Cisco Secure Access Control System 5.2 ユーザ ガイド

ネットワークの定義とポリシーの目的

ポリシー作成の最初の手順では、ポリシーを適用するデバイスとユーザを決定します。その後、ポリシー要素を設定できます。

基本的なポリシー作成では、Web インターフェイスの左側のナビゲーションペインに表示されるドローアの順序に従って操作できます。一部のポリシー要素は他のポリシー要素に依存するため、ドローアの順序が役立ちます。ポリシードローアを順番に使用する場合、現在のドローアに必要な要素を、最初に前に戻って定義する必要がなくなります。

たとえば、ネットワーク設定の次の要素から簡単なデバイス管理ポリシーを作成できます。

• デバイス：ルータとスイッチ。

• ユーザ：ネットワークエンジニア。

• デバイスグループ：デバイスを場所およびデバイスタイプでグループ化します。

• ID グループ：ネットワーク技術者を場所およびアクセスレベルでグループ化します。

ポリシーの結果は、各サイトの管理スタッフに適用されます。

• 自分のサイトのデバイスに対するフルアクセス

• 他のすべてのデバイスに対する読み取り専用アクセス

• スーパーバイザの場合はすべてに対するフルアクセス

ポリシー自体は、ネットワーク操作およびデバイス管理ポリシー内の特権を持つ管理者に適用されます。ユーザ（ネットワーク技術者）は、内部 ID ストアに格納されます。

ポリシー結果は、アクセス要求に応じて適用された認可と権限です。これらの認可と権限は、ポリシー要素としても設定されます。

ポリシー作成フロー：次の手順

ポリシー作成フローのポリシー要素

Web インターフェイスには、デバイスグループや ID グループの定義に使用できる次のデフォルトが用意されています。

• All Locations

• All Device Types

• All Groups

作成する場所、デバイスタイプ、および ID グループは、これらのデフォルトの子です。

基本的なデバイス管理ポリシーの構築ブロックを作成するには、次の手順を実行します。

ステップ 1 ネットワークリソースを作成します。[Network Resources] ドローアで、次を作成します。

a. [All Locations] > [East]、[West]、[HQ] など、場所のデバイスグループ

b. [All Device Types] > [Router]、[Switch] など、デバイスタイプのデバイスグループ

c. [EAST-ACCESS-SWITCH]、[HQ-CORE-SWITCH]、[WEST-WAN-ROUTER] など、AAA クライアント（AAA スイッチとルータのクライアント、それぞれのアドレス、およびそれぞれのプロトコル）

ステップ 2 ユーザおよび ID ストアを作成します。[Users and Identity Stores] ドローアで、次を作成します。

a. ID グループ（Network Operations および Supervisor）

b. 特定のユーザおよび ID グループとの関連付け（[Name]、[Identity Group]、[Password] など）

ステップ 3 デバイス管理の認可と権限を作成します。[Policy Elements] ドローアで、次を作成します。

a. フルアクセス、読み取り専用などの特定の特権（[Shell Profiles] 内）

b. アクセスを許可または拒否するコマンドセット（[Command Sets] 内）

このポリシーでは、次の構築ブロックが作成されます。

• 次のようなネットワークデバイスグループ（NDG）。

– 場所：East、HQ、West

– デバイスタイプ：Router、Switch

• 次のような ID グループ。

– ネットワーク運用サイト：East、HQ、West

– アクセスレベル：フルアクセス

• デバイス：ネットワークデバイスグループに割り当てられているルータとスイッチ。

• ユーザ：ID グループに割り当てられている内部 ID ストア内のネットワーク技術者。

• シェルプロファイル：各管理者に適用できる、次のような特権。

– 完全な特権

– 読み取り専用の特権

• コマンドセット：各管理者に対して認可を許可または拒否。

ポリシー作成フロー：前の手順

ポリシー作成フロー：次の手順

アクセスサービスポリシーの作成

基本要素を作成したあと、ID グループと特権を含むアクセスポリシーを作成できます。たとえば、次のデータを使用する認可および認証ポリシーが含まれる、NetOps というデバイス管理用のアクセスサービスを作成できます。

• Supervisor ID グループのユーザ：すべての場所にあるすべてのデバイスに対する完全な特権を持ちます。

• East、HQ、および West ID グループのユーザ：対応する East、HQ、および West デバイスグループのデバイスに対する完全な特権を持ちます。

• 一致しない場合：アクセスを拒否します。

ポリシー作成フロー：前の手順

ポリシー作成フロー：次の手順

サービスセレクションポリシーの作成

ACS は、さまざまなアクセス使用例に対応しています。たとえば、デバイス管理、無線アクセス、ネットワークアクセスコントロールなどがあります。これらの使用例それぞれについてアクセスポリシーを作成できます。サービスセレクションポリシーでは、着信要求に適用するアクセスポリシーを決定します。

たとえば、TACAC+ プロトコルを使用するアクセス要求に NetOps アクセスサービスを適用するサービスセレクション規則を作成できます。

ポリシー作成フロー：前の手順

• 「サービスセレクション規則の作成、複製、および編集」

ポリシーのカスタマイズ

ACS ポリシー規則には、条件と結果が含まれています。ポリシーの規則の定義を開始する前に、ポリシーに含める条件のタイプを設定する必要があります。この手順はポリシーのカスタマイズと呼ばれます。選択した条件タイプは、[Policy] ページに表示されます。[Policy] ページに表示される条件タイプだけを適用できます。ポリシー条件の詳細については、「ポリシー条件の管理」を参照してください。

デフォルトでは、[Policy] ページには複合式の条件カラムが 1 つ表示されます。複合条件の詳細については、「複合条件の設定」を参照してください。

すでに TrustSec 機能を実装している場合は、認可ポリシーの結果をカスタマイズすることもできます。

注意すでに規則を定義している場合は、規則で条件のカスタマイズ時に削除する条件が使用されていないことを確認してください。条件カラムを削除すると、そのカラムに存在するすべての設定済み条件が削除されます。

ポリシーをカスタマイズするには、次の手順を実行します。

ステップ 1 カスタマイズする [Policy] ページを開きます。手順は次のとおりです。

• サービスセレクションポリシーの場合は、[Access Policies] > [Service Selection Policy] を選択します。

• アクセスサービスポリシーの場合は、[Access Policies] > [Access Services] > service > policy を選択します。 service はアクセスサービスの名前、 policy はカスタマイズするポリシーの名前です。

ステップ 2 [Policy] ページで [Customize] をクリックします。

条件のリストが表示されます。このリストには、ID アトリビュート、システム条件、およびカスタム条件が含まれています。

（注） ID 関連のアトリビュートは、サービスセレクションポリシー内の条件としては使用できません。

ステップ 3 条件を [Available] リストボックスと [Selected] リストボックスの間で移動します。

ステップ 4 [OK] をクリックします。

選択した条件が [Conditions] カラムに表示されます。

ステップ 5 [Save Changes] をクリックします。

ポリシーの設定：次の手順

• 「サービスセレクションポリシーの設定」

• 「アクセスサービスポリシーの設定」

サービスセレクションポリシーの設定

サービスセレクションポリシーでは、着信要求を処理するアクセスサービスを決定します。すべての要求に同じアクセスサービスを適用する単純なポリシー、または規則ベースのサービスセレクションポリシーを設定できます。

