Cisco Secure ACS Solution Engine

Cisco Secure Access Control Server Solution Engine に関する Q&A

Hierarchical Navigation
ダウンロード

Q&A




Cisco Secure Access Control Server Solution Engine 4.0

Q:Cisco® Secure ACS Solution Engine とは何ですか。
A:Cisco Secure Access Control Server(ACS)Solution Engine は拡張性の高い 1 RU の専用プラットフォームで、統合型の RADIUS や TACACS+ をサポートする高性能アクセス コントロール サーバです。Cisco Secure ACS Solution Engine は、ネットワークから企業のリソースにアクセスするユーザの Authentication, Authorization, Accounting(AAA; 認証、認可、アカウンティング)を制御します。

Q:Cisco Secure ACS Solution Engine を使用すると何ができますか。
A:Cisco Secure ACS Solution Engine を使用すると、ネットワークにアクセス可能なユーザの限定、ユーザおよびユーザ グループに許可するネットワーク サービスの制限、およびネットワーク内での全ユーザの行動の記録が可能になります。このアプライアンスでは、ダイヤルアップ アクセス サーバ、ファイアウォールや VPN、Voice over IP(VoIP)ソリューション、コンテンツ ネットワーク、スイッチド LAN、および無線 LAN のアクセス コントロールとアカウンティングをサポートしています。さらに、同じ AAA フレームワークでは、TACACS+ を使用してネットワーク管理者のロールとグループを管理することにより、管理者が内部のネットワークで変更、アクセス、および設定を行う権限を制御できます。

Q:シスコが Cisco Secure ACS の既存の Windows サーバ ソフトウェア パッケージのアプライアンス モデルを導入した理由は何ですか。
A:シスコは、次のような理由に基づいて専用の Cisco Secure ACS アプライアンスを開発しました。
  • セキュリティ:Cisco Secure ACS サービスの実行のみを目的としたターンキー システムの必要性。アプライアンスを使用すると、必要のないサービスの削除や、未使用ポートのブロックを行い、Cisco Secure ACS システムへの他のアクセスをすべて抑制することで、Cisco Secure ACS のセキュリティを大幅に向上させることができます。
  • 管理性:Cisco Secure ACS Solution Engine は、AAA サービス専用です。他のサービスやアプリケーションをインストールまたは実行することはできません。これにより、Cisco Secure ACS システムの管理とサポートが大幅に改善されます。
  • 信頼性:Cisco Secure ACS に必要なオペレーティング システム(OS)サービスのみが有効になるため、Cisco Secure ACS システムの運用上の信頼性とセキュリティが向上します。
  • TCO:Cisco Secure ACS Solution Engine を導入すると、Total Cost of Ownership(TCO; 総所有コスト)を最適化できます。シスコでは、サードパーティ ベンダー提供の各種ハードウェア上で動作している Cisco Secure ACS ソフトウェアだけでなく、Cisco Secure ACS システム全体の完全サポート、メンテナンス、およびサービス性をサポートしています。
  • SNMP のサポート:Cisco Secure ACS Solution Engine は、SNMP(簡易ネットワーク管理プロトコル)v1 および v2c(読み取り専用)をサポートしているため、外部システムからアプライアンスを監視できます。SNMP のサポートには、MIB-II および HOST-RESOURCES-MIB のサポートが含まれます。
  • プラグアンドプレイ:Cisco Secure ACS Solution Engine には Cisco Secure ACS がプリインストールされているため、Cisco Secure ACS ソリューションのネットワークへの配置やセットアップに必要な時間を大幅に短縮できます。
  • Cisco Secure ACS UNIX からの移行:すでに Cisco Secure ACS for UNIX を使用していて、Windows OS に Cisco Secure ACS をインストールして管理することを望まないお客様にとって、Cisco Secure ACS Solution Engine は最適な選択肢です。
Q:Cisco Secure ACS ソフトウェア サーバと Cisco Secure ACS Solution Engine の違いは何ですか。
A:Cisco Secure ACS Solution Engine は、セキュリティ強化されたアプリケーション固有の専用アプライアンスで、Cisco Secure ACS for Windows と同じ機能を提供するように設計されています。アプライアンス版の特徴として、Cisco Secure ACS Solution Engine の運用および管理のための専用機能が追加されるほか、異なるプラットフォームに対応するためにソフトウェアに付加されている機能が、変更もしくは削除されています。

