- はじめに
- ACS 5.2 の導入
- ACS 4.x から ACS 5.2 への移行
- ACS 5.x ポリシー モデル
- ACS を使用した一般的なシナリオ
- [My Workspace] の概要
- インストール後の設定タスク
- ネットワーク リソースの管理
- ユーザおよび ID ストアの管理
- ポリシー要素の管理
- アクセス ポリシーの管理
- ACS での監視とレポート
- アラームの管理
- レポートの管理
- Monitoring & Report Viewer を使用した ACS のトラブルシューティング
- Monitoring & Report Viewer でのシステム の動作と設定の管理
- システム管理者の管理
- システムの動作の設定
- システム管理設定の管理
- ロギングの概要
- AAA プロトコル
- ACS 5.2 での認証
- 用語集
- 索引
Cisco Secure Access Control System 5.2 ユーザ ガイド
- Updated:
- 2017年6月6日
章のタイトル: システム管理者の管理
システム管理者の管理
システム管理者は、ネットワーク内の ACS サーバを展開、設定、管理、および監視します。システム管理者は、ACS 管理インターフェイスを使用して、ACS でさまざまな操作を実行できます。ACS で管理者を定義するとき、パスワードおよびロールまたはロールのセットを割り当てます。ロールによって、さまざまな操作に対する管理者のアクセス権が決定されます。
管理者アカウントを作成するとき、最初にパスワードを割り当てます。管理者は、あとで ACS Web インターフェイスを使用して、このパスワードを変更できます。割り当てられているロールに関係なく、管理者は自分のパスワードを変更できます。
ACS では、次の設定可能なオプションを使用して、管理者パスワードを管理できます。
•
Password Complexity:パスワードの必要な長さと文字タイプを指定します。
• Password History:同じパスワードを繰り返し使用できないようにします。
• Password Lifetime:指定された時間が経過したあと、管理者に対してパスワードの変更を強制します。
• Account Inactivity:指定時間使用されていない管理者アカウントをディセーブルにします。
• Password Failures:管理者アカウントが指定した回数連続してログインに失敗した場合に、そのアカウントをディセーブルにします。
さらに、ACS には、管理者が ACS 管理 Web インターフェイスへのアクセスに使用する IP アドレスおよびセッション継続時間を決定する、設定可能なオプションがあります。セッション継続時間を経過すると、アイドル セッションはシステムからログアウトします。
Monitoring & Report Viewer を使用して、システムへの管理者アクセスを監視できます。システムに現在アクセスしている管理者またはアクセスしようとしている管理者を監視するには、Administrator Access レポートを使用します。
Administrator Entitlement レポートを表示すると、管理者が持っているアクセス権、管理者が加えた設定変更、および管理者アクセスの詳細を表示できます。また、Configuration Change および Operational Audit レポートを使用して、各管理者が実行する特定の操作の詳細を表示することもできます。
ACS Web インターフェイスの [System Administrator] セクションでは、次の操作を実行できます。
• パスワードの複雑さ、アカウントのライフタイム、非アクティブなアカウントなどの認証設定
ACS 5.2 に初めてログインすると、事前定義済みの管理者ユーザ名( ACSAdmin )の入力を要求するプロンプトが表示され、事前定義済みのパスワード名( default )を変更することを要求されます。パスワードを変更したあと、システムの設定を開始できます。
事前定義済みの管理者には、すべての ACS リソースに対するスーパー管理者権限(Create、Read、Update、Delete、および eXecute(CRUDX))があります。プライマリ インスタンスにセカンダリ インスタンスを登録すると、プライマリ インスタンスで作成された任意のアカウントを使用できます。プライマリ インスタンスで作成したクレデンシャルは、セカンダリ インスタンスに適用されます。
(注) インストール後、ACS に初めてログインするときに、ACS Web インターフェイスからログインしてライセンスをインストールする必要があります。インストール後すぐに CLI から ACS にログインすることはできません。
管理者ロールおよびアカウントについて
ACS 5.2 に初めてログインすると、事前定義済みの管理者ユーザ名(ACSAdmin)の入力を要求するプロンプトが表示され、事前定義済みのパスワード名(default)を変更することを要求されます。
(注) ACSAdmin アカウントは名前を変更したり、ディセーブルにしたり、削除したりできません。
パスワードを変更したあと、システムの設定を開始できます。事前定義済みの管理者には、すべての ACS リソースに対するスーパー管理者権限(Create、Read、Update、Delete、および eXecute(CRUDX))があります。
きめ細かなアクセス制御が必要ない場合は、Super Admin ロールが最も便利です。このロールは、事前定義済みの ACSAdmin アカウントに割り当てられています。
