ユーザー アカウントの管理

ユーザ アカウントの管理には、アカウントの作成とユーザの権限が含まれます。

  • アカウントの作成。アカウントには、Security Manager Server のローカル アカウント、CiscoWorks Common Services サーバの ACS アカウント、または Common Services サーバの非 ACS アカウントがあります。

  • ユーザ権限。権限(または特権)は、実行を許可されるタスクです。権限は、Security Manager 内のユーザ ロールによって定義されます。Security Manager 内のロールは、ユーザ名とパスワードの認証後に設定されます。認証は、ログイン中に Security Manager によって行われます。

アカウントの作成

Cisco Security Manager を使用するには、インストール中に作成した [管理者(admin)] アカウントを使用してログインして、各ユーザーのアカウントを作成する必要があります。次のタイプのアカウントを作成できます。


(注)  
Cisco Security Manager 4.21 以降では、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証に使用できます。

ローカル アカウント

ローカルアカウントを作成するには、次の手順を実行します。

  1. 次のいずれかを実行します。

  2. Security Manager クライアントが現在開いていて、管理者アカウントでログインしている場合は、[ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] を選択し、コンテンツテーブルから [サーバーセキュリティ(Server Security)] を選択できます。[Server Security] ページには、Common Services の特定のページにリンクするボタンおよび特定のページを開くボタンが含まれています。[ローカルユーザーセットアップ(Local User Setup)] をクリックして、Common Services の [ローカルユーザーセットアップ(Local User Setup)] ページに移動します。

  3. Web ブラウザを使用し、URL https://servername を使用して Security Manager サーバーにリンクします(servername はサーバーの IP アドレスまたは DNS 名です)。この URL によって Security Manager ホームページが開きます。[サーバー管理(Server Administration)] をクリックして、Common Services を開きます。[サーバー(Server)] > [シングルサーバー管理(Single-Server Management)] > [ローカル ユーザーセットアップ(Local User Setup)] の順に選択して、Common Services の [ローカルユーザーセットアップ(Local User Setup)] ページに移動します。

  4. [追加(Add)] をクリックします。

ACS アカウント

ACS アカウントを作成するには、次の手順を実行します。

  1. 次のいずれかを実行します。

  2. Security Manager クライアントが現在開いていて、管理者アカウントでログインしている場合は、[ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] を選択し、コンテンツテーブルから [サーバーセキュリティ(Server Security)] を選択できます。[Server Security] ページには、Common Services の特定のページにリンクするボタンおよび特定のページを開くボタンが含まれています。[AAA設定(AAA Setup)] をクリックして、Common Services の [認証モードの設定(Authentication Mode Setup)] ページに移動します。

  3. Web ブラウザを使用し、URL https://servername を使用して Security Manager サーバーにリンクします(servername はサーバーの IP アドレスまたは DNS 名です)。この URL によって Security Manager ホームページが開きます。[サーバー管理(Server Administration)] をクリックして、Common Services を開きます。[サーバー(Server)]、[AAAモードの設定(AAA Mode Setup)] の順に指定して、Common Services の [認証モードの設定(Authentication Mode Setup)] ページに移動します。

  4. [AAAモードの設定(AAA Mode Setup)] で [ACS(ACS)] を選択します。


ヒント

ACS アカウントは、(1)ACS タイプの AAA Mode Setup(これは [Authentication Mode Setup] ページにあります)、および(2)CiscoWorks Common Services の ACS ログイン モジュールを使用します。ただし、ACS ログイン モジュールを選択する必要はありません。これは、ACS タイプの [AAA Mode Setup] を選択すると自動的に選択されます。


(注)  
Cisco Security Manager 4.21 以降では、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証に使用できます。

非 ACS アカウント

非 ACS アカウントを作成するには、次の手順を実行します。

  1. 次のいずれかを実行します。

  2. Security Manager クライアントが現在開いていて、管理者アカウントでログインしている場合は、[ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] を選択し、コンテンツテーブルから [サーバーセキュリティ(Server Security)] を選択できます。[Server Security] ページには、Common Services の特定のページにリンクするボタンおよび特定のページを開くボタンが含まれています。[AAA設定(AAA Setup)] をクリックして、Common Services の [認証モードの設定(Authentication Mode Setup)] ページに移動します。

  3. Web ブラウザを使用し、URL https://servername を使用して Security Manager サーバーにリンクします(servername はサーバーの IP アドレスまたは DNS 名です)。この URL によって Security Manager ホームページが開きます。[サーバー管理(Server Administration)] をクリックして、Common Services を開きます。[サーバー(Server)]、[AAAモードの設定(AAA Mode Setup)] の順に指定して、Common Services の [認証モードの設定(Authentication Mode Setup)] ページに移動します。

  4. [AAAモードの設定(AAA Mode Setup)] で [ローカルRBAC(Local RBAC)] を選択します。


ヒント
非 ACS アカウントは、(1)[ローカルRBAC(Local RBAC)] タイプの [AAAモードの設定(AAA Mode Setup)](これは [認証モードの設定(Authentication Mode Setup)] ページにあります)、および(2)CiscoWorks Common Services で CiscoWorks Local(デフォルトのログインモジュール)、Local NT System、MS Active Directory、RADIUS、または TACACS+ のログインモジュールのいずれかを使用します。

ユーザ権限

ユーザーがログインする前に、Cisco Security Manager によってユーザー名とパスワードが認証されます。認証されると、Security Manager によってアプリケーション内のユーザーのロールが確立されます。このロールによって、実行が認可されるタスクまたは操作のセットである権限(特権とも呼ばれる)が定義されます。特定のタスクまたはデバイスに対して認可されなかった場合は、関連するメニュー項目、目次内の項目、およびボタンが非表示またはディセーブルになります。加えて、選択した情報を表示したり、選択した操作を実行したりするための権限がないことを伝えるメッセージが表示されます。

Security Manager の認証と認可は、CiscoWorks サーバと Cisco Secure Access Control Server(ACS)のどちらかによって管理されます。デフォルトで、CiscoWorks は、認証と認可を管理しますが、CiscoWorks Common Services の [AAA Mode Setup] ページを使用して Cisco Secure ACS を変更できます。ACS 統合の詳細については、この章の次の項を参照してください。

Security Manager 4.3 よりも前、Cisco Secure ACS を使用する重要なメリットは、(1)特殊な権限セット(特定のポリシー タイプの設定だけをユーザに許可する場合など)を使用して非常に粒度の高いユーザ ロールを作成できることと、(2)ネットワーク デバイス グループ(NDG)を設定することによって特定のデバイスにユーザを制限できることでした。このような粒度の高い特権(効率的な「ロールベース アクセス コントロール」(RBAC))は、Cisco Secure ACS を使用していない限り、Security Manager 4.2 以前のバージョンでは利用できませんでした。このような粒度の高い特権(RBAC)は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 以降を使用するため、Security Manager 4.3 以降で利用可能です。

Security Manager 4.30 では、ACS 4.2 との互換性が維持されています。詳細については、Security Manager と Cisco Secure ACS の統合を参照してください。


(注)  
RBAC 機能を ACS から Common Services に移行したいユーザは、手動で行う必要があります。移行スクリプトも、他の移行サポートもありません。

ヒント

Security Manager 権限ツリーの全体を表示するには、Cisco Secure ACS にログインしてから、ナビゲーションバーの [共有プロファイルコンポーネント(Shared Profile Components)] をクリックします。詳細については、Cisco Secure ACS ロールのカスタマイズを参照してください。

次のトピックで、ユーザ権限について説明します。

Security Manager ACS 権限

Cisco Security Manager はデフォルトの ACS ロールと権限を提供します。デフォルト ロールをカスタマイズすることも、ニーズに合わせて追加のロールを作成することもできます。ただし、新しいロールを定義する場合、または、デフォルト ロールをカスタマイズする場合は、選択した権限が Security Manager アプリケーションの観点から適切であることを確認してください。たとえば、表示権限を伴わない変更権限を付与した場合、そのユーザはアプリケーションを使用できなくなります。

Security Manager 権限は次のカテゴリに分類されます。個々の権限に関する説明については、Cisco Secure ACS に統合されているオンライン ヘルプを参照してください(権限の表示方法については、Cisco Secure ACS ロールのカスタマイズを参照してください)。

  • [表示(View)]:現在の設定の表示を可能にします。主な表示権限を次に示します。

    • [表示(View)] > [ポリシー(Policies)]:さまざまなタイプのポリシーの表示を可能にします。このフォルダには、ファイアウォールや NAT などのさまざまなポリシー クラスの権限が含まれています。

    • [表示(View)] > [オブジェクト(Objects)]:さまざまなタイプのポリシー オブジェクトの表示を可能にします。このフォルダには、ポリシー オブジェクト タイプごとの権限が含まれています。

    • [表示(View)] > [管理者(Admin)]:Security Manager 管理設定の表示を可能にします。

    • [表示(View)] > [CLI(CLI)]:デバイス上で設定された CLI コマンドの表示と、展開しようとしているコマンドのプレビューを可能にします。

    • [View] > [Config Archive]:設定アーカイブに保存されている設定の一覧表示を可能にします。デバイス設定や CLI コマンドは表示できません。

    • [表示(View)] > [デバイス(Devices)]:[Device] ビュー内のデバイスと関連情報(デバイス設定、プロパティ、割り当てなど)の表示を可能にします。NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。

    • [表示(View)] > [デバイスマネージャ(Device Managers)]:個々のデバイスのデバイスマネージャの読み取り専用バージョンを起動できます。

    • [表示(View)] > [トポロジ(Topology)]:[Map] ビューで設定されたマップの表示を可能にします。

    • [表示(View)] > [イベントビューア(Event Viewer)]:Real Time Viewer と Historical Viewer の両方で Event Viewer のイベントの表示を可能にします。