認証

  • Windows ドメインの認証では、ドメイン コントローラまたはメンバー サーバ上で稼働する Cisco Secure ACS リモート エージェントが必要です。Cisco Secure ACS リモート エージェントでは、Windows メンバーまたはドメイン コントローラの信頼関係を確立する必要があります。
  • Open Database Connectivity(ODBC)ソースに対する認証はサポートされていません。
  • One-Time Password(OTP; ワンタイム パスワード)ディレクトリに対する認証は、RADIUS ベースの OTP 汎用インターフェイスを使用して実行されます。RFC 準拠の RADIUS インターフェイスを提供する OTP ベンダーは、Cisco Secure ACS Solution Engine と接続できます。

ユーザ データベース同期

  • ODBC ソースとのユーザ データベース同期はサポートされていません。代わりに、管理者は Cisco Secure ACS Solution Engine を設定し、ユーザ データベースをリモート FTP サーバ上の Comma-Separated Values(CSV)ファイルと同期させることができます。

ODBC ロギング

  • ODBC ロギングはサポートされていません。管理者はローカルまたはリモートの CSV ロギングを使用できます。

バックアップ/リストアおよび診断

  • バックアップ/リストアおよび診断情報の収集は、リモート FTP サーバを使用して実行され、現行の Cisco Secure ACS HTML GUI を使用して設定します。
  • Cisco Secure ACS Solution Engine は、csutil や rdbmsync などのユーティリティをサポートしていません。
Q:Cisco Secure ACS Solution Engine には、Cisco Secure ACS for Windows では使用できない機能が含まれていますか。
A:Cisco Secure ACS Solution Engine では、高度なセキュリティを確保するために、次のような運用および管理上の機能が追加されています。
  • OS のセキュリティ機能強化
  • ポート単位のパケット フィルタリング:Cisco Secure ACS の動作に必要なポートへの接続だけを許可します。
  • シリアル コンソール インターフェイス:初期設定、IP 接続の管理、Web インターフェイスへのアクセス、アップグレードおよびリモート ブートの適用に使用します。シリアル コンソール インターフェイスは、シリアル回線接続と Telnet 接続の両方をサポートしています。
  • SNMP(読み取り専用のサポート):外部システムからアプライアンスを監視できます。
  • FTP を使用した Cisco Secure ACS データのバックアップ/リストア
  • リカバリ手順
  • Network Time Protocol(NTP)のサポート:他のアプライアンスやネットワーク デバイスとの時刻の整合性を維持します。
Q:Cisco Secure ACS Solution Engine 上で動作する Windows サービスは何ですか。
A:Cisco Secure ACS Solution Engine が実行する Windows OS サービスは、次のとおりです。これらのサービスは、アプライアンスに電源が入ると自動的に起動されます。
  • DHCP クライアント(DHCP を使用する場合のみ)
  • DNS クライアント
  • イベント ログ
  • IPSec ポリシー エージェント
  • ライセンス ロギング サービス
  • 論理ディスク マネージャ
  • プラグアンドプレイ
  • 保護ストレージ
  • RPC(リモート プロシージャ コール)サービス
  • リムーバブル ストレージ
  • RunAs サービス
  • セキュリティ アカウント マネージャ
  • サーバ
  • システム イベント通知
  • Telnet(コンソール アクセスする場合のみ)
  • Windows Management Instrumentation

