- はじめに
- ACS 5.2 の導入
- ACS 4.x から ACS 5.2 への移行
- ACS 5.x ポリシー モデル
- ACS を使用した一般的なシナリオ
- [My Workspace] の概要
- インストール後の設定タスク
- ネットワーク リソースの管理
- ユーザおよび ID ストアの管理
- ポリシー要素の管理
- アクセス ポリシーの管理
- ACS での監視とレポート
- アラームの管理
- レポートの管理
- Monitoring & Report Viewer を使用した ACS のトラブルシューティング
- Monitoring & Report Viewer でのシステム の動作と設定の管理
- システム管理者の管理
- システムの動作の設定
- システム管理設定の管理
- ロギングの概要
- AAA プロトコル
- ACS 5.2 での認証
- 用語集
- 索引
Cisco Secure Access Control System 5.2 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: ネットワーク リソースの管理
ネットワーク リソースの管理
[Network Resources] ドローアでは、ACS に要求を発行するネットワーク内の要素、または要求処理の一環として ACS が対話する要素が定義されます。これらの要素には、要求を発行するネットワーク デバイス、および RADIUS プロキシとして使用される RADIUS サーバなどの外部サーバが含まれます。
•
ネットワーク デバイス グループ:ネットワーク デバイスの論理的なグループ。設定すると、ポリシー条件で使用できます。
• ネットワーク デバイス:ACS ネットワークにアクセスする、ACS デバイス リポジトリ内のすべてのネットワーク デバイスの定義。
• デフォルトのネットワーク デバイス:特定の IP アドレスのデバイス定義が ACS で見つからなかった場合に、ACS によって RADIUS 要求または TACACS+ 要求に使用されるデフォルトのネットワーク デバイス定義。
• 外部サーバ:RADIUS プロキシとして使用される RADIUS サーバ。
ネットワーク デバイスからネットワークへのアクセス要求を受信すると、ACS はネットワーク デバイス リポジトリを検索して、IP アドレスが一致するエントリを見つけます。次に、ACS はネットワーク デバイス定義から取得した秘密情報を共有秘密情報と比較します。
これらの情報が一致する場合は、そのネットワーク デバイスに関連付けられているネットワーク デバイス グループが取得され、ポリシー決定で使用できるようになります。ポリシー決定の詳細については、 「ACS 5.x ポリシー モデル」 を参照してください。
ネットワーク デバイス グループ
ACS では、デバイスのセットであるネットワーク デバイス グループ(NDG)を定義できます。NDG を使用すると、デバイスを論理的にグループ化でき(デバイスの場所、タイプなど)、それらのグループをポリシー条件で使用できます。
ACS では、デバイスの要求を受信すると、そのデバイスに関連付けられているネットワーク デバイス グループが取得され、ポリシー テーブルのネットワーク デバイス グループと比較されます。この方法を使用すると、複数のデバイスをグループ化し、同じポリシーを割り当てることができます。たとえば、特定の場所にあるすべてのデバイスをグループ化して、同じポリシーを割り当てることができます。
最大で 12 個のネットワーク デバイス グループを定義できます。
デバイス グループ階層は、ネットワーク デバイス グループが含まれた階層構造です。2 つのネットワーク デバイス グループ Location および Device Type が事前定義されており、これらに対して名前の変更および削除は実行できません。最大で 10 個の階層を追加できます。
NDG は、階層内の任意のノードと関連し、デバイスが関連付けられているエンティティです。これらのノードには、リーフノードだけでなく、階層内のあらゆるノードが該当します。
(注) ルート ノードを含み、最大で 6 つのノードを NDG 階層に含めることができます。
• 「ネットワーク デバイス グループの作成、複製、および編集」
ネットワーク デバイス グループの作成、複製、および編集
ネットワーク デバイス グループを作成、複製、または編集するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Device Groups] を選択します。
[Network Device Groups] ページが表示されます。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] オプションの下の左側のナビゲーション ペインに表示されます。
• 複製するネットワーク デバイス グループの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 変更するネットワーク デバイス グループ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。
[Hierarchy - General] ページが表示されます。
ステップ 3 表 7-1 の説明に従って、[Hierarchy - General] ページのフィールドを変更します。
|
|
|
NDG に関連付けられているルート ノードの名前を入力します。NDG は、反転ツリーとして構造化されており、ルート ノードは反転ツリーの最上部にあります。ルート ノード名には、NDG と同じ名前を指定できます。 |
ネットワーク デバイス グループの設定が保存されます。[Network Device Groups] ページが表示され、新しいネットワーク デバイス グループ設定が示されます。
ネットワーク デバイス グループの削除