    • [表示(View)] > [レポートマネージャ(Report Manager)]:Report Manager のレポートの表示を可能にします。

    • [表示(View)] > [定期レポート(Schedule Reports)]:Report Manager のレポートのスケジューリングを可能にします。

    • [表示(View)] > [Health and Performance Manager(Health and Performance Manager)]:Health and Performance Manager を起動できます。

    • [表示(View)]、[Image Manager(Image Manager)] :Image Manager を起動できます。

  • [変更(Modify)]:現在の設定の変更を可能にします。

    • [変更(Modify)] > [ポリシー(Policies)]:さまざまなタイプのポリシーの変更を可能にします。このフォルダには、さまざまなポリシー クラスの権限が含まれています。

    • [変更(Modify)] > [オブジェクト(Objects)]:さまざまなタイプのポリシー オブジェクトの変更を可能にします。このフォルダには、ポリシー オブジェクト タイプごとの権限が含まれています。

    • [変更(Modify)] > [管理者(Admin)]:Security Manager 管理設定の変更を可能にします。

    • [Modify] > [Config Archive]:設定アーカイブ内のデバイス設定の変更を可能にします。加えて、アーカイブへの設定の追加と設定アーカイブ ツールのカスタマイズを可能にします。

    • [変更(Modify)] > [デバイス(Devices)]:デバイスの追加と削除だけでなく、デバイスのプロパティと属性の変更を可能にします。追加するデバイスに関するポリシーを検出するには、[Import] 権限もイネーブルにする必要があります。加えて、[Modify] > [Devices] 権限をイネーブルにした場合は、[Assign] > [Policies] > [Interfaces] 権限もイネーブルになっていることを確認してください。NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。

    • [変更(Modify)] > [階層(Hierarchy)]:デバイス グループの変更を可能にします。

    • [変更(Modify)] > [Topology(トポロジ)]:[Map] ビュー内のマップの変更を可能にします。

    • [変更(Modify)] > [イベントモニタリングの管理(Manage Event Monitoring)]:任意のデバイスに対して Security Manager のモニタリングをイネーブルおよびディセーブルにすることを可能にします。それにより、Security Manager は、デバイスからのイベントの受信および処理を開始または停止します。

    • [変更(Modify)] > [イメージリポジトリの変更(Modify Image Repository)] :イメージリポジトリ内の項目を変更し、Cisco.com からイメージの更新を確認できます。

  • [割り当て(Assign)]:デバイスと VPN へのさまざまなポリシータイプの割り当てを可能にします。このフォルダには、さまざまなポリシー クラスの権限が含まれています。

  • [承認(Approve)]:ポリシー変更と展開ジョブの承認を可能にします。

  • [制御(Control)]:ping などのデバイスに対するコマンドの発行を可能にします。この権限は、接続診断に使用されます。

  • [展開(Deploy)]:ネットワーク内のデバイスに対する設定変更の展開と、以前の展開設定に戻すためのロールバックの実施を可能にします。

  • [インポート(Import)]:すでにデバイス上に展開された設定の Security Manager へのインポートを可能にします。デバイスの表示特権とデバイスの変更特権も持っている必要があります。

  • [送信(Submit)]:設定変更の送信と承認を可能にします。

ヒント

  • 変更、割り当て、承認、インポート、制御、または展開権限を選択した場合は、対応する表示権限も選択する必要があります。そうしなかった場合は、Security Manager が正しく機能しません。

  • ポリシーの変更権限を選択した場合は、対応するポリシーの割り当て権限と表示権限も選択する必要があります。

  • その定義の一部としてポリシー オブジェクトを使用するポリシーを許可した場合は、これらのオブジェクト タイプに表示権限も付与する必要があります。たとえば、ルーティング ポリシーを変更するための権限を選択した場合は、ルーティング ポリシーに必要なオブジェクト タイプのネットワーク オブジェクトとインターフェイス ロールを表示するための権限も選択する必要があります。

  • その定義の一部として他のオブジェクトを使用するオブジェクトを許可する場合も同様です。たとえば、ユーザ グループを変更するための権限を選択した場合は、ネットワーク オブジェクト、ACL オブジェクト、および AAA サーバ グループを表示するための権限も選択する必要があります。

  • NDG を設定することによって、デバイス権限を特定のデバイスのセットに制限できます。NDG はポリシー権限に対して次のような影響を与えます。

    • ポリシーを表示するには、そのポリシーが割り当てられた少なくとも 1 つのデバイスに対する権限を持っている必要があります。

    • ポリシーを変更するには、そのポリシーが割り当てられたすべてのデバイスに対する権限を持っている必要があります。

    • VPN ポリシーを表示、変更、または割り当てるには、VPN トポロジ内のすべてのデバイスに対する権限を持っている必要があります。

    • デバイスにポリシーを割り当てるには、ポリシーが割り当てられた他のデバイスに対する権限を持っているかどうかに関係なく、そのデバイスの権限のみが必要です(上述したように、VPN ポリシーは例外です)。ただし、権限を持っていないデバイスに割り当てられているポリシーを変更することはできません。

CiscoWorks ロールについて

CiscoWorks Common Services 内で作成されたユーザには、1 つ以上のロールが割り当てられます。各ロールに割り当てられた権限によって、各ユーザが Security Manager 内で実行を認可される操作が決定されます。

次のトピックで、CiscoWorks ロールについて説明します。

CiscoWorks Common Services デフォルト ロール

CiscoWorks Common Services には、Security Manager 用の次のデフォルト ロールが用意されています。

  • [Help Desk(Help Desk)]:Help Desk ユーザーは、デバイス、ポリシー、オブジェクト、およびトポロジマップを表示できます(ただし、変更はできません)。

  • [Approver(Approver)]:変更および CLI 変更の修正を承認できます。

  • [Network Operator(Network Operator)]:表示権限に加えて、Network Operator は、CLI コマンドと Security Manager 管理設定を表示できます。Network Operator は、設定アーカイブを変更したり、デバイスにコマンド(ping など)を発行したりすることもできます。

  • [Network Administrator(Network Administrator)]:変更のみ展開できます。


(注)  
Cisco Secure ACS は、さまざまな権限セットを含む Network Administrator という名前のデフォルト ロールを特徴とします。詳細については、Cisco Secure ACS ロールについてを参照してください。

  • [System Administrator(System Administrator)]:System Administrator は、変更、ポリシー割り当て、アクティビティとジョブの承認、検出、展開、およびデバイスに対するコマンドの発行を含む、すべての Security Manager 権限にアクセスできます。


ヒント

Security Manager では、System Administrator ロールは最高レベルの権限を持っています。

  • [Super Admin(Super Admin)]:管理および承認タスクを含む、CiscoWorks のすべての操作を実行できます。デフォルトでは、このロールは完全な特権を持っています。


ヒント

Security Manager では、Super Admin ロールは最高レベルの権限を持っていません。また、Super Admin ロールは ACS ではなく、Common Services に固有のものです。

  • [Security Administrator(Security Administrator)]:変更の修正、割り当て、および送信のみ実行できます。

  • [Security Approver(Security Approver)]:変更の修正のみ承認できます。

Image Manager

各デフォルトロールの追加タスクは、Security Manager 4.3 に最初に表示される機能である Image Manager 用に定義されています。Security Manager 4.30 でもこれを引き続き使用できます。

  • Image Manager の起動

  • Security Manager のリポジトリへのイメージの追加

  • イメージ アップグレード ジョブの作成

ローカルアカウント(Security Manager サーバーに定義されている Security Manager に固有)を使用する場合、これらの追加タスクが表 8-1 に示されているさまざまなロールに割り当てられます。

表 1. デフォルト ロールの Image Manager タスク

ロール

タスク

起動と表示

リポジトリへのイメージの追加

イメージ アップグレード ジョブの作成

ヘルプ デスク(Help Desk)

対応

非対応

非対応

承認者

対応

非対応

非対応

Network Operator

対応

非対応

非対応

Network Administrator

対応

対応

対応

システム管理者(System Administrator)

対応

対応

対応

Security Administrator

対応

非対応

非対応

Security Manager 権限と CiscoWorks ロールの関連付けについては、Security Manager 内の権限とロールのデフォルトの関連付けを参照してください。

Image Manager の RBAC 権限マトリクスを示す一連の表の詳細については、Image Manager の権限マトリクスを参照してください。

ヒント

  • 追加のアプリケーションがサーバ上にインストールされた場合に、追加のロール(データのエクスポートなど)が Common Services に表示される場合があります。データのエクスポート ロールは、サードパーティ開発者用であり、Security Manager では使用されません。

  • CiscoWorks ロールの定義は変更できませんが、各ユーザに割り当てるロールを定義できます。詳細については、認可タイプの選択および Common Services 内のユーザへのロールの割り当てを参照してください。

  • CiscoWorks で権限テーブルを生成するには、[サーバー(Server)] > [レポート(Reports)] > [権限(Permission)] を選択して、[Generate Report(レポートの生成)] をクリックします。

認可タイプの選択および Common Services 内のユーザへのロールの割り当て

CiscoWorks Common Services 4.2.2 では、[ローカルユーザー設定(Local User Setup)] > [追加(Add)] ページを使用して、(1)ローカルユーザーに選択可能な 3 つの認可タイプのいずれかを選択し、(2)ロールをユーザーに割り当てます。3 つの認可タイプは次のとおりです。

  • Full Authorization

  • Enable Task Authorization

  • Enable Device Authorization

Common Services にローカル ユーザを追加する場合、この 3 つの認可タイプ(Full Authorization、Enable Task Authorization、または Enable Device Authorization)のいずれかを選択する必要があります。

3 つの認可タイプのいずれかを選択することで、ローカルユーザーに必要なロールを選択できます。ローカル ユーザに必要なロールを選択することは、ユーザが実行を許可される操作を定義することになるので重要です。

たとえば、Help Desk ロールを選択した場合、ユーザは表示操作に制限され、データを変更できません。また、Network Operator ロールを割り当てた場合、ユーザは設定アーカイブを変更することもできます。特定のユーザに複数のロールを割り当てることができます。