1. 管理者を定義します。「システム管理者およびアカウントの設定」を参照してください。
2. 管理者にロールを関連付けます。「ロールについて」を参照してください。
これらの手順が完了すると、定義された管理者はシステムにログインして操作を開始できます。
認証について
認証要求は、すべての管理セッションに対して最初に行われる処理です。認証に失敗すると、管理セッションが終了します。認証に成功した場合、管理セッションは管理者がログアウトするかセッションがタイムアウトするまで継続します。
ACS 5.2 では、ユーザ資格情報(ユーザ名とパスワード)を使用してすべてのログイン操作を認証します。その後、ACS では、管理者とロールの定義を使用して、適切な権限を取得し、後続の認可要求に対応します。
ACS ユーザ インターフェイスには、必要な管理者特権を持っている機能とオプションだけが表示されます。
(注) システムの変更が反映されるように、しばらく待ってから再度ログインしてください。
システム管理者およびアカウントの設定
• ロールについて
ロールについて
ロールは一般的な管理者タスクで構成され、それぞれのタスクに権限のセットが関連付けられています。各管理者には複数の事前定義済みのロールを指定でき、1 つのロールを複数の管理者に適用できます。これにより、1 人の管理者に複数のタスクを設定したり、1 つのタスクに複数の管理者を設定したりできます。
ロールを割り当てるには、[Administrator Accounts] ページを使用します。一般的に、最初に正確にロールを定義しておくことを推奨します。詳細は「管理者アカウントの作成、複製、編集、および削除」を参照してください。
(注) ACS Web ユーザ インターフェイスには、自分が特権を持っている機能だけが表示されます。たとえば、ロールが Network Device Admin の場合、[System Administration] ドローアは表示されません。これは、そのドローア内の機能に対する権限がないためです。
権限
権限は、特定の管理タスクに適用されるアクセス権です。権限の構成要素は次のとおりです。
• リソース :管理者がアクセスできる ACS コンポーネント(ネットワーク リソース、ポリシー要素など)のリスト。
• 特権 :特権には、Create、Read、Update、Delete、および eXecute(CRUDX)があります。特定のリソースに適用できない特権もあります。たとえば、ユーザ リソースは実行できません。
特権のない管理者にリソースを割り当てても、その管理者はリソースにアクセスできません。また、権限は独立しています。Create、Update、および Delete 特権がリソースに適用されている場合、Read 特権は使用できません。
オブジェクトに権限が定義されていない場合、管理者はこのオブジェクトにアクセスできず、読み取ることもできません。
事前定義済みのロール
表 16-1 に、ACS の事前定義済みのロールを示します。
(注) 最初のログイン時には、特定の管理者に Super Admin だけが割り当てられています。
ロールの関連付けの変更
ACS のすべてのロールは、事前に定義される設計になっており、変更できません。ACS では、ロールの関連付けだけを変更できます。ロールの関連付けを変更する特権は、システム全体の認可ステータスに悪影響を及ぼす可能性があるため、ACS の Super Admin ロールと SecurityAdmin ロールにだけ割り当てられています。
ロールの関連付けの変更は、影響を受ける管理者がログアウトし、再度ログインしたあとで初めて有効になります。新たにログインするとき、ACS によってロールの関連付けの変更が読み取られ、適用されます。
(注) ロールの関連付けの変更はグローバルに影響するため、ACS の Super Admin ロールと SecurityAdmin ロールを割り当てる場合は注意が必要です。
管理者アカウントとロールの関連付け
管理者アカウントの定義は、名前、ステータス、説明、電子メール アドレス、パスワード、およびロールの割り当てで構成されています。
(注) ユーザごとに固有の管理者を作成することを推奨します。これにより、操作が監査ログに明確に記録されます。
既存のアカウントを編集および削除できます。ただし、最後のスーパー管理者を削除またはディセーブルにしようとすると、Web インターフェイスにエラー メッセージが表示されます。
ID や証明書は、適切な管理者だけが設定できます。[System Administration] ドローアで設定された ID は [Users and Identity Stores] ドローアで使用できますが、変更はできません。
• ロールについて
管理者アカウントの作成、複製、編集、および削除
管理者アカウントを作成、複製、編集、または削除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Accounts] を選択します。
表 16-2 で説明されている設定済み管理者のリストを含む [Administrators] ページが表示されます。
|
|
|
|---|---|
• 複製するアカウントの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 変更するアカウントをクリックします。または、名前のチェックボックスをオンにして [Edit] をクリックします。