ネットワーク デバイス グループを削除するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Device Groups] を選択します。
[Network Device Groups] ページが表示されます。
ステップ 2 削除するネットワーク デバイス グループの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。
[Network Device Groups] ページが表示されます。このとき、削除されたネットワーク デバイス グループは表示されません。
階層内でのネットワーク デバイス グループの作成、複製、および編集
新しいネットワーク デバイス グループ ノード、または複製および編集されたネットワーク デバイス グループ ノードに対して親と子の関係を選択することによって、ネットワーク デバイス グループ ノード階層をニーズに従って配置できます。また、ネットワーク デバイス グループ ノードを階層から削除することもできます。
階層内でネットワーク デバイス グループ ノードを作成、複製、および編集するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Device Groups] を選択します。
[Network Device Groups] ページが表示されます。
ステップ 2 新しいネットワーク デバイス グループを作成する [Location]、[Device Type]、または定義済みの別のネットワーク デバイス グループをクリックし、そのグループの階層に追加します。
[Network Device Group] 階層ページが表示されます。
• [Create] をクリックします。選択済みのグループが存在する場合に [Create] をクリックすると、新しいグループは、選択済みの親グループの子になります。[Create] 画面で [Select] を選択して、階層内の親およびそのすべての子を移動できます。
• 複製する ネットワーク デバイス グループ名 の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 変更するネットワーク デバイス グループ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。
[Device Group - General] ページが表示されます。
ステップ 4 表 7-2 に従い、[Device Groups - General] ページのフィールドを変更します。
|
|
|
NDG に関連付けられている親の名前を入力します。NDG は反転ツリーとして構造化されており、親の名前がツリーの最上部の名前となります。 [Select] をクリックして、[Groups] ダイアログボックスを開きます。このダイアログボックスで、グループの適切な親を選択できます。 |
ネットワーク デバイス グループの新しい設定が保存されます。[Network Device Groups] 階層ページが表示され、新しいネットワーク デバイス グループ設定が示されます。
階層からのネットワーク デバイス グループの削除
ネットワーク デバイス グループを階層から削除するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Device Groups] を選択します。
[Network Device Groups] ページが表示されます。
ステップ 2 ネットワーク デバイス グループ ノードを編集する必要がある [Location]、[Device Type]、または定義済みの別のネットワーク デバイス グループをクリックします。
[Network Device Groups] ノード階層ページが表示されます。
ステップ 3 削除するノードを選択し、[Delete] をクリックします。
ネットワーク デバイス グループ ノードが設定から削除されます。[Network Device Groups] 階層ページが表示されます。このとき、削除したデバイス グループ ノードは表示されません。
ネットワーク デバイスおよび AAA クライアント
ネットワークにアクセスする、ACS デバイス リポジトリ内のすべてのデバイスを定義する必要があります。ネットワーク デバイス定義は、特定の IP アドレス、またはサブネット内のすべての IP アドレスがネットワークにアクセスできるサブネット マスクに関連付けることができます。
デバイス定義には、ネットワーク デバイス グループ(NDG)へのデバイスの関連付けが含まれています。デバイスで TACACS+ または RADIUS が使用されるかどうか、およびデバイスが TrustSec デバイスであるかどうかも設定できます。
(注) サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。
デバイスおよびその設定をネットワーク デバイス リポジトリにインポートできます。
要求を受信すると、ACS はネットワーク デバイス リポジトリを検索して、一致する IP アドレスを持つデバイスを見つけ、次に、その秘密情報やパスワード情報をネットワーク デバイス定義から取得した情報と比較します。情報が一致すると、そのデバイスと関連付けられている NDG が取得され、ポリシー決定で使用されます。
TrustSec ライセンスをインストールして、TrustSec オプションをイネーブルにする必要があります。TrustSec ライセンスをインストールしている場合は、TrustSec のオプションだけが表示されます。TrustSec ライセンスの詳細については、「ライセンスの概要」を参照してください。
ネットワーク デバイスの一括操作の表示および実行
