Hierarchical Navigation

ホーム
- 製品 & サービス
  - セキュリティ
    - CISCO SECURE ACS SOLUTION ENGINE
      - 製品資料
        
        Q&A
        
        Cisco Secure Access Control Server Solution Engine 4.1 に関する Q&A

ダウンロード

Cisco Secure Access Control Server Solution Engine 4.1 に関する Q&A

Q&A

Cisco Secure Access Control Server Solution Engine 4.1

Q：Cisco® Secure ACS Solution Engine とは何ですか。

A：Cisco Secure Access Control Server（ACS）Solution Engine は拡張性の高い 1 RU の専用プラットフォームで、出荷時にCisco Secure ACS 4.1 ソフトウェアがインストールされています。

Q：Cisco Secure ACS Solution Engine 4.1 の新しいアクセスコントロール機能や新機能には何がありますか。

A：バージョン 4.1 は Cisco Secure ACS のマイナーアップデートで、主に次の機能が追加されています。

SOX（Sarbanes-Oxley Act）法への準拠をサポート ― Cisco Secure ACS 4.1 では、Cisco Secure ACS の管理者権限および監査レポートに関し、次のようなコンプライアンス要件をカバーします。
- ログ設定に関する管理上の制限
- ログオン時の管理者パスワードの強制変更
- 管理者パスワードポリシー
- 無効なアカウントに対する管理者パスワードの強制変更
- エンタイトルメントレポートの生成
- 管理者のパスワード履歴
Syslog のサポート
外部データベースの MAC 認証バイパス
PEAP（Protected Extensible Authentication Protocol）と EAP-TLS（Extensible Authentication Protocol Transport Layer Security）の併用
日本語版 Windows のサポート

このリリースで導入された機能の詳細については、Cisco Secure ACS 4.1 のデータシートを参照してください。

Q：シスコが Cisco Secure ACS の既存の Windows サーバソフトウェアパッケージのアプライアンスモデルを導入した理由は何ですか。

A：シスコは、次のような理由に基づいて専用の Cisco Secure ACS アプライアンスを開発しました。

導入の容易さ：Cisco Secure ACS Solution Engine は、Cisco Secure ACS ソフトウェアが事前にインストールされた状態で出荷されます。そのため、ネットワークに Cisco Secure ACS ソリューションをセットアップおよび導入する時間が大幅に短縮されます。
セキュリティ：Cisco Secure ACS Solution Engine は、Cisco Secure ACS サービスの実行のみを目的としたターンキーシステムとなります。このアプライアンスを使用すると、必要のないサービスの削除や、未使用ポートのブロックを行い、Cisco Secure ACS システムへの他のアクセスをすべて抑制することで、Cisco Secure ACS のセキュリティを大幅に向上させることができます。
管理性：Cisco Secure ACS Solution Engine は、AAA サービス専用です。他のサービスやアプリケーションをインストールまたは実行することはできません。これにより、Cisco Secure ACS システムの管理とサポートが大幅に改善されます。
信頼性：Cisco Secure ACS に必要なオペレーティングシステム（OS）サービスのみが有効になるため、Cisco Secure ACS システムの運用上の信頼性とセキュリティが向上します。
TCO：Cisco Secure ACS Solution Engine を導入すると、Total Cost of Ownership（TCO; 総所有コスト）を最適化できます。シスコでは、サードパーティベンダー提供の各種ハードウェア上で動作している Cisco Secure ACS ソフトウェアだけでなく、Cisco Secure ACS システム全体の完全サポート、メンテナンス、およびサービサビリティをサポートしています。
SNMP のサポート：Cisco Secure ACS Solution Engine は、SNMP（簡易ネットワーク管理プロトコル）v1 および v2c（読み取り専用）をサポートしているため、外部システムからアプライアンスを監視できます。SNMP のサポートには、MIB-II および HOST-RESOURCES-MIB のサポートが含まれます。

Q：Cisco Secure ACS Solution Engine には、Cisco Secure ACS for Windows では使用できない機能が含まれていますか。

A：Cisco Secure ACS Solution Engine では、高度なセキュリティを確保するために、次のような運用および管理上の機能が追加されています。

