Cisco Secure ACS 4.2 February 2008 Text Part Number: OL J

Cisco Secure ACS 4.2 コンフィギュレーション

ガイド

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、 および推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記 載されている製品の使用は、すべてユーザ側の責任になります。

対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。見当たらない場合には、代理店に ご連絡ください。

シスコが採用している TCP ヘッダー圧縮機能は、UNIX オペレーティング システムの UCB（University of California, Berkeley）パブリック ドメイン バー ジョンとして、UCB が開発したプログラムを最適化したものです。All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、すべてのマニュアルおよび上記各社のソフトウェアは、障害も含めて「現状のまま」として提供さ れます。シスコおよび上記各社は、商品性や特定の目的への適合性、権利を侵害しないことに関する、または取り扱い、使用、または取り引きによって 発生する、明示されたまたは黙示された一切の保証の責任を負わないものとします。 いかなる場合においても、シスコおよびその代理店は、このマニュアルの使用またはこのマニュアルを使用できないことによって起こる制約、利益の損 失、データの損傷など間接的で偶発的に起こる特殊な損害のあらゆる可能性がシスコまたは代理店に知らされていても、それらに対する責任を一切負い かねます。

CCDE, CCENT, Cisco Eos, Cisco Lumin, Cisco StadiumVision, the Cisco logo, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn is a service mark; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or Website are the property of their respective owners.The use of the word partner does not imply a partnership relationship between Cisco and any other company.(0804R)

このドキュメントで使用しているインターネット プロトコル（IP）アドレスは、実在のアドレスではありません。ドキュメント中で示される例、コマン ドの画面出力、および図は、いずれも視覚的な説明のみを目的としています。実在する IP アドレスが例示されていた場合、それらは意図して使用したも のではありません。

Cisco Secure ACS 4.2 コンフィギュレーションガイド

Copyright © 2008 Cisco Systems, Inc. All rights reserved.

Copyright © 2008, シスコシステムズ合同会社 . All rights reserved.

【注意】シスコ製品をご使用になる前に、安全上の注意 （www.cisco.com/jp/go/safety_warning/）をご確認ください。   本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。 米国サイト掲載ドキュメントとの差異が生じる場合があるため、正式な内容について は米国サイトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認 ください。

C O N T E N T S

このマニュアルについて  

ix

対象読者  

ix

マニュアルの構成  

ix

表記法  

x

製品マニュアル  

xi

関連マニュアル  

xiii

マニュアルの入手方法および Service Request ツールの使用方法  

xiii

通知事項  

xiv

OpenSSL および Open SSL Project  

xiv

ライセンスの問題  

xiv

C H A P T E R 1

ACS の設定の概要  

1-1

設定手順の要約  

1-2

設定のフローチャート  

1-5

C H A P T E R 2

Access Control Server の展開  

2-1

展開アーキテクチャの決定  

2-2

アクセスのタイプ  

2-2

有線 LAN アクセス  

2-2

無線アクセスのトポロジ  

2-5

ダイヤルアップ アクセスのトポロジ  

2-10

RADIUS サーバの配置  

2-11

展開する ACS の数（スケーラビリティ）の決定  

2-12

ユーザ数  

2-12

ネットワーク アクセス サーバの数  

2-12

LAN の展開と WAN の展開（ネットワーク内の LAN の数）

  

