ダウンロード

Cisco Secure Access Control Server 4.1 for Windows に関する Q&A

Q&A

Cisco Secure Access Control Server 4.1 for Windows

概要

Q：Cisco® Secure Access Control Server（ACS）とは何ですか。

A：Cisco Secure ACS はスケーラビリティとパフォーマンスに優れたアクセスコントロールサーバです。統合型の RADIUS サーバまたは TACACS+ サーバシステムとして運用され、ネットワークから企業のリソースにアクセスするユーザの AAA（Authentication, Authorization, and Accounting; 認証、認可、アカウンティング）を制御します。Cisco Secure ACS を使用すると、ネットワークへのユーザアクセスの制御、ユーザまたはユーザのグループに対するさまざまなタイプのネットワークサービスの認証、およびネットワークユーザの全行動の記録が可能になります。Cisco Secure ACS は、ダイヤルアップアクセスサーバのアクセスコントロールとアカウンティング、ケーブルおよび DSL ブロードバンドソリューション、ファイアウォール、VPN、Voice over IP（VoIP）ソリューション、ストレージ、およびスイッチド LAN と無線 LAN をサポートします。また、ネットワークマネージャは同じ AAA フレームワークを使用して、（TACACS+ により）管理者の権限の範囲およびグループを管理し、内部でネットワークを変更、アクセス、および設定する方法を制御します。Cisco Secure ACS for Windows は Windows 2000 および Windows 2003 プラットフォームで稼働します。

Q：Cisco Secure ACS が必要な理由は何ですか。

A：変化の激しいネットワークの成長と、増大するセキュリティ上の脅威により、アクセスコントロールの管理において新しい需要が発生しています。IEEE 802.1X などの新しいテクノロジーにより、ネットワーク全体で AAA が使用可能になり、ユーザアクセスコントロールの要件が拡大するにつれて、ネットワーク全体にアイデンティティネットワーキングを浸透させる必要性が高まってきました。Cisco Secure ACS は、中央集中型のアイデンティティネットワーキングソリューションの認証、ユーザと管理者のアクセス、およびポリシー制御を結合することで、アクセスセキュリティを拡張します。これにより、柔軟性と機動性が高くなり、セキュリティが向上し、ユーザの生産性を高めることができます。

Q：Cisco Secure ACS は、ソフトウェア製品ですか、ハードウェア製品ですか。

A：Cisco Secure ACS は、Cisco Secure ACS for Windows（Windows サーバへのインストール用）または Cisco Secure ACS Solution Engine（Cisco Secure ACS ライセンスがプリインストールされた 1 RU アプライアンス）として提供されます。

Q：Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine の違いは何ですか。

A：Cisco Secure ACS Solution Engine は、Cisco Secure ACS for Windows と同じ特長および機能を備えていますが、セキュリティが強化された専用アプライアンスパッケージです。Cisco Secure ACS Solution Engine には、Cisco Secure ACS Solution Engine の運用および管理のための追加機能も含まれています。詳細については、Cisco Secure ACS Solution Engine に関する Q&A を参照してください。

Q：Cisco Secure ACS for Windows または Cisco Secure ACS Solution Engine のどちらを購入した方がよいのでしょうか。

A：Cisco Secure ACS for Windows は、運用環境（ハードウェアサーバ、OS [オペレーティングシステム]、導入されているサービスなど）の制御を検討しているお客様に適しています。IT 企業では、セキュリティの運用部門とサーバ/OS の運用部門が異なる場合が多いため、専用アプライアンスによるセキュリティソリューションを使用することで、問題の発見が早くなり、アプライアンスの管理が簡単になります。また、アプライアンスソリューションには、セキュリティの強化、ワンストップサポート、「プラグアンドプレイ」ソリューションなどの利点もあります。

デバイスのサポート

Q：Cisco Secure ACS でサポートされているネットワークアクセスゲートウェイは何ですか。

A：Cisco Secure ACS は、すべての Cisco IOS® ルータ、VPN アクセス製品、VoIP ソリューション、ケーブルブロードバンドアクセス、コンテンツネットワーク、無線ソリューション、ストレージネットワーク、および 802.1X 対応の Cisco Catalyst® スイッチを含む、広範なネットワーキングアクセス製品をサポートしています。Cisco Secure ACS は、標準に完全に準拠した RADIUS および TACACS+ サーバとして、RADIUS または TACACS+ をサポートするさまざまなサードパーティ製のアクセスおよびデバイス管理コンソールとしても機能します。

セキュリティイニシアティブ

Q：Cisco Secure ACS は、シスコの IBNS（Identity Based Networking Services）にどのように適合していますか。