OS のセキュリティ機能強化
ポート単位のパケットフィルタリング：Cisco Secure ACS の動作に必要なポートへの接続だけを許可します。
シリアルコンソールインターフェイス：初期設定、IP 接続の管理、Web インターフェイスへのアクセス、アップグレードおよびリモートブートの適用に使用します。シリアルコンソールインターフェイスは、シリアル回線接続と Telnet 接続の両方をサポートしています。
SNMP（読み取り専用のサポート）：外部システムからアプライアンスを監視できます。
FTP を使用した Cisco Secure ACS データのバックアップ/リストア
リカバリ手順
Network Time Protocol（NTP）のサポート：他のアプライアンスやネットワークデバイスとの時刻の整合性を維持します。

Q：Cisco Secure ACS ソフトウェアサーバと Cisco Secure ACS Solution Engine の違いは何ですか。

A：Cisco Secure ACS Solution Engine は、セキュリティ強化されたアプリケーション固有の専用アプライアンスで、Cisco Secure ACS for Windows と同じ機能を提供するように設計されています。アプライアンス版の特徴として、Cisco Secure ACS Solution Engine の運用および管理のための専用機能が追加されるほか、異なるプラットフォームに対応するためにソフトウェアに付加されている機能が、変更もしくは削除されています。

認証

Windows ドメインの認証では、ドメインコントローラまたはメンバサーバ上で稼働する Cisco Secure ACS リモートエージェントが必要です。Cisco Secure ACS リモートエージェントでは、Windows メンバまたはドメインコントローラの信頼関係を確立する必要があります。
Open Database Connectivity（ODBC）ソースに対する認証はサポートされていません。
One-Time Password（OTP; ワンタイムパスワード）ディレクトリに対する認証は、RADIUS ベースの OTP 汎用インターフェイスを使用して実行されます。RFC 準拠の RADIUS インターフェイスを提供する OTP ベンダーは、Cisco Secure ACS Solution Engine と接続できます。

ユーザデータベース同期

ODBC ソースとのユーザデータベース同期はサポートされていません。代わりに、管理者は Cisco Secure ACS Solution Engine を設定し、ユーザデータベースをリモート FTP サーバ上の Comma-Separated Values（CSV）ファイルと同期させることができます。

ODBC ロギング

ODBC ロギングはサポートされていません。管理者はローカルまたはリモートの CSV ロギングを使用できます。

バックアップ/リストアおよび診断

バックアップ/リストアおよび診断情報の収集は、リモート FTP サーバを使用して実行され、現行の Cisco Secure ACS HTML GUI を使用して設定します。
Cisco Secure ACS Solution Engine は、csutil や rdbmsync などのユーティリティをサポートしていません。

Q：Cisco Secure ACS Solution Engine 上で動作する Windows サービスは何ですか。

A：Cisco Secure ACS Solution Engine が実行する Windows OS サービスは、次のとおりです。これらのサービスは、アプライアンスに電源が入ると自動的に起動されます。

DHCP クライアント（DHCP を使用する場合のみ）
DNS クライアント
イベントログ
IPSec ポリシーエージェント
ライセンスロギングサービス
論理ディスクマネージャ
プラグアンドプレイ
保護ストレージ
RPC（リモートプロシージャコール）サービス
リムーバブルストレージ
RunAs サービス
セキュリティアカウントマネージャ
サーバ
システムイベント通知
Telnet（コンソールアクセスする場合のみ）
Windows Management Instrumentation

次の Windows OS サービスは自動的に起動されませんが、必要に応じて有効に設定できます。

アプリケーション管理
ClipBook
COM+ イベントシステム
分散リンクトラッキングサーバ
分散トランザクションコーディネータ
Fax サービス
ファイルレプリケーション
Indexing Service
インターネット接続共有
論理ディスクマネージャ管理サービス
ネットログオン
NetMeeting リモートデスクトップ共有
ネットワーク接続
ネットワーク DDE
ネットワーク DDE DSDM
NT LM セキュリティサポートプロバイダー
パフォーマンスログと警告
印刷スプーラ
QoS RSVP
リモートアクセス自動接続マネージャ
RPC ロケータ
Smart Card
Smart Card Helper
Uninterruptible Power Supply（UPS; 無停電電源装置）
ユーティリティマネージャ
Windows インストーラ
Windows Management Instrumentation Driver Extension
Windows タイム