ネットワーク デバイスおよび AAA クライアントを表示できます。これらは、ACS にアクセス要求を送信するデバイスです。アクセス要求は、TACACS+ または RADIUS を介して送信されます。
ネットワーク デバイスを表示およびインポートするには、次の手順を実行します。
[Network Resources]
> [Network Devices and AAA Clients] を選択します。
[Network Device] ページが表示され、すべての設定済みネットワーク デバイスが示されます。 表 7-3 に、[Network Device] ページのフィールドの説明を示します。
|
|
|
|---|---|
ACS でのユーザ指定のネットワーク デバイス名。名前をクリックして、関連付けられているネットワーク デバイスを編集します(「ネットワーク デバイス プロパティの表示」を参照)。 |
|
表示のみ。 各ネットワーク デバイスの IP アドレスまたはサブネット マスクです。最初の 3 つの IP アドレスがフィールドに表示され、それぞれカンマ(,)で区切られています。 このフィールドにサブネット マスクが含まれている場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。 サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。 |
|
ネットワーク デバイス グループ。2 つの事前定義済みの NDG は、Location および Device Type です。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループもここに示されます。 |
|
• 新しいネットワーク デバイスを作成するには、[Create] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。
• 編集するネットワーク デバイスの隣にあるチェックボックスをオンにし、[Edit] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。
• 複製するネットワーク デバイスの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。「ネットワーク デバイスの作成、複製、および編集」を参照してください。
• [File Operations] をクリックして、次のいずれかの機能を実行します。
–Add:インポート ファイルからネットワーク デバイスのリストを単一ショットに追加する場合は、このオプションを選択します。
–Update:ACS でのネットワーク デバイスのリストをインポート ファイル内のネットワーク デバイスに置き換えるには、このオプションを選択します。
–Delete:インポート ファイルでリストされているネットワーク デバイスを ACS から削除するには、このオプションを選択します。
詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。
インポート ファイルの作成方法については、次の URL を参照してください。 http://www.cisco.com/en/US/
docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255
ワンポイント アドバイス ACS オブジェクトに対する一括での追加、編集、または削除操作を実行するには、そのオブジェクトのエクスポート ファイルを使用し、ヘッダー行を保持して、.csv インポート ファイルを作成できます。
ただし、更新された名前または MAC アドレスを ACS オブジェクトに追加する場合は、特定の更新テンプレートをダウンロードして使用してください。また、NDG の場合、エクスポート テンプレートには NDG 名だけが含まれているため、他のプロパティを更新するには、NDG 更新テンプレートをダウンロードして使用してください。
ネットワーク デバイスおよび AAA クライアントのエクスポート
(注) エクスポート プロセスが正常に完了するように、ブラウザのポップアップ ブロッカーをオフにする必要があります。
ネットワーク デバイスのリストをエクスポートするには、次の手順を実行します。
[Network Resources]
> [Network Devices and AAA Clients] を選択します。
ステップ 2 フィルタ条件および if 演算子 Match を選択し、検索するフィルタ基準をテキスト ボックスに入力します。
フィルタ基準と一致するレコードのリストが表示されます。このリストを .csv ファイルにエクスポートできます。
ステップ 4 [Export] をクリックして、レコードを .csv ファイルにエクスポートします。
システム メッセージ ボックスが表示され、ファイル転送中に .csv ファイルを暗号化するための暗号化パスワードを要求するプロンプトが表示されます。
エクスポート .csv ファイルを暗号化するには、[Password] チェックボックスをオンにして暗号化パスワードを入力します。任意で、転送中にファイルを暗号化しないことを選択できます。
ステップ 5 [Start Export] をクリックして、エクスポート プロセスを開始します。
[Export Progress] ウィンドウが表示され、エクスポート プロセスの進行状況が表示されます。このプロセスでエラーが発生した場合は、そのエラーが [Export Progress] ウィンドウに表示されます。エクスポート プロセスは、このプロセス中にいつでも打ち切ることができます。エクスポート プロセスを打ち切るまでのすべてのレポートがエクスポートされます。再開するには、エクスポート プロセスを最初からやり直す必要があります。
ステップ 6 エクスポート プロセスの完了後、[Save File] をクリックして、エクスポート ファイルをローカル ディスクに保存します。
