Cisco Secure ACS と Management Center for IDS Sensors（IDS MC）の相互運用

(1)

A P P E N D I X

C

Cisco Secure ACS と

Management Center for IDS Sensors （ IDS MC ）の相互運用

この章は、次の項で構成されています。

• 概要（P.C-2）

• Cisco Secure ACS の初期設定（P.C-4）

• Cisco Secure ACS へのデータの入力（P.C-13）

(2)

概要

この付録では、Cisco Secure Access Control Server（ACS）と Management Center for

IDS Sensors（IDS MC）を相互運用する手順を詳しく説明します。

Cisco Secure ACS は、IDS MC など、シスコのデバイス管理アプリケーションをサポートします。管理アプリケーションを使用して管理対象のネットワークデバイスを設定しているユーザに対するコマンド権限付与を行います。コマンド権限付与に対するサポートを達成するには、Cisco Secure ACS を使用して権限付与を行うように設定された管理アプリケーションごとに、固有のコマンド権限付与

セットタイプ（IDS MC ではロールと呼ばれる）を使用します。

Cisco Secure ACS は、TACACS+ を使用して管理アプリケーションと通信します。

IDS MC が Cisco Secure ACS と通信するには、Cisco Secure ACS 側で、CiscoWorks サーバが TACACS+ を使用する AAA クライアントとして設定されている必要があります。また、CiscoWorks サーバに、有効な管理者名とパスワードを入力する必要もあります。これらの要件により、IDS MC と Cisco Secure ACS 間の通信の妥当性が保証されます。

IDS MC は Cisco Secure ACS と最初に通信するとき、Cisco Secure ACS にコマンド権限付与セットタイプの作成を命令します。コマンド権限付与セットタイプは、Cisco Secure ACS HTML インターフェイスの Shared Profile Components セクションに表示されます。また、TACACS+ でカスタムサービスに権限付与することも命令します。カスタムサービスは、HTML インターフェイスの Interface Configuration セクションの TACACS+（Cisco IOS）ページに表示されます。

IDS MC が Cisco Secure ACS に対する、カスタム TACACS+ サービスおよびデバイスのコマンド権限付与セットタイプを命令した後は、IDS MC によってサポートされている各ロールにコマンド権限付与セットを設定し、ネットワーク管理者のユーザグループまたはネットワーク管理者である個々のユーザにそれらのセットを適用できます。

Cisco Secure ACS を使用するには、次のことを確認します。

• コマンド権限付与セットを持ち、IDS MC で必要な機能を実行するために必要なコマンドが含まれている。

• ユーザロールを持ち、IDS MC に適用済みで、ロールに対応するコマンド権限付与セットが設定されている。

(3)

• Network Access Restriction（NAR）がプロファイルに適用されている場合、管理するデバイスグループ（またはデバイス）へのアクセスが許可される内容である必要がある。

• IDS MC によって管理されているデバイスが Cisco Secure ACS を使用してコ

マンド権限付与を行う場合、shell コマンド権限付与セットが設定されている。

• ネットワークデバイスグループを使用している場合、CiscoWorks サーバは Not Assigned ネットワークデバイスグループ以外に存在している必要がある。

たとえば、デバイスをインポートするには、共有プロファイルで、権限付与されたコマンドセット、NAR の下のデバイス定義、および管理特権が含まれているユーザロール内に show config コマンドが含まれていることを確認します。

また、デバイスをインポートする特権を持っている場合、インポートする各デバイスを管理するには、デバイスレベルの権限が必要です。

TACACS+ のセキュリティ上の利点については、『User Guide for Cisco Secure ACS』を参照してください。

（注） Cisco Secure ACS 認証を使用した場合でも、CiscoWorks Common Services ソフトウェアは、Compact Database や Database Checkpoint などの CiscoWorks Common