次の Windows OS サービスは自動的に起動されませんが、必要に応じて有効に設定できます。

  • アプリケーション管理
  • ClipBook
  • COM+ イベント システム
  • 分散リンク トラッキング サーバ
  • 分散トランザクション コーディネータ
  • Fax サービス
  • ファイル レプリケーション
  • Indexing Service
  • インターネット接続共有
  • 論理ディスク マネージャ管理サービス
  • ネット ログオン
  • NetMeeting リモート デスクトップ共有
  • ネットワーク接続
  • ネットワーク DDE
  • ネットワーク DDE DSDM
  • NT LM セキュリティ サポート プロバイダー
  • パフォーマンス ログと警告
  • 印刷スプーラ
  • QoS RSVP
  • リモート アクセス自動接続マネージャ
  • RPC ロケータ
  • Smart Card
  • Smart Card Helper
  • Uninterruptible Power Supply(UPS; 無停電電源装置)
  • ユーティリティ マネージャ
  • Windows インストーラ
  • Windows Management Instrumentation Driver Extension
  • Windows タイム
Q:Cisco Secure ACS Solution Engine では無効になっている Windows OS サービスは何ですか。
A:Cisco Secure ACS Solution Engine では無効になっている Windows OS サービスは次のとおりです。
  • Alerter
  • 自動更新
  • バックグラウンド インテリジェント転送サービス
  • コンピュータ ブラウザ
  • 分散ファイル システム
  • 分散リンク トラッキング クライアント
  • サイト間メッセージング
  • Kerberos キー配布センター
  • メッセンジャー
  • リモート アクセス接続マネージャ
  • リモート レジストリ サービス
  • ルーティングおよびリモート アクセス
  • タスク スケジューラ
  • TCP/IP NetBIOS ヘルパー サービス
  • テレフォニー API(TAPI)
  • ターミナル サービス
  • WMDM PMSP サービス
  • ワークステーション
Q:Cisco Secure ACS Solution Engine でサポートされる Cisco Secure ACS GUI に新しく追加されたページはありますか。
A:あります。Cisco Secure ACS GUI では、Cisco Secure ACS Solution Engine 専用の次の新しいページが追加されました。これらのページは、アプライアンスの運用と管理に関する個別の機能に対応しています。
  • アプライアンス コンフィギュレーション ページ
  • アプライアンス リモート エージェント コンフィギュレーション ページ
  • アプライアンス アップグレード ページ
  • アプライアンス ステータス ページ
  • アプライアンス診断ログ ビュー
Q:Cisco Secure ACS Solution Engine のハードウェア プラットフォームはどうなっていますか。
A:Cisco Secure ACS Solution Engine は、セキュリティ強化された Cisco Secure ACS サーバで、専用の 1 RU 筐体に次のような構成で収められています。
  • Pentium 4(3.4 GHz)
  • 1 GB RAM
  • 内蔵 10/100 イーサネット コントローラ× 2
  • 80 GB の IDE ハード ドライブ
  • CD-ROM ドライブ× 1
Q:Restriction of Hazardous Substances(RoHS; 有害物質の使用規制)の順守に対するシスコの方針を教えてください。
A:詳細については次の URL(英語)を参照してください。
http://www.cisco.com/web/about/ac227/ac228/ac231/about_cisco_reduction_hazardous_substances_faqs.html

Q:Cisco Secure ACS Solution Engine 4.0 は RoHS 指令に準拠していますか。
A:はい。Cisco Secure ACS Solution Engine 4.0 は RoHS 指令に準拠しています。

Q:Cisco Secure ACS Solution Engine はどのような手順で Windows ドメインを認証するのですか。
A:一般的に、Windows NT 4.0 または Active Directory ドメイン ユーザを認証するには、Windows メンバーまたはドメイン コントローラの信頼関係を確立する必要があります。Cisco Secure ACS Solution Engine はこの信頼関係を確立するのに必要な Windows サーバ サービスを実行していないため、外部の Cisco Secure ACS リモート エージェントがアプライアンス ソリューションとともに提供されています。Cisco Secure ACS リモート エージェントは、メンバー サーバ、ドメイン コントローラ、またはバックアップ ドメイン コントローラにインストールできます。注:ドメイン コントローラにリモート エージェントをインストールする方法が最適です。この場合、最小限のコンフィギュレーション要件で認証機能を実行できます。