デフォルトでは、Help Desk ロールがイネーブルになっています。デフォルト ロールをクリアして、任意のロールをデフォルト ロールに設定することもできます。


ヒント
ユーザ権限を変更したら、Security Manager クライアントを再起動する必要があります。

関連項目

手順

ステップ 1

次のパスに従い、Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

[管理者(admin)] アカウントログイン(または十分な権限があるユーザーアカウント)>

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Local User Setup]

ステップ 2

次のいずれかを実行します。

  • ユーザーを作成するには、[追加(Add)] をクリックして、[ユーザー名(Username)]、[パスワード(Password)]、[パスワードの確認(Verify Password)]、および [電子メール(Email)] の各フィールドに適切な情報を入力します。

  • 既存のユーザーの認可を変更するには、ユーザー名の横にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

ユーザーに Security Manager で利用可能なすべてのロール(Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver)を持たせる場合は、[完全認可(Full Authorization)] を選択します。

ヒント

 
[完全認可(Full Authorization)] を選択する場合、[タスク認可の有効化(Enable Task Authorization)] または [デバイス許可の有効化(Enable Device Authorization)] は選択できません(オプションボタン形式のため)。

この手順のステップ 6 に進みます。

ステップ 4

新しいユーザーに、選択したロールのみ(たとえば、Network Operator のみ)を持たせる場合は、[タスク認可の有効化(Enable Task Authorization)] を選択します。

ヒント

 
[タスク認可の有効化(Enable Task Authorization)] を選択する場合、[完全認可(Full Authorization)] または [デバイス許可の有効化(Enable Device Authorization)] は選択できません(オプションボタン形式のため)。

  1. 次のロールを 1 つ以上選択します。Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver。各ロールの詳細については、CiscoWorks Common Services デフォルト ロールを参照してください。

  2. この手順のステップ 8 に進みます。

ステップ 5

新しいユーザーを、Security Manager インストールに存在するすべてのデバイスグループではなく、選択するデバイスグループに対してのみ認可させる場合は、[デバイス許可の有効化(Enable Device Authorization)] を選択します。(デバイス グループは [Device Groups] ページ([Security Manager] > [Tools] > [Security Manager Administration] > [Device Groups])で定義できます)。

ヒント

 
[デバイス許可の有効化(Enable Device Authorization)] を選択する場合、[完全認可(Full Authorization)] または [タスク認可の有効化(Enable Task Authorization)] は選択できません(オプションボタン形式のため)。

  1. 新しいユーザが認可されるデバイス グループを選択します。

  2. 次のロールを 1 つ以上選択します。Help Desk、Approver、Network Operator、Network Administrator、System Administrator、Super Admin、Security Administrator、および Security Approver。各ロールの詳細については、CiscoWorks Common Services デフォルト ロールを参照してください。

ステップ 6

[OK] をクリックして変更を保存します。

ステップ 7

Security Manager クライアントを再起動します。

Cisco Secure ACS ロールについて

Common Services 4.0(Security Manager 4.3 と 4.4 で使用)と Common Services 4.2.2(Security Manager バージョン 4.5 ~バージョン 4.30 で使用)以前は、Cisco Secure ACS ではアプリケーション固有のロール(効率的な「ロールベース アクセス コントロール」(RBAC))をサポートしていたため、Common Services よりも柔軟性の高い Security Manager 権限の管理が可能でした。

このような粒度の高い特権(RBAC)は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 および 4.2.2 で利用できます。各ロールは、Security Manager タスクに対する認可レベルを決定する権限セットで構成されます。Cisco Secure ACS で、各ユーザ グループに(およびオプションで個別のユーザにも)ロールを割り当てます。これによって、グループ内の各ユーザは、そのロールに対して定義された権限によって認可される操作を実行できます。

加えて、これらのロールを Cisco Secure ACS デバイス グループに割り当てて、デバイスのセットごとに権限を区別できるようにできます。


(注)  
Cisco Secure ACS デバイス グループは、Security Manager デバイス グループとは無関係です。

次のトピックで、Cisco Secure ACS ロールについて説明します。

Cisco Secure ACS デフォルト ロール

Cisco Secure ACS には、CiscoWorks と同じロール(CiscoWorks ロールについてを参照)に加えて、次のロールが含まれています。

  • [Security Approver(Security Approver)]:Security Approver は、デバイス、ポリシー、オブジェクト、マップ、CLI コマンド、および管理設定を表示できます(ただし、変更はできません)。加えて、Security Approver は、アクティビティに含まれる設定変更を承認または拒否できます。

  • [Security Administrator(Security Administrator)]:表示権限が付与されていることに加えて、Security Administrator は、デバイス、デバイスグループ、ポリシー、オブジェクト、およびトポロジマップを変更できます。彼らは、デバイスと VPN トポロジにポリシーを割り当てたり、システムに新しいデバイスをインポートするための検出を実行したりすることもできます。

  • [Network Administrator(Network Administrator)]:表示権限に加えて、Network Administrator は、設定アーカイブを変更したり、展開を実行したり、デバイスにコマンドを発行したりできます。


(注)  
Cisco Secure ACS Network Administrator ロール内に含まれる権限は、CiscoWorks Network Administrator ロール内に含まれる権限と同じではありません。詳細については、CiscoWorks ロールについてを参照してください。

CiscoWorks と違って、Cisco Secure ACS を使用すれば、各 Security Manager ロールに関連付けられた権限をカスタマイズできます。デフォルト ロールの変更方法については、Cisco Secure ACS ロールのカスタマイズを参照してください。

Security Manager 権限と Cisco Secure ACS ロールの関連付けについては、Security Manager 内の権限とロールのデフォルトの関連付けを参照してください。

関連項目

Cisco Secure ACS ロールのカスタマイズ

Cisco Secure ACS を使用すれば、各 Security Manager ロールに関連付けられた権限を変更できます。特定の Security Manager タスクを対象とする権限が付与された特殊なユーザ ロールを作成することによって、Cisco Secure ACS をカスタマイズすることもできます。


(注)  
ユーザ権限を変更したら、Security Manager を再起動する必要があります。

関連項目

手順

ステップ 1

Cisco Secure ACS のナビゲーションバーで、[共有プロファイルコンポーネント(Shared Profile Components)] をクリックします。

ステップ 2

[共有コンポーネント(Shared Components)] ページで [Cisco Security Manager(Cisco Security Manager)] をクリックします。Security Manager 用に設定されたロールが表示されます。

ステップ 3

次のいずれかを実行します。

  • ロールを作成するには、[追加(Add)] をクリックします。ロールの名前を入力して、オプションで、説明を入力します。

  • 既存のロールを変更するには、そのロールをクリックします。

ステップ 4

権限ツリー内のチェックボックスをオン/オフして、そのロールに対する権限を定義します。

ツリーのブランチに対応するチェックボックスをオンにすると、そのブランチ内のすべての権限が選択されます。たとえば、[割り当て(Assign)] チェックボックスをオンにすると、すべての割り当て権限が選択されます。

個々の権限に関する説明がウィンドウに表示されます。詳細については、Security Manager ACS 権限を参照してください。

ヒント

 
変更、承認、割り当て、インポート、制御、または展開権限を選択した場合は、対応する表示権限も選択する必要があります。そうしなかった場合は、Security Manager が正しく機能しません。

ステップ 5

[送信(Submit)] をクリックして変更を保存します。

ステップ 6

Security Manager を再起動します。

Security Manager 内の権限とロールのデフォルトの関連付け

表 8-2 に、Security Manager 権限、CiscoWorks Common Services ロール、および Cisco Secure ACS 内のデフォルトロールの関連付けを示します。一部のロール(Super Admin、Security Administrator、および Security Approver)は、Cisco Secure ACS のデフォルト ロールと特に関連付けられていないので含まれていません。特定の権限に関する詳細については、Security Manager ACS 権限を参照してください。

表 2. Security Manager と CiscoWorks Common Services のロール関連付けに対するデフォルトの権限

権限

ロール

System Admin.

Security Admin.

セキュリティ承認者(Security Approver)

Network Admin.

承認者

Network Operator

ヘルプ デスク(Help Desk)

表示権限

デバイスの表示

対応

対応

対応

対応

対応

対応

対応

ポリシーの表示

対応

対応

対応

対応

対応

対応

対応

オブジェクトの表示

対応

対応

対応

対応

対応

対応

対応

トポロジの表示

対応

対応

対応

対応

対応

対応

対応

CLI の表示

対応

対応

対応

対応

対応

対応

非対応

管理設定の表示

対応

対応

対応

対応

対応

対応

非対応

設定アーカイブの表示

対応

対応

対応

対応

対応

対応

対応

デバイス マネージャの表示

対応

対応

対応

対応

対応

対応

非対応

変更権限

デバイスの変更

対応

対応

非対応

非対応

非対応

非対応

非対応

階層の変更

対応

対応

非対応

非対応

非対応

非対応

非対応

ポリシーの変更

対応

対応

非対応

非対応

非対応

非対応

非対応

イメージの変更

対応

対応

非対応

非対応

非対応

非対応

非対応

オブジェクトの変更

対応

対応

非対応

非対応

非対応

非対応

非対応

トポロジの変更

対応

対応

非対応

非対応

非対応

非対応

非対応

管理設定の変更

対応

非対応

非対応

非対応

非対応

非対応

非対応

設定アーカイブの変更

対応

対応

非対応

対応

非対応

対応

非対応

その他の権限

ポリシーの割り当て

対応

対応

非対応

非対応

非対応

非対応

非対応

ポリシーの承認

対応

非対応

対応

非対応

非対応

非対応

非対応

CLI の承認

対応

非対応

非対応

非対応

対応

非対応

非対応

検出(インポート)

対応

対応

非対応

非対応

非対応

非対応

非対応

[展開(Deploy)]

対応

非対応

非対応

対応

非対応

非対応

非対応

コントロール (Control)