Q：Cisco Secure ACS Solution Engine では無効になっている Windows OS サービスは何ですか。

A：Cisco Secure ACS Solution Engine では無効になっている Windows OS サービスは次のとおりです。

Alerter
自動更新
バックグラウンドインテリジェント転送サービス
コンピュータブラウザ
分散ファイルシステム
分散リンクトラッキングクライアント
サイト間メッセージング
Kerberos キー配布センター
メッセンジャー
リモートアクセス接続マネージャ
リモートレジストリサービス
ルーティングおよびリモートアクセス
タスクスケジューラ
TCP/IP NetBIOS ヘルパーサービス
テレフォニー API（TAPI）
ターミナルサービス
WMDM PMSP（Windows Media Device Manager Pre-Message Security Protocol）サービス
ワークステーション

Q：Cisco Secure ACS Solution Engine でサポートされる Cisco Secure ACS GUI に新しく追加されたページはありますか。

A：あります。Cisco Secure ACS GUI では、Cisco Secure ACS Solution Engine 専用の次の新しいページが追加されました。これらのページは、アプライアンスの運用と管理に関する個別の機能に対応しています。

アプライアンスコンフィギュレーションページ
アプライアンスリモートエージェントコンフィギュレーションページ
アプライアンスアップグレードページ
アプライアンスステータスページ
アプライアンス診断ログビュー

Q：Cisco Secure ACS Solution Engine のハードウェアプラットフォームはどうなっていますか。

A：Cisco Secure ACS Solution Engine は、セキュリティ強化された Cisco Secure ACS サーバで、専用の 1 RU 筐体に次のような構成で収められています。

Pentium 4（3.4 GHz）
1 GB RAM
内蔵 10/100 イーサネットコントローラ× 2
80 GB の IDE ハードドライブ
CD-ROM ドライブ× 1

Q：Cisco Secure ACS Solution Engine はどのような手順で Windows ドメインを認証するのですか。

A：一般的に、Windows NT 4.0 または Active Directory ドメインユーザを認証するには、Windows メンバまたはドメインコントローラの信頼関係を確立する必要があります。Cisco Secure ACS Solution Engine はこの信頼関係を確立するのに必要な Windows サーバサービスを実行していないため、外部の Cisco Secure ACS リモートエージェントがアプライアンスソリューションとともに提供されています。Cisco Secure ACS リモートエージェントは、メンバサーバ、ドメインコントローラ、またはバックアップドメインコントローラにインストールできます。注：ドメインコントローラにリモートエージェントをインストールする方法が最適です。この場合、最小限のコンフィギュレーション要件で認証機能を実行できます。

Q：シスコが Windows 認証用にスタンドアロンのリモートエージェントを開発した理由は何ですか。

A：スタンドアロンのリモートエージェントがなければ、Cisco Secure ACS Solution Engine に NetBIOS をインストールする必要があります。この場合、Cisco Secure ACS は NetBIOS のセキュリティ上の脆弱性の影響を受けることになります。

Q：Cisco Secure ACS リモートエージェントの主な機能は何ですか。

A：Cisco Secure ACS リモートエージェントには 2 つの機能があります。1 つは、Windows ドメインに対する認証機能で、もう 1 つは、ユーザのアカウンティングレコードの（FTP サーバへの）リモートロギング機能です。

Q：Cisco Secure ACS リモートエージェントはどの OS にインストールできますか。

A：Cisco Secure ACS リモートエージェントには 2 つのバージョンがあります。Windows 2000 サーバ（Windows ドメインコントローラまたはメンバサーバがサポートされる）にインストールできる Windows 版と、SUN Solaris にインストールできる Solaris 版です。サポートされている OS のバージョンおよびサービスパックについては、Cisco Secure ACS リモートエージェントインストレーションガイドを参照してください。

