システム管理者の管理
システム管理者は、ネットワーク内の ACS サーバを展開、設定、管理、および監視します。システム管理者は、ACS 管理インターフェイスを使用して、ACS でさまざまな操作を実行できます。ACS で管理者を定義するとき、パスワードおよびロールまたはロールのセットを割り当てます。ロールによって、さまざまな操作に対する管理者のアクセス権が決定されます。
管理者アカウントを作成するとき、最初にパスワードを割り当てます。管理者は、あとで ACS Web インターフェイスを使用して、このパスワードを変更できます。割り当てられているロールに関係なく、管理者は自分のパスワードを変更できます。
ACS では、次の設定可能なオプションを使用して、管理者パスワードを管理できます。
• Password Complexity:パスワードの必要な長さと文字タイプを指定します。
• Password History:同じパスワードを繰り返し使用できないようにします。
• Password Lifetime:指定された時間が経過したあと、管理者に対してパスワードの変更を強制します。
• Account Inactivity:指定時間使用されていない管理者アカウントをディセーブルにします。
• Password Failures:管理者アカウントが指定した回数連続してログインに失敗した場合に、そのアカウントをディセーブルにします。
さらに、ACS には、管理者が ACS 管理 Web インターフェイスへのアクセスに使用する IP アドレスおよびセッション継続時間を決定する、設定可能なオプションがあります。セッション継続時間を経過すると、アイドル セッションはシステムからログアウトします。
Monitoring and Report Viewer を使用して、システムへの管理者アクセスを監視できます。システムに現在アクセスしている管理者またはアクセスしようとしている管理者を監視するには、Administrator Access レポートを使用します。
Administrator Entitlement レポートを表示すると、管理者が持っているアクセス権、管理者が加えた設定変更、および管理者アクセスの詳細を表示できます。また、Configuration Change および Operational Audit レポートを使用して、各管理者が実行する特定の操作の詳細を表示することもできます。
ACS Web インターフェイスの [System Administrator] セクションでは、次の操作を実行できます。
• 管理者アカウントの作成、編集、複製、または削除
• 他の管理者のパスワード変更
• 事前定義済みのロールの表示
• 管理者へのロールの関連付け
• パスワードの複雑さ、アカウントのライフタイム、非アクティブなアカウントなどの認証設定
• 管理者セッションの設定
• 管理者アクセスの設定
ACS 5.4 に初めてログインすると、事前定義済みの管理者ユーザ名( ACSAdmin )の入力を要求するプロンプトが表示され、事前定義済みのパスワード名( default )を変更することを要求されます。パスワードを変更したあと、システムの設定を開始できます。
事前定義済みの管理者には、すべての ACS リソースに対するスーパー管理者権限(Create、Read、Update、Delete、および eXecute(CRUDX))があります。プライマリ インスタンスにセカンダリ インスタンスを登録すると、プライマリ インスタンスで作成された任意のアカウントを使用できます。プライマリ インスタンスで作成したクレデンシャルは、セカンダリ インスタンスに適用されます。
(注) インストール後、ACS に初めてログインするときに、ACS Web インターフェイスからログインしてライセンスをインストールする必要があります。インストール後すぐに CLI から ACS にログインすることはできません。
ここでは、次の内容について説明します。
• 「管理者ロールおよびアカウントについて」
• 「システム管理者およびアカウントの設定」
• 「ロールについて」
• 「管理者アカウントの作成、複製、編集、および削除」
• 「事前定義済みのロールの表示」
• 「管理者の認証設定」
• 「セッション アイドル タイムアウトの設定」
• 「管理者アクセスの設定」
• 「管理アクセス コントロールの使用」
• 「管理者パスワードのリセット」
• 「管理者パスワードの変更」
管理者ロールおよびアカウントについて
ACS 5.4 に初めてログインすると、事前定義済みの管理者ユーザ名(ACSAdmin)の入力を要求するプロンプトが表示され、事前定義済みのパスワード名(default)を変更することを要求されます。
(注) ACSAdmin アカウントは名前を変更したり、ディセーブルにしたり、削除したりできません。
パスワードを変更したあと、システムの設定を開始できます。事前定義済みの管理者には、すべての ACS リソースに対するスーパー管理者権限(Create、Read、Update、Delete、および eXecute(CRUDX))があります。
きめ細かなアクセス コントロールが必要ない場合は、Super Admin ロールが最も便利です。このロールは、事前定義済みの ACSAdmin アカウントに割り当てられています。
きめ細かなアクセス コントロールを行うには、次の手順を実行します。
1. 管理者を定義します。「システム管理者およびアカウントの設定」を参照してください。
2. 管理者にロールを関連付けます。「ロールについて」を参照してください。
これらの手順が完了すると、定義された管理者はシステムにログインして操作を開始できます。
認証について
認証要求は、すべての管理セッションに対して最初に行われる処理です。認証に失敗すると、管理セッションが終了します。認証に成功した場合、管理セッションは管理者がログアウトするかセッションがタイムアウトするまで継続します。
ACS 5.4 では、ユーザ資格情報(ユーザ名とパスワード)を使用してすべてのログイン操作を認証します。その後、ACS では、管理者とロールの定義を使用して、適切な権限を取得し、後続の認可要求に対応します。
ACS ユーザ インターフェイスには、必要な管理者特権を持っている機能とオプションだけが表示されます。
(注) システムの変更が反映されるように、しばらく待ってから再度ログインしてください。
関連トピック
• 「管理者ロールおよびアカウントについて」
• 「システム管理者およびアカウントの設定」
ロールについて
ロールは一般的な管理者タスクで構成され、それぞれのタスクに権限のセットが関連付けられています。各管理者には複数の事前定義済みのロールを指定でき、1 つのロールを複数の管理者に適用できます。これにより、1 人の管理者に複数のタスクを設定したり、1 つのタスクに複数の管理者を設定したりできます。
ロールを割り当てるには、[Administrator Accounts] ページを使用します。一般的に、最初に正確にロールを定義しておくことを推奨します。詳細は「管理者アカウントの作成、複製、編集、および削除」を参照してください。
ロールの割り当て
内部管理者アカウントにロールを割り当てることができます。ACS 5.4 には、内部管理者にロールを割り当てるために、以下の 2 通りの方法が用意されています。
• 静的ロール割り当て:ロールは、内部管理者アカウントに手動で割り当てられます。
• 動的ロール割り当て:ロールは、AAC 認可ポリシーの規則に基づいて割り当てられます。
静的ロールの割り当て