エクスポート ファイルは、export.zip として圧縮された .csv ファイルです。
ネットワーク リソースおよびユーザに関する一括操作の実行
ファイル操作機能を使用して、データベースで次の項目に対して一括操作(追加、更新、および削除)を実行できます。
一括操作の場合は、ACS から .csv ファイル テンプレートをダウンロードし、追加、更新、または削除するレコードを .csv ファイルに追加し、そのファイルをローカル ディスクに保存する必要があります。Download Template 機能を使用して、.csv ファイルが要件に準拠するようにします。
ユーザ、内部ホスト、およびネットワーク デバイス用の .csv テンプレートは、それぞれのタイプに固有のテンプレートです。たとえば、[Users] ページからアクセスしてダウンロードしたテンプレートは、内部ホストやネットワーク デバイスの追加には使用できません。.csv ファイルは次の要件に準拠している必要があります。
• 最初のレコード(.csv ファイルの最初の行)の内容は変更しないでください。
• 英語以外の言語では、.csv ファイルを utf-8 符号化で符号化するか、Unicode をサポートするフォントを使用して保存します。
一括操作を開始する前に、ブラウザのポップアップ ブロッカーがディセーブルになっていることを確認します。
ステップ 1 Web インターフェイスの [Users]、[Network Devices]、または [MAC Address] ページで、[File Operations] をクリックします。
ステップ 2 .csv ファイル テンプレートがない場合は、[Next] をクリックして、.csv ファイル テンプレートをダウンロードします。
ステップ 3 テンプレートベースの .csv ファイルをローカル ディスクにすでに作成している場合は、次の操作のいずれかをクリックします。
• Add:.csv ファイル内のレコードを、ACS で現在使用可能なレコードに追加します。
• Update:ACS のレコードを .csv ファイルのレコードで上書きします。
• Delete:.csv ファイル内のレコードを ACS のリストから削除します。
ステップ 4 [Next] をクリックして、次のページに移動します。
ステップ 5 [Browse] をクリックして、.csv ファイルに移動します。
ステップ 6 インポート プロセス時にエラーが発生した場合に ACS で実行するオプションを次の中から選択します。
• 残りのレコードの処理を続行します。処理に成功したレコードだけがインポートされます。
• 残りのレコードの処理を停止します。エラーの発生前にインポートが成功したレコードだけがインポートされます。
ステップ 7 .csv ファイルが GPG 形式で暗号化されている場合は、[Password] チェックボックスをオンにして、.csv ファイルを暗号化するためのパスワードを入力します。
ステップ 8 [Finish] をクリックして、一括操作を開始します。
[Import Progress] ウィンドウが表示されます。このウィンドウを使用して、一括操作の進行状況を監視します。.csv ファイルのレコードのデータ転送失敗が表示されます。
[Abort] ボタンをクリックして、進行中のデータのインポートを停止できますが、転送に成功したデータはデータベースから削除されません。
操作が完了すると、[Save Log] ボタンがイネーブルになります。
ステップ 9 [Save Log] をクリックして、ログ ファイルをローカル ディスクに保存します。
ステップ 10 [OK] をクリックして、[Import Progress] ウィンドウを閉じます。
システムに一度に送信できる .csv ファイルは 1 つだけです。操作が進行中である場合、追加の操作は、最初の操作が完了するまで成功しません。
インポート ファイルの作成方法については、次の URL を参照してください。 http://www.cisco.com/en/US/
docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255
ワンポイント アドバイス ACS オブジェクトに対する一括での追加、編集、または削除操作を実行するには、そのオブジェクトのエクスポート ファイルを使用し、ヘッダー行を保持して、.csv インポート ファイルを作成できます。ただし、更新された名前または MAC アドレスを ACS オブジェクトに追加するには、特定の更新テンプレートをダウンロードして使用してください。また、NDG の場合、エクスポート テンプレートには NDG 名だけが含まれているため、他のプロパティを更新するには、NDG 更新テンプレートをダウンロードして使用してください。
ネットワーク リソースおよびユーザのエクスポート
ネットワーク リソースまたはユーザのリストをエクスポートするには、次の手順を実行します。
ステップ 1 Web インターフェイスの [Users]、[Network Devices]、または [MAC Address] ページで、[Export] をクリックします。
ステップ 2 フィルタ条件および if 演算子 Match を選択し、検索するフィルタ基準をテキスト ボックスに入力します。
フィルタ基準と一致するレコードのリストが表示されます。これらのレコードを .csv ファイルにエクスポートできます。
ステップ 4 [Export] をクリックして、レコードを .csv ファイルにエクスポートします。
システム メッセージ ボックスが表示され、ファイル転送中に .csv ファイルを暗号化するための暗号化パスワードを要求するプロンプトが表示されます。
エクスポート .csv ファイルを暗号化するには、[Password] チェックボックスをオンにして暗号化パスワードを入力します。任意で、転送中にファイルを暗号化しないことを選択できます。