Q：Cisco Secure ACS リモートエージェントの Windows 版と Solaris 版の機能の違いは何ですか。

A：Windows 版は Windows 認証とリモートロギングの両方をサポートしていますが、Solaris 版はリモートロギング機能のみのサポートとなります。

Q：Cisco Secure ACS リモートエージェントと Cisco Secure ACS for Windows は同じサーバ上で共存できますか。

A：共存できません。すでに Cisco Secure ACS for Windows がインストールされたサーバに Cisco Secure ACS リモートエージェントをインストールすることはできません。

Q：複数のリモートエージェントを使用するように Cisco Secure ACS Solution Engine を設定することは可能ですか。

A：可能です。Cisco Secure ACS Solution Engine は、1 つまたは複数のリモートエージェントを使用するように設定できます。Windows サービスとロギングサービスで同じエージェントを使用することに制約はありません。Windows サービスの場合、アプライアンスはプライマリエージェントおよびバックアップエージェント（プライマリエージェントが使用できない場合）を指定できます。

Q：Cisco Secure ACS リモートエージェントは、複数のアプライアンスで共有できますか。

A：はい。Cisco Secure ACS リモートエージェントは、複数のアプライアンスで共有できます。シスコがサポートする最大構成は、1 つの Cisco Secure ACS リモートエージェントを 5 台以下のアプライアンスで共有するものとさせていただいています。

Q：Cisco Secure ACS リモートエージェントのリモートロギング機能を使用せずに、Cisco Secure ACS Solution Engine 上でローカルロギングを実行できますか。

A：はい。ただし、Cisco Secure ACS Solution Engine のローカルロギングのサイズには制約があり、ログファイルは 7 日後に強制的に上書きされます。Cisco Secure ACS リモートエージェントは、リモートサーバに制約のない完全なロギング機能を提供できます。

Q：Windows の認証を行う場合、Cisco Secure ACS Solution Engine とリモートエージェント間でユーザの証明情報は暗号化されずに送信されるのですか。

A：いいえ。Cisco Secure ACS Solution Engine とリモートエージェント間でユーザパスワードが暗号化されずに送信されることはありません。Cisco Secure ACS Solution Engine は、Cisco Secure ACS リモートエージェントに要求を送信する前に必ずマイクロソフト版の MS-CHAP（Challenge Handshake Authentication Protocol）を使用してプレーンテキストのパスワードを暗号化します。さらに、Cisco Secure ACS Solution Engine とリモートエージェント間の通信は、Blowfish アルゴリズムと 128 ビット鍵を使用してすべて暗号化されます。また、暗号セッション鍵はランダムに生成され、公開鍵交換プロトコルを使用してリモートエージェントとアプライアンス間で交換されます。

Q：Cisco Secure ACS Solution Engine にアクセスするポートおよびプロトコルは何ですか。

A：表 1 に、Cisco Secure ACS Solution Engine に関連するポートおよびプロトコルを示します。

表 1 Cisco Secure ACS のポートおよびプロトコル

サービス名	UDP	TCP
DHCP	68
RADIUS 認証および許可（オリジナル版ドラフト RFC）	1645
RADIUS アカウンティング（オリジナル版ドラフト RFC）	1646
RADIUS 認証および許可（改訂版ドラフト RFC）	1812
RADIUS アカウンティング（改訂版ドラフト RFC）	1813
TACACS+ AAA		49
レプリケーションおよび RDBMS 同期		2000
Cisco Secure ACS リモートロギング		2001
Cisco Secure ACS 分散ロギング（アプライアンスのみ）		2003
HTTP 管理アクセス（ログイン時）		2002
管理アクセス（ログイン後）のポート範囲		設定変更可能（デフォルト：1024 ～ 65535） *

* Cisco Secure ACS は、指定された範囲のポート番号から各管理セッションに一意の番号を割り当てます。

Q：サードパーティ製ソフトウェアツール（Legato のバックアップサービスなど）は使用できますか。

A：Cisco Secure ACS Solution Engine は、Cisco Secure ACS を稼働させるスタンドアロンの専用アプライアンスとして設計されています。現時点では、サードパーティ製ソフトウェアを追加するためのインターフェイスや機能はありません。FTP からダウンロードされた Cisco Secure ACS のイメージとパッチだけを追加できます。Cisco Secure ACS のバックアップ機能では、エクスポートファイルを作成して、外部の FTP サーバに自動的にエクスポートします。バックアップツールをインストールし、この外部サーバのバックアップを行うことができます。

