：ロギングとレポートの設定

第6章 エージェントレス ホスト サポートの設定のシナリオ         エージェントレス ホスト サポートの基本的な設定手順

第6章 エージェントレス ホスト サポートの設定のシナリオ

エージェントレス ホスト サポートの基本的な設定手順  

f. 必要に応じて、Logging Configuration ページにあるこの他の値を設定します。

g. Submit をクリックします。

ステップ 4 必要に応じて、この他のレポート タイプについてステップ 3 を繰り返します。

ステップ 5 Failed Attempts レポートについて、ステップ 3 とステップ 4 を繰り返します。

第6章 エージェントレス ホスト サポートの設定のシナリオ         監査サーバをサポートするための設定手順

監査サーバをサポートするための設定手順

NAC ソリューション、または監査サーバの使用をサポートするその他のアプリケーションを ACS で使用する場合は、監査サーバを使用したエージェントレスホストサポートを設定できます。

監査サーバで実行するデータベースによって、エージェントレスホストデバイスをユーザグルー    プに割り当てるときに使用される情報の認証を強化できます。たとえば、LDAP スキーマでのデバ  イスの分類に応じて、printer、PC、FAX machine などのデバイス カテゴリが設定されます。監査    サーバ上のデータベースを利用すると、指定した MAC アドレスまたは IP アドレスを持つデバイス     が、指定した MAC アドレスまたは IP アドレスでデータベースに関連付けられているタイプのデバ     イスかどうかを確認できます。適切なデバイスタイプでない場合は、指定した認証ポリシーを適用  できます。

ACS 4.2 が NAC 環境で監査サーバとの通信に使用するメカニズムは、GAME グループ フィード       バックと呼ばれます。GAME グループは、GAME プロトコルが定義します。NAP で使用される監    査サーバについて GAME グループフィードバックを設定するには、Request Device Type from Audit

Server 機能を有効にします。この機能を有効にすると、監査サーバに対して監査機能でデバイスタ  

イプを要求し、このデバイス タイプを、MAC 認証で返されるデバイス タイプと照合することがで    きます。

GAME グループ フィードバックの設定

GAME グループフィードバックを設定するには、次の手順を実行します。

ステップ 1 CSUtil を使用して、監査ベンダー ファイルをインポートします。

ステップ 2 CSUtil を使用して、デバイスタイプアトリビュートファイルをインポートします。

ステップ 3 NAC のアトリビュートと値のペアをインポートします。

ステップ 4 ポスチャ確認を有効にします。

ステップ 5 External Posture Validation Audit Server Setup ページで、外部監査サーバを設定します。

ステップ 6 GAME グループフィードバックを有効にします。

ステップ 7 External Posture Validation Audit Server Setup セクションで、次の項目を設定します。

• Which Hosts Are Audited セクション。

• GAME グループフィードバック。

• RADIUS ディクショナリ内にデバイス アトリビュートを持つベンダーのデバイス タイプ取得   

およびマッピング。

ステップ 8 デバイス グループ ポリシーを設定します。

GAME グループフィードバックを設定する詳細な手順については、第9章「NAC の設定シナリオ」   

のP.9-84 の「GAME グループフィードバックの有効化」で説明しています。

C H A P T E R

7

PEAP/EAP-TLS の設定のシナリオ

PEAP 認証用に ACS が確立するトンネルで使用される内部方式として、EAP-TLS を選択できます。       

EAP-TLS を選択した場合、PEAP プロトコルを通じて送信される初期データの暗号化だけでなく、   

ACS と NAD の間に安全なトンネルが確立された後、安全なトンネル内で伝送されるデータの（2

回目の）暗号化にも EAP-TLS を使用できるようになります。

この拡張された暗号化方式によって、ACS と NAD 間の通信セキュリティが大幅に強化されます。

この機能を使用する主なお客様は、Microsoft サプリカントを使用するお客様です。

設定手順の要約

EAP-TLS を設定するには、次の手順を実行します。

ステップ 1 セキュリティ証明書を設定します。

詳細については、P.7-2 の「ステップ 1：セキュリティ証明書の設定」を参照してください。

ステップ 2 グローバル認証の設定を入力します。

詳細については、P.7-6 の「ステップ 2：グローバル認証の設定の入力」を参照してください。

ステップ 3 EAP-TLS のオプションを指定します。

詳細については、P.7-7 の「ステップ 3：EAP-TLS のオプションの指定」を参照してください。

以降の各項で、上の手順について詳しく説明します。

第7章 PEAP/EAP-TLS の設定のシナリオ        ステップ 1：セキュリティ証明書の設定

ステップ 1：セキュリティ証明書の設定

この項では、ACS for Windows プラットフォームでの手順を簡単に説明します。証明書のインストー    ルの詳細、および Cisco Secure ACS Solution Engine プラットフォームに証明書をインストールする       方法については、『User Guide for Cisco Secure ACS 4.2』の第 9 章「System Configuration: Authentication and Certificates」を参照してください。

証明書の入手と ACS ホストへのコピー

EAP-TLS を使用するには、セキュリティ証明書を入手し、インストールする必要があります。

証明書を ACS ホストにコピーするには、次の手順を実行します。

ステップ 1 セキュリティ証明書を入手します。

ステップ 2 ACS サーバ上に \Certs ディレクトリを作成します。

a. DOS コマンド ウィンドウを開きます。

b. 次のように入力して、証明書のディレクトリを作成します。

mkdir <selected_drive>:\Certs

selected_drive は、現在選択しているドライブです。

ステップ 3 次のファイルを \Certs ディレクトリにコピーします。

• server.cer（サーバ証明書）

• server.pvk（サーバ証明書の秘密鍵）

• ca.cer（CA 証明書）