Q:シスコが Windows 認証用にスタンドアロンのリモート エージェントを開発した理由は何ですか。
A:スタンドアロンのリモート エージェントがなければ、Cisco Secure ACS Solution Engine に NetBIOS をインストールする必要があります。この場合、Cisco Secure ACS は NetBIOS のセキュリティ上の脆弱性の影響を受けることになります。

Q:Cisco Secure ACS リモート エージェントの主な機能は何ですか。
A:Cisco Secure ACS リモート エージェントには 2 つの機能があります。1 つは、Windows ドメインに対する認証機能で、もう 1 つは、ユーザのアカウンティング レコードの(FTP サーバへの)リモート ロギング機能です。

Q:Cisco Secure ACS リモート エージェントはどの OS にインストールできますか。
A:Cisco Secure ACS リモート エージェントには 2 つのバージョンがあります。Windows 2000 サーバ(Windows ドメイン コントローラまたはメンバー サーバがサポートされる)にインストールできる Windows 版と、SUN Solaris にインストールできる Solaris 版です。サポートされている OS のバージョンおよびサービス パックについては、Cisco Secure ACS リモート エージェント インストレーション ガイドを参照してください。

Q:Cisco Secure ACS リモート エージェントの Windows 版と Solaris 版の機能の違いは何ですか。
A:Windows 版は Windows 認証とリモート ロギングの両方をサポートしていますが、Solaris 版はリモート ロギング機能のみのサポートとなります。

Q:Cisco Secure ACS リモート エージェントと Cisco Secure ACS for Windows は同じサーバ上で共存できますか。
A:共存できません。すでに Cisco Secure ACS for Windows がインストールされたサーバに Cisco Secure ACS リモート エージェントをインストールすることはできません。

Q:複数のリモート エージェントを使用するように Cisco Secure ACS Solution Engine を設定することは可能ですか。
A:可能です。Cisco Secure ACS Solution Engine は、1 つまたは複数のリモート エージェントを使用するように設定できます。Windows サービスとロギング サービスで同じエージェントを使用することに制約はありません。Windows サービスの場合、アプライアンスはプライマリ エージェントおよびバックアップ エージェント(プライマリ エージェントが使用できない場合)を指定できます。

Q:Cisco Secure ACS リモート エージェントは、複数のアプライアンスで共有できますか。
A:はい。Cisco Secure ACS リモート エージェントは、複数のアプライアンスで共有できます。1 つのリモート エージェントを共有する Cisco Secure ACS Solution Engine アプライアンスの数に設定上の制限は設けていません。しかし、シスコがサポートする最大構成は、1 つの Cisco Secure ACS リモート エージェントを 5 台以下のアプライアンスで共有するものとさせていただいています。

Q:Cisco Secure ACS リモート エージェントのリモート ロギング機能を使用せずに、Cisco Secure ACS Solution Engine 上でローカル ロギングを実行できますか。
A:はい。ただし、Cisco Secure ACS Solution Engine のローカル ロギングのサイズには制約があり、ログ ファイルは 7 日後に強制的に上書きされます。Cisco Secure ACS リモート エージェントは、リモート サーバに制約のない完全なロギング機能を提供できます。

Q:Cisco Secure ACS リモート エージェントが複数の Solution Engine アプライアンスで共有される場合、Cisco Secure ACS リモート エージェントはどのリモート ロギング コンフィギュレーションに従いますか。
A:各 Cisco Secure ACS リモート エージェントは、リモート ロギング サービスの初期化の際に、関連する Solution Engine アプライアンスからリモート ロギング コンフィギュレーションをダウンロードします。このようにして、1 つの Cisco Secure ACS リモート エージェントが提供するリモート ロギング サービスを複数のアプライアンスで使用できるようになります。

Q:Cisco Secure ACS リモート エージェントがサポートする Windows データベースと Cisco Secure ACS for Windows がサポートする Windows データベースに違いはありますか。
A:いいえ。Cisco Secure ACS リモート エージェントと Cisco Secure ACS for Windows は同じ Windows データベースをサポートしています。