ステップ 5 [Start Export] をクリックして、エクスポート プロセスを開始します。
[Export Progress] ウィンドウが表示され、エクスポート プロセスの進行状況が表示されます。このプロセスでエラーが発生した場合は、そのエラーが [Export Progress] ウィンドウに表示されます。エクスポート プロセスは、このプロセス中にいつでも終了することができます。エクスポート プロセスを終了すると、終了までのすべてのレポートがエクスポートされます。再開する場合は、エクスポート プロセスを最初からやり直す必要があります。
ステップ 6 エクスポート プロセスの完了後、[Save File] をクリックして、エクスポート ファイルをローカル ディスクに保存します。
エクスポート ファイルは、export.zip として圧縮された .csv ファイルです。
ネットワーク デバイスの作成、複製、および編集
一括インポート機能を使用すると、多数のネットワーク デバイスを 1 回の操作でインポートできます。詳細については、「ネットワーク リソースおよびユーザに関する一括操作の実行」を参照してください。または、このトピックで説明する手順を使用して、ネットワーク デバイスを作成できます。
ネットワーク デバイスを作成、複製、または編集するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。
[Network Devices] ページが表示され、設定済みのネットワーク デバイスがある場合は、そのリストが示されます。
• 複製する ネットワーク デバイス名 の隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 変更するネットワーク デバイス名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。
新しいネットワーク デバイスを作成している場合は、ネットワーク デバイス作成プロセスの最初のページが表示されます。ネットワーク デバイスを複製または編集している場合は、選択したデバイスの [Network Device Properties] ページが表示されます。
ステップ 3 必要に応じてフィールドを変更します。フィールドの説明については、「ネットワーク デバイスおよび AAA クライアントの設定」を参照してください。
新しいネットワーク デバイス設定が保存されます。[Network Devices] ページが表示され、新しいネットワーク デバイス設定が示されます。
ネットワーク デバイスおよび AAA クライアントの設定
このページを表示するには、[Network Resources] > [Network Devices and AAA Clients] を選択してから、[Create] をクリックします。
|
|
|
|---|---|
|
|
|
ネットワーク デバイスの名前。ネットワーク デバイスを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。 |
|
|
|
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Location ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。 ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。 ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
|
|
|
ネットワーク デバイスに関連付けられる IP アドレスおよびサブネット マスク。単一の IP アドレスを入力するか、範囲を定義するかを選択します。 |
|
単一の IP アドレスの場合は、[IP] フィールドにアドレスを入力し、[Single IP Address] をクリックします。 IP アドレスの範囲の場合は、[IP Range(s)] をクリックします。ネットワーク デバイスごとに最大 40 の IP アドレスまたはサブネット マスクを設定できます。このフィールドでサブネット マスクを使用する場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。 サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。 最初の 6 個の IP アドレスがフィールドに表示されます。それ以外に設定されている IP アドレスを表示するには、スクロール バーを使用します。 IP アドレスの範囲を指定する場合は、ワイルドカード用のマスクだけが必要となります。アスタリスク(*)はワイルドカードとして使用できません。 |
|
|
|
|
Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。 ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。 |
|
ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。 • |
|
ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。 |
|
PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。キー ラップのデフォルトのキー モードは、16 進数ストリングです。 |
|
このオプションは、Pairwise Master Key(PMK)の暗号化に使用されます。入力するキーの長さは、ASCII モードでは正確に 16 文字、16 進数モードでは 32 文字となります。 |
|
RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。 |
