第7章 PEAP/EAP-TLS の設定のシナリオ ステップ 1:セキュリティ証明書の設定
ステップ 1:セキュリティ証明書の設定
この項では、ACS for Windows プラットフォームでの手順を簡単に説明します。証明書のインストー ルの詳細、および Cisco Secure ACS Solution Engine プラットフォームに証明書をインストールする 方法については、『User Guide for Cisco Secure ACS 4.2』の第 9 章「System Configuration: Authentication and Certificates」を参照してください。
証明書の入手と ACS ホストへのコピー
EAP-TLS を使用するには、セキュリティ証明書を入手し、インストールする必要があります。
証明書を ACS ホストにコピーするには、次の手順を実行します。
ステップ 1 セキュリティ証明書を入手します。
ステップ 2 ACS サーバ上に \Certs ディレクトリを作成します。
a. DOS コマンド ウィンドウを開きます。
b. 次のように入力して、証明書のディレクトリを作成します。
mkdir <selected_drive>:\Certs
selected_drive は、現在選択しているドライブです。
ステップ 3 次のファイルを \Certs ディレクトリにコピーします。
• server.cer(サーバ証明書)
• server.pvk(サーバ証明書の秘密鍵)
• ca.cer(CA 証明書)
第7章 PEAP/EAP-TLS の設定のシナリオ
ステップ 1:セキュリティ証明書の設定
ステップ 5 ウィザードに表示される指示に従って、証明書をインストールします。
ステップ 6 ウィザードでは、デフォルトのオプションをそのまま使用します。
(注) この手順は、Windows 2000 Server 上で 1 回だけ実行します。
ACS 環境でのセキュリティ証明書の有効化
セキュリティ証明書を有効にするには、次の手順を実行します。
ステップ 1 ナビゲーション バーの System Configuration をクリックします。
System Configuration ページが開きます。
ステップ 2 ACS Certificate Setup をクリックします。
ステップ 3 Install ACS Certificate をクリックします。
ステップ 4 Install ACS Certificate ページが開きます(図7-1 を参照)。
図7-1 Install ACS Certificate ページ
ステップ 5 Read certificate from file オプション ボタンが選択されていることを確認します。
第7章 PEAP/EAP-TLS の設定のシナリオ ステップ 1:セキュリティ証明書の設定
ステップ 8 Private Key password テキストボックスに、1111と入力します。
ステップ 9 Submit をクリックします。
ステップ 10 証明書がインストールされたことを示すメッセージが表示され、ACS のサービスを再起動するよう に求められます。
ステップ 11 この段階では、ACS のサービスを再起動しないでください。
後で、信頼できる証明書を追加する手順が完了したら、ACS のサービスを再起動します。P.7-5 の
「信頼できる証明書の追加」を参照してください。
CA 証明書のインストール
CA 証明書をインストールするには、次の手順を実行します。
ステップ 1 System Configuration > ACS Certificate Setup > ACS Certification Authority Setup を選択します。
ステップ 2 ACS Certification Authority Setup ページが表示されます(図7-2 を参照)。
図7-2 ACS Certification Authority Setup ページ
ステップ 3 CA certificate file ボックスに、CA 証明書の場所(パスおよび名前)を入力します。たとえば、
c:\Certs\ca.cer と入力します。
ステップ 4 Submit をクリックします。
第7章 PEAP/EAP-TLS の設定のシナリオ
ステップ 1:セキュリティ証明書の設定
信頼できる証明書の追加
サーバ証明書を追加して認証局を設定した後は、信頼できる証明書をインストールします。
信頼できる証明書を追加するには、次の手順を実行します。
ステップ 1 System Configuration > ACS Certificate Setup > Edit Certificate Trust List を選択します。
Edit Certificate Trust List が表示されます。
ステップ 2 インストールする信頼できる証明書を見つけて、証明書名の隣にあるチェックボックスをオンにし ます。
たとえば、Stress 証明書を見つけて、その隣にあるチェックボックスをオンにします。
ステップ 3 Submit をクリックします。
ステップ 4 System Configuration > Service Control を選択し、Restart をクリックして ACS を再起動します。
第7章 PEAP/EAP-TLS の設定のシナリオ ステップ 2:グローバル認証の設定の入力
ステップ 2:グローバル認証の設定の入力
グローバル認証の設定を入力するには、次の手順を実行します。