規則ベースのポリシーでは、各サービスセレクション規則に 1 つ以上の条件、および着信要求に適用されるアクセスサービスである結果が含まれます。サービスセレクションポリシー内の規則は、作成、複製、編集、および削除できます。また、イネーブルおよびディセーブルにすることもできます。

ここでは、次の内容について説明します。

• 「単純なサービスセレクションポリシーの設定」

（注）単純なポリシーを作成および保存してから規則ベースのポリシーに変更すると、単純なポリシーは規則ベースのポリシーのデフォルト規則になります。規則ベースのポリシーを保存してから単純なポリシーに変更すると、デフォルト規則以外の規則はすべて失われます。デフォルト規則は、ACS によって自動的に単純なポリシーとして使用されます。

単純なサービスセレクションポリシーの設定

単純なサービスセレクションポリシーでは、すべての要求に同じアクセスサービスを適用します。

単純なサービスセレクションポリシーを設定するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Service Selection Policy] を選択します。

デフォルトでは、[Simple Service Selection Policy] ページが表示されます。

ステップ 2 適用するアクセスサービスを選択するか、[Deny Access] を選択します。

ステップ 3 [Save Changes] を選択して、ポリシーを保存します。

[Service Selection Policy] ページ

このページは、着信要求に適用するサービスを決定する単純なポリシーまたは規則ベースのポリシーを設定する場合に使用します。

このページを表示するには、[Access Policies] > [Service Selection] を選択します。

すでにサービスセレクションポリシーが設定されている場合は、対応する単純なポリシーページ（表 10-1 を参照）または規則ベースのポリシーページ（表 10-2 を参照）が開きます。設定されていない場合は、デフォルトで単純なポリシーページが開きます。

表 10-1 [Simple Service Selection Policy] ページ
オプション	説明
Policy type	ポリシーのタイプを定義します。 • Select one result：結果はすべての要求に適用されます。 • Rule-based result selection：設定規則により、要求に応じて異なる結果が適用されます。
Service Selection Policy	すべての要求に適用するアクセスサービス。デフォルトは [Deny Access] です。

表 10-2 [Rule-based Service Selection Policy] ページ
オプション	説明
Policy type	設定するポリシーのタイプを定義します。 • Select one result：結果はすべての要求に適用されます。 • Rule-based result selection：設定規則により、要求に応じて異なる結果が適用されます。
Status	サービスセレクションを実行する規則の現在のステータス。規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor Only：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則名。
Conditions	サービスの範囲を決定する条件。このカラムでは、現在のすべての条件がサブカラムに表示されます。（注） ID ベースの条件は、サービスセレクション規則で使用できません。
Results	規則の評価結果として実行されるサービス。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] をクリックします。
Default Rule	次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

規則ベースのサービスセレクションポリシーを設定するには、次の項を参照してください。

• 「サービスセレクション規則の作成、複製、および編集」

• 「サービスセレクション規則の削除」

サービスセレクションポリシーの設定後、引き続きアクセスサービスポリシーを設定できます。「アクセスサービスポリシーの設定」を参照してください。

サービスセレクション規則の作成、複製、および編集

着信要求を処理するアクセスサービスを決定するサービスセレクション規則を作成します。一致する規則がないか、または規則が定義されていない場合は、デフォルト規則によってデフォルトのアクセスサービスが指定されます。

規則を作成するときは、規則の順序が重要であることに注意してください。ACS ネットワークにアクセスしようとするクライアントの要求が ACS によって処理されるときに一致が見つかると、その後の処理はすべて停止され、その一致に関連する結果が検索されます。一致が見つかったあとは、それ以降の規則は考慮されません。

サービスセレクション規則を複製して、既存の規則と同じか、または既存の規則によく似た新規の規則を作成できます。複製された規則名では、元の規則に複製を示すカッコが付けられます。たとえば、Rule-1(1) です。複製の完了後は、各規則（元の規則および複製された規則）に個別にアクセスします。デフォルト規則は複製できません。

サービスセレクション規則のすべての値を編集できます。また、デフォルト規則内の指定したアクセスサービスを編集できます。

（注）すべての要求に同じアクセスサービスを適用する単純なポリシーを設定するには、「単純なサービスセレクションポリシーの設定」を参照してください。

始める前に

• サービスセレクションポリシーで使用する条件を設定します。「ポリシー条件の管理」を参照してください。

（注） ID 関連のアトリビュートは、サービスセレクションポリシー内の条件としては使用できません。

• サービスセレクションポリシーで使用するアクセスサービスを作成します。「アクセスサービスの作成、複製、および編集」を参照してください。サービスセレクションポリシーを設定する前にアクセスサービスのポリシーを設定する必要はありません。

• ポリシー規則で使用する条件のタイプを設定します。詳細については、「ポリシーのカスタマイズ」を参照してください。

サービスセレクションポリシーを作成、複製、または編集するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Service Selection Policy] を選択します。次の場合があります。

• 規則ベースのポリシーを前に作成したことがある場合は、設定されている規則のリストを含む [Rule-Based Service Selection Policy] ページが表示されます。

• 規則ベースのポリシーを作成したことがない場合は、[Simple Service Selection Policy] ページが表示されます。[Rule-Based] をクリックします。

ステップ 2 次のいずれかを実行します。

• [Create] をクリックします。

• 複製する規則の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

• 変更する規則名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

[Rule] ページが表示されます。

ステップ 3 値を入力するか変更します。

• ユーザ定義の規則：任意の値を編集できます。少なくとも 1 つの条件が含まれていることを確認します。規則を複製する場合は、規則名を変更する必要があります。

• デフォルト規則：アクセスサービスだけを変更できます。

フィールドの説明については、表 10-3 を参照してください。

表 10-3 [Service Selection Rule Properties] ページ
オプション	説明
General
Name	規則の名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor Only：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Conditions
<condition(s)>	規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。表示された条件を変更するには、[Policy] ページで [Customize] をクリックします。各条件のデフォルト値は、[ ANY ] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。
Results
Service	規則の評価結果として実行されるアクセスサービスの名前。

ステップ 4 [OK] をクリックします。

設定した規則を含む [Service Selection Policy] ページが表示されます。

ステップ 5 [Save Changes] をクリックします。

関連トピック

• 「アクセスサービスの設定」

• 「サービスセレクション規則の削除」

ヒットカウントの表示

このページは、規則ベースのポリシーページの [Hit Count] 表示をリセットおよび更新する場合に使用します。

このページを表示するには、規則ベースのポリシーページの [Hit Count] をクリックします。

表 10-4 [Hit Count] ページ
オプション	説明
Hit Counts Reset
Last time hit counts were reset for this policy	このポリシーで最後にヒットカウントがリセットされた日付と時刻を表示します。
Reset hit counts display for this policy	[Policy] ページのすべての規則について [Hit Count] 表示をゼロ（0）にリセットするには、[Reset] をクリックします。
Hit Counts Collection
Hit counts are collected every:	ヒットカウント収集の間隔を表示します。
Last time hit counts were collected for this policy:	このポリシーで最後にヒットカウントが更新された日付と時刻を表示します。
Refresh hit counts display for this policy	[Policy] ページのヒットカウント表示をすべての規則の更新されたヒットカウントで更新するには、[Refresh] をクリックします。前回のヒットカウントは削除されます。 TACACS+ 認証要求が成功すると、対応する ID ポリシー規則と認可ポリシー規則の両方のヒットカウントは 1 ずつ増えます。