Q:Cisco Secure ACS リモート エージェントがサポートしている IEEE 802.1X 認証タイプは何ですか。
A:Cisco Secure ACS リモート エージェントがサポートしている 802.1X 認証タイプは、Cisco Secure ACS for Windows で使用できる 802.1X 認証タイプと同じです。これには、Extensible Authentication Protocol-Message Digest 5(EAP-MD5)、EAP-Transport Layer Security(TLS)、Cisco LEAP Wireless、Protected EAP(PEAP)、および EAP-MSCHAPv2 などが含まれます。

Q:Windows の認証を行う場合、Cisco Secure ACS Solution Engine とリモート エージェント間でユーザの証明情報は暗号化されずに送信されるのですか。
A:いいえ。Cisco Secure ACS Solution Engine とリモート エージェント間でユーザ パスワードが暗号化されずに送信されることはありません。Cisco Secure ACS Solution Engine は、Cisco Secure ACS リモート エージェントに要求を送信する前に必ず MS-CHAP を使用してプレーン テキストのパスワードを暗号化します。さらに、Cisco Secure ACS Solution Engine とリモート エージェント間の通信は、Blowfish アルゴリズムと 128 ビット鍵を使用してすべて暗号化されます。また、暗号セッション鍵はランダムに生成され、公開鍵交換プロトコルを使用してリモート エージェントとアプライアンス間で交換されます。

Q:Cisco Secure ACS for Windows で Cisco Secure ACS リモート エージェントを使用することは可能ですか。
A:いいえ。Cisco Secure ACS リモート エージェントは Cisco Secure ACS Solution Engine 専用です。Cisco Secure ACS リモート エージェントと Windows 上の Cisco Secure ACS サービスは相互に通信できません。しかし、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine を同じネットワークで使用することは可能です。

Q:Cisco Secure ACS Solution Engine の標準 HTML レポートに変更はありますか。
A:変更はありません。Cisco Secure ACS Solution Engine 上のレポートは、複数のロール オーバー ファイルがサポートされていないため、サイズに制約があります。Cisco Secure ACS リモート エージェントでは、リモート FTP サーバ上で制約のない完全なレポート機能が使用できます。

Q:Cisco Secure ACS Solution Engine にアクセスするポートおよびプロトコルは何ですか。
A:表 1 に、Cisco Secure ACS Solution Engine に関連するポートおよびプロトコルを示します。

表 1 Cisco Secure ACS のポートおよびプロトコル

サービス名 UDP TCP
Dynamic Host Configuration Protocol(DHCP) 68 -
RADIUS 認証および許可(オリジナル版ドラフト RFC) 1645 -
RADIUS アカウンティング(オリジナル版ドラフト RFC) 1646 -
RADIUS 認証および許可(改訂版 RFC) 1812 -
RADIUS アカウンティング(改訂版ドラフト RFC) 1813 -
TACACS+ AAA - 49
レプリケーションおよび RDBMS 同期 - 2000
Cisco Secure ACS リモート ロギング - 2001
Cisco Secure ACS 分散ロギング(アプライアンスのみ) - 2003
HTTP 管理アクセス(ログイン時) - 2002
管理アクセス(ログイン後)のポート範囲 - 設定変更可能(デフォルト:1024 ~ 65535)*


* Cisco Secure ACS は、指定された範囲のポート番号から各管理セッションに一意の番号を割り当てます。

Q:サードパーティ製ソフトウェア ツール(Legato のバックアップ サービスなど)は使用できますか。
A:Cisco Secure ACS Solution Engine は、Cisco Secure ACS を稼働させるスタンドアロンの専用アプライアンスとして設計されています。現時点では、サードパーティ製ソフトウェアを追加するためのインターフェイスや機能はありません。FTP からダウンロードされた Cisco Secure ACS のイメージとパッチだけを追加できます。Cisco Secure ACS のバックアップ機能では、エクスポート ファイルを作成して、外部の FTP サーバに自動的にエクスポートします。バックアップ ツールをインストールし、この外部サーバのバックアップを行うことができます。シスコでは、将来、サードパーティ製品を組み込むための拡張性も検討する予定です。