ステップ 1 ナビゲーションバーの System Configuration をクリックします。
System Configuration ページが開きます。
ステップ 2 Global Authentication Setup をクリックします。
Global Authentication Setup ページが開きます(図7-3 を参照)。
図7-3 Global Authentication Setup ページ
第7章 PEAP/EAP-TLS の設定のシナリオ
ステップ 3:EAP-TLS のオプションの指定
ステップ 4 この ACS システムでポスチャ確認を有効にする場合は、Enable Posture Validation チェックボック スをオンにします。
ステップ 3:EAP-TLS のオプションの指定
EAP-TLS の証明書比較オプションを、次の中から 1 つまたはそれ以上指定します。
• Certificate SAN comparison:ユーザ証明書内の Subject Alternative Name (SAN) フィールドの名 前に基づきます。
• Certificate CN comparison:ユーザ証明書内の Subject Common Name (CN) フィールドの名前に 基づきます。
• Certificate Binary comparison:LDAP サーバまたは Active Directory のユーザオブジェクト内の ユーザ証明書と、EAP-TLS 認証中にユーザが提示した証明書とのバイナリ比較に基づきます。
この比較方式は、ODBC 外部ユーザデータベースに保持されているユーザの認証には使用でき ません。
ステップ 4:(オプション)認証ポリシーの設定
ネットワーク アクセス プロファイル設定のプロトコルのセクションで認証ポリシーを設定すると
きに、EAP-TLS を有効にできるようになりました。
図7-4 に、NAP Protocols ページにある変更された EAP Configuration セクションを示します。
図7-4 NAP Protocols ページの EAP Configuration セクション
第7章 PEAP/EAP-TLS の設定のシナリオ ステップ 4:(オプション)認証ポリシーの設定
C H A P T E R
8
syslog のロギング設定のシナリオ
概要
ACS では、システムロギング(syslog)機能が提供されます。この機能の追加によって、すべての AAA レポートと監査レポートメッセージを、2 台までの syslog サーバに送信できるようになりま した。
syslog ロギングの設定
syslog メッセージを生成するように ACS を設定するには、次の手順を実行します。
ステップ 1 ナビゲーションバーの System Configuration をクリックします。
System Configuration ページが開きます。
ステップ 2 Logging をクリックします。
Logging Configuration ページが開きます(図8-1 を参照)。
第8章 syslog のロギング設定のシナリオ syslog ロギングの設定
図8-1 Logging Configuration ページ
ステップ 3 syslog レポートを有効にするには、Logging Configuration ページで、生成する各レポートの行にある syslog カラムの Configure リンクをクリックします。
指定したレポートの Enable Logging ウィンドウが開きます(図8-2 を参照)。
第8章 syslog のロギング設定のシナリオ
syslog ロギングの設定
図8-2 Enable Logging ページ
ステップ 4 指定した情報を syslog に記録するには、チェックボックスをオンにします。
たとえば図8-2 の場合は、Log to Syslog Failed Attempts Report チェックボックスをオンにします。
Select Columns to Log セクションに、指定した syslog レポートで使用できるフィールドのリストが 表示されます。
ステップ 5 レポートに含めるアトリビュートのリストにアトリビュートを移動するには、Attributes カラムで フィールドを選択し、右矢印のアイコンをクリックして Logged Attributes カラムに移動します。
Syslog Servers セクションで、ACS がロギング情報の送信先にする syslog サーバについて、次の情 報を指定します。
第8章 syslog のロギング設定のシナリオ ACS のレポートに含まれる syslog メッセージの形式
ステップ 6 Submit をクリックします。
ステップ 7 syslog レポート機能を有効にするその他のすべてのレポートについて、この作業を繰り返します。
ACS のレポートに含まれる syslog メッセージの形式
ACS のレポートに含まれる syslog メッセージは、次の形式になっています。
<n> mmm dd hh:mm:ss XX:XX:XX:XX TAG msg_id total_seg seg# A1=V1
このメッセージの要素は、次のとおりです。
• n:メッセージの Priority 値。この値は、RFC 3164 で規定されている syslog メッセージのファ シリティと重大度を組み合せたもので、facility 値を 8 倍したものに severity 値を加算して算出 されます。