サービスセレクション規則の削除

（注）デフォルトのサービスセレクション規則は削除できません。

サービスセレクション規則を削除するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Service Selection Policy] を選択します。

設定されている規則のリストを含む [Service Selection Policy] ページが表示されます。

ステップ 2 削除する規則の隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックします。

[Service Selection Rules] ページが表示されます。このとき、削除した規則は表示されません。

ステップ 4 [Save Changes] をクリックして、新しい設定を保存します。

アクセスサービスの設定

アクセスサービスには、要求の認証および認可ポリシーが含まれています。使用例ごとに異なるアクセスサービスを作成できます。たとえば、デバイス管理、無線ネットワークアクセスなどの使用例があります。

アクセスサービスを作成するときに、サービスに含まれるポリシーのタイプとポリシー構造を定義します。たとえば、デバイス管理やネットワークアクセス用のポリシーがあります。

（注）サービスセレクション規則を定義する前にアクセスサービスを作成する必要がありますが、サービスのポリシーを定義する必要はありません。

ここでは、次の内容について説明します。

• 「アクセスサービスの作成、複製、および編集」

• 「アクセスサービスの削除」

アクセスサービスの作成後、そのサービスをサービスセレクションポリシーで使用できます。「サービスセレクションポリシーの設定」を参照してください。

アクセスサービスのポリシーはカスタマイズおよび変更できます。「アクセスサービスポリシーの設定」を参照してください。

関連トピック

• 「アクセスサービスの作成、複製、および編集」

デフォルトのアクセスサービスの編集

ACS 5.2 には、2 つのデフォルトのアクセスサービスが事前設定されています。1 つはデバイス管理用、もう 1 つはネットワークアクセス用です。これらのアクセスサービスは編集可能です。

デフォルトのアクセスサービスを編集するには、次の手順を実行します。

ステップ 1 次のいずれかを選択します。

• [Access Policies] > [Access Services] > [Default Device Admin]

• [Access Policies] > [Access Services] > [Default Network Access]

[Default Service Access Service] 編集ページが表示されます。

ステップ 2 [Default Service Access Service] ページのフィールドを編集します。

[General] タブのフィールドについては、表 10-5 を参照してください。

表 10-5 Default Access Service：[General] ページ
オプション	説明
General
Name	アクセスサービスの名前。
Description	アクセスサービスの説明。
Service Type	（表示のみ）サービスのタイプ。デバイス管理またはネットワークアクセス。
Policy Structure
Identity	アクセスサービスに ID ポリシーを含めて、ACS で認証およびアトリビュートの取得に使用する ID ストアを定義する場合にオンにします。
Group Mapping	アクセスサービスにグループマッピングポリシーを含めて、外部 ID ストアから取得したグループとアトリビュートを ACS の ID グループにマッピングする場合にオンにします。
Authorization	アクセスサービスに認可ポリシーを含めて、次を適用する場合にオンにします。 • ネットワークアクセスサービスの認可プロファイル。 • デバイス管理サービスのシェルプロファイルおよびコマンドセット。

ステップ 3 表 10-7 の説明に従って、[Allowed Protocols] タブのフィールドを編集します。

ステップ 4 [Submit] をクリックして、デフォルトのアクセスサービスに対する変更を保存します。

アクセスサービスの作成、複製、および編集

アクセスサービスには、要求の認証および認可ポリシーが含まれています。

アクセスサービスを作成するときに、次を定義します。

• ポリシー構造：サービスに含めるポリシーのタイプ。これらは、サービステンプレート、既存のサービス、または使用例に従って定義できます。

サービスには次のポリシーを含めることができます。

– ID ポリシー：認証に使用する ID ストアを定義します。

– グループマッピングポリシー：マッピング先の ID グループを定義します。

– 認可ポリシー：ネットワークアクセスの場合、このポリシーでは、適用するセッション認可プロファイルを定義します。デバイス管理の場合、適用するシェルプロファイルまたはコマンドセットを定義します。

• 許可されたプロトコル：このアクセスサービスに許可される認証プロトコルを指定し、ACS がそれらのプロトコルを認証に使用する方法に関する詳細情報を指定します。

サービステンプレートを使用して、特定の条件タイプを使用するようにカスタマイズされたポリシーを含むアクセスサービスを定義します。サービステンプレートの詳細については、「アクセスサービステンプレートの設定」を参照してください。

既存のアクセスサービスと同じか、または既存のアクセスサービスによく似た規則を含む新規のアクセスサービスを作成するには、アクセスサービスを複製します。複製の完了後は、各サービス（元のサービスおよび複製されたサービス）に個別にアクセスします。

複製元サービスの規則を複製しないでサービスポリシー構造を複製するには、既存のサービスに基づいて新しいアクセスサービスを作成します。

アクセスサービスを作成、複製、または編集するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Access Services] を選択します。

[Access Services] ページが表示され、設定されているサービスのリストが示されます。

ステップ 2 次のいずれかを実行します。

• [Create] をクリックします。

• 複製するアクセスサービスの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。

• 変更するアクセスサービス名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。

• 左側のナビゲーションタブでアクセスサービス名をクリックします。

[Access Service Properties] の [General] ページが表示されます。

• 新規のアクセスサービスを作成する場合は、次の手順を実行します。

a. アクセスサービスの名前とポリシー構造を定義します。

b. [Next] をクリックして、[Allowed Protocols] ページに進みます。

c. [Finish] をクリックして、新規のアクセスサービスを保存します。

• アクセスサービスを複製または編集する場合は、次の手順を実行します。

a. [Properties] ページのタブのフィールドを必要に応じて変更します。ポリシーを追加できますが、既存のポリシーは削除できません。

b. [Submit] をクリックして変更を保存します。

有効なフィールドオプションの詳細については、次を参照してください。

• 「アクセスサービスの一般プロパティの設定」

• 「アクセスサービスの許可されたプロトコルの設定」

• 「アクセスサービステンプレートの設定」

アクセスサービスの設定が保存されます。新しい設定を含む [Access Services] ページが表示されます。

関連トピック

• 「アクセスサービスの削除」

• 「アクセスサービスポリシーの設定」

• 「サービスセレクションポリシーの設定」

アクセスサービスの一般プロパティの設定

アクセスサービス定義には、一般および許可されたプロトコル情報が含まれています。サービスを複製および編集する場合、[Access Service properties] ページにタブが表示されます。

ステップ 1 [Access Policies] > [Access Services] を選択し、[Create]、[Duplicate]、または [Edit] をクリックします。