A：Cisco Secure ACS は、802.1X IEEE 標準に基づいて構築されたアーキテクチャである Cisco IBNS ソリューションの主要コンポーネントです。Cisco Secure ACS は、従来はアクセスコントロールがネットワークのエッジで管理されていた LAN（有線および無線）内で、中央集中型の認証サーバとして RADIUS ベースの AAA 機能を提供します。特に、IBNS と Cisco Secure ACS を組み合わせることで、次の利点があります。

Public Key Infrastructure（PKI; 公開鍵インフラストラクチャ）、トークン、および Smartcard による強力な認証。これは特に、無線 LAN 環境で重要です。無線 LAN 環境では、強力な相互認証方法が使用されていない場合、不正なセキュリティ攻撃に対する脆弱性が非常に高くなるためです。
柔軟なポリシー割り当て（ユーザごとの割り当て、VLAN 割り当てなど）
ユーザアカウンティング、監査、および LAN 内でのユーザの行動を追跡してモニタするための機能
Cisco IBNS は、識別されたエンティティ（ユーザベースおよびデバイスベース）と、一元的に作成され Cisco Secure ACS によって管理されるポリシーを結合することで、きめ細かい制御と高い柔軟性を実現します。

Q：Cisco Secure ACS は、LAN 内でどのようにして Cisco IBNS を拡張するのですか。

A：Cisco Secure ACS は、一元的な Web ベースのグラフィカルインターフェイスで認証、アクセスコントロール、およびユーザプロファイリングとトラッキングを結合し、その制御範囲をネットワーク内の何百または何千もの有線および無線アクセスポイントに広げることで、Cisco IBNS アーキテクチャ内の LAN アクセスセキュリティを拡張します。Cisco Secure ACS による強化は、ID 認証や安全なネットワーク接続だけにとどまりません。ポートセキュリティを備えた補助 VLAN および 802.1X に対応した Cisco Architecture for Voice, Video and Integrated Data（AVVID）サポート、およびユーザごとの VLAN および Access Control List（ACL; アクセスコントロールリスト）の動的プロビジョニングも提供します。IBNS とその LAN における機能の詳細については、次の URL を参照してください。http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns75/networking_solutions_sub_solution_home.html

Q：Cisco Secure ACS は、Cisco Network Admission Control（NAC）にどのように適合していますか。

A：Cisco Secure ACS 4.1 は、NAC フレームワークにおいてポリシー決定ポイントとして機能します。設定されたポリシーを使用して、Cisco Trust Agent から受信したクレデンシャルを評価し、ホストの状態を判断します。その後、AAA クライアント ACL を、クライアントがレイヤ 2 ネットワーク経由で接続されている場合はポリシーベースの ACL やプライベート VLAN を、ホストの状態に基づいて送信します。ホストクレデンシャルの評価では、OS パッチレベルやウイルス対策ソフトウェアの DAT ファイルのバージョンなど多数の固有のポリシーについて評価することができます。Cisco Secure ACS は、モニタリングシステムで使用するために、ポリシー評価の結果を記録します。また、Cisco Secure ACS 4.1 では、サードパーティの監査ベンダーが応答のなかったホストを監査してから、ネットワークへのアクセスを許可することができます。ポリシーは Cisco Secure ACS によってローカルに評価することも、Cisco Secure ACS がクレデンシャルを転送した外部ポリシーサーバにその評価結果を返送させることもできます。たとえば、ウイルス対策ソフトウェアベンダーに固有の証明書はそのベンダーのアンチウイルスポリシーサーバへ転送し、監査ポリシー要求は監査ベンダーへ転送することができます。

新機能とプロトコルのサポート

Q：Cisco Secure ACS 4.1 の新機能は何ですか。

A：Cisco Secure ACS 4.1 では、次の機能が追加されました。

SOX（Sarbanes-Oxley）法への準拠をサポート ― Cisco Secure ACS 4.1 では、Cisco Secure ACS の管理者権限および監査レポートに関し、次のようなコンプライアンス要件をカバーします。
- ログ設定に関する管理上の制限
- ログイン時の管理者パスワードの強制変更
- 管理者パスワードポリシー
- 無効なアカウントに対する管理者パスワードの強制変更
- エンタイトルメントレポートの生成
- 外部データベースを使用した管理者認証
- 管理者のパスワード履歴
Syslog のサポート
外部データベースの MAC 認証バイパス
PEAP（Protected Extensible Authentication Protocol）と EAP-TLS（Extensible Authentication Protocol Transport Layer Security）の併用
日本語版 Windows のサポート