2-13

WAN の遅延と依存性  

2-13

無線ネットワークに展開する ACS サーバ数の決定  

2-13

サーバのフェールオーバーをサポートする ACS サーバの展開  

2-15

Contents

NAC/NAP 環境への ACS の展開  

2-17

その他の検討事項  

2-19

リモート アクセス ポリシー  

2-19

セキュリティ ポリシー  

2-19

管理アクセス ポリシー  

2-19

管理ユーザと一般ユーザの分離  

2-20

データベースに関する検討事項  

2-21

ユーザ数  

2-21

データベースの種類  

2-21

ネットワークの待ち時間と信頼性  

2-22 C H A P T E R 3

ACS 4.2 の新機能の設定  

3-1

グローバル EAP-FAST 設定の新しいオプション  

3-2

ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化  

3-4

NetBIOS の無効化  

3-6

ACS 4.2 の拡張ロギング機能の設定  

3-7

NAP レベルのグループ フィルタリングの設定  

3-8

ダイナミック ユーザを記録（保存）しないようにするオプション  

3-9

Active Directory のマルチフォレストのサポート  

3-10

ACS 4.2 での syslog の時間形式の設定  

3-10

ACS SE の RSA サポート  

3-11

RSA ノード シークレット ファイルの消去  

3-13

RSA SecurID トークンと LDAP グループ マッピングの設定  

3-13

ping のオン / オフ  

3-20 C H A P T E R 4

RDBMS 同期化の使用による dACL の作成およびネットワーク設定の指定  

4-1

ACS Release 4.2 の新しい RDBMS 同期化機能  

4-2

RDBMS 同期化の使用による dACL の設定  

4-3

ステップ 1：dACL の有効化  

4-3

ステップ 2：dACL を定義するテキスト ファイルの作成  

4-4

ステップ 3：accountActions ファイルのコーディングによる dACL の作成お

よび dACL へのユーザまたはグループの関連付け  

4-5

CSV 形式の accountActions ファイルのサンプル  

4-6

ステップ 4：ローカルの CSV ファイルを使用するための RDBMS 同期化の設

定  

4-7

ステップ 5：RDBMS 同期化の実行  

4-10

Contents

ステップ 6：dACL の表示  

4-11

エラー メッセージ  

4-13

dACL の読み取り、更新、および削除  

4-14

dACL とユーザまたはグループとの関連付けの更新または削除  

4-16

RDBMS 同期化の使用によるネットワーク設定の指定  

4-17

AAA クライアントの作成、読み取り、更新、および削除  

4-17 C H A P T E R 5

パスワード ポリシーの設定のシナリオ  

5-1

管理者によるパスワード変更に対する制限  

5-1

設定手順の要約  

5-2

ステップ 1：新しい管理者アカウントの追加と編集  

5-3

ステップ 2：パスワード ポリシーの設定  

5-6

Password Validation Options の指定  

5-7

Password Lifetime Options の指定  

5-7

Password Inactivity Options の指定  

5-8

Incorrect Password Attempt Options の指定  

5-8

ステップ 3：セッション ポリシーの設定  

5-9

ステップ 4：アクセス ポリシーの設定  

5-10

管理者資格レポートの表示  

5-15

特権レポートの表示  

5-15 C H A P T E R 6

エージェントレス ホスト サポートの設定のシナリオ  

6-1

エージェントレス ホスト サポートの概要  

6-2

監査サーバおよび GAME グループ フィードバックの使用方法  

6-3

設定手順の要約  

6-4

エージェントレス ホスト サポートの基本的な設定手順  

6-6

ステップ 1：ACS のインストール  

6-6

ステップ 2：RADIUS AAA クライアントの設定  

6-7

ステップ 3：ACS セキュリティ証明書のインストールと設定  

6-8

証明書の入手と ACS ホストへのコピー  

6-8

Windows 証明書インポート ウィザードによる証明書のインストール

（ACS for Windows）  

6-9

ACS 環境でのセキュリティ証明書の有効化  

6-9

CA 証明書のインストール  

6-10

信頼できる証明書の追加  

6-11

Contents

ステップ 6：エージェントレス要求処理の有効化  

6-20

新しい NAP の作成  

6-20