ACS 5.4 では、内部管理者アカウントに管理者ロールを静的に割り当てることができます。これは内部管理者アカウントにのみ適用されます。この静的オプションを選択した場合は、それぞれの内部管理者アカウントには管理者ロールを手動で選択する必要があります。管理者がアカウントにアクセスしようとした場合に、その管理者が静的ロール割り当てとともに管理者内部 ID ストアに設定されていると、ID ポリシーだけが認証で実行されます。認可ポリシーはスキップされます。ID ポリシーが正常に実行された後で、管理者には管理者アカウント用に選択されたロールが割り当てられます。
動的ロールの割り当て
ACS 5.4 では、内部管理者アカウントに管理者ロールを静的に割り当てることができます。
管理者アカウントが外部または内部 ID ストアに設定され、かつ動的ロール割り当てがある場合、ACS は、認可ポリシーを評価し、その結果として、管理者ロールのリストを取得して動的に使用するか、[Deny Access] を使用します。スーパー管理者が管理者に動的ロールを割り当て、認可ポリシーを設定しない場合、その管理者アカウントの認可はデフォルト値「deny access」を使用します。その結果、この管理者アカウントの認可は拒否されます。ただし、管理者に静的ロールを割り当てると、認可ポリシーは、その管理者の認可にまったく影響しません。
選択したロールに基づいて、ACS は認証を行い、管理者のアクセス制限と認証を管理します。Deny Access が評価の結果である場合、ACS は管理者へのアクセスを拒否し、カスタマー ログに失敗の理由を記録します。
(注) ACS Web ユーザ インターフェイスには、自分が特権を持っている機能だけが表示されます。たとえば、ロールが Network Device Admin の場合、[System Administration] ドロワは表示されません。これは、そのドロワ内の機能に対する権限がないためです。
権限
権限は、特定の管理タスクに適用されるアクセス権です。権限の構成要素は次のとおりです。
• リソース :管理者がアクセスできる ACS コンポーネント(ネットワーク リソース、ポリシー要素など)のリスト。
• 特権 :特権には、Create、Read、Update、Delete、および eXecute(CRUDX)があります。特定のリソースに適用できない特権もあります。たとえば、ユーザ リソースは実行できません。
特権のない管理者にリソースを割り当てても、その管理者はリソースにアクセスできません。また、権限は独立しています。Create、Update、および Delete 特権がリソースに適用されている場合、Read 特権は使用できません。
オブジェクトに権限が定義されていない場合、管理者はこのオブジェクトにアクセスできず、読み取ることもできません。
(注) 権限は変更できません。
事前定義済みのロール
表 16-1 に、ACS の事前定義済みのロールを示します。
表 16-1 事前定義済みのロールの説明
|
|
ChangeAdminPassword |
このロールは、他の管理者アカウントを管理する ACS 管理者用です。このロールが割り当てられた管理者は、他の管理者のパスワードを変更できます。 |
ChangeUserPassword |
このロールは、内部ユーザ アカウントを管理する ACS 管理者用です。このロールが割り当てられた管理者は、内部ユーザのパスワードを変更できます。 |
NetworkDeviceAdmin |
このロールは、デバイスの追加、更新、削除など、ACS ネットワーク デバイス リポジトリの管理だけを実行する必要がある ACS 管理者用です。このロールには、次の権限があります。 • ネットワーク デバイスに対する読み取りおよび書き込み権限 • NDG および [Network Resources] ドロワ内のすべてのオブジェクト タイプに対する読み取りおよび書き込み権限 |
PolicyAdmin |
このロールは、ACS アクセス サービスとアクセス ポリシー規則、およびポリシー規則によって参照されるポリシー要素を作成および管理する ACS ポリシー管理者用です。このロールには、次の権限があります。 • ポリシーで使用されているすべての要素(認可プロファイル、NDG、IDG、条件など)に対する読み取りおよび書き込み権限 • サービス ポリシーに対する読み取りおよび書き込み権限 |
ReadOnlyAdmin |
このロールは、ACS ユーザ インターフェイスのすべての部分に対する読み取り専用アクセスを必要とする ACS 管理者用です。 このロールには、すべてのリソースに対する読み取り専用アクセス権があります。 |
ReportAdmin |
このロールは、ACS Monitoring and Report Viewer にアクセスしてレポートまたはモニタリング データだけを生成および表示する必要がある管理者用です。 このロールには、ログに対する読み取り専用アクセス権があります。 |
SecurityAdmin |
このロールは、ACS 管理者アカウントの作成、更新、または削除、管理ロールの割り当て、および ACS パスワード ポリシーの変更を行うために必要です。このロールには、次の権限があります。 • 内部プロトコル ユーザおよび管理者パスワード ポリシーに対する読み取りおよび書き込み権限 • 管理者アカウント設定に対する読み取りおよび書き込み権限 • 管理者アクセス設定に対する読み取りおよび書き込み権限 |
SuperAdmin |
Super Admin ロールには、すべての ACS 管理機能に対する完全なアクセス権があります。きめ細かなアクセス コントロールが必要ない場合は、このロールが最も便利です。このロールは、事前定義済みの ACSAdmin アカウントに割り当てられています。 このロールには、すべてのリソースに対する Create、Read、Update、Delete、および eXecute(CRUDX)権限があります。 |
SystemAdmin |
このロールは、ACS システムの設定と操作を行う管理者用です。このロールには、次の権限があります。 • アカウント定義を除くすべてのシステム管理アクティビティに対する読み取りおよび書き込み権限 • ACS インスタンスに対する読み取りおよび書き込み権限 |
UserAdmin |
このロールは、内部ユーザや内部ホストなど、内部 ACS ID ストア内のエントリを追加、更新、または削除する管理者用です。このロールには、次の権限があります。 • ユーザとホストに対する読み取りおよび書き込み権限 • IDG に対する読み取り権限 |
(注) 最初のログイン時には、特定の管理者に Super Admin だけが割り当てられています。
関連トピック
• 管理者アカウントとロールの関連付け
• 管理者アカウントの作成、複製、編集、および削除
ロールの関連付けの変更
ACS のすべてのロールは、事前に定義される設計になっており、変更できません。ACS では、ロールの関連付けだけを変更できます。ロールの関連付けを変更する特権は、システム全体の認可ステータスに悪影響を及ぼす可能性があるため、ACS の Super Admin ロールと SecurityAdmin ロールにだけ割り当てられています。
ロールの関連付けの変更は、影響を受ける管理者がログアウトし、再度ログインしたあとで初めて有効になります。新たにログインするとき、ACS によってロールの関連付けの変更が読み取られ、適用されます。
(注) ロールの関連付けの変更はグローバルに影響するため、ACS の Super Admin ロールと SecurityAdmin ロールを割り当てる場合は注意が必要です。
