Cisco NAC Web Agent
この章では、クライアントマシンに恒久的で専用のネットワークアクセスアプリケーションを必要と することなく、ユーザにネットワークへのログインを許可するよう Cisco NAC Web Agent を設定する 方法を説明します。
• 「概要」(P.13-43)
• 「Cisco NAC Web Agent の設定手順」(P.13-46)
• 「Cisco NAC Web Agent ユーザダイアログ」(P.13-46)
概要
警告 56 キロビット/秒より遅いリンク速度で接続されているクライアント マシンでは、Cisco NAC Web Agent の使用をお勧めしません。
Cisco NAC Web Agent では、クライアントマシンのための一時的なポスチャ評価を提供します。ユー
ザが Cisco NAC Web Agent 実行ファイルを起動すると、ActiveX コントロールまたは Java アプレット によって、クライアントマシンの一時ディレクトリに Web Agent ファイルがインストールされます。
ユーザが Web Agent セッションを終了すると、Web Agent がこのユーザをネットワークからログオフ
させ、このユーザのユーザ ID が Online Users リストから消えます。
ユーザが Cisco NAC Web Agent にログインした後で、Web Agent では、そのユーザロールおよび OS に設定されている要件を Clean Access Server から取得し、ホストレジストリ、プロセス、アプリケー ション、およびサービスを調べて、必要なパッケージを確認し、レポートを CAM に返送します(CAS 経由)。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。
要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表 示します。このダイアログ([New Requirement] フォームで設定)には、クライアントマシンを要件 に適合させる手順および対処法が表示されます。あるいは、指定された要件が満たされない場合、ユー ザは「制限付き」ネットワークアクセスを受け入れ([Device Management] > [Clean Access] >
[General Setup] > [Agent Login] ページでイネーブル化した場合)、クライアントマシンにユーザログ イン?????????????????????????????????
ログインロールを設定する場合と同
じ方法で「制限付き」ユーザロールを設定して、限られたアプリケーションとネットワークのリソー スだけへのアクセスを提供することができます。
Cisco NAC Web Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(オプショ
ン)に基づいて要件を作成してから、ユーザロールまたはクライアントオペレーティングシステムに 適用します。この章では、これらの要件の設定方法について説明します。
第 13 章 Cisco NAC アプライアンス エージェント Cisco NAC Web Agent
図 13-57は、ユーザが Cisco NAC Web Agent を使用して Cisco NAC アプライアンスネットワークに ログインするときに発生するイベントの順序を示します。
図 13-57 Cisco NAC Web Agent のユーザ対話/ユーザ体験
システム要件
Cisco NAC Web Agent に対応するには Cisco NAC アプライアンスネットワークが次の要件を満たす 必要があります。
• オペレーティングシステムの依存関係
• ブラウザサポート
• ActiveX および Java アプレットの要件
• Windows Vista での Microsoft Internet Explorer 7
オペレーティングシステムの依存関係
Cisco NAC Web Agent は、次のオペレーティングシステムにインストールして起動できます。
• Windows 2000(Service Pack 4)
• Windows XP Professional/Home(Service Pack 1 および 2)
第 13 章 Cisco NAC アプライアンス エージェント
Cisco NAC Web Agent
• Windows Vista Home Premium/Ultimate(認証だけ)
(注) Windows Vista オペレーティングシステムの「Guest」ユーザプロファイルでは、セキュ
リティ制限により、ActiveX コントロールおよび Java アプレットが適切に実行されませ ん。したがって、Web Agent 経由で Cisco NAC アプライアンスにログインするには、既知 のユーザ(「Guest」でない)として Windows Vista クライアントにログインする必要があ ります。
ブラウザサポート
Cisco NAC Web Agent は、次の Web ブラウザからインストールして、起動できます。
• Microsoft Internet Explorer バージョン 6 または 7(ActiveX または Java アプレット)
• Firefox バージョン 1.5 または 2.0(Java アプレットに限る)
ActiveX および Java アプレットの要件
• Java アプレットバージョンを使用して Web Agent ファイルをインストールするには、クライアン
トに Java バージョン 1.4.2 以上がすでにインストールされている必要があります。
• ActiveX を使用して Web Agent ファイルをインストールするには、クライアントマシンで
Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインストールすることはできません。
• ActiveX コントロールをインストールできるようにするには、ユーザは、クライアントマシンに
おいて ActiveX をダウンロードする権限か admin 権限を持つ必要があります。
(注) クライアントマシンの CPU 負荷が 100% 近くなっていると Web Agent Java アプレットを起動 できない場合があります(ActiveX は、これらの条件でも正常に実行されます)。
Windows Vista での Microsoft Internet Explorer 7
デフォルトでは、Windows Vista では、サーバ証明書失効リストをチェックして、クライアントマシ
ンでの Web Agent の起動を阻止します。この機能をディセーブルにするには、次の手順を行います。
ステップ 1 Internet Explorer 7 で [メニュー] > [ツール] > [インターネットオプション] に移動します。
ステップ 2 [詳細設定] タブをクリックします。
ステップ 3 [セキュリティ] にある [サーバー証明書の取り消しを確認する] オプションをオフ(ディセーブル)に します。
ステップ 4 [OK] をクリックします。
第 13 章 Cisco NAC アプライアンス エージェント Cisco NAC Web Agent
Cisco NAC Web Agent の設定手順
Cisco NAC Web Agent をイネーブルにし、使用するために Cisco NAC アプライアンスシステムを設 定するために必要な基本手順は次のとおりです。
1. 必ずの手順に従って Cisco NAC Web Agent をイネーブルにし、インス トーラダウンロードパラメータを指定してください。
2. ?????の説明に従って、「Restricted Access」ロールを設定 します。
3. の手順に従って Agent の要件を設定します。
a.
b.
c.
d.
e.
f.
g.
h.
i.