NAP でのエージェントレス要求処理の有効化  

6-23

MAB の設定  

6-23

ステップ 7：ロギングとレポートの設定  

6-26

MAB 処理に関するレポートの設定  

6-26

監査サーバをサポートするための設定手順  

6-28

GAME グループ フィードバックの設定  

6-28 C H A P T E R 7

PEAP/EAP-TLS の設定のシナリオ  

7-1

設定手順の要約  

7-1

ステップ 1：セキュリティ証明書の設定  

7-2

証明書の入手と ACS ホストへのコピー  

7-2

Windows 証明書インポート ウィザードによる証明書のインストール  

7-2

ACS 環境でのセキュリティ証明書の有効化  

7-3

CA 証明書のインストール  

7-4

信頼できる証明書の追加  

7-5

ステップ 2：グローバル認証の設定の入力  

7-6

ステップ 3：EAP-TLS のオプションの指定  

7-7

ステップ 4：（オプション）認証ポリシーの設定  

7-7 C H A P T E R 8

syslog のロギング設定のシナリオ  

8-1

概要  

8-1

syslog ロギングの設定  

8-1

ACS のレポートに含まれる syslog メッセージの形式  

8-4

ファシリティ コード  

8-4

メッセージの長さに関する制約事項  

8-5 C H A P T E R 9

NAC の設定シナリオ  

9-1

ステップ 1：ACS のインストール  

9-2

ステップ 2：ネットワーク設定タスクの実行  

9-3

RADIUS AAA クライアントの設定  

9-3

AAA サーバの設定  

9-5

ステップ 3：システム設定の入力  

9-7

ACS セキュリティ証明書のインストールと設定  

9-7

証明書の入手と ACS ホストへのコピー  

9-7

Contents

ACS 証明書のインストール  

9-9

グローバル設定の入力  

9-11

グローバル認証の設定  

9-11

EAP-FAST 認証の設定  

9-14

ロギング レベルの設定  

9-16

ログとレポートの設定  

9-16

ステップ 4：Administration Control の設定  

9-20

リモート管理者アクセスの追加  

9-20

ステップ 5：共有プロファイル コンポーネントの設定  

9-23

ネットワーク アクセス フィルタの設定（オプション）  

9-23

ダウンロード可能 IP ACL の設定  

9-24

ACL の追加  

9-25

ACE の追加  

9-26

dACL の保存  

9-28

RADIUS 認可コンポーネントの設定  

9-28

ステップ 6：外部ポスチャ確認監査サーバの設定  

9-35

ACS ディクショナリへのポスチャ アトリビュートの追加  

9-35

外部ポスチャ確認監査サーバの設定  

9-35

ステップ 7：NAC 用のポスチャ確認の設定  

9-39

内部ポスチャ確認ポリシーの設定  

9-39

外部ポスチャ確認ポリシーの設定  

9-41

外部ポスチャ確認監査サーバの設定  

9-44

ACS ディクショナリへのポスチャ アトリビュートの追加  

9-44

外部ポスチャ確認監査サーバの設定  

9-44

ポリシーと NAC 監査の認可  

9-47

ステップ 8：NAP を作成するテンプレートの設定  

9-48

サンプル NAC プロファイル テンプレート  

9-48

サンプル NAC レイヤ 3 プロファイル テンプレート  

9-48

プロファイルの設定  

9-49

NAC レイヤ 3 テンプレートのプロトコル ポリシー  

9-51

認証ポリシー  

9-52

サンプル ポスチャ確認規則  

9-53

サンプル NAC レイヤ 2 テンプレート  

9-53

プロファイルの設定  

9-54

プロトコルの設定  

9-57

Contents

プロファイルの設定  

9-61

プロトコル ポリシー  

9-62

認可ポリシー  

9-63

サンプル ポスチャ確認規則  

9-64

サンプル無線（NAC L2 802.1x）テンプレート  

9-64

プロファイルの設定  

9-65

プロトコル ポリシー  

9-67

認可ポリシー  

9-67

サンプル ポスチャ確認規則  

9-68

サンプル エージェントレス ホスト テンプレートの使用法  

9-69

プロファイルの設定  

9-70

プロトコル ポリシー  

9-72

認証ポリシー  

9-72

ステップ 9：プロファイルへのポスチャ確認コンポーネントのマッピング  

9-74

ステップ 10：プロファイルへの監査サーバのマッピング  

9-76

ステップ 11（オプション）：GAME グループ フィードバックの設定  

9-78

CSUtil を使用した監査ベンダー ファイルのインポート  

9-79

CSUtil を使用したデバイス タイプ アトリビュート ファイルのインポート 

 