ステップ 2 表 10-6 の説明に従って、フィールドに入力します。

表 10-6 Access Service Properties：[General] ページ
オプション	説明
General
Name	アクセスサービスの名前。サービスを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Description	アクセスサービスの説明。
Access Service Policy Structure
Based on service template	定義済みのテンプレートに基づいたポリシーを含むアクセスサービスを作成します。このオプションは、サービスの作成だけに使用できます。
Based on existing service	既存のアクセスサービスに基づいたポリシーを含むアクセスサービスを作成します。新しいアクセスサービスには、既存のサービスのポリシー規則は含まれません。このオプションは、サービスの作成だけに使用できます。ポリシー規則を含めてサービスを複製するには、既存のアクセスサービスを複製します。
User selected service type	アクセスサービスタイプを選択するためのオプションがあります。使用できるオプションは、[Network Access]、[Device Administration]、および [RADIUS Proxy] です。設定できるポリシーのリストは、選択したアクセスサービスタイプによって異なります。
User Selected Service Type：[Network Access] および [Device Administration]
Policy Structure
Identity	アクセスサービスに ID ポリシーを含めて、ACS で認証およびアトリビュートの取得に使用する ID ストアを定義する場合にオンにします。
Group Mapping	アクセスサービスにグループマッピングポリシーを含めて、外部 ID ストアから取得したグループとアトリビュートを ACS の ID グループにマッピングする場合にオンにします。
Authorization	アクセスサービスに認可ポリシーを含めて、次を適用する場合にオンにします。 • ネットワークアクセスサービスの認可プロファイル。 • デバイス管理サービスのシェルプロファイルおよびコマンドセット。
User Selected Service Type：RADIUS Proxy
プロキシに使用する外部 RADIUS サーバのセットを選択します。これらのサーバの使用順序を指定することもできます。
Available External RADIUS Servers	使用できる外部 RADIUS サーバのリスト。プロキシに使用する外部 RADIUS サーバを選択し、[Selected External RADIUS Servers] リストに移動します。
Selected External RADIUS Servers	選択した外部 RADIUS サーバのリスト。
Advanced Options
Accounting
Remote Accounting	リモートアカウンティングをイネーブルにする場合にオンにします。
Local Accounting	ローカルアカウンティングをイネーブルにする場合にオンにします。
Username Prefix\Suffix Stripping
Strip start of subject name up to the last occurrence of the separator	プレフィックスからユーザ名を取り除く場合にオンにします。たとえば、サブジェクト名が acme¥smith、区切り文字が ¥ の場合、ユーザ名は smith になります。
Strip end of subject name from the first occurrence of the separator	サフィックスからユーザ名を取り除く場合にオンにします。たとえば、サブジェクト名が smith@acme.com、区切り文字が @ の場合、ユーザ名は smith になります。

ステップ 3 [Next] をクリックして、許可されたプロトコルを設定します。「アクセスサービスの許可されたプロトコルの設定」を参照してください。

関連トピック

• 「アクセスサービスの許可されたプロトコルの設定」

• 「アクセスサービステンプレートの設定」

アクセスサービスの許可されたプロトコルの設定

アクセスサービス作成の第 2 部は、許可されたプロトコルです。アクセスサービス定義には、一般および許可されたプロトコル情報が含まれています。サービスを複製および編集する場合、[Access Service properties] ページにタブが表示されます。

ステップ 1 [Access Policies] > [Access Services] を選択し、次の操作を実行します。

• [Create] をクリックして新規のアクセスサービスを作成し、[Allowed Protocols] タブをクリックします。

• [Duplicate] をクリックしてアクセスサービスを複製し、[Allowed Protocols] タブをクリックします。

• [Edit] をクリックしてアクセスサービスを編集し、[Allowed Protocols] タブをクリックします。

ステップ 2 表 10-7 に示すように、フィールドに入力します。

表 10-7 Access Service Properties：[Allowed Protocols] ページ
オプション	説明
Process Host Lookup	たとえば RADIUS Service-Type が 10 の場合に [Host Lookup] フィールドを処理し、RADIUS Calling-Station-ID アトリビュートの System UserName アトリビュートを使用するように ACS を設定する場合にオンにします。 ACS でホストルックアップ要求を無視し、認証と認可に system UserName アトリビュートの元の値を使用する場合はオフにします。オフにすると、メッセージ処理はプロトコル（たとえば PAP）に従って行われます。
Authentication Protocols
Allow PAP/ASCII	PAP/ASCII をイネーブルにします。PAP は、平文パスワード（つまり暗号化されていないパスワード）を使用する最もセキュリティレベルの低い認証プロトコルです。 [Allow PAP/ASCII] をオンにすると、[Detect PAP as Host Lookup] をオンにして、ネットワークアクセスサービスでこのタイプの要求を PAP ではなくホストルックアップ要求として検出するように ACS を設定できます。
Allow CHAP	CHAP 認証をイネーブルにします。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Windows Active Directory では使用できません。
Allow MS-CHAPv1	MS-CHAPv1 をイネーブルにします。
Allow MSCHAPv2	MSCHAPv2 をイネーブルにします。
Allow EAP-MD5	EAP ベースの Message Digest 5 ハッシュ認証をイネーブルにします。 [Allow EAP-MD5] をオンにすると、[Detect EAP-MD5 as Host Lookup] をオンにして、ネットワークアクセスサービスでこのタイプの要求を EAP-MD5 ではなくホストルックアップ要求として検出するように ACS を設定できます。
Allow EAP-TLS	EAP-TLS 認証プロトコルをイネーブルにし、EAP-TLS 設定を行います。エンドユーザクライアントからの EAP Identity 応答で提示されたユーザ ID を ACS が確認する方法を指定できます。ユーザ ID は、エンドユーザクライアントによって提示された証明書の情報に照らして確認されます。この比較は、ACS とエンドユーザクライアントとの間に EAP-TLS トンネルが確立されたあとに行われます。 EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、証明書の設定に必要な手順を完了した場合にかぎられます。詳細については、「ローカルサーバ証明書の設定」を参照してください。
Allow LEAP	LEAP 認証をイネーブルにします。
Allow PEAP	PEAP 認証プロトコルと PEAP 設定をイネーブルにします。デフォルトの内部方式は、MSCHAPv2 です。 [Allow PEAP] をオンにすると、次の PEAP 内部方式を設定できます。 • Allow EAP-MSCHAPv2：内部方式として EAP-MSCHAPv2 を使用する場合にオンにします。 – Allow Password Change：ACS でパスワード変更をサポートする場合にオンにします。 – Retry Attempts：ACS でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 1 ～ 3 です。 • Allow EAP-GTC：内部方式として EAP-GTC を使用する場合にオンにします。 – Allow Password Change：ACS でパスワード変更をサポートする場合にオンにします。 – Retry Attempts：ACS でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 1 ～ 3 です。
Allow EAP-FAST	EAP-FAST 認証プロトコルと EAP-FAST 設定をイネーブルにします。EAP-FAST プロトコルは、同じサーバ上の複数の内部プロトコルをサポートできます。デフォルトの内部方式は、MSCHAPv2 です。 [Allow EAP-FAST] をオンにすると、EAP-FAST 内部方式を設定できます。 • Allow EAP-MSCHAPv2 – Allow Password Change：ACS で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合にオンにします。 – Retry Attempts：ACS でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 1 ～ 3 です。 • Allow EAP-GTC – Allow Password Change：ACS で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合にオンにします。 – Retry Attempts：ACS でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 1 ～ 3 です。 • [Allow TLS-Renegotiation]：ACS で TLS 再ネゴシエーションをサポートする場合にオンにします。このオプションでは、エンドユーザクライアントと ACS の間で匿名の TLS ハンドシェイクが可能になります。EAP-MS-CHAP は、フェーズ 0 の内部方式としてのみ使用されます。 • Use PACs：EAP-FAST クライアントに認可 PAC をプロビジョニングするように ACS を設定する場合に選択します。追加のPAC オプションが表示されます。 • Don’t use PACs：トンネルまたはマシン PAC を発行したり受け入れたりしないで EAP-FAST を使用するように ACS を設定する場合に選択します。PAC のすべての要求は無視され、ACS は PAC を含まない Success-TLV で応答します。このオプションを選択すると、マシン認証を実行するように ACS を設定できます。