Services 固有のユーティリティに対してはローカルの権限付与機能を使用しま

す。これらのアクションを実行するには、実行者はローカルで定義されていて、

適切な特権レベルが与えられている必要があります。

(4)

Cisco Secure ACS の初期設定

この項では、IDS MC と相互運用するように Cisco Secure ACS の設定を正しく行うために実行する必要のあるタスクの概要を説明します。

この項では、次のトピックについて取り上げます。

• Cisco Secure ACS 初期設定用のチェックリスト（P.C-4）

• CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する

（P.C-8）

• Cisco Secure ACS での管理アカウントの作成（P.C-9）

• CiscoWorks ログインモジュールを TACACS+ に設定する（P.C-10）

• Cisco Secure ACS を AAA サーバとして登録し、同期化する（P.C-11）

Cisco Secure ACS 初期設定用のチェックリスト

次のチェックリストでは、IDS MC を Cisco Secure ACS と統合するために必要な手順を説明します。各ステップには、いくつかのサブステップがある場合があります。ステップおよびサブステップは、順番に実行する必要があります。このチェックリストには、いくつかのステップを実行する特定の手順への参照が示されています。

ステップ 1 認証と権限付与の管理モデルを定義します。

管理モデルは、IDS MC に依存することなく設定および定義されますが、IDS MC を使用する前に定義する必要があります。使用する管理ロールおよび管理アカウントも定義する必要があります。

IDS MC を管理するための管理モデル、ロール、およびアカウントが定義されま

す。

詳細については、『User Guide for Cisco Secure ACS for Windows Server』を参照してください。

ステップ 2 Cisco Secure ACS の適用性を確認します。

(5)

Cisco Secure ACS がバージョン 3.1 以降を実行していることを確認します。

CiscoWorks Common Services（CWCS）ソフトウェアには、それより前のバージョンの Cisco Secure ACS との互換性がありません。Cisco Secure ACS が 3.1 より前のソフトウェアバージョンを実行している場合は、続行する前に Cisco Secure ACS をアップグレードします。

また、IDS MC のデフォルトロールだけを採用するか、カスタマイズしたロール

を Cisco Secure ACS に設定するかを決定する必要もあります。

Cisco Secure ACS は 3.1 以降を実行しています。

詳細については、次を参照してください。

1. Cisco Secure ACS のロールと特権（P.C-13）

2. 『User Guide for Cisco Secure ACS for Windows Server』

ステップ 3 Cisco Secure ACS で、CiscoWorks サーバを AAA クライアントとして設定します。

認証と権限付与が実行されるには、CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する必要があります。この設定によって、

CiscoWorks サーバとの通信時に使用する Cisco Secure ACS の IP アドレスとキー

（共有秘密）の両方が設定されます。

Cisco Secure ACS の Network Configuration Section に、CiscoWorks サーバが AAA クライアントとしてリストされます。

1. CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する

（P.C-8）

ステップ 4 Cisco Secure ACS で管理アカウントを作成します。

Cisco Secure ACS サーバ上に CiscoWorks 専用の管理アカウントを作成します。これは、IDS MC などの各クライアントアプリケーションの Cisco Secure ACS 設定を設定およびアップデートするために CiscoWorks が使用する管理アカウントです。

(6)

ヒントこの後に、Cisco Secure ACS 上のこの管理アカウントの監査データを表示して、

Cisco Secure ACS 上で CiscoWorks が実行したアクションを確認できます。

CiscoWorks の管理アカウントが Cisco Secure ACS に設定されます。

1. Cisco Secure ACS での管理アカウントの作成（P.C-9） 2. 『User Guide for Cisco Secure ACS for Windows Server』

ステップ 5 CiscoWorks Login Module を TACACS+ に設定します。

CiscoWorks の Server Configuration 領域で、Login Module を TACACS+ に設定します。この設定によって、CiscoWorks に次が設定されます。