対応

非対応

非対応

対応

非対応

対応

非対応

送信

対応

対応

非対応

非対応

非対応

非対応

非対応

Security Manager と Cisco Secure ACS の統合

この項では、Cisco Secure ACS と Cisco Security Manager の統合方法について説明します。

Cisco Secure ACS は、Security Manager などの管理アプリケーションを使用しているユーザに管理対象ネットワーク デバイスを設定するためのコマンド認可を提供します。コマンド認可に対するサポートは、一連の権限が含まれる一意のコマンド認可セット タイプ(Security Manager ではロールと呼ばれている)によって提供されます。これらの権限(特権とも呼ばれる)によって、特定のロールを持つユーザが Security Manager 内で実行できるアクションが決定されます。

Cisco Secure ACS は、TACACS+ を使用して管理アプリケーションと通信します。Security Manager と Cisco Secure ACS が通信するためには、Cisco Secure ACS 内の CiscoWorks サーバを TACACS+ を使用する AAA クライアントとして設定する必要があります。加えて、CiscoWorks サーバーに(1)Cisco Secure ACS へのログインに使用する管理者名とパスワードおよび(2)外部ユーザー追加で ACS に設定した共有キーを提供する必要があります。これらの要件を満たすことによって、Security Manager と Cisco Secure ACS 間の通信の有効性が保証されます。


(注)  
TACACS+ のセキュリティメリットを理解するには、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

Security Manager が初めて Cisco Secure ACS と通信するときに、デフォルト ロールの作成を Cisco ACS に指示します。このロールは、Cisco Secure ACS HTML インターフェイスの [Shared Profile Components] セクションに表示されます。また、TACACS+ による認可をカスタム サービスに指示します。このカスタム サービスは、HTML インターフェイスの [Interface Configuration] セクション内の [TACACS+ (Cisco IOS)] ページに表示されます。その後で、各 Security Manager ロールに含まれる権限を変更したり、これらのロールをユーザとユーザ グループに適用したりできます。


(注)  
Cisco Security Manager 4.21 以降では、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証に使用できます。

次のトピックで、Cisco Secure ACS と Security Manager の使用方法について説明します。

ACS 統合要件

Cisco Secure ACS を使用するには、次の手順を完了する必要があります。

  • Security Manager 内で必要な機能を実行するために必要な権限を含むロールを定義しました。

  • Network Access Restriction(NAR)には、NAR をプロファイルに適用する場合に管理するデバイス グループ(またはデバイス)が含まれています。

  • 管理対象デバイス名は、Cisco Secure ACS と Security Manager で綴りと大文字/小文字を合わせる必要があります。この制限は、表示名に適用され、デバイス上で定義されるホスト名には適用されません。ACS の命名制限は Security Manager の命名制限よりも厳密なため、先に、ACS 内でデバイスを定義する必要があります。

  • ASA セキュリティコンテキスト デバイスに関して満たさなければならないその他のデバイス表示名要件があります。これらについては、NDG を使用しないデバイスの AAA クライアントとしての追加に記載されています。

  • ネットワーク デバイス グループをイネーブルにする必要があります。

ヒント

  • ACS 統合の前にデバイスが Security Manager にすでにインポートされている場合は、それらのデバイスを AAA クライアントとして ACS に追加してから統合することを推奨します。AAA クライアントの名前は、Cisco Security Manager 内でのデバイスの表示名と一致する必要があります。一致していないと、それらのデバイスは、ACS 統合後に Security Manager のデバイス リストに表示されなくなります。

  • 複数の Cisco Secure ACS サーバを使用するフォールトトレラントなインフラストラクチャの構築を強く推奨します。複数のサーバを使用することによって、いずれかの ACS サーバの通信機能が失われても、Security Manager 内の作業を継続できます。

  • Cisco Secure ACS と統合できるのは 1 つのバージョンの Security Manager だけです。そのため、組織で 2 つの異なるバージョンの Security Manager が同時に使用されている場合は、2 つの異なる Cisco Secure ACS サーバとの統合を実施する必要があります。ただし、別の ACS を使用しなくても、新しいバージョンの Security Manager にアップグレードできます。

  • Cisco Secure ACS 認証が使用されている場合でも、CiscoWorks Common Services ソフトウェアは Compact Database や Database Checkpoint などの CiscoWorks Common Services 固有のユーティリティのローカル認可を使用します。これらのユーティリティを使用するには、ユーザをローカルに定義して、適切な権限を付与する必要があります。

関連項目

初期 Cisco Secure ACS セットアップ手順の概要

次の手順では、Cisco Secure ACS と Security Manager を使用して実行する必要のあるすべてのタスクの概要を示します。この手順には、各ステップの実行に使用されるより詳しい手順への参照が含まれています。

関連項目

手順

ステップ 1

管理認証および認可モデルを計画します。

Security Manager を使用する前に、管理モデルを決定する必要があります。これには、使用する予定の管理ロールとアカウントの定義も含まれます。

ヒント

 
潜在的管理者のロールと権限を定義するときに、イネーブルにするワークフローも考慮する必要があります。この選択は、アクセスの制限方法に影響します。

詳細については、次のトピックを参照してください。

ステップ 2

Cisco Secure ACS、Cisco Security Manager、および CiscoWorks Common Services をインストールします。

Cisco Secure ACS をインストールします。別のサーバ上に CiscoWorks Common Services と Cisco Security Manager をインストールします。Cisco Secure ACS と Security Manager を同じサーバ上で実行しないでください。

詳細については、次のトピックを参照してください。

ステップ 3

Cisco Secure ACS で統合手順を実行します。

Security Manager ユーザを ACS ユーザとして定義し、それらを計画されたロールに基づいてユーザ グループに割り当て、すべての管理対象デバイス(および CiscoWorks/Security Manager サーバ)を AAA クライアントとして追加し、管理制御ユーザを作成します。

詳細については、Cisco Secure ACS で実行する統合手順を参照してください。

ステップ 4

CiscoWorks Common Services で統合手順を実行します。

Cisco Secure ACS で定義されたシステム識別ユーザと一致するローカル ユーザを設定し、同じユーザをシステム識別セットアップ用に定義し、ACS を AAA セットアップ モードとして設定し、SMTP サーバとシステム管理者の電子メール アドレスを設定します。

詳細については、CiscoWorks で実行する統合手順を参照してください。

ステップ 5

Daemon Manager を再起動します。

Security Manager サーバの Daemon Manager を再起動して、構成した AAA 設定を有効にします。

詳細については、Daemon Manager の再起動を参照してください。

ステップ 6

Cisco Secure ACS でユーザ グループにロールを割り当てます。

Cisco Secure ACS で設定されたユーザ グループごとにロールを割り当てます。使用すべき手順は、Network Device Group(NDG; ネットワーク デバイス グループ)を設定したかどうかによって異なります。

詳細については、Cisco Secure ACS でのユーザ グループへのロール割り当てを参照してください。

Cisco Secure ACS で実行する統合手順

次のトピックで、Cisco Security Manager と統合する場合に Cisco Secure ACS で実行すべき手順について説明します。列挙された順にタスクを実行します。これらの項で説明する手順の詳細については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

  1. <XREF>

  2. <XREF>

  3. <XREF>

Cisco Secure ACS でのユーザとユーザ グループの定義

Security Manager のすべてのユーザを Cisco Secure ACS で定義し、彼らの職務権限に応じたロールを割り当てる必要があります。この最も簡単な方法は、ACS で使用可能なデフォルト ロールに従ってユーザを複数のグループに分ける方法です。たとえば、すべてのシステム管理者をあるグループに割り当て、すべてのネットワーク オペレータを別のグループに割り当てるといった具合です。ACS 内のデフォルト ロールの詳細については、Cisco Secure ACS デフォルト ロールを参照してください。

デバイスに対するフル権限を持つ System Administrator ロールを割り当てる新しいユーザを作成する必要があります。このユーザに対して設定された資格情報が、後で、CiscoWorks の [System Identity Setup] ページで使用されます。システム識別ユーザの定義を参照してください。

この段階で、ユーザを複数のグループに割り当てることはまれであることに注意してください。これらのグループに対する実際のロールの割り当ては、CiscoWorks、Security Manager、およびその他のアプリケーションが Cisco Secure ACS に登録された後で実行されます。


ヒント
この手順では、初期 Cisco Secure ACS 統合中のユーザ アカウントの作成方法について説明します。統合を完了したら、ユーザ アカウントを作成して、適切なグループに割り当てることができます。

関連項目

手順

ステップ 1

Cisco Secure ACS にログインします。

ステップ 2

次の手順を使用して、フル権限を持つユーザを設定します。ユーザーとユーザーグループの設定時に使用可能なオプションの詳細については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

  1. ナビゲーションバーの [ユーザー設定(User Setup)] をクリックします。

  2. [ユーザー設定(User Setup)] ページで、新しいユーザーの名前を入力して [追加/編集(Add/Edit)] をクリックします。

    ヒント

     
    [管理者(admin)] という名前のユーザーは作成しないでください。admin ユーザは Security Manager のフォールバック ユーザです。ACS システムが何らかの理由で停止した場合は、admin アカウントを使用して Security Manager サーバ上の CiscoWorks Common Services にログインし、AAA モードを CiscoWorks ローカル認証に変更して、製品の使用を続けることができます。

  3. [User Setup] の下の [Password Authentication] リストから認証方式を選択します。

  4. 新しいユーザのパスワードを入力して確認します。

  5. ユーザーに割り当てるべきグループとして [グループ1(Group 1)] を選択します。

  6. [送信(Submit)] をクリックしてユーザーアカウントを作成します。

ステップ 3

Security Manager ユーザごとにこのプロセスを繰り返します。ユーザは割り当てられたロールに基づいてグループに分けることを推奨します。

  • グループ 1:System Administrator

  • グループ 2:Security Administrator

  • グループ 3:Security Approver

  • グループ 4:Network Administrator

  • グループ 5:Approver

  • グループ 6:Network Operator

  • グループ 7:Help Desk

各ロールに関連付けられたデフォルト権限の詳細については、Security Manager 内の権限とロールのデフォルトの関連付けを参照してください。ユーザ ロールのカスタマイズ方法については、Cisco Secure ACS ロールのカスタマイズを参照してください。