Q:Cisco Secure ACS を「混在モード」(たとえば、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine のインスタンスを実行)で使用することは可能ですか。
A:可能です。シスコでは、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine の混在環境をサポートしています。

Q:Cisco Secure ACS Solution Engine の導入によって、Cisco Secure ACS のレプリケーションは影響を受けますか。
A:Cisco Secure ACS Solution Engine の導入後も、Cisco Secure ACS のレプリケーション機能に変更はありません。Cisco Secure ACS Solution Engine と Cisco Secure ACS for Windows 間のレプリケーション、および Cisco Secure ACS Solution Engine 間のレプリケーションは引き続きサポートされ、アプライアンスや Windows 固有の設定に影響はありません。

Q:レプリケーション構成で、Cisco Secure ACS for Windows と Cisco Secure ACS Solution Engine のどちらかをマスター データベースにする場合に制約はありますか。
A:特に制約はありません。Cisco Secure ACS for Windows または Cisco Secure ACS Solution Engine のどちらをマスター データベースにしても構いません。レプリケーション先のスレーブも、Cisco Secure ACS for Windows または Cisco Secure ACS Solution Engine のどちらでも構いません。また、Windows とアプライアンスの両方を同時にスレーブにすることもできます。

Q:Cisco Secure ACS Solution Engine では、シングル ログオンやパスワードの有効期間設定に変更はありますか。
A:いいえ。Cisco Secure ACS リモート エージェントと Windows またはドメイン コントローラの信頼関係が正しく確立されていれば、シングル ログオンおよびパスワード有効期間設定の機能は Cisco Secure ACS for Windows と同じです。

Q:Cisco Secure ACS が IIS や Apache ではなく、独自仕様の組み込み型 Web サーバを使用している理由は何ですか。
A:Cisco Secure ACS 専用の Web サーバの方が、IIS や Apache に比べ簡素です。用途を Cisco Secure ACS サービスに限定しているため、この Web サーバは一般に使用されている Web サーバよりもセキュリティ上の脆弱性によるリスクが軽減されています。

Q:アプライアンスをベースにした Cisco Secure ACS サーバの拡張性について教えてください。
A:アプライアンスベースの Cisco Secure ACS サーバには、少なくとも Windows ベースの Cisco Secure ACS サーバと同じ拡張性があります。Cisco Secure ACS のガイドラインやパフォーマンス分析によると、各 ACS サーバは 20,000 ~ 80,000 のユーザをサポートでき、最大 50,000 までのデバイスに対応できます(構成、プラットフォーム、および使用条件などによって左右されます)。ユーザのアクセス コントロールを拡張する上での実際の問題はバックエンド側にあります。Oracle や Sybase などの高性能バックエンド データベースと接続することで、シスコはクラスタ構成の Cisco Secure ACS for Windows 2000/NT を数十万のユーザ レコードを持つお客様に提供した例があります。

Q:Cisco Secure ACS Solution Engine では、Cisco Secure ACS の信頼性とリモート管理をどのように強化しているのですか。
A:システムがクラッシュすると、OS が自動的に再起動するように設定されています。さらに、シリアル コンソール サービスも、障害が発生すると自動的に再起動するように設定されています。Cisco Secure ACS ソフトウェアには監視機能があり、Cisco Secure ACS サービスに障害が発生すると Cisco Secure ACS サービスは再起動されます。また、Cisco Secure ACS Solution Engine では、リモート管理者に CLI(コマンドライン インターフェイス)が提供されています。CLI はシリアル回線接続と Telnet 接続をサポートしており、リモートから Cisco Secure ACS サービスのイメージ再構成、リロード、アップグレード、および再起動を行うことができます。