• 使用するログインモジュール

• Cisco Secure ACS の IP アドレス

• ACS 共有秘密（キー）

Login Module が TACACS+ に設定されます。

1. CiscoWorks ログインモジュールを TACACS+ に設定する（P.C-10） 2. 『User Guide for Cisco Secure ACS for Windows Server』

ステップ 6 Cisco Secure ACS を AAA サーバとして登録し、同期化します。

CiscoWorks の VPN/Security Management Solution セクションで、Cisco Secure ACS によって AAA サービスが実行されるように設定します。この設定によって、

Cisco Secure ACS で使用する IP アドレス、ポート、および管理者クレデンシャルの設定が登録されます。次に、Cisco Secure ACS に登録するアプリケーション

（たとえば、IDS MC）を選択します。

(7)

（注） CiscoWorks では、複数の異なる AAA サーバを選択することはできません。した

がって、Cisco Secure ACS に登録するアプリケーションを選択する際は、リスト

されているすべてのアプリケーションを登録する必要があります。

Cisco Secure ACS が AAA サーバとして登録され、Cisco Secure ACS の Shared

Profile Components セクションでアプリケーションの詳細が確認できるようにな

ります。

1. Cisco Secure ACS を AAA サーバとして登録し、同期化する（P.C-11）

ステップ 7 必要に応じて、Cisco Secure ACS に次のデータを入力します。

• 編集したロール

• ネットワークデバイス

• ネットワークデバイスグループ

• ユーザグループ

• ユーザ

ネットワーク要件に基づいて、Cisco Secure ACS の認証と権限付与の機能を定義します。

1. Cisco Secure ACS へのデータの入力（P.C-13） 2. 『User Guide for Cisco Secure ACS for Windows Server』

(8)

CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定する

この手順を Cisco Secure ACS で実行し、CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定します。

CiscoWorks サーバを Cisco Secure ACS の AAA クライアントとして設定するには、次の手順を実行します。

ステップ 1 Cisco Secure ACS にログインします。

ステップ 2 Network Configuration を選択します。

ステップ 3 AAA Clients テーブルの下の Add Entry をクリックします。

（注）この手順は、Cisco Secure ACS で Network Device Group（NDG; ネットワークデバイスグループ）を使用していないことを前提としています。NDG を使用している場合は、CiscoWorks サーバが割り当てられる NDG の名前をクリックしてから、AAA Clients テーブルの下の Add Entry をクリックします。CiscoWorks サーバは、Not Assigned ネットワークデバイスグループ以外に存在している必要があります。

Add AAA Client ページが表示されます。

ステップ 4 CiscoWorks サーバのホスト名を AAA Client Hostname フィールドに入力します。

ホスト名は、大文字で正しく入力する必要があります。

ステップ 5 CiscoWorks サーバの IP アドレスを AAA Client IP Address フィールドに入力します。

ステップ 6 共有秘密を Key フィールドに入力します。

ステップ 7 Authenticate Using リストから TACACS+（Cisco IOS）を選択します。

(9)

ステップ 8 変更内容を保存し、Cisco Secure ACS を再起動するには、Submit + Restart をクリックします。

Cisco Secure ACS が再起動し、CiscoWorks サーバが AAA Clients テーブルに表示されます。

Cisco Secure ACS での管理アカウントの作成

この手順を Cisco Secure ACS で実行して、管理アカウントを設定します。この手順で設定したクレデンシャルは、後で CiscoWorks を同期化する際に使用されます。

管理アカウントを作成するには、次の手順を実行します。

ステップ 2 Administration Control をクリックします。

ステップ 3 Add Administrator をクリックします。

Add Administrator ページが表示されます。

ステップ 4 管理者名を入力します。

ステップ 5 パスワードを入力します。

ステップ 6 パスワードを Confirm Password フィールドに再入力します。

ステップ 7 Administrator Privileges ボックスで、Grant All をクリックします。

ステップ 8 変更内容を保存するには、Submit をクリックします。

新しい管理アカウントが設定されます。

(10)