9-79

NAC のアトリビュートと値のペアのインポート  

9-79

エージェントレス ホスト プロセスのデータベース サポートの設定  

9-80

ポスチャ確認の有効化  

9-80

外部監査サーバの設定  

9-80

外部ポスチャ確認監査サーバの設定  

9-80

ACS ディクショナリへのポスチャ アトリビュートの追加  

9-80

外部ポスチャ確認監査サーバの設定  

9-81

GAME グループ フィードバックの有効化  

9-84 G L O S S A R Y

用語集

I N D E X

索引

このマニュアルについて

対象読者

このマニュアルは、Cisco Secure Access Control Server（ACS）の使用、および、ネットワーク セキュ リティやアプリケーション セキュリティの設定および管理を行うセキュリティ管理者の方を対象 としています。

マニュアルの構成

このマニュアルは、次の章で構成されています。 • 第 1 章「ACS の設定の概要」：設定手順の要約や一連の設定手順を示すフローチャートを含む ACS の設定の概要について説明しています。

• 第 2 章「Access Control Server の展開」：ACS を展開する際のアクセス タイプ、ネットワーク ト ポロジ、および、データベースの同期化や複製が必要かどうかといった考慮すべき要素につい て説明しています。

• 第 3 章「ACS 4.2 の新機能の設定」：ACS 4.2 の重要な新機能の設定方法について説明しています。 • 第 4 章「RDBMS 同期化の使用による dACL の作成およびネットワーク設定の指定」：ACS 4.2

での RDBMS 同期化の新機能の設定方法、および、リモートの ACS Solution Engine で RDBMS Sync を実行する方法について説明しています。

• 第 5 章「パスワード ポリシーの設定のシナリオ」：管理者を追加する際の Sarbanes-Oxley Act （SOX; 米国企業改革法）のサポート方法について説明しています。

• 第 6 章「エージェントレス ホスト サポートの設定のシナリオ」：エージェントレス ホストのサ ポート（MAC authentication bypass）に関する ACS の設定方法について説明しています。

• 第 7 章「PEAP/EAP-TLS の設定のシナリオ」：PEAP、EAP-TLS のサポートに関する ACS の設 定方法について説明しています。

• 第 8 章「syslog のロギング設定のシナリオ」：syslog メッセージをログに記録するための ACS の 設定方法について説明しています。

• 第 9 章「NAC の設定シナリオ」：Cisco Network Admission Control（NAC; ネットワーク アドミッ ション コントロール）環境や Microsoft Network Access Protection（NAP; ネットワーク アクセス 保護）環境での ACS の設定方法について説明しています。

このマニュアルについて 表記法

表記法

このマニュアルでは、次の表記法に従います。 ヒント ご使用の製品を有効活用するために役立つヒントを示しています。 （注） 「注釈」です。作業を続行する前に確認すべき重要な情報や役立つ情報、このマニュアル以外の参 照資料などを紹介しています。 注意 「要注意」の意味です。機器の損傷、データの損失、またはネットワーク セキュリティの侵犯を予 防するための注意事項が記述されています。 警告 怪我、ソフトウェアの破壊、または機器の損傷を防止するために留意すべき情報を示しています。 この記号がある場合、記載されている情報に従って慎重に作業しないと、明らかなセキュリティ侵 犯につながります。 項目 表記法 手順の実行中に選択する必要があるコマンド、キーワード、専 門用語、およびオプション 太字 ユーザが値を指定する変数、および新しい用語や重要な用語 イタリック体 セッション情報、システム情報、パス、およびファイル名の表 示出力 screen フォント ユーザが入力する情報 太字の screen フォント ユーザが入力する変数 イタリック体の screen フォント メニュー項目およびボタン名 太字

