AAA クライアントの作成、読み取り、更新、および削除
ステップ 4 :アクセス ポリシーの設定
• Respond to invalid IP address connections:Access Policy で無効として設定された範囲の IP アド レスを使用してリモート管理セッションを開始しようとすると、エラーメッセージが送信され ます。このチェックボックスをオフにした場合、ユーザが無効なリモート接続を試行してもエ ラーメッセージが表示されません。このオプションは、デフォルトでオン(有効)になってい ます。
このオプションを無効にすると、権限のないユーザによる ACS の検出を防ぐことができます。
ステップ 4 :アクセス ポリシーの設定
この項では、管理アクセスポリシーの設定方法について説明します。
始める前に
管理アクセス用の SSL を有効にする場合は、P.7-4 の「CA 証明書のインストール」、および P.7-5 の
「信頼できる証明書の追加」の手順を実行する必要があります。SSL を有効にすると、次の管理者 ログイン時に、ACS が SSL の使用を開始します。この変更は、現在の管理セッションには影響し ません。証明書がインストールされていない状態で SSL を設定しようとすると、エラー メッセー ジが表示されます。
ACS のアクセスポリシーを設定するには、次の手順を実行します。
ステップ 1 ナビゲーション バーの Administration Control をクリックします。
Administration Control ページが表示されます。
ステップ 2 Access Policy をクリックします。
Access Policy Setup ページが表示されます(図5-4 を参照)。
第5章 パスワード ポリシーの設定のシナリオ
ステップ 4:アクセス ポリシーの設定
図5-4 Access Policy Setup ページ
ステップ 3 適用する IP Address Filtering オプションをクリックします。
表5-1 Access Policy オプション
オプション 説明
IP Address Filtering
Allow all IP addresses to connect Web インターフェイスに任意の IP アドレスからリモート アクセスできるようにします。
Allow only listed IP addresses to connect IP Address Ranges で指定した IP アドレスだけが Web イン ターフェイスにリモート アクセスできるように制限しま
第5章 パスワード ポリシーの設定のシナリオ ステップ 4:アクセス ポリシーの設定
Reject connections from listed IP addresses
IP Address Ranges で指定したもの以外の IP アドレスだけが Web インターフェイスにリモートアクセスできるように 制限します。
IP フィルタリングが適用されるのは、リモート管理者の Web ブラウザからの HTTP 要求で受信した IP アドレスで す。ブラウザが HTTP プロキシ サーバを使用するように設 定されている場合や、ネットワーク アドレス変換(NAT) を実行しているネットワークデバイスの向こう側にある ワークステーションでブラウザが実行されている場合、IP フィルタリングが適用されるのは、HTTP プロキシ サーバ または NAT デバイスの IP アドレスだけです。
IP Address Ranges IP Address Ranges テーブルには、IP アドレス範囲を設定す
るための 10 行が用意されています。範囲には、最初と最後 の値が常に含まれます。つまり、Start IP Address と End IP Address は範囲に含まれます。
ドット付き 10 進表記を使用します。範囲を定義するための IP アドレスは、最後のオクテットだけが異なる形式(Class C 形式)でなければなりません。
Start IP Address 指定する範囲内の最初の IP アドレスを定義します(最長 16
文字)。
End IP Address 指定する範囲内の最後の IP アドレスを定義します(最長 16
文字)。 HTTP Configuration
HTTP Port Allocation
Allow any TCP ports to be used for Administration HTTP Access
Web インターフェイスへのリモート アクセスに、ACS が任
意の有効な TCP ポートを使用できるようにします。
表5-1 Access Policy オプション (続き)
オプション 説明