CiscoWorks ログインモジュールを TACACS+ に設定する

この手順では、CiscoWorks ログインモジュールを TACACS+ に設定し、

Cisco Secure ACS を TACACS+ サーバとして指定します。また、この手順では、

ACS の IP アドレス、ポート、および共有秘密キーの登録も行います。

CiscoWorks ログインモジュールを TACACS+ に設定するには、次の手順を実行します。

ステップ 1 CiscoWorks にログインします。

ステップ 2 Server Configuration > Setup > Security > Select Login Module を選択します。

Select Login Module ページが表示されます。デフォルトの AAA サーバ設定である CiscoWorks Local が選択された状態で表示されます。

ステップ 3 Available Login Modules リストから TACACS+ を選択し、Next をクリックします。

Login Module Options ページが表示されます。

ステップ 4 Cisco Secure ACS の IP アドレスを Server フィールドに入力します。

ステップ 5 Port フィールドに 49（TACACS+ サービスポート）を入力します。

ステップ 6 前の手順で Cisco Secure ACS に設定した共有秘密を Key フィールドに入力します。

ステップ 7 Debug の隣の False オプションボタンをクリックします。

ステップ 8 表示された 3 つのオプションから、いずれかのログインフォールバックオプションを選択します。

ステップ 9 変更内容を保存するには、Finish をクリックします。

Select Login Module ページが再び表示されます。今度は、モジュールが TACACS+

として指定されています。

(11)

Cisco Secure ACS を AAA サーバとして登録し、同期化する

Cisco Secure ACS を CiscoWorks サーバに登録し、同期化するには、次の手順を実行します。

ステップ 1 CiscoWorks サーバで、VPN/Security Management Solution > Administration >

Configuration > AAA Server を選択します。

AAA Server Information ウィンドウが表示されます。デフォルトの AAA サーバ設定である CiscoWorks 2000 Local が選択されています。

ステップ 2 Login Module が変更されたことを示して Synchronize ボタンがアクティブになっていることを確認します。

（注） Login Module が変更されていない場合、このページのアクションは実行

できません。

ステップ 3 Synchronize をクリックします。

ACS Server フィールドおよび ACS Port Number フィールドが、入力した値が読み込まれた状態で表示されます。また、Login ボックスの 3 つのフィールドが使用可能になります。

ステップ 4 管理者名を入力します。

ステップ 5 管理パスワードを入力します。

ステップ 6 Cisco Secure ACS 共有秘密を入力します。

ステップ 7 Register をクリックします。

Registration Selection ウィンドウが表示されます。

(12)

ステップ 8 Available Applications フィールドの各クライアントアプリケーション名を選択し、Add > をクリックして、Selected Applications フィールドに移動します。

ステップ 9 OK をクリックします。

選択したアプリケーションにより、そのアプリケーションのロールと特権が Cisco Secure ACS サーバに登録されます。登録が完了すると、ステータスメッセージが表示されます。

ステップ 10 OK をクリックして、ステータスメッセージを閉じます。

ステップ 11 Finish をクリックします。

Cisco Secure ACS の管理者名、パスワード、および共有秘密が保存されます。ス

テータスメッセージが表示されます。

ステップ 12 OK をクリックして、ステータスメッセージを閉じます。

(13)

Cisco Secure ACS へのデータの入力

Cisco Secure ACS に CiscoWorks と相互運用するための初期設定を行なった後、

Cisco Secure ACS で、CiscoWorks との相互運用方法に影響を与える手順を追加で実行できます。これらの手順で、編集したロール、ネットワークデバイスグループ（NDG）、ユーザグループ、およびユーザを Cisco Secure ACS に入力できます。