• mmm dd hh:mm:ss:メッセージの日付と時刻。
• XX:XX:XX:XX:この syslog メッセージを生成したマシンの IP アドレス。
• TAG:次のいずれかの値(アプリケーション名に応じて異なる)。
− CisACS_01_PassedAuth:Cisco ACS 認証の成功。
− CisACS_02_FailedAuth:Cisco ACS 認証の失敗。
− CisACS_03_RADIUSAcc:Cisco ACS RADIUS アカウンティング。
− CisACS_04_TACACSAcc:Cisco ACS TACACS+ アカウンティング。
− CisACS_05_TACACSAdmin:Cisco ACS TACACS+ 管理。
− CisACS_06_VoIPAcc:Cisco ACS VoIP アカウンティング。
− CisACS_11_BackRestore:ACS のバックアップと復元のログメッセージ。
− CisACS_12_Replication:ACS のデータベース複製のログメッセージ。
− CisACS_13_AdminAudit:ACS の管理監査のログメッセージ。
− CisACS_14_PassChanges:ACS のユーザパスワード変更のログメッセージ。
− CisACS_15_ServiceMon:ACS のサービス監視のログメッセージ。
− CisACS_16_ApplAdmin:ACS のアプライアンス管理監査のログメッセージ。
• msg_id :一意のメッセージ ID。1 つのメッセージの各セグメントは、すべて同じメッセージ ID を共有します。
• total_seg :このメッセージに含まれているセグメントの総数。
• seg# :このメッセージセグメンテーションにおけるセグメントシーケンス番号。
• A1=V1:Cisco ACS ログメッセージに関する(およびメッセージ自体の)、カンマ(,)区切りの アトリビュートと値のペア。
ファシリティ コード
ACS の syslog メッセージでは、次のファシリティ値を使用しています。
• 4:セキュリティおよび認可のメッセージ。この値は、AAA 関連のすべてのメッセージ(認証
第8章 syslog のロギング設定のシナリオ
ACS のレポートに含まれる syslog メッセージの形式
たとえば、ファシリティの値が 13 で重大度の値が 6 である場合、Priority 値は 110 です((8x13) +6)。Priority 値は、syslog サーバの設定に従って、次のいずれかの形式で表示されます。
– System3.Info – <110>
(注) syslog のファシリティおよび重大度の形式は、ACS では設定できません。
次の syslog メッセージ例は、ACS の生成する syslog メッセージでファシリティ コードおよびその 他の情報がどのように記述されるかを示しています。
<110> Oct 16 08:58:07 64.103.114.149 CisACS_13_AdminAudit 18729fp11 1 0 AAA
Server=tfurman-w2k,admin-username=local_login,browser-ip=127.0.0.1,text-message=Admini stration session finished,
この例の <110> は、ファシリティ コードが 13(ログ監査ファシリティ コード)である場合の計算 値です。
メッセージの長さに関する制約事項
ACS のメッセージが、syslog の標準の長さ制限、または送信先での長さ制限を超えた場合は、メッ セージの内容が複数のセグメントに分割されます。
• すべてのアトリビュートと値要素が 1 つのセグメントに収まる場合、セグメンテーションは実 行されません。
• メッセージが 1 つのセグメントに収まらない場合、メッセージはアトリビュートと値のペアを 単位として分割されます。その結果、アトリビュートと値の個々のペアは、セグメント内に全 体が収まる状態に維持されます。つまり、最初のセグメントはセミコロン(;)で終了し、次の セグメントの内容は、アトリビュートと値の次のペアで始まります。
• ほとんど発生しませんが、アトリビュートと値の 1 つのペアが大きすぎて単一のセグメントに 全体が収まらない場合は、複数の番号付きメッセージ セグメントにわたって値が分割されま す。このようなセグメンテーションが発生する可能性があるのは、アトリビュート値に数百個 の文字が含まれている場合です。通常、ACS のアトリビュート値はこのような長さにならない ように設計されています。
1 つのメッセージの個々のセグメントは、いずれも完全に同一のヘッダーを持っています。<msg_id>
値と <total_seg> 値は、すべてのセグメントにわたって共通です。<seg#> はセグメントの数に基 づいて設定され、この後に、関連する内容部分が記述されます。
メッセージの長さについては、次の制約事項があります。
• 標準的な syslog サーバにメッセージを送信する場合、メッセージの最大長は 1,024 バイトです。
• Cisco Security Monitoring, Analysis and Response System(MARS)にメッセージを送信する場合、
メッセージの最大長は 500 バイトです。
• 元のメッセージが、ヘッダーとデータを含めると長さ制限を超える場合、メッセージのセグメ ンテーションが使用されます。