|
Cisco TrustSec 機能をイネーブルにした場合にだけ表示されます。ネットワーク デバイスで TrustSec 機能を使用する場合にオンにします。ネットワーク デバイスがシード デバイス(TrustSec ネットワーク内の最初のデバイス)である場合、[RADIUS] チェックボックスもオンにする必要があります。 |
|
デバイス ID を TrustSec 識別に使用する場合に、このチェックボックスをオンにします。このチェックボックスをオンにすると、次のフィールド(Device ID)がディセーブルになります。 |
|
このデバイスの TrustSec 識別に使用される名前。デフォルトでは、設定済みのデバイス名を使用できます。別の名前を使用する場合は、[Use device name for TrustSec identification] チェックボックスをオフにして、[Identification] フィールドに名前を入力します。 |
|
デバイスのピア デバイスすべてによってこのデバイスが信頼されるかどうかを指定します。デフォルトはオンです。ピア デバイスでこのデバイスが信頼され、このデバイスから受信するパケットの SGT は変更されません。 このチェックボックスをオフにした場合、ピア デバイスによって、このデバイスからのパケットが関連するピア SGT で塗り替えられます。 |
|
Download peer authorization policy every: Weeks Days Hours Minutes Seconds |
ピア認可ポリシーの有効期限を指定します。ACS によって、この情報はピア ポリシー要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
Download SGACL lists every: Weeks Days Hours Minutes Seconds |
SGACL リストの有効期限を指定します。ACS によって、この情報は SGACL リストの要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
Download environment data every: Weeks Days Hours Minutes Seconds |
環境データの有効期限を指定します。ACS によって、この情報は環境データの要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
dot1x(.1x)再認証期間を指定します。ACS によって、これはサプリカントに対して設定され、この情報は認証者に返されます。デフォルトは 1 日です。 |
|
| 1.Device Type および Location ネットワーク デバイス グループは、インストール時に事前定義されています。それ以外に、10 個のネットワーク デバイス グループを定義できます。ネットワーク デバイス グループの定義方法については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] ページ、および左側のナビゲーション ペインの [Network Resources] ドローアにアルファベット順で表示されます。 |
ネットワーク デバイス プロパティの表示
[Network Resources] > [Network Devices and AAA Clients] を選択してから、デバイス名をクリックします、または、デバイス名の隣にあるチェックボックスをオンにして [Edit] または [Duplicate] をクリックします。
[Network Devices and AAA Clients Properties] ページが表示され、 表 7-5 で説明されている情報が示されます。
|
|
|
|---|---|
ネットワーク デバイスの名前。ネットワーク デバイスを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。 |
|
|
|
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付けるネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
|
|
|
ネットワーク デバイスに関連付けられる IP アドレスおよびサブネット マスク。単一の IP アドレスを入力するか、範囲を定義するかを選択します。 |
|
単一の IP アドレスの場合は、[IP] フィールドにアドレスを入力し、[Single IP Address] をクリックします。 IP アドレスの範囲の場合は、[IP Range(s)] をクリックします。ネットワーク デバイスごとに最大 40 の IP アドレスまたはサブネット マスクを設定できます。このフィールドでサブネット マスクを使用する場合、指定したサブネット マスク内のすべての IP アドレスは、ネットワークへのアクセスが許可され、ネットワーク デバイス定義に関連付けられます。 サブネット マスクを使用する場合、固有の IP アドレスの数は、サブネット マスクによって使用可能な IP アドレスの数によって決まります。たとえば、サブネット マスク 255.255.255.0 は、256 個の固有の IP アドレスがあることを意味します。 最初の 6 個の IP アドレスがフィールドに表示されます。それ以外に設定されている IP アドレスを表示するには、スクロール バーを使用します。 |
|
|
|
|
Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。 ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。 |
|
ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。 • |