これらの手順をどのように実行するかは、設定した管理モデル全体と、意図する Cisco Secure ACS の利用方法によって決まります。

（注） Cisco Secure ACS では、ネットワーク要件に適合するようにカスタマイズできる、

複雑な認証と権限付与の機能がサポートされます。ここに示す手順では、

Cisco Secure ACS にデータを入力し、展開する方法についての基本的なガイダン

スだけを提供します。詳細については、ご使用の Cisco Secure ACS のユーザガイドを参照してください。

この項では、次のトピックについて取り上げます。

• Cisco Secure ACS のロールと特権（P.C-13）

• ロールの作成（P.C-15）

• ロールの編集（P.C-16）

• ロールの削除（P.C-17）

• Cisco Secure ACS に管理対象装置を AAA クライアントとして追加する

（P.C-18）

• Network Device Grouping（P.C-20）

• IDS MC 用のユーザグループの設定（P.C-21）

• ユーザの追加（P.C-24）

Cisco Secure ACS のロールと特権

IDS MC を Cisco Secure ACS に登録すると、IDS MC でセキュリティ特権の管理に使用できるデフォルトロールが作成されます。ユーザアカウントは、コンフィギュレーションファイルの生成、承認、展開などの特定のタスクを実行するの

(14)

用は、そのユーザの Cisco Secure ACS 内のユーザアカウントの権限によって制御されます。6 種類のアカウント、つまり権限付与ロールは、IDS MC でデフォルトで利用できます。これらのデフォルトロールのリストと説明を表 C-1 に示します。

ただし、CiscoWorks が Cisco Secure ACS に登録するデフォルトロールをそのまま使用する必要はありません。独自の要件に適合するように、ロールの削除、デフォルトロールのカスタマイズ、または追加ロールの作成を行うことができます。その操作は、Cisco Secure ACS の Shared Profile Components セクションで行います。

表 C-1 Cisco Secure ACS の IDS MC 用デフォルトロールマトリクス

タスクロール

Help Desk Approver

Network Operator

Network Administrator

Reports Only

System Administrator

デバイス表示可可可可不可可

管理不可不可不可可不可可

設定表示可可可可不可可

編集不可不可不可可不可可

展開表示可可可可不可可

生成不可不可不可可不可可

承認不可可不可不可不可可

展開不可不可可可不可可

管理表示可可可可不可可

修正不可不可不可不可不可可

レポート表示可可可可可可

生成不可不可不可不可可可

削除不可不可不可不可不可可

ルール表示可可可可不可可

編集不可不可不可不可不可可

削除不可不可不可不可不可可

(15)

ロールの作成

Cisco Secure ACS に新しいロールを設定するには、次の手順を実行します。

ステップ 2 Shared Profile Components をクリックします。

Shared Profile Components ページが表示されます。

（注） Shared Profile Components ページには、登録済みの共有プロファイルコンポーネントのセットそれぞれに対応する見出しがあります。

ステップ 3 Management Center for IDS Sensors 共有プロファイルコンポーネントセットを リストから選択します。

IDS MC の登録済みロールを示すテーブルが表示されます。

ステップ 4 新しいロールのベースラインとして使用するロールの名前を選択します。

選択したロールに割り当てられている特権の階層が表示されます。

ステップ 5 Copy to Clipboard をクリックします。

IDS MC のロールのページに戻ります。

ステップ 6 Add をクリックします。

クリップボードにコピーしたベースラインロールの特権を持つ、名前のないロールが表示されます。

（注）ベースラインロールをコピーしていない場合は、どの項目も選択されて

(16)

ステップ 7 作成するロールの名前を入力します。

ステップ 8 作成するロールの説明を入力します。

ステップ 9 新しいロールに割り当てられている特権を、変更する各項目の隣にあるチェックボックスをオンまたはオフにすることで編集します。チェックボックス内のチェックマークは、権限が付与されていることを示します（プラス記号は、ツリー構造の部分が非表示になっていることを示します。さらに詳しく表示するには、プラス記号をクリックします）。