Allow EAP-FAST（続き）	PAC オプション • Tunnel PAC Time To Live：存続可能時間（TTL）の値によって PAC のライフタイムが制限されます。ライフタイム値と単位を指定します。デフォルトは 1 日です。 • Proactive PAC Update When: < n% > of PAC TTL is Left：Update 値により、クライアントに有効な PAC が保持されます。ACS は、最初に認証が成功してから TTL によって設定された有効期限までに更新を開始します。Update 値は、TTL の残り時間のパーセンテージです（デフォルト：10%）。 • Allow Anonymous In-band PAC Provisioning：ACS でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立し、クライアントにいわゆる PAC をプロビジョニングする場合にオンにします。その際、EAP-FAST のフェーズ 0 と EAP-MSCHAPv2 が使用されます。（注）匿名 PAC プロビジョニングをイネーブルにするには、内部方式として EAP-MSCHAPv2 と EAP-GTC の両方を選択する必要があります。 • Allow Authenticated In-band PAC Provisioning：ACS は Secure Socket Layer（SSL）サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中にクライアントに PAC をプロビジョニングします。このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が ACS にインストールされている必要があります。このオプションをオンにすると、認証された PAC プロビジョニングの成功後に Access-Accept メッセージをクライアントに返すように ACS を設定できます。 • Allow Machine Authentication：ACS でエンドユーザクライアントにマシン PAC をプロビジョニングし、（マシンクレデンシャルを持たないエンドユーザクライアントに対して）マシン認証を実行する場合にオンにします。マシン PAC は、要求（インバンド）によって、または管理者（アウトオブバンド）によって、クライアントにプロビジョニングできます。ACS がエンドユーザクライアントから有効なマシン PAC を受信すると、その PAC からマシン ID の詳細が抽出され、ACS 外部 ID ストアで確認されます。その詳細が正しいことが確認されると、その後の認証は実行されません。（注） ACS 5.2 では、マシン認証の外部 ID ストアとして Active Directory だけがサポートされます。このオプションをオンにすると、マシン PAC を使用するために受け入れることができる期間の値を入力できます。ACS は、期限切れのマシン PAC を受け取ると、（エンドユーザクライアントからの新規マシン PAC 要求を待たずに）エンドユーザクライアントに新規マシン PAC を自動的に再プロビジョニングします。 • Enable Stateless Session Resume：ACS で EAP-FAST クライアントに認可 PAC をプロビジョニングし、常に EAP-FAST のフェーズ 2 を実行する場合にオンにします（デフォルトはオン）。次の場合は、このオプションをオフにします。 – ACS が EAP-FAST クライアントに認可 PAC をプロビジョニングしないようにする場合 – EAP-FAST のフェーズ 2 を常に実行する場合このオプションをオンにすると、ユーザ認可 PAC の認可期間を入力できます。この期間の終了後、PAC は期限切れになります。ACS は期限切れの認可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。
Preferred EAP protocol	使用可能な次のオプションから、優先させる EAP プロトコルを選択します。 • EAP-FAST • PEAP • LEAP • EAP-TLS • EAP-MD5 このオプションでは、特定のプロトコルが実装されていない場合に、No-Acknowledgement を送信する機能を持たない古いサプリカント（エンドデバイス）と連携するよう、ACS に柔軟性を持たせることができます。このオプションを使用して、デバイスとネゴシエーションしているプロトコルのリストの先頭に特定のプロトコルを配置し、ネゴシエーションを成功させることができます。

ステップ 3 [Finish] をクリックして、アクセスサービスの変更を保存します。

アクセスサービスをイネーブルにするには、サービスセレクションポリシーに追加する必要があります。

アクセスサービステンプレートの設定

サービステンプレートを使用して、特定の条件タイプを使用するようにカスタマイズされたポリシーを含むアクセスサービスを定義します。

ステップ 1 「アクセスサービスの一般プロパティの設定」で、[Based on service template] を選択し、[Select] をクリックします。

ステップ 2 表 10-8 の説明に従って、フィールドに入力します。

表 10-8 アクセスサービステンプレート
テンプレート名	アクセスサービスタイプ	プロトコル	ポリシー	条件	結果
Device Admin - Simple	デバイス管理	PAP/ASCII	ID	なし - 単純	内部ユーザ
Device Admin - Simple	デバイス管理	PAP/ASCII	認可	Identity group、NDG:Location、NDG:Device Type、Time and Date	シェルプロファイル
Device Admin - Command Auth	デバイス管理	PAP/ASCII	ID	なし - 単純	内部ユーザ
Device Admin - Command Auth	デバイス管理	PAP/ASCII	認可	Identity group、NDG:Location、NDG: Time and Date	コマンドセット
Network Access - Simple	ネットワークアクセス	PEAP、EAP-FAST	ID	なし - 単純	内部ユーザ
Network Access - Simple	ネットワークアクセス	PEAP、EAP-FAST	認可	NDG:Location、Time and date	認可プロファイル
Network Access - MAC Authentication Bypass	ネットワークアクセス	Process Host Lookup、PAP/ASCII（Detect PAP as Host Lookup）、 EAP-MD5（Detect EAP-MD5 as Host Lookup）	ID	なし - 単純	内部ユーザ
Network Access - MAC Authentication Bypass	ネットワークアクセス		認可	Use case	認可プロファイル

アクセスサービスの削除

アクセスサービスを削除するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Access Services] を選択します。

[Access Services] ページが表示され、設定されているサービスのリストが示されます。

ステップ 2 削除するアクセスサービスの隣にあるチェックボックスを 1 つ以上オンにします。

ステップ 3 [Delete] をクリックし、確認メッセージの [OK] をクリックします。

[Access Policies] ページが表示されます。このとき、削除したアクセスサービスは表示されません。

関連トピック

• 「アクセスサービスの作成、複製、および編集」

アクセスサービスポリシーの設定

アクセスサービスの作成後、アクセスサービスポリシーを設定します。

• 「ID ポリシーの表示」

• 「ID ポリシー規則のプロパティの設定」

• 「グループマッピングポリシーの設定」

すべての着信要求に同じアクセスサービスを適用する単純なポリシーを設定するか、または規則ベースのポリシーを作成できます。

ポリシー規則の設定を開始する前に、次の操作を行う必要があります。

• ポリシー条件および結果を設定します。「ポリシー条件の管理」を参照してください。

• ポリシー規則によって適用される条件および結果のタイプを選択します。「ポリシーのカスタマイズ」を参照してください。

ポリシー規則の設定の詳細については、次を参照してください。

ID ポリシーの表示

アクセスサービスの ID ポリシーでは、ACS で認証とアトリビュートの取得に使用する ID ソースを定義します。ACS は、取得したアトリビュートをその後のポリシーで使用できます。