管理者アカウントとロールの関連付け
管理者アカウントの定義は、名前、ステータス、説明、電子メール アドレス、パスワード、およびロールの割り当てで構成されています。
(注) ユーザごとに固有の管理者を作成することを推奨します。これにより、操作が監査ログに明確に記録されます。
管理者は、内部データベースに対してだけ認証されます。
既存のアカウントを編集および削除できます。ただし、最後のスーパー管理者を削除またはディセーブルにしようとすると、Web インターフェイスにエラー メッセージが表示されます。
ID や証明書は、適切な管理者だけが設定できます。[System Administration] ドロワで設定された ID は [Users and Identity Stores] ドロワで使用できますが、変更はできません。
新しい管理者を作成した場合は、パスワード タイプに ID ストアのタイプを選択できます。新しい管理者はこのパスワード タイプに基づいて認証されます。パスワード タイプにできるのは、内部管理者、AD、LDAP です。すべての既存の管理者のデフォルト値は AdminsIDStore
です。パスワード タイプには、管理者アカウントと ID ストアとの間に関連付けを作成するために定義された新しい関連付けがあります。内部管理者の認証中に、管理者が内部データベースに存在する場合は、パスワード タイプ フィールドの値が読み込まれ属性リストに入力されます。この属性値が AdminsIDStore
に等しくなければ、認証はパスワード タイプ フィールドで設定した値に基づいて LDAP または AD の ID ストアにルーティングされます。AD および LDAP に対して管理者を認証するために ACS は PAP 認証を使用します。
リカバリ管理者アカウント
ACS 5.4 ではシステム管理者がリカバリ アカウントとして少なくとも 1 つの管理者アカウントを保持する必要があります。アカウントがリカバリ アカウントとして設定されていると、ACS はその特定の管理者を認証するために管理者 ID ポリシーおよび認可ポリシーをバイパスします。このリカバリ管理者アカウントは管理者内部 ID ストアに対して認証されます。リカバリ アカウントを使用して ACS にアクセスしようとすると、内部管理者ユーザに対して認証され、ロールは静的に割り当てられます。複数のリカバリ アカウントを持つことができます。デフォルトでは、Super Admin アカウントはリカバ アカウントとして設定されます。新しい管理者アカウントを作成すると、ACS によってそのアカウントはリカバリ アカウントとして設定されませんが、アカウント設定でリカバリ アカウントとして設定する必要があります。
リカバリ アカウントとして管理者アカウントを設定するには、次の操作を実行する必要があります。
• 管理者アカウントに静的ロールを割り当てます。
• 管理者アカウントに Super Admin ロールを割り当てます。
• パスワード タイプを使用して管理者アカウントに外部 ID ストアを設定しないでください。
関連トピック
• ロールについて
• 管理者アカウントの作成、複製、編集、および削除
管理者アカウントの作成、複製、編集、および削除
管理者アカウントを作成、複製、編集、または削除するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Accounts] を選択します。
表 16-2 で説明されている設定済み管理者のリストを含む [Administrators] ページが表示されます。
表 16-2 [Accounts] ページ
|
|
Status |
この管理者の現在のステータス。 • Enabled:この管理者はアクティブです。 • Disabled:この管理者はアクティブではありません。 ディセーブルになっている管理者アカウントを使用して ACS にログインすることはできません。 |
Name |
管理者の名前。 |
Role(s) |
管理者に割り当てられているロール。 |
Description |
この管理者の説明。 |
ステップ 2 次のいずれかを実行します。
• [Create] をクリックします。
• 複製するアカウントの隣にあるチェックボックスをオンにし、[Duplicate] をクリックします。
• 変更するアカウントをクリックします。または、名前のチェックボックスをオンにして [Edit] をクリックします。
• パスワードを変更するアカウントの隣にあるチェックボックスをオンにし、[Change Password] をクリックします。詳細については、「別の管理者のパスワードのリセット」を参照してください。
(注) [Duplicate] ページでは、少なくとも [Admin Name] を変更する必要があります。
• 削除するアカウントの隣にあるチェックボックスを 1 つ以上オンにして、[Delete] をクリックします。
ステップ 3 表 16-3 の説明に従って、[Administrator Accounts Properties] ページのフィールドに入力します。
表 16-3 [Administrator Accounts Properties] ページ
|
|
|
Admin Name |
この管理者に設定されている名前。規則を複製する場合は、必ず固有の名前を入力してください。 |
Status |
[Status] ドロップダウン メニューから、アカウントをイネーブルにするかディセーブルにするかを選択します。このオプションは、[Account never disabled] チェックボックスをオンにした場合はディセーブルになっています。 |
Description |
この管理者の説明。 |
Email Address |
管理者の電子メール アドレス。ACS View によって、この電子メール アドレスに警告が送信されます。 |
Recovery Account |
リカバリ アカウントとしてアカウントを設定するには、このオプションをオンにします。このオプションが使用されると、ACS は、管理者 ID ポリシーおよび認可ポリシーをバイパスして、管理者を認証します。詳細については、「リカバリ管理者アカウント」を参照してください。 |
Account never disabled |
アカウントをディセーブルにしない場合にオンにします。アカウントは、次の場合にもディセーブルになりません。 • パスワードが失効した場合 • アカウントが非アクティブになった場合 • 指定されたログイン試行回数を超えた場合 |
Authentication Information
|
Password Type |
設定されている外部 ID ストア名および内部管理者(デフォルトのパスワード タイプ)を表示します(AD、LDAP のみ)。リストから任意の ID ストアを選択できます。 管理者の認証中に、外部 ID ストアが管理者に設定されている場合、内部 ID ストアは設定されている外部 ID ストアに認証要求を転送します。 外部 ID ストアが選択された場合、管理者のパスワードを設定できません。パスワード編集ボックスはディセーブルです。 パスワード タイプの外部 ID ストアとして ID 順序を使用することはできません。 [System Administration] > [Administrators] > [Accounts] ページにある [Change Password] ボタンを使用してパスワード タイプを変更できます。 |