ステップ 10 新しいロールに割り当てる特権の設定を完了したら、Submit をクリックします。

新しいロールが、IDS MC のロールのページにあるリストに表示されます。

ロールの編集

Cisco Secure ACS に登録したロールをカスタマイズするには、次の手順を実行します。

ステップ 3 Management Center for IDS Sensors 共有プロファイルコンポーネントセットをリストから選択します。

(17)

ステップ 4 編集するロールの名前を選択します。

選択したロールに割り当てられている特権の階層が表示されます。

ステップ 5 必要に応じて、次のステップのいずれかまたは複数を実行します。

a. ロールの名前を編集します。

b. ロールの説明を編集します。

c. ロールに割り当てられている特権を、変更する各項目の隣にあるチェックボックスをオンまたはオフにすることで編集します。チェックボックス内のチェックマークは、権限が付与されていることを示します。

（注）デフォルトの特権の簡単な説明は、Cisco Secure ACS Help ページに表示されます。権限を割り当てる項目に関する特定の情報について

は、IDS MC のオンラインヘルプを参照してください。

ステップ 6 ロールに割り当てる名前、説明、および特権の編集を完了したら、Submit をクリックします。

ロールの削除

Cisco Secure ACS に登録したロールを削除するには、次の手順を実行します。

(18)

ステップ 3 Management Center for IDS Sensors 共有プロファイルコンポーネントセットを リストから選択します。

ステップ 4 削除するロールの名前を選択します。

確認メッセージが表示されます。

ステップ 5 OK をクリックして、確認メッセージを承認して閉じます。

Cisco Secure ACS に管理対象装置を AAA クライアントとして追加する

ネットワークデバイスベースでユーザプロファイルまたはユーザグループプロファイルを設定するには、IDS MC によって管理されている各デバイスが Cisco Secure ACS に完全に設定されていることを確認する必要があります。

次の手順では、AAA クライアントを Cisco Secure ACS に追加する基本的な方法を示します。Cisco Secure ACS 内のネットワークコンフィギュレーションの詳細については、ご使用の Cisco Secure ACS のユーザガイドを参照してください。

管理対象装置を AAA クライアントとして Cisco Secure ACS に追加するには、次の手順を実行します。

ステップ 2 Network Configuration をクリックします。

(19)

ステップ 3 AAA Clients テーブルの下の Add Entry をクリックします。

（注）この手順では、Cisco Secure ACS で NDG を使用していないことを前提としています。NDG を使用している場合は、ネットワークデバイスが割り当てられる NDG の名前をクリックしてから、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが表示されます。

ステップ 4 AAA Client Hostname にホスト名を入力します（最大 32 文字）。ホスト名は、

Cisco Secure ACS と IDS MC で正確に同じスペルで、大文字で入力する必要があります。

ステップ 5 ネットワークデバイスの IP アドレスを AAA Client IP Address フィールドに入力します。

ステップ 6 共有秘密を Key フィールドに入力します。

（注） Cisco Secure ACS では、実際には使用されていない場合でも、このフィー

ルドをブランクにすることはできません。

ステップ 7 Authenticate Using リストから、使用するセキュリティコントロールプロトコル

を選択します。

（注） Cisco Secure ACS では、実際には使用されていない場合でも、このフィー

ルドをブランクにすることはできません。

ステップ 8 Submit + Restart をクリックします。

(20)

（注）新しいデバイスの設定は、Cisco Secure ACS を再起動するまで確立されません。各デバイスの設定後に再起動する代わりに、複数のデバイスを設定し、デバイスごとに Submit をクリックし、最後のデバイスを設定

した後に Submit + Restart をクリックすると、全部一度に確立できます。

Network Device Grouping

Network Device Grouping は Cisco Secure ACS の拡張機能で、これを使用すると、

ネットワークデバイスの集合を 1 つのグループとして表示および管理できます。

管理を簡素化するために、グループ内のすべてのデバイスを指すのに使用できる

名前を各 NDG に割り当てることができます。

（注） Cisco Secure ACS HTML インターフェイスで Network Device Groups テーブルを表示するには、Interface Configuration セクションの Advanced Options ページで