Q：Cisco Secure ACS を「混在モード」（たとえば、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine のインスタンスを実行）で使用することは可能ですか。

A：可能です。シスコでは、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine の混在環境をサポートしています。

Q：Cisco Secure ACS Solution Engine の導入によって、Cisco Secure ACS のレプリケーションは影響を受けますか。

A：Cisco Secure ACS Solution Engine の導入後も、Cisco Secure ACS のレプリケーション機能に変更はありません。Cisco Secure ACS Solution Engine と Cisco Secure ACS for Windows 間のレプリケーション、およびアプライアンス間のレプリケーションは引き続きサポートされ、アプライアンスや Windows 固有の設定に影響はありません。

Q：レプリケーション構成で、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine のどちらかをマスターデータベースにする場合に制約はありますか。

A：特に制約はありません。Cisco Secure ACS for Windows または Cisco Secure ACS Solution Engine のどちらをマスターデータベースにしても構いません。レプリケーション先のスレーブも、Cisco Secure ACS for Windows または Cisco Secure ACS Solution Engine のどちらでも構いません。また、Windows とアプライアンスの両方を同時にスレーブにすることもできます。

Q：Cisco Secure ACS Solution Engine では、シングルログオンやパスワードの有効期間設定に変更はありますか。

A：いいえ。Cisco Secure ACS リモートエージェントと Windows またはドメインコントローラの信頼関係が正しく確立されていれば、シングルログオンおよびパスワード有効期間設定の機能は Cisco Secure ACS for Windows と同じです。

Q：Cisco Secure ACS が Microsoft Internet Information Services（IIS）や Apache ではなく、独自仕様の組み込み型 Web サーバを使用している理由は何ですか。

A：Cisco Secure ACS 専用の Web サーバの方が、IIS や Apache に比べ簡素です。用途を Cisco Secure ACS サービスに限定しているため、この Web サーバは一般に使用されている Web サーバよりもセキュリティ上の脆弱性によるリスクが軽減されています。

Q：アプライアンスをベースにした Cisco Secure ACS サーバの拡張性について教えてください。

A：アプライアンスベースの Cisco Secure ACS サーバには、少なくとも Windows ベースの Cisco Secure ACS サーバと同じ拡張性があります。Cisco Secure ACS のガイドラインやパフォーマンス分析によると、各 ACS サーバは 20,000 ～ 80,000 のユーザをサポートでき、最大 50,000 までのデバイスに対応できます（構成、プラットフォーム、および使用条件などによって左右されます）。ユーザのアクセスコントロールを拡張する上での実際の問題はバックエンド側にあります。Oracle や Sybase などの高性能バックエンドデータベースと接続することで、シスコはクラスタ構成の Cisco Secure ACS for Windows 2000/NT を数十万のユーザレコードを持つお客様に提供した例があります。

Q：Cisco Secure ACS Solution Engine では、Cisco Secure ACS の信頼性とリモート管理をどのように強化しているのですか。

A：システムがクラッシュすると、OS が自動的に再起動するように設定されています。さらに、シリアルコンソールサービスも、障害が発生すると自動的に再起動するように設定されています。Cisco Secure ACS ソフトウェアには監視機能があり、Cisco Secure ACS サービスに障害が発生すると Cisco Secure ACS サービスは再起動されます。また、Cisco Secure ACS Solution Engine では、リモート管理者に CLI（コマンドラインインターフェイス）が提供されています。CLI はシリアル回線接続と Telnet 接続をサポートしており、リモートから Cisco Secure ACS サービスのイメージ再構成、リロード、アップグレード、および再起動を行うことができます。