次の ID ソースがあります。

• パスワードベースの認証の ID ソースは、単一の ID ストアまたは ID ストア順序にすることができます。

• 証明書ベースの認証の ID ソースは、証明書認証プロファイルまたは ID ストア順序にすることができます。

ID ストア順序は、認証に使用される順序およびアトリビュートを取得する任意の追加順序を定義します。「ID ストア順序の設定」を参照してください。

ID ポリシーを含むアクセスサービスを作成した場合は、このポリシーを設定および変更できます。すべての要求の認証に同じ ID ソースを適用する単純なポリシー、または規則ベースの ID ポリシーを設定できます。

規則ベースのポリシーでは、各規則に 1 つ以上の条件、および認証に使用される ID ソースである結果が含まれます。ID ポリシー内の規則は、作成、複製、編集、および削除できます。また、イネーブルおよびディセーブルにすることもできます。

注意単純なポリシーページと規則ベースのポリシーページを切り替えると、以前に保存したポリシーは失われます。

単純な ID ポリシーを設定するには、次の手順を実行します。

ステップ 1

[Access Policies] > [Access Services] > service > [Identity] を選択します。 service は、アクセスサービスの名前です。

デフォルトでは、表 10-9 で説明されているフィールドを含む [Simple Identity Policy] ページが表示されます。

表 10-9 [Simple Identity Policy] ページ
オプション	説明
Policy type	設定するポリシーのタイプを定義します。 • Simple：結果がすべての要求に適用されることを指定します。 • Rule-based：要求に応じて異なる結果が適用されるように規則を設定します。（注）ポリシータイプを切り替えると、以前に保存したポリシー設定は失われます。
Identity Source	すべての要求に適用する ID ソース。デフォルトは [Deny Access] です。手順は次のとおりです。 • パスワードベースの認証の場合、単一の ID ストアまたは ID ストア順序を選択します。 • 証明書ベースの認証の場合、証明書認証プロファイルまたは ID ストア順序を選択します。 ID ストア順序は、認証に使用される順序およびアトリビュートを取得する任意の追加順序を定義します。「ID ストア順序の設定」を参照してください。
Advanced options	次のオプションについて、要求を拒否またはドロップするか、認証を続行するかを指定します。 • If authentication failed：デフォルトは拒否です。 • If user not found：デフォルトは拒否です。 • If process failed：デフォルトはドロップです。基になるプロトコルの制限により、ACS では、[Continue] オプションが選択された場合でも処理を続行できない場合があります。PAP/ASCII、EAP-TLS、または Host Lookup の場合、認証に失敗しても ACS は処理を続行できます。その他のすべての認証プロトコルの場合、[Continue] オプションを選択しても要求はドロップされます。

ステップ 2 認証用の ID ソースを選択するか、または [Deny Access] を選択します。

その他の高度なオプションを設定できます。「ID ポリシー規則のプロパティの設定」を参照してください。

ステップ 3 [Save Changes] を選択して、ポリシーを保存します。

規則ベースの ID ポリシーの表示

[Access Policies] > [Access Services] > service > [Identity] を選択します。 service は、アクセスサービスの名前です。

デフォルトでは、表 10-9 で説明されているフィールドを含む [Simple Identity Policy] ページが表示されます。設定されている場合は、表 10-10 で説明されているフィールドを含む [Rules-Based Identity Policy] ページが表示されます。

表 10-10 [Rule-based Identity Policy] ページ
オプション	説明
Policy type	設定するポリシーのタイプを定義します。 • Simple：結果がすべての要求に適用されることを指定します。 • Rule-based：要求に応じて異なる結果が適用されるように規則を設定します。注意ポリシータイプを切り替えると、以前に保存したポリシー設定は失われます。
Status	規則の現在のステータス。規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則名。
Conditions	ポリシーの範囲を決定する条件。このカラムでは、現在のすべての条件がサブカラムに表示されます。
Results	規則の評価結果として認証に使用される ID ソース。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
Default Rule	次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

規則ベースのポリシーを設定するには、次の項を参照してください。

ホストルックアップ要求用の ID ポリシー設定の詳細については、「ホストルックアップ要求用の認可ポリシーの設定」を参照してください。

関連トピック

• 「グループマッピングポリシーの設定」

ID ポリシー規則のプロパティの設定

ID ポリシー規則を作成、複製、または編集して、クライアントの認証に使用する ID データベースを決定したり、クライアントのアトリビュートを取得したりできます。

このページを表示するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Access Services] > service > [Identity] を選択し、次のいずれかを実行します。

• [Create] をクリックします。

• 規則チェックボックスをオンにし、[Duplicate] をクリックします。

• 規則名をクリックするか規則チェックボックスをオンにし、[Edit] をクリックします。

ステップ 2 表 10-11 の説明に従って、[Identity Rule Properties] ページのフィールドに入力します。

表 10-11 [Identity Rule Properties] ページ
オプション	説明
General
Rule Name	規則の名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Rule Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Conditions
<condition(s)>	規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。各条件のデフォルト値は、[ ANY ] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。
Results
Identity Source	要求に適用する ID ソース。デフォルトは [Deny Access] です。手順は次のとおりです。 • パスワードベースの認証の場合、単一の ID ストアまたは ID ストア順序を選択します。 • 証明書ベースの認証の場合、証明書認証プロファイルまたは ID ストア順序を選択します。 ID ストア順序は、認証に使用される順序および追加アトリビュートを取得する任意の順序を定義します。「ID ストア順序の設定」を参照してください。
Advanced options	次のオプションについて、要求を拒否またはドロップするか、認証を続行するかを指定します。 • If authentication failed：デフォルトは拒否です。 • If user not found：デフォルトは拒否です。 • If process failed：デフォルトはドロップです。基になるプロトコルの制限により、ACS では、[Continue] オプションが選択された場合でも処理を続行できない場合があります。PAP/ASCII、EAP-TLS、または Host Lookup の場合、認証に失敗しても ACS は処理を続行できます。その他のすべての認証プロトコルの場合、[Continue] オプションを選択しても、要求はドロップされます。

グループマッピングポリシーの設定

外部 ID ストアから取得したグループとアトリビュートを ACS ID グループにマッピングするグループマッピングポリシーを設定します。ACS によってユーザまたはホストの要求が処理されるときに、このポリシーによって認可ポリシー規則で使用できる関連 ID グループが取得されます。

グループマッピングポリシーを含むアクセスサービスを作成した場合は、このポリシーを設定および変更できます。すべての要求に同じ ID グループを適用する単純なポリシー、または規則ベースのポリシーを設定できます。

規則ベースのポリシーでは、各規則に 1 つ以上の条件と結果が含まれます。条件は、外部アトリビュートストアから取得されたアトリビュートまたはグループだけに基づくことができます。結果は、ID グループ階層内の ID グループです。ポリシー内の規則は、作成、複製、編集、および削除できます。また、イネーブルおよびディセーブルにすることもできます。

注意単純なポリシーページと規則ベースのポリシーページを切り替えると、以前に保存したポリシーは失われます。

単純なグループマッピングポリシーを設定するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Access Services] > service > [Group Mapping] を選択します。 service は、アクセスサービスの名前です。

デフォルトでは、[Simple Group Mapping Policy] ページが表示されます。フィールドの説明については、表 10-12 を参照してください。