Q:Lightweight Directory Access Protocol(LDAP)はサポートされていますか。
A:Cisco Secure ACS Solution Engine での LDAP のサポートは、Cisco Secure ACS のソフトウェア バージョンと同じです。Cisco Secure ACS は、LDAP によってディレクトリ サーバに保管されたレコードを使用したユーザ認証をサポートしています。LDAP の汎用インターフェイスを使用して代表的なディレクトリ サーバ(Novell および Netscape など)をサポートしています。ディレクトリ サーバの認証時には、Password Authentication Protocol(PAP)パスワードを使用できます。さらに、Cisco Secure ACS は Windows 2000 の Active Directory Service(ADS)もサポートしています。Microsoft ADS の詳細については、Microsoft のドキュメントを参照してください。Cisco Secure ACS では、ユーザ検索用として、複数の異なる LDAP ソースを定義することもできます。つまり、異なる LDAP リポジトリを定義して、ユーザを検索できます。また、ユーザはセカンダリのバックアップ LDAP サーバを定義できます。したがって、プライマリ LDAP リポジトリがタイムアウトになっても、Cisco Secure ACS はセカンダリのバックアップ ソースを検索できます。

Q:Cisco Secure ACS Solution Engine は、Windows ネットワーク環境で「シングル ログイン」を使用できますか。
A:はい。ユーザ名とパスワードを一度だけ入力すれば済むように Cisco Secure ACS Solution Engine をセットアップすることができます。この場合、Cisco Secure ACS リモート エージェントは、所定のドメインとの信頼関係を持つ Windows ネットワーク サーバにインストールする必要があります。

Q:Cisco Secure ACS は、OTP および RSA の SecurID トークンなどのトークン システムをサポートしていますか。
A:はい。Cisco Secure ACS では、ActiveCard、Cryptocard、PassGo Technologies、RSA Data Security、Secure Computing、および Vasco のトークン ソリューションを使用できます。Cisco Secure ACS Solution Engine は RADIUS 汎用インターフェイスを備えているため、別のベンダーの OTP 製品にも対応できます。RFC 準拠の RADIUS インターフェイスを提供する OTP ベンダーの製品を使用できます。

Q:Cisco Secure ACS 4.0 のアクセス コントロールにおける新機能は何ですか。
A:バージョン 4.0 は Cisco Secure ACS のメジャー アップデートで、次の主要な機能が追加されています。
  • Network Admission Control(NAC)フェーズ 2
  • プロファイルごとのポリシーのサポート
  • スケーラビリティとパフォーマンスの改善
  • Machine Access Restriction(MAR; マシン アクセス制限)の例外リスト
  • レプリケーション機能の強化 - 設定可能なレプリケーション タイムアウト、およびユーザ データベースとグループ データベースのそれぞれ個別のレプリケーション

このリリースで導入された機能の詳細については、Cisco Secure ACS 4.0 のデータシートを参照してください。

Q:Cisco Secure ACS Solution Engine のライセンスはどのような形態ですか。
A:Cisco Secure ACS Solution Engine はサーバ単位でライセンス供与されます。ポート数、ユーザ数、およびネットワーク アクセス サーバ数に制限はありません。ご購入いただけるアプライアンス パッケージは、次のとおりです。詳しい製品番号については、次の URL から Cisco Secure ACS 4.0 の製品情報を参照してください。
http://www.cisco.com/jp/product/hs/security/acs/
  • Cisco Secure ACS Solution Engine 4.0
  • Cisco Secure ACS Solution Engine アップグレード パッケージ(Cisco Secure ACS 3.x または Cisco Secure ACS for UNIX 2.x から Cisco Secure ACS Solution Engine 4.0 にアップグレードする場合)

注: Cisco Secure ACS Solution Engine アップグレード パッケージは、Cisco Secure ACS for Windows または Cisco Secure ACS for UNIX を使用されているお客様が Solution Engine にアップグレードする場合にご購入いただけます。サポートされているアップグレード パスについては、Cisco Secure ACS Solution Engine のユーザ ガイドおよびリリース ノートを参照してください。現在の Cisco Secure ACS ソフトウェアのメンテナンス契約では、いかなる環境であっても Cisco Secure ACS Solution Engine への無料アップグレードは提供されていない点にもご注意ください。