(注)  

 
この段階で、グループはどのロールも定義されていないユーザの集合でしかありません。統合プロセスが完了してから、各ユーザにロールを割り当てます。Cisco Secure ACS でのユーザ グループへのロール割り当てを参照してください。

ステップ 4

CiscoWorks Common Services でシステム識別ユーザとして使用する新しいユーザを作成します。このユーザをシステム管理者グループに割り当て、デバイスに対するすべての特権を付与します。このユーザに対して設定された資格情報が、後で、CiscoWorks の [System Identity Setup] ページで使用されます。システム識別ユーザの定義を参照してください。

ステップ 5

Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加に進みます。

Cisco Secure ACS での管理対象デバイスの AAA クライアントとしての追加

Security Manager にデバイスをインポートするには、Cisco Secure ACS で各デバイスを AAA クライアントとして設定する必要があります。加えて、CiscoWorks/Security Manager サーバを AAA クライアントとして設定する必要があります。

Security Manager が、ファイアウォールデバイス上で設定されたセキュリティコンテキストを管理している場合は、それぞれのコンテキストを個別に Cisco Secure ACS に追加する必要があります。

管理対象デバイスを追加する方式は、NDG を作成して特定のデバイス セットの管理にユーザを制限するかどうかによって異なります。次のように進めます。


(注)  
デバイスがネットワーク デバイス グループに分類される必要はありませんが、Security Manager は NDG にある Security Manager ネットワーク デバイスを要求します。「Not Assigned」は NDG ではありません。複数の NDG が必要でない場合は、すべてのデバイスを Not Assigned からデフォルトの NDG に移動することを推奨します。
NDG を使用しないデバイスの AAA クライアントとしての追加

この手順では、デバイスを Cisco Secure ACS の AAA クライアントとして追加する方法について説明します。使用可能なオプションの詳細については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。


ヒント
CiscoWorks/Security Manager サーバを AAA クライアントとして追加することを忘れないでください。

関連項目

手順

ステップ 1

Cisco Secure ACS のナビゲーションバーで、[ネットワーク構成(Network Configuration)] をクリックします。

ステップ 2

[AAAクライアント(AAA Clients)] テーブルの下で [エントリの追加(Add Entry)] をクリックします。

ステップ 3

[Add AAA Client] ページで AAA クライアントのホスト名(32 文字以下)を入力します。AAA クライアントのホスト名は、Security Manager 内でデバイスとして使用する予定の表示名と一致させる必要があります

たとえば、Security Manager でドメイン名をデバイス名に付加する場合は、ACS 内の AAA クライアントのホスト名を <device_name>.<domain_name> にする必要があります。

CiscoWorks サーバに名前を付ける場合は、完全修飾ホスト名を使用することを推奨します。ホスト名の綴りが正しいことを確認してください(ホスト名は大文字と小文字が区別されません)。

その他の命名規則には、ASA セキュリティコンテキスト <parent_display_name> _<context_name> が含まれます。

ステップ 4

[AAA Client IP Address] フィールドにネットワーク デバイスの IP アドレスを入力します。デバイスに IP アドレスが設定されていない場合(仮想センサーや仮想コンテキストなど)は、アドレスの代わりに単語の dynamic を入力します。

(注)  

 
マルチホーム デバイス(複数の NIC が実装されたデバイス)を追加している場合は、各 NIC の IP アドレスを入力します。各アドレスの間で Enter を押します。加えて、Security Manager サーバ上の gatekeeper.cfg ファイルを変更する必要があります。

ステップ 5

[Key] フィールドに共有秘密キーを入力します。

ステップ 6

[認証方法(Authenticate Using)] リストから [TACACS+ (Cisco IOS)(TACACS+ (Cisco IOS))] を選択します。

ステップ 7

[送信(Submit)] をクリックして変更を保存します。追加したデバイスが [AAA Clients] テーブル内に表示されます。

ステップ 8

このプロセスを繰り返して、新しいデバイスを追加します。

ステップ 9

追加したデバイスを保存するには、[送信して再起動(Submit + Restart)] をクリックします。

ステップ 10

Cisco Secure ACS での管理制御ユーザの作成に進みます。

Security Manager で使用するネットワーク デバイス グループの設定

Cisco Secure ACS を使用すれば、特定の管理対象デバイスを含む NDG を設定できます。たとえば、地理的地域別の NDG や組織構造と一致する NDG を作成できます。NDG を Security Manager と一緒に使用すれば、管理対象デバイスに応じて、さまざまなレベルの権限をユーザに付与できます。たとえば、NDG を使用することによって、ユーザ A に、ヨーロッパに設置されたデバイスに対するシステム管理者権限とアジアに設置されたデバイスに対するヘルプ デスク権限を割り当てることができます。その後で、正反対の権限をユーザ B に割り当てることができます。

NDG は直接はユーザに割り当てません。その代わりに、ユーザ グループごとに定義したロールに NDG を割り当てます。各 NDG は 1 つのロールにしか割り当てることができませんが、各ロールに複数の NDG を含めることができます。これらの定義は、選択されたユーザ グループの定義の一部として保存されます。

ヒント

  • 各デバイスは 1 つの NDG のメンバーにしかなれません。

  • NDG は、Security Manager で設定可能なデバイスグループに関連付けられません

  • NDG の管理方法については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

次のトピックで、NDG の設定に関する基本的な情報とステップについて説明します。

  • <XREF>

  • <XREF>

  • <XREF>

  • <XREF>

NDG とユーザ権限

NDG はユーザを特定のデバイス セットに制限するため、次のように、ポリシー権限に影響します。

  • ポリシーを表示するには、そのポリシーが割り当てられた少なくとも 1 つのデバイスに対する権限を持っている必要があります。

  • ポリシーを変更するには、そのポリシーが割り当てられたすべてのデバイスに対する権限を持っている必要があります。

  • VPN ポリシーを表示、変更、または割り当てるには、VPN トポロジ内のすべてのデバイスに対する権限を持っている必要があります。

  • デバイスにポリシーを割り当てるには、ポリシーが割り当てられた他のデバイスに対する権限を持っているかどうかに関係なく、そのデバイスの権限のみが必要です(上述したように、VPN ポリシーは例外です)。ただし、権限を持っていないデバイスに割り当てられているポリシーを変更することはできません。


(注)  
オブジェクトを変更するには、そのオブジェクトを使用しているすべてのデバイスに対する変更権限を持っている必要はありません。ただし、そのデバイス上で定義されたデバイスレベルのオブジェクトの上書きを変更するには、特定のデバイスに対する変更権限を持っている必要があります。
関連項目

  • <XREF>

  • <XREF>

NDG 機能のアクティブ化

NDG を作成して、デバイスを追加するには、NDG 機能をアクティブにする必要があります。

関連項目

  • <XREF>

  • <XREF>

  • <XREF>

  • <XREF>

手順

ステップ 1

Cisco Secure ACS のナビゲーションバーで、[インターフェイスコンフィギュレーション(Interface Configuration)] をクリックします。

ステップ 2

[詳細オプション(Advanced Options)] をクリックします。

ステップ 3

スクロールダウンしてから、[ネットワークデバイスグループ(Network Device Groups)] チェックボックスをオンにします。

ステップ 4

[送信(Submit)] をクリックします。

ステップ 5

<XREF> で続行します。
NDG の作成

この手順では、NDG を作成して、デバイスを追加する方法について説明します。各デバイスは 1 つの NDG にしか属することができません。


ヒント
CiscoWorks/Security Manager サーバを含む特別な NDG を作成することを強く推奨します。

はじめる前に

NDG 機能のアクティブ化に記載されているように、NDG 機能をアクティブにします。

関連項目

手順

ステップ 1

ナビゲーションバーで、[ネットワーク構成(Network Configuration)] をクリックします。

最初は、すべてのデバイスが Not Assigned に配置されます。この場所には、NDG 内に存在しなかったすべてのデバイスが保存されます。[未割り当て(Not Assigned)] は NDG でないことに注意してください。

ステップ 2

NDG を作成します。

  1. [エントリの追加(Add Entry)] をクリックします。

  2. [New Network Device Group] ページで、NDG の名前を入力します。最大長は 24 文字です。スペースを使用できます。

  3. (任意)NDG 内のすべてのデバイスで使用されるキーを入力します。NDG 用のキーを定義すると、NDG 内の個別のデバイスに対して定義されたすべてのキーが上書きされます。

  4. [送信(Submit)] をクリックして NDG を保存します。

  5. このプロセスを繰り返して、新しい NDG を作成します。

ステップ 3

NDG にデバイスを追加します。各デバイスは 1 つの NDG のメンバーにしかなれないことに注意してください。

  1. [Network Device Groups] エリアで、NDG の名前をクリックします。

  2. [AAAクライアント(AAA Clients)] エリアで、[エントリの追加(Add Entry)] をクリックします。

  3. NDG に追加するデバイスの詳細を定義してから、[送信(Submit)] をクリックします。詳細については、NDG を使用しないデバイスの AAA クライアントとしての追加を参照してください。

  4. このプロセスを繰り返して、残りのデバイスを NDG に追加します。Not Assigned カテゴリに残すことを検討すべき唯一のデバイスが、デフォルト AAA サーバです。

  5. 最後のデバイスを設定したら、[送信して再起動(Submit + Restart)] をクリックします。

ステップ 4

Cisco Secure ACS での管理制御ユーザの作成」に進みます。

ヒント

 

Cisco Secure ACS と CiscoWorks Common Services の統合プロセスが完了しなければ、ロールを各 NDG に関連付けることができません。NDG とロールのユーザ グループへの関連付け を参照してください。

