマンド権限付与セットと呼ばれています。


単純なモデルでは、グループとロールの 1 対 1 の割り当てがあるだけの場合があります。しかし、Cisco Secure ACS でネットワーク デバイス グループを採用する予定もある場合は、さまざまなデバイスに対するさまざまなロールを特定のグループに適用する必要が生じることがあります。たとえば、East Coast Network および West Coast Network という 2 つの主要なネットワーク デバイスのグループがある場合、East Coast Network 内のすべてのデバイスに対する完全な Network Administrator 権限を持ち、West Coast Network 内のデバイスに対しては Help Desk 権限だけを持つ East Coast Network Admin というグループを作成できます。


) Cisco Secure ACS Interface Configuration セクションでは、イネーブルにした機能に応じて、表示される設定が制限されます。この手順では、TACACS+ および IDS MC だけに必要なインターフェイス設定を表示する方法も説明されています。


Cisco Secure ACS に IDS MC 用のユーザ グループを設定するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Interface Configuration をクリックします。


) Interface Configuration セクションで、Cisco Secure ACS HTML インターフェイスに表示される設定を決定できます。選択されていない機能は、Cisco Secure ACS HTML インターフェイスで非表示になります。


ステップ 3 TACACS+ (Cisco IOS) をクリックします。

TACACS+ (Cisco) 編集ページが表示されます。

ステップ 4 TACACS+ Services ボックスの New Services セクションにある Group カラムのチェックボックスで、 idscfg サービスが選択されていることを確認します。

ステップ 5 左のナビゲーション バーで、 Group Setup をクリックします。

Group Setup ページが表示されます。

ステップ 6 Group リストから、設定するグループを選択します。


) 通常、デフォルト グループである Group 0 は、最小限の権限セットを持つ状態のままにしておきます。このグループには、グループ マッピングが設定されていない外部データベースで認証された場合に、未知のユーザが割り当てられます。


ステップ 7 Rename Group をクリックします。

ステップ 8 グループの名前を入力し、 Submit をクリックします。

Group リストに、新しく割り当てられたグループ名が表示されます。


) グループ番号は変わりません。最大 500 個の異なるグループを Cisco Secure ACS に設定できます。


ステップ 9 名前を変更したグループが Group ウィンドウで選択されたままの状態で、 Edit Settings をクリックします。

選択したグループの Group Settings ページが表示されます。

ステップ 10 ページ上部の Jump To リストから、 TACACS+ を選択します。

TACACS+ Settings ボックスにスクロール ダウンされます。

ステップ 11 Management Center for IDS Sensors セクションが表示されるまで、TACACS+ Settings ボックス セクションをスクロール ダウンします。

ステップ 12 このユーザ グループに対して NDG を使用して いない 場合は、 Assign a IDS MC for any network device オプション ボタンをクリックし、グループに割り当てられたロールをリストから選択します。ステップ 14 に進みます。

ステップ 13 NDG を使用して いる 場合は、次のことを行います。

a. Assign a IDS MC on a per Network Device Group Basis オプション ボタンをクリックします。

b. デバイス グループを Device Group リストから選択します。

c. ロールを IDS MC リストから選択します。

d. Add Association をクリックします。

アソシエーションが表示ボックスにリストされます。

e. このグループの権限セット全体を確立するまで、デバイス グループと IDS MC ロール間のアソシエーションの作成を続けます。

ステップ 14 Submit + Restart をクリックします。


) グループ対ロールのアソシエーションは、Cisco Secure ACS を再起動するまで確立されません。各グループの設定後に再起動する代わりに、複数のグループを設定し、グループごとに Submit をクリックし、最後のグループを設定した後に Submit + Restart をクリックすると、全部一度に確立できます。



 

ユーザの追加

ユーザは、次の 2 つの基本的な方法のいずれかで Cisco Secure ACS によって認証されます。

Cisco Secure ACS ユーザ データベースを認証に使用する。

いくつかの使用可能な外部ユーザ データベースのいずれかを認証に使用する。

認証タイプは、対応する外部ユーザ データベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り、Cisco Secure ACS HTML インターフェイスに表示されます。設定可能な認証タイプには、次のものがあります。

Windows Database

Generic LDAP

Novell NDS

ODBC

LEAP Proxy RADIUS Server

Token Server

ユーザ認証において外部データベースを使用する方法の詳細については、ご使用の Cisco Secure ACS のユーザ ガイドを参照してください。

特定のユーザを認証する際に使用するように Cisco Secure ACS に設定したデータベースのタイプにかかわらず、すべてのユーザは CiscoSecure ユーザ データベース内にアカウントが設定されており、ユーザへの権限付与は必ず CiscoSecure ユーザ データベース内のユーザ レコードに照合して実行されます。

CiscoSecure ユーザ データベース内にユーザ アカウントを設定する方法は 5 つあります。それらの方法には、次のメカニズムがあります。

Cisco Secure ACS HTML インターフェイス

Unknown User Policy

RDBMS Synchronization

CSUtil.exe

Database Replication

ユーザ アカウントの追加は、名前、認証方式、およびパスワードを指定するだけで簡単に行えます。または、このマニュアルの範囲外ですが、数多くのユーザ管理オプション、設定、および割り当てが使用可能なので、それらを使用すると有用な場合があります。ユーザ アカウントを Cisco Secure ACS に追加する方法の詳細については、ご使用の Cisco Secure ACS のユーザ ガイドを参照してください。