Password |
認証パスワード。 |
Confirm Password |
認証パスワードの確認。 |
Change password on next login |
次回のログイン時にユーザに新しいパスワードの入力を求める場合にオンにします。 |
|
Available Roles |
設定されているすべてのロールのリスト。この管理者に割り当てるロールを選択し、[>] をクリックします。この管理者にすべてのロールを割り当てる場合は、[>>] をクリックします。 |
Assigned Roles |
この管理者に適用されるロール。 |
ステップ 4 [Submit] をクリックします。
新しいアカウントが保存されます。作成または複製した新しいアカウントを含む [Administrators] ページが表示されます。
関連トピック
• 「ロールについて」
• 「管理者アカウントとロールの関連付け」
• 「事前定義済みのロールの表示」
• 「管理者の認証設定」
事前定義済みのロールの表示
ACS の事前定義済みのロールについては、表 16-1 を参照してください。
事前定義済みのロールを表示するには、次の手順を実行します。
[System Administration] > [Administrators] > [Roles] を選択します。
事前定義済みのロールのリストを含む [Roles] ページが表示されます。表 16-4 に、[Roles] ページのフィールドを示します。
表 16-4 [Roles] ページ
|
|
Name |
設定されているすべてのロールのリスト。事前定義済みのロールのリストについては、「事前定義済みのロール」 を参照してください。 |
Description |
各ロールの説明。 |
ロール プロパティの表示
このページは、各ロールのプロパティを表示する場合に使用します。
[System Administration] > [Administrators] > [Roles] を選択し、ロールをクリックするか、またはロールのオプション ボタンを選択して [View] をクリックします。
表 16-5 で説明されている [Roles Properties] ページが表示されます。
表 16-5 [Roles Properties] ページ
|
|
Name |
ロールの名前。ロールを複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。ロールは作成または編集できません。事前定義済みのロールのリストについては、表 16-4 を参照してください。 |
Description |
ロールの説明。詳細については、「事前定義済みのロール」を参照してください。 |
|
Resource |
使用可能なリソースのリスト。 |
Privileges |
各リソースに割り当てることができる特権。特権が適用されない場合、特権のチェックボックスは選択できません(使用できません)。 行の色は、特定の特権が使用可能かどうかとは関係ありません。[Privileges] カラムの明示的なテキストによって決まります。 |
関連トピック
• 「ロールについて」
• 「管理者アカウントとロールの関連付け」
• 「管理者の認証設定」
管理者の認証設定
認証設定は、管理者に強力なパスワードの使用や定期的なパスワードの変更などを強制することによって、セキュリティを強化する規則のセットです。パスワード ポリシーの変更は、すべての ACS システム管理者アカウントに適用されます。
パスワード ポリシーを設定するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Authentication] を選択します。
[Password Complexity] タブと [Advanced] タブを含む [Password Policies] ページが表示されます。
ステップ 2 [Password Complexity] タブで、管理者パスワードの設定に使用する各チェックボックスをオンにします。
表 16-6 に、[Password Complexity] タブのフィールドを示します。
表 16-6 [Password Complexity] タブ
|
|
Applies to all ACS system administrator accounts
|
Minimum length |
必要な最小長。有効なオプションは 4 ~ 20 です。 |
Password may not contain the username or its characters in reversed order |
パスワードにユーザ名または逆順のユーザ名を含めることができないことを指定する場合にオンにします。たとえば、ユーザ名が john の場合、パスワードを john または nhoj にすることはできません。 |
Password may not contain 'cisco' or its characters in reversed order |
パスワードに cisco という単語またはその逆順の文字列(つまり ocsic )を含めることができないことを指定する場合にオンにします。 |
Password may not contain '' or its characters in reversed order |
パスワードに、入力した文字列またはその逆順の文字列を含めることができないことを指定する場合にオンにします。たとえば、文字列 polly を指定した場合、パスワードを polly または yllop にすることはできません。 |
Password may not contain repeated characters four or more times consecutively |
パスワードで文字を 4 回以上連続して繰り返すことができないことを指定する場合にオンにします。たとえば、パスワードとして apppple を使用できません。これは、文字 p が 4 回連続して使用されているためです。 |
Password must contain at least one character of each of the selected types
|
Lowercase alphabetic characters |
パスワードには、アルファベットの小文字が少なくとも 1 文字含まれている必要があります。 |
Upper case alphabetic characters |
パスワードには、アルファベットの大文字が少なくとも 1 文字含まれている必要があります。 |
Numeric characters |
パスワードには、数字が少なくとも 1 文字含まれている必要があります。 |
Non alphanumeric characters |
パスワードには、英数字以外の文字が少なくとも 1 文字含まれている必要があります。 |
ステップ 3 [Advanced] タブで、管理者の認証プロセスに設定する基準の値を入力します。
表 16-7 に、[Advanced] タブのフィールドを示します。
表 16-7 [Advanced] タブ
|
|
|
Password must be different from the previous n versions |
比較対象となる、この管理者の旧パスワードの数を指定します。このオプションを指定すると、管理者は最近使用したパスワードを設定できなくなります。有効なオプションは 1 ~ 99 です。 |
[Password Lifetime]:管理者は定期的にパスワードを変更する必要があります