[Rule-Based Group Mapping Policy] ページのフィールドの説明については、表 10-13 を参照してください。

表 10-12 [Simple Group Mapping Policy] ページ
オプション	説明
Policy type	設定するポリシーのタイプを定義します。 • Simple：結果がすべての要求に適用されることを指定します。 • Rule-based：要求に応じて異なる結果が適用されるように規則を設定します。注意ポリシータイプを切り替えると、以前に保存したポリシー設定は失われます。
Identity Group	すべての要求のアトリビュートとグループをマッピングする ID グループ。

表 10-13 [Rule-based Group Mapping Policy] ページ
オプション	説明
Policy type	設定するポリシーのタイプを定義します。 • Simple：結果がすべての要求に適用されることを指定します。 • Rule-based：要求に応じて異なる結果が適用されるように規則を設定します。注意ポリシータイプを切り替えると、以前に保存したポリシー設定は失われます。
Status	規則の現在のステータス。規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則名。
Conditions	ポリシーの範囲を決定する条件。このカラムでは、現在のすべての条件がサブカラムに表示されます。
Results	規則の評価結果として使用される ID グループ。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
Default Rule	次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

ステップ 2 ID グループを選択します。

ステップ 3 [Save Changes] を選択して、ポリシーを保存します。

規則ベースのポリシーを設定するには、次の項を参照してください。

関連トピック

グループマッピングポリシー規則のプロパティの設定

このページは、外部データベースから取得されたアトリビュートとグループの ACS ID グループへのマッピングを定義するグループマッピングポリシー規則を作成、複製、または編集する場合に使用します。

ステップ 1 [Access Policies] > [Access Services] > service > [Group Mapping] を選択し、次のいずれかを実行します。

• [Create] をクリックします。

• 規則チェックボックスをオンにし、[Duplicate] をクリックします。

• 規則名をクリックするか規則チェックボックスをオンにし、[Edit] をクリックします。

ステップ 2 表 10-14 の説明に従って、フィールドに入力します。

表 10-14 [Group Mapping Rule Properties] ページ
オプション	説明
General
Rule Name	規則の名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Rule Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Conditions
<condition(s)>	規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。各条件のデフォルト値は、[ANY] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。
Results
Identity Group	要求のアトリビュートとグループをマッピングする ID グループ。

ネットワークアクセスのセッション認可ポリシーの設定

ネットワークアクセス認可のアクセスサービスを作成すると、セッション認可ポリシーが作成されます。その後、このポリシーに規則を追加し、変更してクライアントセッションのアクセス権を決定できます。

標準の最初に一致する規則テーブルであるスタンドアロン認可ポリシーをアクセスサービスに作成できます。例外ポリシーを含む認可ポリシーを作成することもできます。「認可例外ポリシーの設定」を参照してください。要求が例外規則に一致すると、ポリシー例外規則の結果が常に適用されます。

規則には、任意の条件と複数の結果を含めることができます。

• 認可プロファイル：ユーザ定義アトリビュートを定義し、任意で、Access-Accept メッセージによって返されるダウンロード可能 ACL を定義します。

• セキュリティグループタグ（SGT）：Cisco TrustSec がインストールされている場合は、認可規則で要求に適用する SGT を定義できます。

ACS が複数の認可プロファイルを含む規則を処理する方法の詳細については、「複数の認可プロファイルを含む規則の処理」を参照してください。

認可ポリシーを設定するには、次の項を参照してください。

認可ポリシーの作成については、次を参照してください。

• ホストルックアップ要求については、「ACS および Cisco TrustSec」を参照してください。

• TrustSec サポートについては、「エンドポイントアドミッションコントロールポリシーの作成」を参照してください。

ステップ 1 [Access Policies] > [Access Services] > service > [Authorization] を選択します。

ステップ 2 表 10-15 の説明に従って、フィールドに入力します。

表 10-15 [Network Access Authorization Policy] ページ
オプション	説明
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則の名前。
Conditions
Identity Group	マッチング対象の内部 ID グループの名前。
NDG: name	ネットワークデバイスグループ。2 つの事前定義済みの NDG は、Location および Device Type です。
Condition Name	規則の範囲を定義する条件。規則で使用する条件のタイプを変更するには、[Customize] ボタンをクリックします。使用する条件をあらかじめ定義しておく必要があります。
Results
Shell Profile	対応する規則が一致したときに適用される認可プロファイルを表示します。 TrustSec 機能をイネーブルにすると、規則の結果をカスタマイズできます。規則では、エンドポイントのアクセス権、そのエンドポイントのセキュリティグループ、またはその両方を決定できます。表示されるカラムには、カスタマイゼーション設定が反映されます。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
Default Rule	次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。 TrustSec 機能をイネーブルにすると、規則の結果セットを選択することもできます。セッション認可プロファイルだけ、セキュリティグループだけ、またはその両方です。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

ネットワークアクセス認可規則のプロパティの設定

このページは、ネットワークアクセスサービスのアクセス権を決定する規則を作成、複製、および編集する場合に使用します。

ステップ 1 [Access Policies] > [Access Services] > <service> > [Authorization] を選択し、[Create]、[Edit]、または [Duplicate] をクリックします。

ステップ 2 表 10-16 の説明に従って、フィールドに入力します。

表 10-16 [Network Access Authorization Rule Properties] ページ
オプション	説明
General
Name	規則の名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Conditions
<condition(s)>	規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。各条件のデフォルト値は、[ANY] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。
Results
Authorization Profiles	使用できるプロファイルと選択されたプロファイルのリスト。要求に適用する複数の認可ポリシーを選択できます。矛盾を解決する場合の認可ポリシー順序の重要性については、「複数の認可プロファイルを含む規則の処理」を参照してください。
Security Group	（TrustSec のみ）適用するセキュリティグループ。 TrustSec をイネーブルにすると、結果のオプションをカスタマイズして、セッション認可プロファイルだけ、セキュリティグループだけ、またはその両方を表示できます。

デバイス管理認可ポリシーの設定

デバイス管理認可ポリシーは、ネットワーク管理者の認可と権限を決定します。

認可ポリシーは、アクセスサービスの作成中に作成します。[Access Service Create] ページの詳細については、「アクセスサービスの一般プロパティの設定」を参照してください。

このページを使用して、次のことを行います。

• 規則を表示します。

• 規則を削除します。

• 規則を作成、複製、編集、およびカスタマイズできるページを開きます。

[Access Policies] > [Access Services] > service > [Authorization] を選択します。

表 10-17 で説明されている [Device Administration Authorization Policy] ページが表示されます。

表 10-17 [Device Administration Authorization Policy] ページ
オプション	説明
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則の名前。
Conditions	規則の範囲を定義する条件。規則で使用する条件のタイプを変更するには、[Customize] ボタンをクリックします。使用する条件をあらかじめ定義しておく必要があります。
Results	対応する規則が一致したときに適用されるシェルプロファイルとコマンドセットを表示します。規則の結果をカスタマイズできます。規則によって、シェルプロファイル、コマンドセット、またはその両方を適用できます。表示されるカラムには、カスタマイゼーション設定が反映されます。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
Default Rule	次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。
[Customize] ボタン	ポリシー規則で使用する条件および結果のタイプを選択する [Customize] ページを開きます。[Conditions] および [Results] カラムには、カスタマイゼーション設定が反映されます。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