Cisco Secure ACS での管理制御ユーザの作成

Cisco Secure ACS の [Administration Control] ページを使用して、CiscoWorks Common Services の AAA セットアップ モードの定義に使用される管理者アカウントを定義します。Security Manager は、このアカウントを使用して、ACS サーバにアクセスしてアプリケーションを登録したり、デバイス グループ メンバーシップとグループ セットアップを問い合わせたり、その他の基本的な ACS とのデータのやり取りを行ったりします。詳細については、CiscoWorks での AAA セットアップ モードの設定を参照してください。

関連項目

手順

ステップ 1

Cisco Secure ACS のナビゲーションバーで、[管理コントロール(Administration Control)] をクリックします。

ステップ 2

[管理者を追加(Add Administrator)] をクリックします。

ステップ 3

[Add Administrator] ページで、管理者の名前とパスワードを入力します。

ステップ 4

次の管理者特権を選択します。

  • Under Users and Group Setup

    • グループ内のユーザに対する読み取りアクセス

    • これらのグループの読み取りアクセス

  • Under Shared Profile Components

    • デバイス コマンド セット タイプの作成

  • ネットワーク構成

ステップ 5

[送信(Submit)] をクリックして管理者を作成します。管理者の設定時に使用可能なオプションの詳細については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

CiscoWorks で実行する統合手順

Cisco Secure ACS での統合タスク(Cisco Secure ACS で実行する統合手順を参照)が完了したら、CiscoWorks Common Services でいくつかのタスクを完了する必要があります。Common Services は、Cisco Security Manager などのインストール対象アプリケーションの Cisco Secure ACS への登録を実行します。

次のトピックで、Cisco Security Manager と統合する場合に CiscoWorks Common Services で実行する手順について説明します。

CiscoWorks でのローカル ユーザの作成

CiscoWorks Common Services の [Local User Setup] ページを使用して、Cisco Secure ACS で作成されたシステム識別ユーザ(Cisco Secure ACS でのユーザとユーザ グループの定義を参照)とまったく同じローカル ユーザ アカウントを作成します。このローカル ユーザ アカウントは、後で、システム識別セットアップに使用されます。詳細については、システム識別ユーザの定義を参照してください。

関連項目

手順

ステップ 1

次のパスに従い、Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

[管理者(admin)] アカウントログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Local User Setup]

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

Cisco Secure ACS でシステム識別ユーザを作成したときに入力したものと同じ名前とパスワードを入力します。Cisco Secure ACS でのユーザとユーザ グループの定義を参照してください。

ステップ 4

[Roles] の下のチェックボックスをすべてオンにします。

ステップ 5

[OK(OK)] をクリックしてユーザーを作成します。

システム識別ユーザの定義

CiscoWorks Common Services の [System Identity Setup] ページを使用して、同じサーバ上に配置された同じドメインおよびアプリケーション プロセスに属しているサーバ間通信をイネーブルにする信頼ユーザ(システム識別ユーザと呼ばれる)を作成します。アプリケーションは、システム識別ユーザを使用して、リモート CiscoWorks サーバ上のプロセスを認証します。これは、特に、ユーザのログイン前に、アプリケーションの同期化が必要な場合に役立ちます。

加えて、システム識別ユーザは、プライマリ タスクがすでにログイン ユーザに対して認可されている場合にサブタスクを実行するためによく使用されます。

ここで設定したシステム識別ユーザは、CiscoWorks ではローカル ユーザとして(すべてのロールが割り当てられる)、ACS ではデバイスに対するすべての特権を持つユーザとして定義する必要もあります。必要な特権を持つユーザを選択しなかった場合は、Security Manager で設定されたすべてのデバイスとポリシーを表示できない可能性があります。先に進む前に次の手順を実行したことを確認してください。

関連項目

手順

ステップ 1

次のパスに従い、Common Services の [System Identify Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

[管理者(admin)] アカウントログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Multi-Server Trust Management] >

[System Identity Setup]

ステップ 2

Cisco Secure ACS で作成したシステム識別ユーザの名前を入力します。Cisco Secure ACS でのユーザとユーザ グループの定義を参照してください。

ステップ 3

このユーザのパスワードを入力して確認します。

ステップ 4

[Apply] をクリックします。

CiscoWorks での AAA セットアップ モードの設定

CiscoWorks Common Services の [AAA Setup Mode] ページを使用して、Cisco Secure ACS を必要なポートと共有秘密キーを含む AAA サーバとして定義します。加えて、最大 2 台のバックアップ サーバを定義できます。

この手順は、CiscoWorks と Security Managerの Cisco Secure ACS への登録を実行します。


ヒント
CiscoWorks Common Services または Cisco Security Manager をアンインストールした場合は、ここで設定した AAA セットアップが保存されません。加えて、この設定はバックアップして再インストール後に復元できません。そのため、いずれかのアプリケーションの新しいバージョンにアップグレードする場合は、AAA セットアップモードを再設定して、Security Manager を ACS に再登録する必要があります。差分アップデートの場合は、このプロセスが必要ありません。。ACS への Security Manager の再登録以外に、既存のシステム識別ユーザーを設定し、新しく導入された権限を付与する必要があります。そうしないと、RBAC が正常に機能しません。システム識別ユーザの定義を参照してください。

関連項目

手順

ステップ 1

次のパスに従い、Common Services の [AAA Mode Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

[管理者(admin)] アカウントログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[AAA Mode Setup]

ステップ 2

[使用可能なログインモジュール(Available Login Modules)] の下で [TACACS+(TACACS+)] を選択します。

ステップ 3

AAA タイプとして [ACS(ACS)] を選択します。

ステップ 4

最大 3 つの Cisco Secure ACS サーバの IP アドレスを [Server Details] エリアに入力します。セカンダリ サーバとターシャリ サーバは、プライマリ サーバで障害が発生した場合のバックアップとして機能します。すべてのサーバで同じバージョンの Cisco Secure ACS が実行している必要があります。

(注)  

 
設定されたすべての TACACS+ サーバーが応答しなかった場合は、admin CiscoWorks ローカルアカウントを使用してログインしてから、AAA モードを Non-ACS/CiscoWorks Local に変更する必要があります。TACACS+ サーバのサービスが回復されたら、AAA モードを ACS に変更する必要があります。

ステップ 5

[Login] エリアで、Cisco Secure ACS の [Administration Control] ページで定義した管理者の名前を入力します。詳細については、Cisco Secure ACS での管理制御ユーザの作成を参照してください。

ステップ 6

この管理者のパスワードを入力して確認します。

ステップ 7

Security Manager サーバを Cisco Secure ACS の AAA クライアントとして追加したときに入力した共有秘密キーを入力して確認します。NDG を使用しないデバイスの AAA クライアントとしての追加を参照してください。

ステップ 8

[すべてのインストール済みアプリケーションをACSに登録(Register all installed applications with ACS)] チェックボックスをオンにして、Security Manager とその他のインストール済みアプリケーションを Cisco Secure ACS に登録します。

ステップ 9

[Apply] をクリックして設定値を保存します。経過表示バーに登録の進捗が表示されます。登録が完了するとメッセージが表示されます。

ステップ 10

Cisco Security Manager の Daemon Manager サービスを再起動します。Daemon Manager の再起動を参照してください。

ステップ 11

Cisco Secure ACS に再ログインしてロールを各ユーザ グループに割り当てます。Cisco Secure ACS でのユーザ グループへのロール割り当て を参照してください。

ACS ステータス通知用の SMTP サーバとシステム管理者の電子メール アドレスの設定

すべての ACS サーバが使用不能になった場合は、Security Manager でタスクを実行できません。ログイン ユーザは、ACS 認可が必要なタスクを実行しようとすると、強制的に(変更を保存する機会を与えられずに)アプリケーションからログアウトされます。

SMTP サーバとシステム管理者を識別するように Common Services を設定した場合は、すべての ACS サーバが使用不能になったときに、Security Manager から管理者に電子メール メッセージが送信されます。このメッセージにより、早急な対応を必要とする問題に対して警告を出すことができます。管理者は、Common Services から非 ACS 関連イベントに関する電子メール メッセージを受け取ることもあります。


ヒント
Security Manager は、展開ジョブの完了、アクティビティの承認、ACL ルールの期限切れなどのイベント タイプに関する電子メール通知を送信できます。ここで設定する SMTP サーバはこれらの通知にも使用されますが、送信者の電子メール アドレスは Security Manager で設定されます。このような電子メールアドレスの設定方法については、このバージョンの製品の『User Guide for Cisco Security Manager』[英語] か、クライアントのオンラインヘルプを参照してください。
手順

ステップ 1

次のパスに従い、Common Services の [System Preferences] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

[管理者(admin)] アカウントログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Admin] >

システム設定

ステップ 2

[System Preferences] ページで、Security Manager が使用可能な SMTP サーバのホスト名または IP アドレスを入力します。SMTP サーバは、電子メール メッセージの送信に対してユーザ認証を要求できません。

ステップ 3

CiscoWorks が電子メールの送信に使用可能な電子メール アドレスを入力します。これは、Security Manager の通知の送信に使用される電子メール アドレスと同じにする必要はありません。

ACS サーバが使用不能になると、このアカウントに(およびこのアカウントから)メッセージが送信されます。

ステップ 4

[適用(Apply)] をクリックして変更内容を保存します。

Daemon Manager の再起動

この手順では、Security Manager サーバの Daemon Manager の再起動方法について説明します。この操作は、構成した AAA 設定値を有効にするために行う必要があります。そうすれば、Cisco Secure ACS で定義された資格情報を使用して CiscoWorks に再ログインできます。

関連項目

手順

ステップ 1

Security Manager サーバがインストールされたマシンにログインします。

ステップ 2

[スタート(Start)] > [プログラム(Programs)] > [管理ツール(Administrative Tools)] > [サービス(Services)] を選択して [サービス(Services)] ウィンドウを開きます。

ステップ 3

右ペインに表示されたサービスのリストから、[Cisco Security Manager Daemon Manager(Cisco Security Manager Daemon Manager)] を選択します。