Network Device Groups オプションが選択されている必要があります。

ユーザまたはユーザグループを NDG に割り当てることができます。ネットワークデバイスグループを使用している場合、CiscoWorks サーバは Not Assigned ネットワークデバイスグループ以外に存在している必要があります。

ネットワークデバイスグループを作成するには、次の手順を実行します。

ステップ 2 Network Configuration をクリックします。

ステップ 3 Network Device Groups テーブルの下の Add Entry をクリックします。

(21)

ステップ 4 グループの名前を Network Device Group Name フィールドに入力します。

ステップ 5 Submit をクリックします。

Network Device Groups テーブルに新しい NDG が表示されます。

IDS MC 用のユーザグループの設定

Cisco Secure ACS 内にユーザグループを設定すると、追加したユーザごとにカスタマイズしたロールを作成する場合より、ユーザとロールの関連付けが簡単になります。1 つ以上の Cisco Secure ACS ユーザグループが各 IDS MC ロールに関連付けられます。また、各ユーザは、1 つのグループに割り当てられます。P.C-13 の「Cisco Secure ACS のロールと特権」を参照してください。

この手順では、Cisco Secure ACS 内にグループを設定する際に実行できることをすべて詳細に説明しているわけではありません。そのレベルの詳細は、このマニュアルの範囲外です。ユーザグループのカスタマイズの詳細については、『User Guide for Cisco Secure ACS』を参照してください。

この手順は、次の基本的なユーザグループを Cisco Secure ACS に確立する場合に使用します。

• すべてのデバイスまたは特定のデバイスに対して TACACS+ プロトコルを使用するように設定されたもの。

• 特定の IDS MC ロールに割り当てられたもの。

確立するユーザグループ、およびそれらのグループと確立したロールとの関係は、セキュリティ戦略と管理モデルによって決まります。

（注） IDS MC で使用されているロールというコンセプトは、Cisco Secure ACS のマ

ニュアルでコマンド権限付与セットと呼ばれています。

単純なモデルでは、グループとロールの 1 対 1 の割り当てがあるだけの場合があ

(22)

る予定もある場合は、さまざまなデバイスに対するさまざまなロールを特定のグループに適用する必要が生じることがあります。たとえば、East Coast Network および West Coast Network という 2 つの主要なネットワークデバイスのグループがある場合、East Coast Network 内のすべてのデバイスに対する完全な Network Administrator 権限を持ち、West Coast Network 内のデバイスに対しては Help Desk 権限だけを持つ East Coast Network Admin というグループを作成できます。

（注） Cisco Secure ACS Interface Configuration セクションでは、イネーブルにした機能に応じて、表示される設定が制限されます。この手順では、TACACS+ および

IDS MC だけに必要なインターフェイス設定を表示する方法も説明されていま

す。

Cisco Secure ACS に IDS MC 用のユーザグループを設定するには、次の手順を実行します。

ステップ 2 Interface Configuration をクリックします。

（注） Interface Configuration セクションで、Cisco Secure ACS HTML インターフェイスに表示される設定を決定できます。選択されていない機能は、

Cisco Secure ACS HTML インターフェイスで非表示になります。

ステップ 3 TACACS+ (Cisco IOS) をクリックします。

TACACS+ (Cisco) 編集ページが表示されます。

ステップ 4 TACACS+ Services ボックスの New Services セクションにある Group カラムのチェックボックスで、idscfg サービスが選択されていることを確認します。

(23)

ステップ 5 左のナビゲーションバーで、Group Setup をクリックします。

Group Setup ページが表示されます。

ステップ 6 Group リストから、設定するグループを選択します。

（注）通常、デフォルトグループである Group 0 は、最小限の権限セットを持つ状態のままにしておきます。このグループには、グループマッピングが設定されていない外部データベースで認証された場合に、未知のユーザが割り当てられます。