|
Display reminder after n days |
パスワード変更の通知を n 日後に表示します。有効なオプションは 1 ~ 365 です。このオプションを設定すると、通知だけが表示されます。新しいパスワードは要求されません。 |
Require a password change after n days |
パスワードを n 日後に変更する必要があることを指定します。有効なオプションは 1 ~ 365 です。このオプションを設定すると、n 日後にパスワードを変更する必要があります。 |
Disable administrator account after n days if password is not changed |
パスワードが変更されていない場合に、管理者アカウントを n 日後にディセーブルにする必要があることを指定します。有効なオプションは 1 ~ 365 です。 ACS では、[Display reminder after n days] オプションを設定しないでこのオプションを設定することはできません。 |
|
Inactive accounts are disabled
|
Require a password change after n days of inactivity |
アカウントが非アクティブになってから n 日後にパスワードを変更する必要があることを指定します。有効なオプションは 1 ~ 365 です。このオプションを設定すると、 n 日後にパスワードを変更する必要があります。 ACS では、[Display reminder after n days] オプションを設定しないでこのオプションを設定することはできません。 |
Disable administrator account after n days of inactivity |
管理者アカウントが非アクティブになってから n 日後にそのアカウントをディセーブルにする必要があることを指定します。有効なオプションは 1 ~ 365 です。 ACS では、[Display reminder after n days] オプションを設定しないでこのオプションを設定することはできません。 |
Incorrect Password Attempts
|
Disable account after n successive failed attempts |
最大ログイン試行回数を指定します。この回数を超えると、アカウントはディセーブルになります。有効なオプションは 1 ~ 10 です。 |
(注) ACS は、最後のログイン、最後のパスワード変更、またはログイン試行回数に基づいてアカウントを自動的に無効またはディセーブルにします。CLI および PI ユーザ アカウントはブロックされ、Web インターフェイスからパスワードを変更できるという内容の通知を受信します。アカウントがディセーブルになっている場合は、アカウントをイネーブルにするよう、別の管理者に依頼します。
ステップ 4 [Submit] をクリックします。
管理者パスワードに定義された基準が設定されます。これらの基準は、以降のログインだけに適用されます。
関連トピック
• 「ロールについて」
• 「管理者アカウントとロールの関連付け」
• 「事前定義済みのロールの表示」
セッション アイドル タイムアウトの設定
デフォルトでは、GUI セッションには 30 分のタイムアウト時間が割り当てられます。タイムアウト時間は、5 ~ 90 分の範囲で指定できます。
タイムアウト時間を設定するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Session] を選択します。
[GUI Session] ページが表示されます。
ステップ 2 [Session Idle Timeout] の値を分単位で入力します。有効な値は 5 ~ 90 分です。
ステップ 3 [Submit] をクリックします。
(注) CLI クライアント インターフェイスには、6 時間のデフォルトのセッション タイムアウト値が設定されています。CLI クライアント インターフェイスではセッション タイムアウト時間を設定できません。
管理者アクセスの設定
ACS 5.4 では、リモート クライアントの IP アドレスに基づいて ACS への管理アクセスを制限できます。次のいずれかの方法で IP アドレスをフィルタリングできます。
• 「すべての IP アドレスに接続を許可する」
• 「IP アドレスの選択リストからのリモート管理を許可する」
• 「IP アドレスの選択リストからのリモート管理を拒否する」
すべての IP アドレスに接続を許可する
[Allow all IP addresses to connect] オプションを選択すると、すべての接続を許可できます。これがデフォルトのオプションです。
IP アドレスの選択リストからのリモート管理を許可する
管理者に ACS へのリモート アクセスを許可するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Access] を選択します。
[IP Addresses Filtering] ページが表示されます。
ステップ 2 [Allow only listed IP addresses to connect] オプション ボタンをクリックします。
[IP Range(s)] 領域が表示されます。
ステップ 3 [IP Range(s)] 領域で [Create] をクリックします。
新しいウィンドウが表示されます。ACS へのリモート アクセスを許可するマシンの IPv4 または IPv6 アドレスを入力します。IP アドレス範囲全体のサブネット マスクを入力します。ACS は、入力されたアドレスが IPv4 または IPv6 でサポートされる形式であるかどうかを確認します。
ステップ 4 [OK] をクリックします。
[IP Range(s)] 領域に IP アドレスが読み込まれます。ステップ 3 を繰り返して、リモート アクセスを許可する他の IP アドレスまたは範囲を追加します。
ステップ 5 [Submit] をクリックします。
IP アドレスの選択リストからのリモート管理を拒否する
管理者による ACS へのリモート アクセスを拒否するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Settings] > [Access] を選択します。
[IP Addresses Filtering] ページが表示されます。
ステップ 2 [Reject connections from listed IP addresses] オプション ボタンをクリックします。
[IP Range(s)] 領域が表示されます。
ステップ 3 [IP Range(s)] 領域で [Create] をクリックします。
新しいウィンドウが表示されます。
ステップ 4 ACS へのリモート アクセスを許可しないマシンの IP アドレスを入力します。IP アドレス範囲全体のサブネット マスクを入力します。
ステップ 5 [OK] をクリックします。
[IP Range(s)] 領域に IP アドレスが読み込まれます。ステップ 3 を繰り返して、拒否する他の IP アドレスまたは範囲を追加します。
ステップ 6 [Submit] をクリックします。
(注) すべての IP アドレスからの接続を拒否できます。この設定は、ACS Web インターフェイスではリセットできません。ただし、次の CLI コマンドを使用できます。