• パスワードを変更するアカウントの隣にあるチェックボックスをオンにし、[Change Password] をクリックします。詳細については、「別の管理者パスワードのリセット」を参照してください。
(注) [Duplicate] ページでは、少なくとも [Admin Name] を変更する必要があります。
• 削除するアカウントの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。
ステップ 3 表 16-3 の説明に従って、[Administrator Accounts Properties] ページのフィールドに入力します。
新しいアカウントが保存されます。作成または複製した新しいアカウントを含む [Administrators] ページが表示されます。
事前定義済みのロールの表示
ACS の事前定義済みのロールについては、表 16-1 を参照してください。
[System Administration] > [Administrators] > [Roles] を選択します。
事前定義済みのロールのリストを含む [Roles] ページが表示されます。表 16-4 に、[Roles] ページのフィールドを示します。
|
|
|
|---|---|
設定されているすべてのロールのリスト。事前定義済みのロールのリストについては、「事前定義済みのロール」を参照してください。 |
|
ロール プロパティの表示
このページは、各ロールのプロパティを表示する場合に使用します。
[System Administration] > [Administrators] > [Roles] を選択し、ロールをクリックするか、またはロールのオプション ボタンを選択して [View] をクリックします。
表 16-5 で説明されている [Roles Properties] ページが表示されます。
|
|
|
|---|---|
ロールの名前。ロールを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。ロールは作成または編集できません。事前定義済みのロールのリストについては、表 16-4 を参照してください。 |
|
ロールの説明。詳細については、「事前定義済みのロール」を参照してください。 |
|
各リソースに割り当てることができる特権。特権が適用されない場合、特権のチェックボックスは選択できません(使用できません)。 行の色は、特定の特権が使用可能かどうかとは関係ありません。[Privileges] カラムの明示的なテキストによって決まります。 |
|
管理者の認証設定
認証設定は、管理者に強力なパスワードの使用や定期的なパスワードの変更などを強制することによって、セキュリティを強化する規則のセットです。パスワード ポリシーの変更は、すべての ACS システム管理者アカウントに適用されます。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Authentication] を選択します。
[Password Complexity] タブと [Advanced] タブを含む [Password Policies] ページが表示されます。
ステップ 2 [Password Complexity] タブで、管理者パスワードの設定に使用する各チェックボックスをオンにします。
表 16-6 に、[Password Complexity] タブのフィールドを示します。
ステップ 3 [Advanced] タブで、管理者の認証プロセスに設定する基準の値を入力します。
表 16-7 に、[Advanced] タブのフィールドを示します。
(注) ACS は、最後のログイン、最後のパスワード変更、またはログイン試行回数に基づいてアカウントを自動的に無効またはディセーブルにします。CLI および PI ユーザ アカウントはブロックされ、Web インターフェイスからパスワードを変更できるという内容の通知を受信します。アカウントがディセーブルになっている場合は、アカウントをイネーブルにするよう、別の管理者に依頼します。
管理者パスワードに定義された基準が設定されます。これらの基準は、以降のログインだけに適用されます。
セッション アイドル タイムアウトの設定
デフォルトでは、GUI セッションには 30 分のタイムアウト時間が割り当てられます。タイムアウト時間は、5 ~ 90 分の範囲で指定できます。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Session] を選択します。
ステップ 2 [Session Idle Timeout] の値を分単位で入力します。有効な値は 5 ~ 90 分です。
(注) CLI クライアント インターフェイスには、6 時間のデフォルトのセッション タイムアウト値が設定されています。CLI クライアント インターフェイスではセッション タイムアウト時間を設定できません。
管理者アクセスの設定
ACS 5.2 では、リモート クライアントの IP アドレスに基づいて ACS への管理アクセスを制限できます。次のいずれかの方法で IP アドレスをフィルタリングできます。
• 「IP アドレスの選択リストからのリモート管理を許可する」
• 「IP アドレスの選択リストからのリモート管理を拒否する」
[Allow all IP addresses to connect] オプションを選択すると、すべての接続を許可できます。これがデフォルトのオプションです。
管理者に ACS へのリモート アクセスを許可するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Access] を選択します。