このマニュアルについて 製品マニュアル

製品マニュアル

（注） 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルの アップデートについては、Cisco.com で確認してください。 表 1 に、ご利用可能な製品マニュアルを示します。 表 1 ACS 4.2 のマニュアル マニュアル タイトル ご利用形式

Documentation Guide for Cisco Secure ACS Release 4.2 • 製品に同梱されています。 • 製品 CD に PDF が収録されています。 • Cisco.com から入手可能です。 http://www.cisco.com/en/US/learning/index.html cisco_secure_access_control_server_for_windows/4.2/roadmap/ DGuide42.html

Release Notes for Cisco Secure ACS Release 4.2 Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/release/notes/ACS42_RN.html

Configuration Guide for Cisco Secure ACS Release 4.2

• Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/configuration/guide/acs42_config_guide.html

Installation Guide for Cisco Secure ACS for Windows Release 4.2

• Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/installation/guide/windows/IGwn42.html

Installation Guide for Cisco Secure ACS Solution Engine Release 4.2

• Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_solution_engine/4.2/installation/guide/solution_engine/ SE42.html

Configuration Guide for Cisco Secure ACS 4.2 • Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/user/guide/ACS4_2UG.html

Regulatory Compliance and Safety Information for the Cisco Secure ACS Solution Engine Release 4.2

• 製品に同梱されています。

• 製品 CD に PDF が収録されています。 • Cisco.com から入手可能です。

• http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_

server_for_solution_engine/4.2/regulatory/compliance/RCSI_42.html

Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2

• Cisco.com から入手可能です。

• http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_

server_for_solution_engine/4.2/installation/guide/remote_agent/rmag42.html

このマニュアルについて 製品マニュアル

Installation and User Guide for Cisco Secure ACS User-Changeable Passwords

• Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/installation/guide/user_passwords/ucp42.html

Troubleshooting Guide for Cisco Secure Access Control Server

• Cisco.com から入手可能です。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control _server_for_windows/4.2/trouble/guide/ACS_Troubleshooting.html

オンライン マニュアル ACS の HTML インターフェイスで、Online Documentation をクリックし ます。

オンライン ヘルプ 機能を設定する際、ACS の HTML インターフェイスの右ペインに、オン

ライン ヘルプが表示されます。

表 1 ACS 4.2 のマニュアル（続き）

このマニュアルについて

関連マニュアル

関連マニュアル

（注） 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルの

アップデートについては、Cisco.com で確認してください。

ACS に関するホワイト ペーパーは、次の URL の Cisco.com で参照できます。

http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/index.shtml

ネットワーク アドミッション コントロール（NAC）、さまざまな NAC コンポーネント、および ACS の詳細については、次の URL を参照してください。

http://www.cisco.com/go/guide

マニュアルの入手方法および Service Request ツールの使用方法

マニュアルの入手方法、Service Request ツールの使用方法、および追加情報の収集方法については、 次の URL で、毎月更新される『What's New in Cisco Product Documentation』を参照してください。 『What's New in Cisco Product Documentation』には、シスコの新規および改訂版の技術マニュアルの

一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

Really Simple Syndication（RSS）フィードとして『What's New in Cisco Product Documentation』に登 録し、リーダ アプリケーションを使用して、コンテンツがデスクトップに直接配信されるように設 定します。RSS フィードは無料サービスです。シスコは現在、RSS バージョン 2.0 をサポートして います。

このマニュアルについて 通知事項

通知事項

ここでは、このソフトウェア ライセンスに関連する通知を示します。

OpenSSL および Open SSL Project

この製品には、OpenSSL Toolkit で使用する目的で OpenSSL Project（http://www.openssl.org/）によっ

て開発されたソフトウェアが含まれています。 この製品には、Eric Young（[email protected]）によって記述された暗号化ソフトウェアが含まれ ています。 この製品には、Tim Hudson（[email protected]）によって記述されたソフトウェアが含まれています。