ステップ 7 Rename Group をクリックします。

ステップ 8 グループの名前を入力し、Submit をクリックします。

Group リストに、新しく割り当てられたグループ名が表示されます。

（注）グループ番号は変わりません。最大 500 個の異なるグループを Cisco Secure ACS に設定できます。

ステップ 9 名前を変更したグループが Group ウィンドウで選択されたままの状態で、Edit Settings をクリックします。

選択したグループの Group Settings ページが表示されます。

ステップ 10 ページ上部の Jump To リストから、TACACS+ を選択します。

TACACS+ Settings ボックスにスクロールダウンされます。

ステップ 11 Management Center for IDS Sensors セクションが表示されるまで、TACACS+

(24)

ステップ 12 このユーザグループに対して NDG を使用していない場合は、Assign a IDS MC for any network device オプションボタンをクリックし、グループに割り当てられたロールをリストから選択します。ステップ 14 に進みます。

ステップ 13 NDG を使用している場合は、次のことを行います。

a. Assign a IDS MC on a per Network Device Group Basis オプションボタンを クリックします。

b. デバイスグループを Device Group リストから選択します。

c. ロールを IDS MC リストから選択します。

d. Add Association をクリックします。

アソシエーションが表示ボックスにリストされます。

e. このグループの権限セット全体を確立するまで、デバイスグループと

IDS MC ロール間のアソシエーションの作成を続けます。

ステップ 14 Submit + Restart をクリックします。

（注）グループ対ロールのアソシエーションは、Cisco Secure ACS を再起動するまで確立されません。各グループの設定後に再起動する代わりに、複数のグループを設定し、グループごとに Submit をクリックし、最後のグループを設定した後に Submit + Restart をクリックすると、全部一度に確立できます。

ユーザの追加

ユーザは、次の 2 つの基本的な方法のいずれかで Cisco Secure ACS によって認証されます。

• Cisco Secure ACS ユーザデータベースを認証に使用する。

• いくつかの使用可能な外部ユーザデータベースのいずれかを認証に使用する。

(25)

認証タイプは、対応する外部ユーザデータベースが External User Databases セクションの Database Configuration 領域で設定されている場合に限り、Cisco Secure ACS HTML インターフェイスに表示されます。設定可能な認証タイプには、次のものがあります。

• Windows Database

• Generic LDAP

• Novell NDS

• ODBC

• LEAP Proxy RADIUS Server

• Token Server

ユーザ認証において外部データベースを使用する方法の詳細については、ご使用の Cisco Secure ACS のユーザガイドを参照してください。

特定のユーザを認証する際に使用するように Cisco Secure ACS に設定したデータベースのタイプにかかわらず、すべてのユーザは CiscoSecure ユーザデータベース内にアカウントが設定されており、ユーザへの権限付与は必ず

CiscoSecure ユーザデータベース内のユーザレコードに照合して実行されます。

CiscoSecure ユーザデータベース内にユーザアカウントを設定する方法は 5 つあ

ります。それらの方法には、次のメカニズムがあります。

• Cisco Secure ACS HTML インターフェイス

• Unknown User Policy

• RDBMS Synchronization

• CSUtil.exe

• Database Replication

ユーザアカウントの追加は、名前、認証方式、およびパスワードを指定するだけで簡単に行えます。または、このマニュアルの範囲外ですが、数多くのユーザ管理オプション、設定、および割り当てが使用可能なので、それらを使用すると有用な場合があります。ユーザアカウントを Cisco Secure ACS に追加する方法の詳細については、ご使用の Cisco Secure ACS のユーザガイドを参照してください。

(26)

Cisco Secure ACS と Management Center for IDS Sensors（IDS MC）の相互運用

C