Q：Lightweight Directory Access Protocol（LDAP）はサポートされていますか。

A：Cisco Secure ACS Solution Engine での LDAP のサポートは、Cisco Secure ACS のソフトウェアバージョンと同じです。Cisco Secure ACS は、LDAP によってディレクトリサーバに保管されたレコードを使用したユーザ認証をサポートしています。LDAP の汎用インターフェイスを使用して代表的なディレクトリサーバ（Novell および Netscape など）をサポートしています。ディレクトリサーバの認証時には、Password Authentication Protocol（PAP）パスワードを使用できます。さらに、Cisco Secure ACS は Windows 2000 の Active Directory Service（ADS）もサポートしています。Microsoft ADS の詳細については、Microsoft のドキュメントを参照してください。Cisco Secure ACS では、ユーザ検索用として、複数の異なる LDAP ソースを定義することもできます。つまり、異なる LDAP リポジトリを定義して、ユーザを検索できます。また、ユーザはセカンダリのバックアップ LDAP サーバを定義できます。したがって、プライマリ LDAP リポジトリがタイムアウトになっても、Cisco Secure ACS はセカンダリのバックアップソースを検索できます。

Q：Cisco Secure ACS Solution Engine は、Windows ネットワーク環境で「シングルログイン」を使用できますか。

A：はい。ユーザ名とパスワードを一度だけ入力すれば済むように Cisco Secure ACS Solution Engine をセットアップすることができます。この場合、Cisco Secure ACS リモートエージェントは、所定のドメインとの信頼関係を持つ Windows ネットワークサーバにインストールする必要があります。

Q：Cisco Secure ACS は、OTP および RSA の SecurID トークンなどのトークンシステムをサポートしていますか。

A：はい。Cisco Secure ACS では、ActiveCard、Cryptocard、PassGo Technologies、RSA Data Security、Secure Computing、および Vasco のトークンソリューションを使用できます。Cisco Secure ACS Solution Engine は RADIUS 汎用インターフェイスを備えているため、別のベンダーの OTP 製品にも対応できます。RFC 準拠の RADIUS インターフェイスを提供する OTP ベンダーの製品を使用できます。

Q：Cisco Secure ACS Solution Engine のライセンスはどのような形態ですか。

A：Cisco Secure ACS Solution Engine はサーバ単位でライセンス供与されます。ポート数、ユーザ数、およびネットワークアクセスサーバ数に制限はありません。ご購入いただけるアプライアンスパッケージは、次のとおりです。詳しい製品番号については、次の URL から Cisco Secure ACS 4.1 の製品情報を参照してください。
http://www.cisco.com/jp/product/hs/security/acs/

Q：Cisco Secure ACS for UNIX から Cisco Secure ACS Solution Engine へ移行する場合に利用できるシスコ提供のアップグレード手順はありますか。

A：いいえ。現在、シスコでサポートしているアップグレード手順はありません。

Q：バックアップ用 Cisco Secure ACS Solution Engine サーバの購入またはライセンス供与は可能ですか。

A：いいえ。リカバリおよびバックアップ用に使用する個別の Cisco Secure ACS サーバライセンスとして Cisco Secure ACS Solution Engine サーバをもう 1 つ購入する必要があります。Cisco Secure ACS サーバは、リカバリまたはフェールオーバーサーバとして使用できます。Cisco Secure ACS はネットワーク内で一元的に制御サービスを提供しているので、フェールオーバーおよびリカバリ用のバックアップサーバを使用することを強く推奨します。

Q：新しい OS リリースやパッチが提供された場合、これらをアプライアンスに適用する必要はありますか。

A：いいえ。OS の更新やパッチの適用はすべて、シスコが実施する Cisco Secure ACS Solution Engine アップグレードによって処理されます。

Q：Cisco Secure ACS Solution Engine ソフトウェアは CD-ROM からリモートでアップグレードできますか。

A：はい。Cisco Secure ACS Solution Engine は、FTP サーバを使用せずに CD-ROM からリモートでアップグレードできます。

Q：現在の Cisco Secure ACS for Windows の保守契約で、Cisco Secure ACS Solution Engine のサポートを受けることはできますか。

A：いいえ。Cisco Secure ACS Solution Engine の保守サポートを利用するには、個別の契約が必要です。詳しくは、Cisco Secure ACS 4.1 の製品資料を参照してください。

Cisco Secure ACS Solution Engine