[IP Addresses Filtering] ページが表示されます。
ステップ 2 [Allow only listed IP addresses to connect] オプション ボタンをクリックします。
ステップ 3 [IP Range(s)] 領域で [Create] をクリックします。
新しいウィンドウが表示されます。ACS へのリモート アクセスを許可するマシンの IP アドレスを入力します。IP アドレス範囲全体のサブネット マスクを入力します。
[IP Range(s)] 領域に IP アドレスが読み込まれます。ステップ 3 を繰り返して、リモート アクセスを許可する他の IP アドレスまたは範囲を追加します。
管理者による ACS へのリモート アクセスを拒否するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Access] を選択します。
[IP Addresses Filtering] ページが表示されます。
ステップ 2 [Reject connections from listed IP addresses] オプション ボタンをクリックします。
ステップ 3 [IP Range(s)] 領域で [Create] をクリックします。
ステップ 4 ACS へのリモート アクセスを許可しないマシンの IP アドレスを入力します。IP アドレス範囲全体のサブネット マスクを入力します。
[IP Range(s)] 領域に IP アドレスが読み込まれます。ステップ 3 を繰り返して、拒否する他の IP アドレスまたは範囲を追加します。
(注) すべての IP アドレスからの接続を拒否できます。この設定は、ACS Web インターフェイスではリセットできません。ただし、次の CLI コマンドを使用できます。
詳細については、『 CLI Reference Guide for Cisco Secure Access Control System 5.2 』を参照してください。
管理者パスワードのリセット
管理者アクセスの設定中、すべての管理者アカウントがロックアウトされ、管理者が企業内のいずれの IP アドレスからも ACS にアクセスできなくなる場合があります。この場合、ACS Config CLI から管理者パスワードをリセットする必要があります。すべての管理者パスワードをリセットするには、次のコマンドを使用する必要があります。
このコマンドの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_system/5.2/command/reference/cli_app_a.html#wp1697683
(注) ACS Web インターフェイスでは管理者パスワードをリセットできません。
管理者パスワードの変更
ACS 5.2 には、新しい Change Admin Password というロールが導入されました。このロールが割り当てられた管理者は、別の管理者のパスワードを変更できます。管理者のアカウントがディセーブルになっている場合、Change Admin Password ロールが割り当てられている他の管理者は、ACS Web インターフェイスからディセーブルになっているアカウントをリセットできます。ここでは、次の内容について説明します。
自分の管理者パスワードの変更
(注) すべての管理者は、自分のパスワードを変更できます。この操作を実行するのに特別なロールは必要ありません。
ステップ 1 [My Workspace] > [My Account] を選択します。
[My Account] ページが表示されます。有効な値については、「[My Account] ページ」を参照してください。
ステップ 2 [Password field] セクションに、現在の管理者パスワードを入力します。
ステップ 3 [New Password] フィールドに、新しい管理者パスワードを入力します。
ステップ 4 [Confirm Password] フィールドに、新しい管理者パスワードを再入力します。
acs reset-password コマンドを使用して ACSAdmin アカウントのパスワードをリセットすることもできます。このコマンドの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/command/reference/cli_app_a.html#wp1208469
別の管理者パスワードのリセット
別の管理者のパスワードをリセットするには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Accounts] を選択します。
管理者アカウントのリストを含む [Accounts] ページが表示されます。
ステップ 2 パスワードを変更する管理者アカウントの隣にあるチェックボックスをオンにし、[Change Password] をクリックします。
[Authentication Information] ページが表示され、管理者のパスワードが最後に変更された日付が示されます。
ステップ 3 [Password] フィールドに、新しい管理者パスワードを入力します。
ステップ 4 [Confirm Password] フィールドに、新しい管理者パスワードを再入力します。
ステップ 5 他の管理者が最初のログイン時にパスワードを変更できるように、[Change password on next login] チェックボックスをオンにします。
フィードバック