|
ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。 |
|
PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。 |
|
Pairwise Master Key(PMK)の暗号化に使用します。入力するキーの長さは、ASCII モードで 16 文字、16 進数モードで 32 文字となります。 |
|
RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。 |
|
Cisco TrustSec 機能をイネーブルにした場合にだけ表示されます。ネットワーク デバイスで TrustSec 機能を使用する場合にオンにします。ネットワーク デバイスがシード デバイス(TrustSec ネットワーク内の最初のデバイス)である場合、[RADIUS] チェックボックスもオンにする必要があります。 |
|
このデバイスの TrustSec 識別に使用される名前。デフォルトでは、設定済みのデバイス名を使用できます。別の名前を使用する場合は、[Use device name for TrustSec identification] チェックボックスをオフにして、[Identification] フィールドに名前を入力します。 |
|
デバイスのピア デバイスすべてによってこのデバイスが信頼されるかどうかを指定します。デフォルトはオンです。ピア デバイスでこのデバイスが信頼され、このデバイスから受信するパケットの SGT は変更されません。 このチェックボックスをオフにした場合、ピア デバイスによって、このデバイスからのパケットが関連するピア SGT で塗り替えられます。 |
|
Download peer authorization policy every: Weeks Days Hours Minutes Seconds |
ピア認可ポリシーの有効期限を指定します。ACS によって、この情報はピア ポリシー要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
Download SGACL lists every: Weeks Days Hours Minutes Seconds |
SGACL リストの有効期限を指定します。ACS によって、この情報は SGACL リストの要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
Download environment data every: Weeks Days Hours Minutes Seconds |
環境データの有効期限を指定します。ACS によって、この情報は環境データの要求への応答でデバイスに返されます。デフォルトは 1 日です。 |
dot1x(.1x)再認証期間を指定します。ACS によって、これはサプリカントに対して設定され、この情報は認証者に返されます。デフォルトは 1 日です。 |
|
| 2.Device Type および Location ネットワーク デバイス グループは、インストール時に事前定義されています。それ以外に、10 個のネットワーク デバイス グループを定義できます。ネットワーク デバイス グループの定義方法については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。追加のネットワーク デバイス グループを定義済みである場合は、それらのグループが [Network Device Groups] ページ、および左側のナビゲーション ペインの [Network Resources] ドローアにアルファベット順で表示されます。 |
ネットワーク デバイスの削除
ネットワーク デバイスを削除するには、次の手順を実行します。
ステップ 1 [Network Resources] > [Network Devices and AAA Clients] を選択します。
[Network Devices] ページが表示され、設定済みのネットワーク デバイスのリストが示されます。
ステップ 2 削除するネットワーク デバイスの隣にあるチェックボックスを 1 つ以上オンにします。
[Network Devices] ページが表示されます。このとき、削除されたネットワーク デバイスは表示されません。ネットワーク デバイスがデバイス リポジトリから削除されます。
デフォルトのネットワーク デバイスの設定
要求の処理時に、ACS はネットワーク デバイス リポジトリを検索して、その要求で示されている IP アドレスと一致する IP アドレスを持つネットワーク デバイスを見つけます。この検索で一致するアドレスが見つからなかった場合、ACS では、RADIUS 要求または TACACS+ 要求に対して、デフォルトのネットワーク デバイス定義を使用します。
デフォルトのネットワーク デバイスによって、使用する共有秘密情報が定義され、また、デフォルトのネットワーク デバイス定義を使用する、RADIUS 要求または TACACS+ 要求のための NDG 定義も提供されます。
[Network Resources] > [Default Network Device] を選択して、デフォルトのネットワーク デバイスを設定します。[Default Network Device] ページが表示され、 表 7-6 で説明されている情報が表示されます。
|
|
|
|---|---|
|
デフォルトのデバイス定義は、デバイスの IP アドレスと一致する特定のデバイス定義が見つからなかった場合に任意で使用できます。 |
|
ドロップダウン リスト ボックスから [Enabled] を選択して、デフォルトのネットワーク デバイスをアクティブ状態にします。 |
|
|
|