acs reset-password
詳細については、『 CLI Reference Guide for Cisco Secure Access Control System 5.4 』を参照してください。
管理アクセス コントロールの使用
ACS 5.4 では、管理アクセス コントロール(AAC)サービスという新しいサービス タイプが導入されています。AAC サービスは、ACS 管理者の認証と認可を扱います。
拡張 AAC Web インターフェイスは次のとおりです。
• ポリシーベースの認証および認可
• 外部データベースに対する認証は次で実行可能です。
– 内部 ID ストア管理者の管理者アカウントのパスワード タイプ。
– 外部データベースと照合する ID ポリシー(認証ポリシー)の設定。
この AAC サービスは、インストール時に自動的に作成されます。新しい AAC サービスの削除または追加はできません。AAC はサービス セレクション ポリシーでは使用できず、管理者ログイン時に自動的に選択されます。
AAC サービスでは、管理者ログインのための一連のポリシーを識別します。AAC サービス内で提供されるポリシーは次のとおりです。
• 管理者 ID ポリシーは管理者の認証に使用される ID データベースを決定し、以降の認可ポリシーで使用される可能性のある管理者の属性の取得も行います。
• 管理者認可ポリシーは、ACS のセッションの管理者のロールを決定します。割り当てられたロールによって、管理者の権限が決定されます。各ロールに権限の事前定義リストがあります。それはロール ページで見ることができます。
AAC サービスがこれら 2 つのポリシーを順番に処理します。管理者 ID ポリシーおよび管理者認可ポリシーの両方を設定する必要があります。両方のポリシーのデフォルトは次のとおりです。
ID ポリシー:デフォルトは、[Internal Identity Store] です。
認可ポリシー:デフォルトは [Deny Access] です。
AAC サービスは PAP 認証タイプだけをサポートします。Super Admin のみが管理者アクセス コントロールを設定することを許可されます。
ACS アプリケーションを ACS 5.4 にアップグレードする場合は、AAC は次の変更を実施します。
• 単一 AAC サービスは、アップグレード時に自動的に作成されます。
• AAC サービスの ID ポリシーは、[Administrators Internal Identity Store] に設定されます。
• すべての既存の管理者は静的ロール割り当てで検証されます。
• Super Admin ロールを持つすべての管理者はリカバリ アカウントとして自動的に設定されます。
5.4 に ACS アプリケーションをアップグレードした後で、管理者アカウントを更新しないと、アップグレードされた管理者アカウントは管理者内部 ID ストアに対して認証され、静的割り当てによりロールを取得します。アップグレード時にバックアップを復元すると、ACS 5.4 はスキーマ ファイルとデータのアップグレードを処理します。
ここでは、次の内容について説明します。
• 「管理者 ID ポリシー」
• 「管理者認可ポリシー」
管理者 ID ポリシー
管理アクセス コントロールの ID ポリシーでは、ACS で認証と属性の取得に使用する ID ソースを定義します。グループおよび属性は、外部データベースからのみ取得できます。ACS は、取得した属性をその後の認可ポリシーでのみ使用できます。
AAC サービスは次の 2 種類の ID ポリシーをサポートします。その内容は次のとおりです。
• 単一結果選択
• ルール ベース結果選択
Super Admin は、このポリシーを設定および変更できます。すべての要求の認証に同じ ID ソースを適用する単純なポリシー、またはルール ベースの ID ポリシーを設定できます。
単純なポリシーでサポートされる識別方法は次のとおりです。
• アクセス拒否:ユーザへのアクセスは拒否され、認証は実行されません。
• ID ストア:単一の ID ストア。
次の ID ストアのいずれかを選択できます。
– 内部管理者 ID ストア
– Active Directory ID ストア
– LDAP ID ストア
[Deny Access] が結果として選択されている場合、管理者のアクセスは拒否されます。
ルール ベースのポリシーでは、各規則に 1 つ以上の条件、および認証に使用される ID ソースである結果が含まれます。
サポートされる条件は次のとおりです。
• システム ユーザ名
• システムの日付と時刻
• 管理者クライアント IP アドレス
AAC サービスの ID ポリシーは結果として ID ストア順序をサポートしません。ID ポリシー内の規則は、作成、複製、編集、および削除できます。また、イネーブルおよびディセーブルにすることもできます。
注意 単純なポリシー ページとルール ベースのポリシー ページを切り替えると、以前に保存したポリシー設定は失われます。
単純な ID ポリシーを設定するには、次の手順を実行します。
ステップ 1
[System Administration] > [Administrative Access Control] > [Identity]
を選択します。
デフォルトでは、 表 16-8 で説明されているフィールドを含む [Simple Identity Policy] ページが表示されます。
表 16-8 [Simple Identity Policy] ページ
|
|
Policy type |
設定するポリシーのタイプを定義します。 • [Simple]:結果がすべての要求に適用されることを指定します。 • [Rule-based]:要求に応じて異なる結果が適用されるように規則を設定します。 ポリシー タイプを切り替えると、以前に保存したポリシー設定は失われます。 |
Identity Source |
すべての要求に適用する ID ソース。デフォルトは [Deny Access] です。パスワードベースの認証の場合、単一の ID ストアまたは ID ストア順序を選択します。 |
ステップ 2 認証用の ID ソースを選択するか、または [Deny Access] を選択します。
ステップ 3 [Save Changes] を選択して、ポリシーを保存します。
ルール ベースの ID ポリシーの表示
[System Administration] > [Administrative Access Control] > [Identity] を選択します。
デフォルトでは、 表 16-8 で説明されているフィールドを含む [Simple Identity Policy] ページが表示されます。設定されている場合は、 表 16-9 で説明されているフィールドを含む [Rule-Based Identity Policy] ページが表示されます。
表 16-9 [Rule-Based Identity Policy] ページ
|
|
Policy type |
設定するポリシーのタイプを定義します。 • [Simple]:結果がすべての要求に適用されることを指定します。 • [Rule-based]:要求に応じて異なる結果が適用されるように規則を設定します。
注意 ポリシー タイプを切り替えると、以前に保存したポリシー設定は失われます。
|
Status |