Q：EAP タイプ認証を使用する場合、Cisco Secure ACS ではどのユーザデータベースを使用できますか。

A：使用する EAP 認証タイプによって、Cisco Secure ACS では、表 1 に示すように、さまざまなユーザデータベースをサポートしています。

表 1 ユーザデータベースと EAP 互換性サポートのマトリクス

データベース	LEAP	EAP-MD5	EAP-TLS	PEAP（EAP-GTC）	PEAP（EAP-MSCHAP v2）	EAP-FAST（フェーズ 0）	EAP-FAST（フェーズ 2）
Cisco Secure ACS	○	○	○	○	○	○	○
Windows	○	×	○	○	○	○	○
Active Directory	-	-	-	-	-	-	-
LDAP	×	×	○	○	×	×	○
Novell NDS	×	×	×	○	×	×	○
Open Database Connectivity（ODBC; オープンデータベース接続）	○	○	○	○	○	○	○
LEAP プロキシ RADIUS サーバ	○	×	×	○	○	○	○
すべてのトークンサーバ	×	×	×	○	×	×	×

Q：Cisco Secure ACS では、LDAP にどのようなサポートを提供していますか。

A：Cisco Secure ACS は、LDAP によってディレクトリサーバに保存されたレコードを使用したユーザ認証をサポートしています。Cisco Secure ACS は、LDAP 汎用インターフェイスによって、Novell や Sun LDAP サーバなど、代表的なディレクトリサーバをサポートしています。ディレクトリサーバを利用した認証の場合、パスワード認証プロトコルのパスワードを使用できます。

また、Cisco Secure ACS では、Windows 2003 の Active Directory Service もサポートしています。Cisco Secure ACS は、複数の LDAP 認証要求を、以前のような順次処理ではなく、同時に処理することができます。この機能により、無線構成など、タスク中心のアプリケーションにおける Cisco Secure ACS 4.1 のパフォーマンスが大幅に改善されました。LDAP の詳細については、次の URL にある White Paper『Configuring LDAP for Cisco Secure ACS』を参照してください。
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_white_papers_list.html

Q：Cisco Secure ACS は、OTP（One-Time Password; ワンタイムパスワード）や、RSA SecurID トークンなどのトークンシステムをサポートしていますか。

A：はい。Cisco Secure ACS は、ActivCard、Cryptocard、PassGo Technologies、RSA Data Security、Secure Computing、および Vasco のトークンソリューションと通信するように設定できます。Cisco Secure ACS は RADIUS 汎用インターフェイスを備えているため、新しいベンダーの OTP にも対応できます。RFC 準拠の RADIUS インターフェイスを提供する OTP ベンダーは、Cisco Secure ACS 3.0 以上を使用する必要があります。Windows NT、NetWare、UNIX など、すべての OS にトークン認証サーバをインストールできます。

Q：Cisco Secure ACS で使用されるポートとプロトコルは何ですか。

A：Cisco Secure ACS は、表 2 に示す TCP/UDP ポートを使用します。

表 2 Cisco Secure ACS ポートの用途

サービス名	UDP	TCP
Dynamic Host Configuration Protocol（DHCP）	68	-
RADIUS 認証および許可（オリジナル版ドラフト RFC）	1645	-
RADIUS アカウンティング（オリジナル版ドラフト RFC）	1646	-
RADIUS 認証および許可（改訂版 RFC）	1812	-
RADIUS アカウンティング（オリジナル版ドラフト RFC）	1813	-
TACACS+ AAA	-	49
レプリケーションおよび RDBMS の同期	-	2000
Cisco Secure ACS リモートロギング	-	2001
HTTP 管理アクセス（ログイン時）	-	2002
Cisco Secure ACS 分散ロギング（アプライアンスのみ）	-	2003
管理アクセス（ログイン後）のポート範囲	-	1024
設定変更可能なデフォルト	-	65,535

Q：ドメインコントローラに対して適切な Windows 認証が行われるようにするには、メンバーサーバで稼働している Cisco Secure ACS サーバにどのようなセキュリティコンテキストが必要ですか。

A：セキュリティコンテキストは、ローカルサービスアカウントで定義されます。メンバーサーバで Cisco Secure ACS を稼働し、Windows 認証を実行するために必要な権限設定のガイドラインについては、Cisco Secure ACS インストレーションガイドを参照してください。

Q：Cisco Secure ACS は、TACACS+ 要求と RADIUS 要求を同時に処理できますか。

A：はい。

Q：ユーザパスワードは、Cisco Secure ACS にどのように格納されますか。

A：次の URL にある Cisco Secure ACS ユーザガイドを参照してください。
http://www.cisco.com/jp/service/manual_j/index_sec_acs.shtml