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Location ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。 ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
[Select] をクリックして、[Network Device Groups] 選択ボックスを表示します。ネットワーク デバイスに関連付ける Device Type ネットワーク デバイス グループの隣にあるオプション ボタンをクリックします。 ネットワーク デバイス グループの作成については、「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
|
|
|
|
Cisco IOS TACACS+ プロトコルを使用してネットワーク デバイスとの通信を認証する場合にオンにします。 ネットワーク デバイスが Management Center for Firewalls などのシスコ デバイス管理アプリケーションである場合は、このオプションを使用する必要があります。ネットワーク デバイスが Cisco アクセス サーバ、ルータ、またはファイアウォールである場合は、このオプションを使用する必要があります。 |
|
ネットワーク デバイスの共有秘密情報(TACACS+ プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを選択します。 • • このオプションをディセーブルにすると、すべての TACACS+ 要求に対して新しい TCP 接続が ACS で使用されます。 |
|
ネットワーク デバイスの共有秘密情報(RADIUS プロトコルをイネーブルにした場合)。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前に提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 |
|
ユーザ認証用に、RAIUS CoA ポートをセッション ディレクトリに設定する場合に使用します。このセッション ディレクトリは、[Monitoring and Troubleshooting Viewer] ページから起動できます。デフォルトでは、CoA ポートの値は 1700 となります。 |
|
PEAP、EAP-FAST、および EAP-TLS 認証での RADIUS キー ラップの共有秘密キーをイネーブルにする場合にオンにします。キーはそれぞれ一意で、RADIUS 共有キーとは明確に区別される必要があります。これらの共有キーは、AAA クライアントごとに設定できます。 |
|
Pairwise Master Key(PMK)の暗号化に使用します。入力するキーの長さは、ASCII モードで 16 文字、16 進数モードで 32 文字となります。 |
|
RADIUS メッセージに対して keyed Hashed Message Authentication Code(HMAC; キー付きハッシュ メッセージ認証コード)を計算するのに使用します。 |
|
外部 RADIUS サーバの使用
ACS 5.2 は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。プロキシ サーバとして機能する場合、ACS は NAS から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。
ACS は要求の結果を受け入れて NAS に返します。ACS が要求を外部 RADIUS サーバに転送するように、外部 RADIUS サーバを ACS で設定する必要があります。タイムアウト時間および接続試行回数を定義できます。
ACS は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。
(注) ここで設定した外部 RADIUS サーバは、RADIUS プロキシ サーバ タイプのアクセス サービスで使用できます。
外部 RADIUS サーバの作成、複製、および編集
外部 RADIUS サーバを作成、複製、または編集するには、次の手順を実行します。
ステップ 1 [Network Resources] > [External RADIUS Servers] を選択します。
[External RADIUS Servers] ページが表示され、設定されているサーバのリストが示されます。
• 複製する外部 RADIUS サーバの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 編集する外部 RADIUS サーバ名をクリックします。または、名前の隣にあるチェックボックスをオンにして [Edit] をクリックします。
[External RADIUS Servers] ページが表示されます。
ステップ 3 表 7-7 に従い、[External Policy Servers] ページのフィールドを編集します。
ステップ 4 [Submit] をクリックして変更を保存します。
外部 RADIUS サーバの設定が保存されます。[External RADIUS Server] ページが表示され、新しい設定が示されます。
外部 RADIUS サーバの削除
外部 RADIUS サーバを削除するには、次の手順を実行します。
ステップ 1 [Network Resources] > [External RADIUS Servers] を選択します。
[External RADIUS Servers] ページが表示され、設定されているサーバのリストが示されます。
ステップ 2 削除する外部 RADIUS サーバの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。
[External RADIUS Servers] ページが表示されます。このとき、削除されたサーバは表示されません。
フィードバック