第5章 パスワード ポリシーの設定のシナリオ
ステップ 4:アクセス ポリシーの設定
Restrict Administration Sessions to the following port range From Port n to Port n
Web インターフェイスへのリモート アクセスに ACS が使
用できる TCP ポートを限定します。入力ボックスを使用し
て、ポート範囲を指定します。ボックスごとに最大で 5 桁 まで指定できます。範囲には、最初と最後の値が常に含ま れます。つまり、開始ポート番号と終了ポート番号は範囲 に含まれます。指定された範囲のサイズによって、同時管 理の最大数が決まります。
ACS は、ポート 2002 を使用して、すべての管理セッショ ンを開始します。ポート 2002 は、ポート範囲に含める必要 はありません。また、ACS では、ポート 2002 だけで構成 される HTTP ポート範囲は定義できません。ポート範囲は、
2002 以外の少なくとも 1 つのポートで構成する必要があり
ます。
ACS の管理ポート範囲の HTTP トラフィックを許可するよ うに設定されたファイアウォールは、ポート 2002 の HTTP トラフィックも許可する必要があります。ポート 2002 は、
管理セッションの起動時に Web ブラウザがアクセスする ポートであるからです。
ファイアウォールの外部からの ACS の管理を許可するこ とは推奨しません。ファイアウォールの外部からの Web イ ンターフェイスへのアクセスが必要な場合は、HTTP ポー ト範囲をできる限り狭くしてください。範囲を狭くするこ とにより、権限のないユーザがアクティブな管理ポートを 偶発的に検出するのを防ぐことができます。不正なユーザ は、アクティブな管理セッションの HTTP ポートを悪用す るために、正当なホストの IP アドレスになりすます(ス プーフィング)ことがあります。
Secure Socket Layer Setup Use HTTPS Transport for Administration Access
ACS で Secure Sockets Layer(SSL)プロトコルを使用して、
CSAdmin サービスと、Web インターフェイスにアクセスす
る Web ブラウザ間での HTTP トラフィックを暗号化でき るようにします。このオプションを有効にすると、ブラウ ザと ACS の間の HTTP トラフィックをすべて暗号化でき ます。このオプションを有効にすると、URL が HTTPS で 始まるようになります。ほとんどのブラウザには、SSL 暗 号化接続であることを示すインジケータが用意されていま す。
SSL を有効にするには、まずサーバ証明書と認証局証明書 をインストールします。インストール プロセスにアクセス するには、System Configuration > ACS Certificate Setup を 選択します。SSL を有効にした場合は、次の管理者ログイ 表5-1 Access Policy オプション (続き)
オプション 説明
第5章 パスワード ポリシーの設定のシナリオ ステップ 4:アクセス ポリシーの設定
ステップ 4 IP Address Filtering オプションと矛盾しない、適切な IP アドレス範囲を入力します。
ステップ 5 必要な HTTP Port Allocation オプションをクリックして、すべてのポートを許可するか、特定のポー トだけがアクセスできるように制限します。アクセスを制限する場合は、使用を許可するポート範 囲を入力します。
ステップ 6 ACS で SSL を使用する場合は、このオプションをオンにします。
ステップ 7 Submit をクリックします。
ACS はアクセス ポリシー設定を保存し、適用を開始します。
第5章 パスワード ポリシーの設定のシナリオ
管理者資格レポートの表示
管理者資格レポートの表示
SOX 法へのコンプライアンスを支援するため、ACS では資格レポートが生成されます。このレポー トは、ACS の設定から抽出されたデータを含んでおり、テキストベースのファイル形式で出力さ れます。
ACS は、管理者およびユーザについて資格レポートを生成します。生成できるレポートは、次のと おりです。
• Privilege:選択した管理者に付与されている特権。
• Combined Privilege:すべての管理者に付与されている特権。
• Users to Groups Mapping:個々のユーザのグループ メンバーシップ。
特権レポートの表示
特権レポートを表示するには、次の手順を実行します。
ステップ 1 ナビゲーションバーの Reports and Activity をクリックします。