デバイス管理認可規則のプロパティの設定

このページは、デバイス管理アクセスサービスの認可および権限を決定する規則を作成、複製、および編集する場合に使用します。

[Access Policies] > [Access Services] > service > [Authorization] を選択し、[Create]、[Edit]、または [Duplicate] をクリックします。

表 10-18 で説明されている [Device Administration Authorization Rule Properties] ページが表示されます。

表 10-18 [Device Administration Authorization Rule Properties] ページ
オプション	説明
General
Name	規則の名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Conditions
<condition(s)>	規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。各条件のデフォルト値は、[ANY] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。
Results
Shell Profiles	規則で適用するシェルプロファイル。
Command Sets	使用できるコマンドセットと選択されたコマンドセットのリスト。適用する複数のコマンドセットを選択できます。

デバイス管理認可例外ポリシーの設定

定義済み認可ポリシーのデバイス管理認可例外ポリシーを作成できます。例外規則の結果は、常に認可ポリシー規則よりも優先されます。

このページを使用して、次のことを行います。

• 例外規則を表示します。

• 例外規則を削除します。

• 例外規則を作成、複製、編集、およびカスタマイズするページを開きます。

[Access Policies] > [Access Services] > service > [Authorization] を選択し、[Device Administration Authorization Exception Policy] をクリックします。

表 10-19 で説明されている [Device Administration Authorization Exception Policy] ページが表示されます。

表 10-19 [Device Administration Authorization Exception Policy] ページ
オプション	説明
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則の名前。
Conditions
Identity Group	マッチング対象の内部 ID グループの名前。
NDG:< name >	ネットワークデバイスグループ。2 つの事前定義済みの NDG は、Location および Device Type です。
Condition Name	規則の範囲を定義する条件。規則で使用する条件のタイプを変更するには、[Customize] ボタンをクリックします。使用する条件をあらかじめ定義しておく必要があります。
Results	対応する規則が一致したときに適用されるシェルプロファイルとコマンドセットを表示します。規則の結果をカスタマイズできます。規則によって、シェルプロファイル、コマンドセット、またはその両方を決定できます。表示されるカラムには、カスタマイゼーション設定が反映されます。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。対応する認可ポリシーと同じ条件および結果のセットを使用する必要はありません。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

デバイス管理のシェル/コマンド認可ポリシーの設定

アクセスサービスを作成してデバイス管理のサービスポリシー構造を選択すると、ACS によって自動的にシェル/コマンド認可ポリシーが作成されます。その後、ポリシー規則を作成および変更できます。

Web インターフェイスでは、デバイス管理の複数のコマンドセットを作成する機能がサポートされています。この機能を使用すると、保持する基本コマンドセットの数を少なくすることができます。すべての組み合せを個々のコマンドセットで保持するのではなく、規則の結果としてコマンドセットを組み合せて選択できます。

例外ポリシーを含む認可ポリシーを作成して、標準のポリシー結果よりも優先させることもできます。「認可例外ポリシーの設定」を参照してください。

ACS が複数のコマンドセットを含む規則を処理する方法の詳細については、「複数のコマンドセットを持つ規則の処理」を参照してください。

規則を設定するには、次の項を参照してください。

認可例外ポリシーの設定

認可ポリシーには例外ポリシーを含めることができます。一般に、例外は一時ポリシーです。たとえば、ビジターに一時的なアクセス権を付与したり、特定のユーザに対してアクセスレベルを上げたりします。例外ポリシーは、変化する状況やイベントに効率的に対応するために使用します。

例外規則の結果は、常に標準の認可ポリシー規則よりも優先されます。

例外ポリシーは、メインの認可ポリシーテーブルとは別の規則テーブルに作成します。対応する標準の認可ポリシーで使用されているのと同じポリシー条件を例外ポリシーで使用する必要はありません。

例外ポリシー規則のページにアクセスするには、次の手順を実行します。

ステップ 1 [Access Policies] > [Service Selection Policy] > service > authorization policy を選択します。 service はアクセスサービスの名前、 authorization policy はセッション認可またはシェル/コマンドセット認可ポリシーです。

ステップ 2 規則ベースのポリシーページで、規則テーブルの上にある [Exception Policy] リンクをクリックします。

表 10-20 で説明されているフィールドを含む [Exception Policy] テーブルが表示されます。

表 10-20 [Network Access Authorization Exception Policy] ページ
オプション	説明
Status	規則のステータスは、次のとおりです。 • Enabled：規則はアクティブです。 • Disabled：ACS によって規則の結果は適用されません。 • Monitor：規則はアクティブですが、ACS によって規則の結果は適用されません。ヒットカウントなどの結果はログに書き込まれます。ログエントリには、規則がモニタだけであることを示す情報が含まれます。モニタオプションは、新規の規則の結果を確認する場合に特に役立ちます。
Name	規則の名前。
Conditions
Identity Group	マッチング対象の内部 ID グループの名前。
NDG:< name >	ネットワークデバイスグループ。2 つの事前定義済みの NDG は、Location および Device Type です。
Condition Name	規則の範囲を定義する条件。規則で使用する条件のタイプを変更するには、[Customize] ボタンをクリックします。使用する条件をあらかじめ定義しておく必要があります。
Results	対応する規則が一致したときに適用される認可プロファイルを表示します。 TrustSec 機能をイネーブルにすると、規則の結果をカスタマイズできます。規則では、エンドポイントのアクセス権、そのエンドポイントのセキュリティグループ、またはその両方を決定できます。表示されるカラムには、カスタマイゼーション設定が反映されます。
Hit Count	規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。
[Customize] ボタン	ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。対応する認可ポリシーと同じ条件のセットを使用する必要はありません。 TrustSec 機能をイネーブルにすると、規則の結果セットを選択することもできます。セッション認可プロファイルだけ、セキュリティグループだけ、またはその両方です。注意規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
[Hit Count] ボタン	[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒットカウントの表示」を参照してください。

規則を設定するには、次の項を参照してください。

関連トピック

ポリシー規則の作成

一致する規則がないか、または規則が定義されていない場合は、デフォルト規則によってデフォルトのポリシーが指定されます。デフォルト規則の結果は編集できます。

始める前に

• ポリシー条件および結果を設定します。「ポリシー条件の管理」を参照してください。

• ポリシー規則によって適用される条件および結果のタイプを選択します。「ポリシーのカスタマイズ」を参照してください。

新規のポリシー規則を作成するには、次の手順を実行します。

ステップ 1 [Access Policies] > [Service Selection Policy] > service > policy を選択します。 service はアクセスサービスの名前、 policy はポリシーのタイプです。次の場合があります。

• 規則ベースのポリシーを前に作成したことがある場合は、設定されている規則のリストを含む規則ベースのポリシーページが表示されます。

• 規則ベースのポリシーを作成したことがない場合は、単純なポリシーページが表示されます。[Rule-Based] をクリックします。

ステップ 2 [Rule-Based Policy] ページで、[Create] をクリックします。

[Rule] ページが表示されます。

ステップ 3 規則を定義します。

ステップ 4 [OK] をクリックします。

新しい規則を示す [Policy] ページが表示されます。

ステップ 5 [Save Changes] をクリックして、新規の規則を保存します。

アクセスサービスによって処理されるすべての要求に同じ結果を使用する単純なポリシーを設定するには、次を参照してください。

• 「ID ポリシーの表示」

• 「グループマッピングポリシーの設定」