Q：Cisco Secure ACS は、パスワードの有効期限などの条件に基づくパスワードの強制変更をサポートしていますか。

A：パスワードエージングは、ローカルユーザと、Microsoft Windows Active Directory データベース内のユーザに対して使用できます。プロセスの詳細については、次の URL を参照してください。
http://www.cisco.com/jp/service/manual_j/index_sec_acs.shtml

Q：Cisco Secure ACS for Windows をインストールする必要があるのは、Microsoft Windows ドメインコントローラだけですか。

A：いいえ。Cisco Secure ACS は、ドメインコントローラではない Windows 2000/2003 サーバにもインストールできます。引き続き、Microsoft Windows Active Directory などの Windows データベースの Windows ユーザを認証するように設定できます。

Q：Cisco Secure ACS 4.1 のライセンスはどのようになっていますか。

A：Cisco Secure ACS 製品は、サーバごとにライセンス供与されています。ポート、ユーザ、およびネットワークアクセスサーバの数に制限はありません。使用可能な製品番号と詳細については、http://www.cisco.com/jp/go/acs の Cisco Secure ACS 4.1 の製品情報を参照してください。

スケーラビリティ

Q：Cisco Secure ACS ソリューションのスケーラビリティは、どのようになっていますか。

A：拡張性の高いアクセスサーバは、UNIX プラットフォームで実行する必要があると考えているお客様が多いのですが、これは Cisco Secure ACS には当てはまりません。Cisco Secure ACS のガイドラインとパフォーマンス分析によると、各 Cisco Secure ACS for Windows は、構成、プラットフォーム、および使用条件にもよりますが、サーバ 1 台あたり 10,000 ～ 300,000 のユーザをサポートでき、20,000 を超えるデバイスに対応できます。ユーザアクセスコントロールのフレームワークの拡大における主な問題は、バックエンドにあります。Oracle や Sybase など、高パフォーマンスのバックエンドデータベースにリンクすることで、シスコは、数十万のユーザレコードを処理するお客様向けに、クラスタ環境で Cisco Secure ACS for Windows 2003 を導入した例があります。

Q：Cisco Secure ACS の 1 ライセンスで 1 台が処理できるユーザドメインの数に制限はありますか。

A：いいえ。Cisco Secure ACS の 1 ライセンスで処理できるユーザドメインの数に、ハードウェア制限はありません。

Q：Cisco Secure ACS for Windows で検証済みのパッチはどれですか。

A：シスコシステムズでは、Cisco Secure ACS for Windows に関して、Windows 2000 Server および Windows Server 2003 のすべての Microsoft セキュリティパッチを正式にサポートしており、これらをインストールすることを推奨しています。これらのセキュリティパッチのいずれかをインストールしたことで Cisco Secure ACS に問題が発生した場合は、シスコ製品販売代理店にお問い合わせください。

Q：数百のユーザドメインがある大規模な分散環境では、認証タイムアウトを回避するために、どの Cisco Secure ACS を使用するのが適していますか。

A：認証タイムアウトに影響する主な要素は、ユーザが存在する場所（ドメインコントローラの場所）に対する Cisco Secure ACS サーバの場所です。デバイスレベルでの AAA クライアントのタイムアウトを長くすることで、Cisco Secure ACS からの応答に時間がかかるという問題に対処する方法もあります。これが不可能な場合は、（認証中に）ドメイン名を指定したり、Cisco Secure ACS をユーザドメインの近くに配置したりするなどの方法も可能です。

発注情報

Q：Cisco Secure ACS 4.1 for Windows の発注方法を教えてください。

A：ネットワークに旧バージョンがインストールされておらず、新たに Cisco Secure ACS を購入される場合は、製品番号：CSACS-4.1-WIN-K9 を指定してください。なお、Cisco Secure ACS 4.0 ユーザにとって 4.1 はマイナーバージョンアップであるため、Software Application Support（SAS）契約の対象となります。

Cisco Secure ACS 1.x、2.x、3.x for Windows または Cisco Secure ACS for UNIX をすでにお使いのお客様は、製品番号：CSACS-4.1-WINUP-K9 を指定してください。

Q：バックアップ用サーバの購入またはライセンス供与は可能ですか。

A：いいえ。バックアップおよびリカバリ用に、Cisco Secure ACS サーバの個別のライセンスを購入する必要があります。Cisco Secure ACS サーバは、リカバリまたはフェールオーバーサーバとして使用できます。Cisco Secure ACS はネットワーク内で一元的に制御サービスを提供しているので、フェールオーバーおよびリカバリ用のバックアップサーバを使用することを推奨します。

Hierarchical Navigation

Cisco Secure ACS for Windows