Reports ページが開きます。
ステップ 2 Entitlement Reports をクリックします。
生成できる資格レポートのリストが表示されます。図5-5 に、リストの例を示します。
図5-5 資格レポートのリスト
ステップ 3 レポートを表示するには、レポート名をクリックします。
各レポートが、Excel スプレッドシート形式でローカル コンピュータにダウンロードされます。
第5章 パスワード ポリシーの設定のシナリオ 管理者資格レポートの表示
C H A P T E R
6
エージェントレス ホスト サポートの 設定のシナリオ
この章では、Cisco Secure Access Control Server(以降は ACS と表記)でエージェントレスホスト機 能を設定する方法について説明します。
(注) この章の手順では、ACS で Lightweight Directory Access Protocol(LDAP)データベースを使用して エージェントレスホストサポートを設定する方法について説明します。エージェントレスホスト サポートは、ACS 内部データベースを使用して設定することもできますが、通常は LDAP データ ベースを使用した方が効率が良くなります。
この章は、次の項で構成されています。
• エージェントレス ホスト サポートの概要(P.6-2)
• 設定手順の要約(P.6-4)
• エージェントレス ホスト サポートの基本的な設定手順(P.6-6)
• 監査サーバをサポートするための設定手順(P.6-28)
第6章 エージェントレス ホスト サポートの設定のシナリオ エージェントレス ホスト サポートの概要
エージェントレス ホスト サポートの概要
ACS が認証するホストの多くは、ネットワークリソースへのアクセスを要求するエージェントソ フトウェアを実行して、ACS から認可を受信します。しかし、ホストの中にはエージェントソフ トウェアを実行していないものもあります。次の例を参考にしてください。
• 802.1x ポートセキュリティを展開している多くの環境では、Cisco Trust Agent などの適切なセ キュリティエージェントソフトウェアを持たないホストが認証の対象です。
• エージェントレス ホストがレイヤ 2 デバイスに接続されている場合、Extensible Authentication Protocol over User Datagram Protocol タイムアウト(EoU タイムアウト)が発生すると、インバ ンド ポスチャ確認が発生しません。
ACS では、ホストの識別と認証に、ホストデバイスの MAC アドレスを使用することでこの問題を 解決します。この技術は、MAC Authentication Bypass(MAB)と呼ばれます。
1. エージェントレスホストがネットワークアクセスデバイス(NAD)に接続すると、NAD はホ ストに適切なソフトウェアエージェントがインストールされていないことを検出し、ホストの MAC アドレスを使用してホストを識別します。
2. NAD は、ホストの MAC アドレスが calling-station-id アトリビュートに挿入された、
servicetype=10 の RADIUS 認可要求を ACS に送信します。
3. MAB を使用するように ACS を設定した場合、ACS は、当該ホストの MAC アドレスを認証デー タベース内で検索します。このデータベースには、次のいずれかを使用できます。
− ACS 内部
− LDAP(LDAP を設定した場合)
4. データベース検索では、次の処理が実行されます。
− 当該の MAC アドレスが、ID ストア(ACS 内部データベースまたは LDAP データベース)
内で検索されます。
− 当該の MAC アドレスが、ACS ユーザ グループにマッピングされます。
− MAC アドレスが見つかった場合は、当該のアクセス要求が ACS ユーザ グループに関連付
けられます。
− MAC アドレスが見つからない場合、当該のアクセス要求は、ACS が失敗した場合のため に設定されたデフォルト グループに割り当てられます。この段階に達すると、他のすべて のアクセス要求と同様に、ACS は認可処理に進みます。
− calling-station-id アトリビュートで前提とされる値は、MAC アドレスです。ただし、
アトリビュートに別の値(IP アドレス)が含まれている場合は、その IP アドレスがアクセ ス データベース内で検索されます。
− ネットワーク アクセス プロファイルに指定されたユーザ グループと関連ポリシーに基づ いて認可規則が適用されます。
図6-1 に、MAB 情報の流れを示します。