規則の現在のステータス。規則のステータスは、次のとおりです。 • Enabled:規則はアクティブです。 • Disabled:ACS によって規則の結果は適用されません。 • Monitor:規則はアクティブですが、ACS によって規則の結果は適用されません。ヒット カウントなどの結果はログに書き込まれます。ログ エントリには、規則がモニタだけであることを示す情報が含まれます。モニタ オプションは、新規の規則の結果を確認する場合に特に役立ちます。 |
Name |
ルール名。 |
Conditions |
ポリシーの範囲を決定する条件。このカラムでは、現在のすべての条件がサブカラムに表示されます。 |
Results |
規則の評価結果として認証に使用される ID ソース。 |
Hit Count |
規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。 |
Default Rule |
次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。 デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。 |
[Customize] ボタン |
ポリシー規則で使用する条件のタイプを選択する [Customize] ページを開きます。追加する条件ごとに、[Policy] ページに新しい [Conditions] カラムが表示されます。
注意 規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
|
[Hit Count] ボタン |
[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒット カウントの表示」を参照してください。 |
ルール ベースのポリシーを設定するには、次の項を参照してください。
• 「ポリシー規則の作成」
• 「規則の複製」
• 「ポリシー規則の編集」
• 「ポリシー規則の削除」
ID ポリシー規則のプロパティの設定
ID ポリシー規則を作成、複製、または編集して、管理者の認証に使用する ID データベースを決定したり、管理者の属性を取得したりできます。属性の検索は、外部データベースを使用する場合だけ可能です。
このページを表示するには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrative Access Control] > [Identity] を選択し、次のいずれかを実行します。
• [Create] をクリックします。
• 規則チェックボックスをオンにし、[Duplicate] をクリックします。
• 規則名をクリックするか規則チェックボックスをオンにし、[Edit] をクリックします。
ステップ 2 表 16-10 の説明に従って、[Identity Rule Properties] ページのフィールドに入力します。
表 16-10 [Identity Rule Properties] ページ
|
|
|
Rule Name |
ルールの名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。 |
Rule Status |
規則のステータスは、次のとおりです。 • Enabled:規則はアクティブです。 • Disabled:ACS によって規則の結果は適用されません。 • Monitor:規則はアクティブですが、ACS によって規則の結果は適用されません。ヒット カウントなどの結果はログに書き込まれます。ログ エントリには、規則がモニタだけであることを示す情報が含まれます。モニタ オプションは、新規の規則の結果を確認する場合に特に役立ちます。 |
|
conditions |
規則に対して設定できる条件。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。 各条件のデフォルト値は、[ ANY ] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。 |
|
Identity Source |
要求に適用する ID ソース。デフォルトは管理者内部 ID ストアです。パスワードベースの認証の場合、単一の ID ストアまたは ID ストア順序を選択します。 |
管理者認可ポリシー
管理アクセス コントロールの認可ポリシーはログイン時に管理者に動的にロールを割り当てるために使用されます。管理者のロールは、ポリシーで定義された規則に従って設定されます。ポリシーに定義されている規則に従って、条件には、外部データベースで認証されるときにグループおよび属性を含めることができます。ACS は、取得した属性をその後のポリシーで使用できます。
認可ポリシー ベースのロール割り当ては内部および外部管理者アカウントの両方に適用されます。外部管理者アカウントにロールを割り当てるのに使用可能なこれが唯一の方法です。
管理者認可ポリシーでは、各規則に 1 つ以上の条件があり、認証と結果に使用されます。
サポートされる条件は次のとおりです。
• システム ユーザ名
• システムの日付と時刻
• 管理者クライアント IP アドレス
• AD ディクショナリまたは LDAP ディレクトリ(外部グループおよび属性)
管理者 ID ポリシーおよびパスワード タイプ機能により、管理者は Active Directory または LDAP の ID ストアなどの外部 ID ストアの要求を認証し、管理者グループおよび属性を取得することができます。管理者認可ポリシー規則は、次の取得したグループと属性に基づいて設定できます。
管理者に割り当てられる一連の管理者ロールで管理者認可ポリシーの結果を設定できます。
サポートされる認可ポリシーの結果は次のとおりです。
• [Administrator Role Result]:1 つ以上の管理者ロール
• [Deny Access]:認証失敗
認可ポリシー内の規則は、作成、複製、編集、および削除できます。また、規則はイネーブルおよびディセーブルにすることもできます。
管理者認可ポリシーの設定
管理者認可ポリシーは、ACS 管理者のロールを決定します。
AAC アクセス サービスのプロパティ ページの説明については、「アクセス サービスの一般プロパティの設定」を参照してください。
このページは、次のことを実行する場合に使用します。
• 規則を表示します。
• 規則を削除します。
• 規則を作成、複製、編集、およびカスタマイズできるページを開きます。
[System Administration] > [Administrative Access Control] > [Authorization] > [Standard Policy] を選択します。
表 16-11 で説明されている [Administrator Administration Authorization Policy] ページが表示されます。
表 16-11 [Administrator Authorization Policy] ページ
|
|
Status |
規則のステータスは、次のとおりです。 • Enabled:規則はアクティブです。 • Disabled:ACS によって規則の結果は適用されません。 • Monitor:規則はアクティブですが、ACS によって規則の結果は適用されません。ヒット カウントなどの結果はログに書き込まれます。ログ エントリには、規則がモニタだけであることを示す情報が含まれます。モニタ オプションは、新規の規則の結果を確認する場合に特に役立ちます。 |
Name |
ルールの名前。 |
Conditions |