ステップ 4

ツールバーで [サービスの再起動(Restart Service)] ボタンをクリックします。

ステップ 5

Cisco Secure ACS でのユーザ グループへのロール割り当てに進みます。

Cisco Secure ACS でのユーザ グループへのロール割り当て

CiscoWorks、Security Manager、およびその他のインストール済みアプリケーションを Cisco Secure ACS に登録したら、Cisco Secure ACS で設定したユーザ グループのそれぞれにロールを割り当てることができます。これらのロールによって、各グループ内のユーザが Security Manager で実行を許可されるアクションが決定されます。

ユーザ グループにロールを割り当てる手順は、NDG が使用されるかどうかによって異なります。


(注)  
CiscoWorks/Security Manager サーバーを含む特別な NDG を作成することによって、Cisco Security Manager と ACS の統合はより有効に機能します。

NDG を使用しないユーザ グループへのロールの割り当て

この手順では、NDG が定義されていない場合のユーザ グループへのデフォルト ロールの割り当て方法について説明します。詳細については、Cisco Secure ACS デフォルト ロールを参照してください。

はじめる前に

関連項目

手順

ステップ 1

Cisco Secure ACS にログインします。

ステップ 2

ナビゲーションバーの [グループ設定(Group Setup)] をクリックします。

ステップ 3

リストから System Administrator 用のユーザーグループを選択(Cisco Secure ACS でのユーザとユーザ グループの定義を参照)してから、[設定の編集(Edit Settings)] をクリックします。

ヒント

 

グループ名を意味のある名前に変更して、正しいグループを特定しやすいようにすることができます。グループを選択して、[グループ名の変更(Rename Group)] をクリックし、名前を変更します。

ステップ 4

このグループに System Administrator ロールを割り当てます。

  1. [TACACS+ Settings] の下の [CiscoWorks] エリアまでスクロール ダウンします。

  2. 最初の [割り当て(Assign)] オプションを選択して、CiscoWorks ロールのリストから [System Administrator(System Administrator)] を選択します。

  3. [Cisco Security Manager Shared Services] エリアまでスクロール ダウンします。

  4. 最初の [割り当て(Assign)] オプションを選択して、Cisco Secure ACS ロールのリストから [System Administrator(System Administrator)] を選択します。

  5. [送信(Submit)] をクリックして、グループ設定を保存します。

ステップ 5

残りのロールに対してこのプロセスを繰り返して、各ロールを適切なユーザ グループに割り当てます。

Cisco Secure ACS で [Security Approver] ロールまたは [Security Administrator] ロールを選択するときは、最も近い CiscoWorks ロールとして [Network Administrator] を選択することを推奨します。

ACS 内のデフォルト ロールのカスタマイズ方法については、Cisco Secure ACS ロールのカスタマイズを参照してください。

NDG とロールのユーザ グループへの関連付け

NDG とロールを関連付けて Security Manager で使用する場合は、[Group Setup] ページの次の 2 か所で定義を作成する必要があります。

  • [CiscoWorks] エリア

  • [Cisco Security Manager] エリア

各エリア内の定義は、できるだけ細部まで一致する必要があります。CiscoWorks Common Services 内に存在しないカスタム ロールまたは ACS ロールを関連付ける場合は、そのロールに割り当てられた権限に基づいて、できるだけ近い定義を作成するようにします。

Security Manager で使用されるユーザ グループごとの関連付けを作成する必要があります。たとえば、西部地域のサポート担当者を含むユーザ グループがある場合は、そのユーザ グループを選択して、西部地域内のデバイスを含む NDG と Help Desk ロールを関連付けることができます。

はじめる前に

NDG 機能をアクティブにして、NDG を作成します。Security Manager で使用するネットワーク デバイス グループの設定 を参照してください。

関連項目

手順

ステップ 1

ナビゲーションバーの [グループ設定(Group Setup)] をクリックします。

ステップ 2

[グループ(Group)] リストからユーザーグループを選択してから、[設定の編集(Edit Settings)] をクリックします。

ヒント

 
グループ名を意味のある名前に変更して、正しいグループを特定しやすいようにすることができます。グループを選択して、[グループ名の変更(Rename Group)] をクリックし、名前を変更します。

ステップ 3

CiscoWorks 内で使用する NDG とロールをマップします。

  1. [Group Setup] ページで、[TACACS+ Settings] の下の [CiscoWorks] エリアまでスクロール ダウンします。

  2. [ネットワークデバイスグループ単位のCiscoworksの割り当て(Assign a Ciscoworks on a per Network Device Group Basis)] を選択します。

  3. [Device Group] リストから NDG を選択します。

  4. この NDG を関連付けるべきロールを 2 つめのリストから選択します。

  5. [関連付けの追加(Add Association)] をクリックします。関連付けが [Device Group] ボックスに表示されます。

  6. このプロセスを繰り返して、新しい関連付けを作成します。

  7. 関連付けを削除するには、[デバイスグループ(Device Group)] からそれを選択して、[関連付けの削除(Remove Association)] をクリックします。

ステップ 4

Cisco Security Manager 内で使用する NDG とロールをマップします。以前のステップで定義した関連付けにできるだけ近い関連付けを作成する必要があります。

  1. [Group Setup] ページで、[TACACS+ Settings] の下の [Cisco Security Manager] エリアまでスクロール ダウンします。

  2. [ネットワークデバイスグループ単位のCisco Security Managerの割り当て(Assign a Cisco Security Manager on a per Network Device Group Basis)] を選択します。

  3. [Device Group] リストから NDG を選択します。

  4. この NDG を関連付けるべきロールを 2 つめのリストから選択します。

  5. [関連付けの追加(Add Association)] をクリックします。関連付けが [Device Group] ボックスに表示されます。

  6. このプロセスを繰り返して、新しい関連付けを作成します。

    (注)  

     
    Cisco Secure ACS で [Security Approver] ロールまたは [Security Administrator] ロールを選択するときは、最も近い CiscoWorks ロールとして [Network Administrator] を選択することを推奨します。

    (注)  

     
    CiscoWorks Common Services には、「Network Administrator」と呼ばれるデフォルトのロールがあります。Cisco Secure ACS には、「Network Admin」と呼ばれるデフォルトのロールがあります。これらのロールは同一ではありません。 Cisco Security Manager のいくつかの権限が異なります。

ステップ 5

[Submit] をクリックして設定値を保存します。

ステップ 6

このプロセスを繰り返して、残りのユーザ グループ用の NDG を定義します。

ステップ 7

作成した関連付けを保存するには、[送信して再起動(Submit + Restart)] をクリックします。

ACS 内のデフォルト ロールのカスタマイズ方法については、Cisco Secure ACS ロールのカスタマイズを参照してください。

Security Manager と ACS の相互作用のトラブルシューティング

次のトピックで、Security Manager と Cisco Secure ACS の相互作用が原因で発生する可能性のある一般的な問題の解決方法について説明します。

複数のバージョンの Security Manager と 1 つの ACS の使用

1 つの Cisco Secure ACS を 2 つの異なるバージョンの Security Manager と一緒に使用することはできません。たとえば、Security Manager 3.3.1 と Cisco Secure ACS を統合してから、別の部署で既存のインストールをアップグレードせずに Security Manager 4.0.1 の使用を計画している場合は、Security Manager 4.0.1 と、Security Manager 3.3.1 用に使用されているものとは別の ACS を統合する必要があります。

既存の Security Manager インストールをアップグレードすれば、同じ Cisco Secure ACS を使用し続けることができます。必要に応じて、権限設定が更新されます。


(注)  
Cisco Security Manager 4.21 以降では、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証に使用できます。

ACS モードで認証に失敗する

Security Manager または CiscoWorks Common Services にログインしようとして続けて認証が失敗する場合は、Common Services を使用して Cisco Secure ACS を認証用の AAA サーバーとして設定していたとしても、次の手順を実行します。

  • ACS サーバと、Common Services と Security Manager を実行しているサーバ間の接続が確立されていることを確認します。

  • 使用しているユーザ資格情報(ユーザ名とパスワード)が ACS 内で定義されており、適切なユーザ グループに割り当てられていることを確認します。

  • ACS の [Network Configuration] ページで、Common Services サーバが AAA クライアントとして定義されていることを確認します。Common Services([AAA Mode Setup] ページ)と ACS([Network Configuration])で定義された共有秘密キーが一致することを確認します。

  • Common Services の [AAA Mode Setup] ページで、各 ACS サーバの IP アドレスが正しく定義されていることを確認します。

  • ACS の [Administration Control] ページで、正しいアカウントが定義されていることを確認します。

  • Common Services の [AAAモードの設定(AAA Mode Setup)]ページにアクセスして、Common Services と Security Manager(および AUS などの他のインストール済みアプリケーション)が Cisco Secure ACS に登録されていることを確認します。

  • ACS で [管理コントロール(Administration Control)] > [アクセスの設定(Access Setup)] に移動して、ACS が HTTPS 通信用に設定されていることを確認します。

  • ACS ログに「キーの不一致(key mismatch)」エラーが書き込まれている場合は、Security Manager サーバーがネットワークデバイス グループ(NDG)のメンバーとして定義されているかどうかを確認します。その場合は、NDG 用のキーが事前に定義されていれば、そのキーが Security Manager サーバを含む NDG 内の個々のデバイスに対して定義されたキーよりも優先されることに注意してください。NDG 用に定義されたキーが、Security Manager サーバの秘密キーと一致することを確認します。

読み取り専用アクセスが付与されたシステム管理者

フル権限を持つ System Administrator としてログインしたにもかかわらず、Security Manager のすべてのポリシーページに読み取り専用アクセスしかできない場合は、Cisco Secure ACS で次の手順を実行します。

  • (NDG を使用している場合)Cisco Secure ACS のナビゲーションバーの [グループ設定(Group Setup)] をクリックしてから、System Administrator ユーザーロールが CiscoWorks と Cisco Security Manager の両方の必要なすべての NDG(特に、Common Services/Security Manager サーバーを含む NDG)に関連付けられていることを確認します。