上記内容に対応した後で、ユーザは、システム設定に定義されたパラメータおよび要件に従って Cisco NAC アプライアンスシステム経由でログインし、ネットワークアクセスを得ることができます。
Cisco NAC Web Agent ユーザ ダイアログ
この項では、ユーザが Cisco NAC Web Agent 経由でネットワークにアクセスするときのユーザ体験に ついて説明します。
(注) クライアントマシンにおけるユーザの権限レベル(Administrator、Privileged User、User など)およ
び Web ブラウザのセキュリティ設定に応じて、ダウンロードプロセスおよびインストールプロセスの
重要なポイントで、「警告」またはメッセージダイアログがユーザにさらに表示されたり、表示されな かったりします(たとえば、ユーザは、インストールプロセスがユーザを特定の URL の宛先にリダイ レクトすることに同意したり、Web Agent 実行ファイルが後続のクライアントスキャンを起動するこ とを承認したりする必要がある場合があります)。
1. ユーザが最初に Web ブラウザを開くと、Web ログインページにリダイレクトされます
(図 13-58)。
第 13 章 Cisco NAC アプライアンス エージェント
Cisco NAC Web Agent
図 13-58 ログインページ
2. ユーザは Web ログインページで証明書を入力し、Cisco NAC Web Agent Launch ページ
(図 13-59)にリダイレクトされます。このページで、ユーザは、Cisco NAC Web Agent の
ActiveX インストーラまたは Java アプレットインストーラを選択して起動できます。インストー
ラの起動方式は、[Administration] > [User Pages] > [Login Page] 設定画面の [Web Client (ActiveX/Applet)] オプションを使用して決定します。
(注) ActiveX を使用して Web Agent ファイルをインストールするには、クライアントマシンで Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインス トールすることはできません。
第 13 章 Cisco NAC アプライアンス エージェント Cisco NAC Web Agent
図 13-59 Cisco NAC Web Agent 起動ページ
3. ユーザは、[Launch Cisco NAC Web Agent] ボタンをクリックします(このボタンは、インストー ルする Web Agent のバージョンを表示します)。
(注) [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Cisco NAC Web Agent] オプションが選択されている場 合、[Get Restricted Network Access] ボタンと関連するテキストが [Download Clean NAC Web
Agent] ????????????????を参照
してください。
(注) 既存の CAS 証明書がクライアント側で信頼されない場合、ユーザは、Web Agent の起動を正常に次に
進める前に表示される [Security Alert] ダイアログでオプションの証明書を受け入れる必要があります。
第 13 章 Cisco NAC アプライアンス エージェント
Cisco NAC Web Agent
図 13-60 ActiveX インストール通知
4. クライアントマシンに対する ActiveX コントロールのインストールなどのアクションを確認する ようユーザの Web ブラウザが設定されている場合、ユーザはアクションを確認する必要がある場 合があります。たとえば、Microsoft IE の場合は、ブラウザウィンドウに表示されるステータス バーをクリックし、その結果表示されるポップアップで [ActiveX コントロールのインストール] オプションを選択して ActiveX プロセスを確認する必要がある場合があります。
ActiveX コントロールが初期化できない場合は、図 13-61にあるような ActiceX インストールの通 知がユーザに表示されます。さらに ActiveX 方式が失敗したときに Java アプレットによって Web
Agent ファイルのダウンロードを試行するよう Cisco NAC アプライアンスシステムが設定されて
いる場合は、Cisco NAC アプライアンスシステムが Java アプレットを使用して Web Agent イン ストールファイルをダウンロードしようとしたときに図 13-62にあるような Java セキュリティ通 知がユーザに表示されることがあります。
または、ユーザは Cisco NAC Web Agent をログインのために使用できず、Cisco NAC アプライア ンスネットワーク管理者に連絡して、インストールプロセスの問題のトラブルシューティングを 試行および支援するよう依頼するか、Web Agent のインストールの問題を修正できるまで当面は
「制限付き」ネットワークアクセスを受け入れるかのいずれかを行う必要があります。
(注) [Administration] > [User Pages] > [Login Page] 設定画面で [Web Client (ActiveX/Applet)] オ プションを使用して Java アプレット方式を優先することを指定した場合は、これらの事象が発 生する順序が逆になります。ユーザが Java アプレットの失敗通知を受け取ってから ActiveX コントロールによるクライアントマシンでの Web Agent ファイルのインストールが試行され ます。