規則の範囲を定義する条件。規則で使用する条件のタイプを変更するには、[Customize] ボタンをクリックします。使用する条件をあらかじめ定義しておく必要があります。 |
Results |
対応する規則が一致したときに適用される管理者ロールを表示します。 規則の結果をカスタマイズできます。規則は、管理者ロールを適用できます。表示されるカラムには、カスタマイゼーション設定が反映されます。 |
Hit Count |
規則が一致した回数。このカラムを更新およびリセットするには、[Hit Count] ボタンをクリックします。 |
Default Rule |
次の場合に、ACS によってデフォルト規則が適用されます。 • イネーブルな規則が一致しない。 • 他の規則が定義されていない。 デフォルト規則を編集するには、リンクをクリックします。デフォルト規則の結果だけを編集できます。デフォルト規則は削除、ディセーブル、または複製できません。 |
[Customize] ボタン |
ポリシー規則で使用する条件および結果のタイプを選択する [Customize] ページを開きます。[Conditions] および [Results] カラムには、カスタマイゼーション設定が反映されます。
注意 規則を定義したあとで条件タイプを削除した場合、その条件タイプについて設定した条件は失われます。
|
[Hit Count] ボタン |
[Policy] ページの [Hit Count] 表示をリセットおよび更新できるウィンドウが開きます。「ヒット カウントの表示」を参照してください。 |
管理者認可規則のプロパティの設定
このページは、AAC アクセス サービスの管理者ロールを決定する規則を作成、複製、および編集する場合に使用します。
[System Administration] > [Administrative Access Control] > [Authorization] > [Standard Policy] を選択し、[Create]、[Edit]、[Duplicate] のいずれかをクリックします。
表 16-12 で説明されている [Administrator Authorization Rule Properties] ページが表示されます。
表 16-12 [Administrators Authorization Rule Properties] ページ
|
|
|
Name |
ルールの名前。規則を複製する場合は、最小設定として固有の名前を入力する必要があります。その他のフィールドはすべて任意です。 |
Status |
規則のステータスは、次のとおりです。 • Enabled:規則はアクティブです。 • Disabled:ACS によって規則の結果は適用されません。 • Monitor:規則はアクティブですが、ACS によって規則の結果は適用されません。ヒット カウントなどの結果はログに書き込まれます。ログ エントリには、規則がモニタだけであることを示す情報が含まれます。モニタ オプションは、新規の規則の結果を表示して確認する場合に特に役立ちます。 |
|
conditions |
これらは、規則に対して設定できる条件です。デフォルトでは、複合条件が表示されます。[Policy] ページで [Customize] ボタンを使用して、表示される条件を変更できます。 各条件のデフォルト値は、[ANY] です。条件の値を変更するには、条件チェックボックスをオンにし、値を指定します。 [Compound Condition] をオンにすると、条件フレームに式ビルダーが表示されます。詳細については、「複合条件の設定」を参照してください。 |
|
Roles |
規則に適用されるロール。 |
管理者のログイン プロセス
管理者が ACS Web インターフェイスにログインすると、ACS 5.4 では、次のように認証を実行します。
管理者アカウントが管理者内部 ID ストアのリカバリ アカウントとして設定されていると、ACS は、ID ポリシーおよび認可ポリシーをバイパスし、管理者内部 ID ストアに対して管理者を認証し、ロールを静的に割り当てます。管理者アカウントがリカバリ アカウントでない場合、ACS はポリシーベースの認証に進みます。
ポリシーベースの認証の一環として、ACS では、ID ポリシーおよび認可ポリシーの設定で AAC サービスを取得します。ACS は、ID ポリシーを評価し、その結果として ID ストアを取得します。ID ポリシーの結果が管理者内部 ID ストアである場合、ACS はパスワードを評価し、結果として ID ストアを取得します。
ACS は、管理者アカウントが外部 ID ストアに設定されている場合に、選択されている ID ストアに対して管理者を認証し、ユーザ グループとユーザ属性を取得します。
管理者アカウントが内部 ID ストアに設定されているときに、静的ロール割り当てがある場合は、ACS は管理者ロールのリストを抽出します。
管理者アカウントが、外部または内部 ID ストアに設定されているときに、動的ロール割り当てがある場合は、ACS は、認可ポリシーを評価して、管理者ロールのリストを取得し、それを動的に使用するか、結果として [Deny Access] を取得します。
選択したロールに基づいて、ACS は認証を行い、管理者のアクセス制限と認証を管理します。Deny Access が評価の結果である場合、ACS は管理者へのアクセスを拒否し、カスタマー ログに失敗の理由を記録します。
(注) AD または LDAP サーバの管理者パスワードが期限切れまたはリセットの場合、ACS は Web インターフェイスへの管理者アクセスを拒否します。
管理者パスワードの変更
ACS 5.4 には、新しい Change Admin Password というロールが導入されました。このロールが割り当てられた管理者は、別の管理者のパスワードを変更できます。管理者のアカウントがディセーブルになっている場合、Change Admin Password ロールが割り当てられている他の管理者は、ACS Web インターフェイスからディセーブルになっているアカウントをリセットできます。ここでは、次の内容について説明します。
• 「自分の管理者パスワードの変更」
• 「別の管理者のパスワードのリセット」
別の管理者のパスワードのリセット
別の管理者のパスワードをリセットするには、次の手順を実行します。
ステップ 1 [System Administration] > [Administrators] > [Accounts] を選択します。
管理者アカウントのリストを含む [Accounts] ページが表示されます。
ステップ 2 パスワードを変更する管理者アカウントの隣にあるチェックボックスをオンにし、[Change Password] をクリックします。
[Authentication Information] ページが表示され、管理者のパスワードが最後に変更された日付が示されます。
ステップ 3 [Password] フィールドに、新しい管理者パスワードを入力します。
ステップ 4 [Confirm Password] フィールドに、新しい管理者パスワードを再入力します。
ステップ 5 他の管理者が最初のログイン時にパスワードを変更できるように、[Change password on next login] チェックボックスをオンにします。
ステップ 6 [Submit] をクリックします。
管理者パスワードがリセットされます。
関連トピック
• 「管理者の認証設定」
• 「ロールについて」
• 「管理者アカウントとロールの関連付け」
• 「事前定義済みのロールの表示」