  • ナビゲーションバーの [ネットワーク構成(Network Configuration)] をクリックしてから、次の手順を実行します。

    • Common Services/Security Manager サーバが Not Assigned(デフォルト)グループに割り当てられていないことを確認します。

    • Common Services/Security Manager サーバが RADIUS ではなく TACACS+ を使用するように設定されていることを確認します。TACACS+ は、2 台のサーバ間でサポートされている唯一のセキュリティ プロトコルです。


(注)  
TACACS+ または RADIUS 用に Security Manager で管理するネットワークデバイス(ルータ、ファイアウォールなど)を設定できます。

ACS の変更が Security Manager に表示されない

Security Manager と Cisco Secure ACS 4.x を使用している場合は、Security Manager サーバ上の Security Manager または CiscoWorks Common Services にログインしたときに ACS からの情報がキャッシュされます。Security Manager にログイン中に Cisco Secure ACS の [Network Configuration] と [Group Setup] で変更を加えた場合は、Security Manager で、その変更が、すぐに表示されない、または、すぐに有効にならない可能性があります。Security Manager と Common Services をログアウトしてそれらのウィンドウを閉じてから、再度ログインして、ACS からの情報をリフレッシュする必要があります。


(注)  
Cisco Security Manager 4.21 以降では、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証に使用できます。

ACS で変更を加える必要がある場合は、ログアウトして Security Manager ウィンドウを閉じてから、製品に再ログインする方法がベスト プラクティスです。


(注)  
Cisco Secure ACS 3.3 はサポートされていませんが、このバージョンの ACS を使用している場合は、Windows サービスを開いて Cisco Security Manager Daemon Manager サービスを再起動し、ACS の変更を Security Manager に表示させる必要があります。

ACS で設定されたデバイスが Security Manager に表示されない

Cisco Secure ACS 上で設定したデバイスが Security Manager に表示されない場合は、デバイスの表示名に伴う問題だと思われます。

Security Manager で定義するデバイスの表示名は、そのデバイスを AAA クライアントとして追加したときに ACS で設定した名前と一致する必要があります。このことは、特に、ドメイン名を使用する場合に重要です。Security Manager でドメイン名をデバイス名に付加する場合は、ACS 内の AAA クライアントのホスト名を <device_name>.<domain_name> にする必要があります(例:pixfirewall.cisco.com)。

Cisco Secure ACS が到達不能になった後の Security Manager での作業

Cisco Secure ACS が到達不能な場合は、Security Manager セッションが影響を受けます。そのため、複数の Cisco Secure ACS サーバーを使用するフォールトトレラントなインフラストラクチャの構築を検討する必要があります。複数のサーバを使用することによって、いずれかの ACS サーバの通信機能が失われても、Security Manager 内の作業を継続できます。

セットアップに Cisco Secure ACS が 1 つしか含まれておらず、ACS が到達不能になった場合でも Security Manager での作業を継続する場合は、Security Manager サーバー上でのローカル AAA 認証に切り替えることができます。

手順

AAA モードに変更するには、次の手順を実行します。

手順

ステップ 1

[管理者(admin)] CiscoWorks ローカルアカウントを使用して Common Services にログインします。

ステップ 2

[サーバー(Server)] > [セキュリティ(Security)] > [AAAモードの設定(AAA Mode Setup)]を選択してから、AAA モードを [非ACS/CiscoWorksローカル(Non-ACS/CiscoWorks Local)] に変更します。これによって、ローカル Common Services データベースとその組み込みロールを使用して認証と認可を実行できます。ローカル認証を利用するには、AAA データベース内にローカル ユーザを作成する必要があります。

ステップ 3

[変更(Change)] をクリックします。

Cisco Secure ACS へのアクセスの復元

Cisco Secure ACS がダウンしたために Security Manager にアクセスできなくなった場合は、次の手順を実行します。

  • ACS サーバ上で Windows サービスを起動して、CSTacacs サービスと CSRadius サービスが稼働しているかどうかを確認します。必要に応じて、これらのサービスを再起動します。

  • CiscoWorks Common Services で次の手順を実行します。

手順

ステップ 1

[管理者(admin)] ユーザーとして Common Services にログインします。

ステップ 2

DOS ウィンドウを開いて、NMSROOT\bin\perl ResetLoginModule.pl を実行します。

ステップ 3

Common Services を終了してから、[管理者(admin)] ユーザーとして再度ログインします。

ステップ 4

[サーバー(Server)] > [セキュリティ(Security)] > [AAAモードの設定(AAA Mode Setup)]に移動してから、AAA モードを [非ACS(Non-ACS)] > [CWローカルモード(CW Local mode)] モードに変更します。

ステップ 5

Windows サービスを開いて、Cisco Security Manager Daemon Manager サービスを再起動します。

マルチホーム デバイスに伴う認証の問題

Cisco Secure ACS に追加されたマルチホームデバイス(複数の Network Interface Card(NIC; ネットワーク インターフェイスカード)が実装されたデバイス)が設定できない場合は、ユーザーロールにデバイスの変更権限が含まれていたとしても、そのデバイスの IP アドレスの入力方法に伴う問題が発生する可能性があります。

マルチホームデバイスを Cisco Secure ACS の AAA クライアントとして定義する場合は、NIC ごとの IP アドレスを定義してください。入力するたびに Enter を押します。詳細については、NDG を使用しないデバイスの AAA クライアントとしての追加を参照してください。

NAT 境界の背後に設置されたデバイスに伴う認証の問題

Cisco Secure ACS に追加された NAT 前または NAT 後の IP アドレスを持つデバイスを設定できない場合は、ユーザ ロールにデバイスの変更権限が含まれていたとしても、設定した IP アドレスに伴う問題が発生する可能性があります。

デバイスが NAT 境界の背後に設置されている場合は、Cisco Secure ACS の AAA クライアント設定でデバイスのすべての IP アドレス(NAT 前と NAT 後を含む)を定義してください。ACS への AAA クライアント設定の追加方法については、『User Guide for Cisco Secure Access Control Server』[英語] を参照してください。

Common Services 4.2.2 を使用するローカル RBAC

Security Manager 4.3 よりも前、Cisco Secure ACS を使用する重要なメリットは、(1)特殊な権限セット(特定のポリシー タイプの設定だけをユーザに許可する場合など)を使用して非常に粒度の高いユーザ ロールを作成できることと、(2)ネットワーク デバイス グループ(NDG)を設定することによって特定のデバイスにユーザを制限できることでした。このような粒度の高い特権(効率的な「ロールベース アクセス コントロール」(RBAC))は、Cisco Secure ACS を使用していない限り、Security Manager 4.2 以前のバージョンでは利用できませんでした。このような粒度の高い特権(RBAC)は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 以降を使用するため、Security Manager 4.3 以降で利用可能です。

Security Manager 4.30 では、ACS 4.2 との互換性が維持されています。詳細については、Security Manager と Cisco Secure ACS の統合を参照してください。


(注)  
RBAC 機能を ACS から Common Services に移行したいユーザは、手動で行う必要があります。移行スクリプトも、他の移行サポートもありません。

Common Services 4.2.2 には、ユーザのカスタム ロールを定義し、ユーザの既存のロールをカスタマイズするためのデバイスレベルの RBAC があります。次の機能を使用できます。

  • ユーザの管理(追加、削除、編集)

  • デバイスレベルの RBAC を提供するためのネットワーク デバイス グループ(NDG)の管理

  • カスタム ロールの管理

  • デバイス グループへのロールのマッピング

  • 「ネットワークオブジェクトの表示」、「サービスオブジェクトの変更」、および「アクセスルールの変更」などのポリシーオブジェクトタイプとポリシータイプに対する粒度の高い特権。

次のエリアのタスクを完了することで、Common Services 4.2.2 を使用してローカル RBAC を実装できます。

認証モードの設定

次の手順を実行して、非 ACS アカウントを設定します。非 ACS アカウントを参照してください。

次に、[CiscoWorksローカル(CiscoWorks Local)] ログインモジュールを選択します。


ヒント
[CiscoWorks Local] は Security Manager のクリーン インストールのデフォルト値です。

User Management

Common Services の [Local User Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Server Administration] >

[Home] >

[System Tasks] >

[Local User Setup]

[Local User Setup] ページで、ユーザを選択し、次のアクションのいずれかを選択できます。

  • ユーザのインポート

  • Export Users

  • 編集

  • 削除

  • 追加(Add)

  • Modify My Profile

複数のユーザを選択する場合、[Edit] は選択できません。

ユーザを選択しない場合は、次のアクションのいずれかを選択できます。

  • ユーザのインポート

  • 追加(Add)

  • Modify My Profile

[編集(Edit)] または [追加(Add)] を選択する場合は、次の 3 つの認可タイプのいずれかを選択できます。

  • Full Authorization

  • Enable Task Authorization

  • Enable Device Authorization

グループ管理

Security Manager の [Device Groups] ページに移動します。

Security Manager がインストールされているサーバ >

Configuration Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Tools] >

[Security Manager Administration] >

デバイス グループ(Device Groups)

Common Services インターフェイス(Security Manager がインストールされているサーバ > Cisco Security Manager アプリケーションのデスクトップ アイコン)を使用してデバイス グループを管理することはできません。

ロール管理

[Role Management Setup] ページに移動します。

Security Manager がインストールされているサーバ >

Cisco Security Manager アプリケーションのデスクトップ アイコン >

ユーザ アカウント ログイン >

[Server Administration] >

[Server] >(メニュー セレクタ記号)>

[Security] >

[Single-Server Management] >

[Role Management Setup]

[Role Management Setup] ページにはデフォルトのロール(Approver、Help Desk、Network Administrator、Network Operator、Security Administrator、Security Approver、Super Admin、および System Administrator)が表示されます。[Role Management Setup] ページには、追加したカスタム ロール(ある場合)も表示されます。

[Role Management] ページでは、Add、Edit、Delete、Copy、Export、Import、Set as default、および Clear default の各操作を実行できます。