Q:Cisco Secure ACS の以前のソフトウェア バージョンから Cisco Secure ACS Solution Engine 4.0 にアップグレードすることは可能ですか。
A:可能です。Cisco Secure ACS Solution Engine ソフトウェアへのアップグレードに必要な作業を行うためのアップグレード手順が用意されています。サポートされているアップグレード手順については、Cisco Secure ACS Solution Engine のユーザ ガイドを参照してください。なお、Cisco Secure ACS Solution Engine 4.0 はメジャー バージョンアップであるため、Software Application Support(SAS 契約)の対象とはなりません。Cisco Secure ACS Solution Engine 3.x をすでにお使いのお客様が 4.0 へのアップグレードを希望される場合は、製品番号 CSACSE-4.0-SWUP-K9 の購入が必要です。

Q:Cisco Secure ACS for UNIX から Cisco Secure ACS Solution Engine へ移行する場合に利用できるシスコ提供のアップグレード手順はありますか。
A:いいえ。今日、シスコでサポートしているアップグレード手順はありません。詳細については、シスコ製品販売代理店までお問い合わせください。

Q:バックアップ用 Cisco Secure ACS Solution Engine サーバの購入またはライセンス供与は可能ですか。
A:いいえ。リカバリおよびバックアップ用に使用する個別の Cisco Secure ACS サーバ ライセンスとして Cisco Secure ACS Solution Engine サーバをもう 1 つ購入する必要があります。Cisco Secure ACS サーバは、リカバリまたはフェールオーバー サーバとして使用できます。Cisco Secure ACS はネットワーク内で一元的に制御サービスを提供しているので、フェールオーバーおよびリカバリ用のバックアップ サーバを使用することを強く推奨します。

Q:Cisco Secure ACS のファームウェアをアップグレードした場合、Cisco Secure ACS Solution Engine の OS を更新する必要はありますか。
A:いいえ。基盤である Cisco Secure ACS Solution Engine の OS を更新しなくても、Cisco Secure ACS イメージの将来のアップグレードは Cisco Secure ACS Solution Engine に適用されます。

Q:新しい OS リリースやパッチが提供された場合、これらをアプライアンスに適用する必要はありますか。
A:いいえ。OS の更新やパッチの適用はすべて、シスコが実施する Cisco Secure ACS Solution Engine アップグレードによって処理されます。

Q:Cisco Secure ACS Solution Engine ソフトウェアは CD-ROM からリモートでアップグレードできますか。
A:はい。Cisco Secure ACS Solution Engine は、FTP サーバを使用せずに CD-ROM からリモートでアップグレードできます。

Q:Cisco Secure ACS Solution Engine では、パッチの更新を検証する際にソフトウェア イメージをロールバックすることは可能ですか。
A:はい。Cisco Secure ACS Solution Engine では、ソフトウェア パッチのインストール時に以前にインストールしたソフトウェアにロールバックすることができます。この機能は、デバッグや検証に使用されます。

Q:Cisco Secure ACS Solution Engine は、TACACS+ 要求と RADIUS 要求を同時に処理することはできますか。
A:はい。

Q:Cisco Secure ACS Solution Engine は、EAP with Tunneled TLS(EAP-TTLS)をサポートしていますか。
A:いいえ。Cisco Secure ACS Solution Engine は、EAP-TTLS をサポートしていません。同様の機能を提供する EAP-PEAP を使用することを推奨します。

Q:現在の Cisco Secure ACS for Windows の保守契約で、Cisco Secure ACS Solution Engine のサポートを受けることはできますか。
A:いいえ。Cisco Secure ACS Solution Engine の保守サポートを利用するには、個別の契約が必要です。詳しくは、Cisco Secure ACS 4.0 の製品資料を参照してください。

Q:Cisco Secure ACS Solution Engine のデモ版を入手することはできますか。
A:シスコ製品販売代理店までお問い合わせください。期間限定の Cisco Secure ACS Solution Engine のデモ版を手配させていただきます。


その他の情報

製品の詳細については、http://www.cisco.com/jp/product/hs/security/acs/ を参照してください。その他のお問い合わせやご質問については、シスコ製品販売代理店までお願いいたします。

お問い合わせ