ライセンスの問題

OpenSSL ツールキットは二重ライセンスされています。つまり、OpenSSL ライセンスおよびオリジ ナル SSLeay ライセンスの両方が、このツールキットに適用されます。実際のライセンスの文章に ついては、下を参照してください。実質的に、両方のライセンスは BSD 形式のオープン ソース ラ イセンスです。OpenSSL 関連のライセンスの問題が発生した場合は、[email protected] にご 連絡ください。 OpenSSL ライセンス

Copyright © 1998-2007 The OpenSSL Project.All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgment: “This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)”.

4. The names “OpenSSL Toolkit” and “OpenSSL Project” must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact [email protected].

5. Products derived from this software may not be called “OpenSSL” nor may “OpenSSL” appear in their names without prior written permission of the OpenSSL Project.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

“This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)”.

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT “AS IS”' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

このマニュアルについて 通知事項 この製品には、Eric Young（[email protected]）によって記述された暗号化ソフトウェアが含まれ ています。この製品には、Tim Hudson（[email protected]）によって記述されたソフトウェアが含 まれています。 オリジナル SSLeay ライセンス

Copyright © 1995-1998 Eric Young ([email protected]).All rights reserved. This package is an SSL implementation written by Eric Young ([email protected]). The implementation was written so as to conform with Netscapes SSL.

This library is free for commercial and non-commercial use as long as the following conditions are adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson ([email protected]).

Copyright remains Eric Young’s, and as such any Copyright notices in the code are not to be removed.If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used.This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgement:

“This product includes cryptographic software written by Eric Young ([email protected])”.

The word ‘cryptographic’ can be left out if the routines from the library being used are not cryptography-related.

4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: “This product includes software written by Tim Hudson ([email protected])”.

THIS SOFTWARE IS PROVIDED BY ERIC YOUNG “AS IS” AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

このコードの公開バージョンまたは派生物のライセンスおよび配布条件は、変更できません。つま り、このコードを単純にコピーして別の配布ライセンスに含めることはできません（GNU 公衆使

このマニュアルについて 通知事項

C H A P T E R

1

ACS の設定の概要

この章では、Cisco Secure Access Control Server（以降は ACS と表記）を設定する場合の一般的な手 順について説明し、一連の手順を示したフローチャートを示します。

（注） Cisco Network Admission Control（NAC; ネットワーク アドミッション コントロール）ネットワーク 内および Microsoft Network Access Protection（NAP; ネットワーク アクセス保護）ネットワーク内の Microsoft クライアントと連携するように ACS を設定する場合は、第 9 章「NAC の設定シナリオ」 を参照してください。

この章は、次の項で構成されています。 • 設定手順の要約（P.1-2）

第 1 章 ACS の設定の概要 設定手順の要約

設定手順の要約

ACS を設定するには、次の手順を実行します。 ステップ 1 ACS の展開について、計画を立案します。 ネットワークで必要になる ACS サーバの数と配置を決定します。

詳細については、第 2 章「Access Control Server の展開」を参照してください。

ステップ 2 ACS サーバをインストールします。

必要な数の ACS サーバをインストールします。詳細な手順については、次のマニュアルを参照し てください。

• Installation Guide for Cisco Secure ACS for Windows Release 4.2（次の URL の Cisco.com で入手可能）

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.2/ installation/guide/windows/IGwn42.html

• Installation Guide for Cisco Secure ACS Solution Engine Release 4.2（次の URL の Cisco.com で入手

可能）

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_solution_engine/ 4.2/installation/guide/solution_engine/ACS_42_SE_install.html

ステップ 3 追加の管理者を設定します。

Windows バージョンの ACS をインストールした場合、初期状態では管理ユーザが存在しません。 Cisco Secure ACS Solution Engine（ACS SE）を設置した場合は、あらかじめ 1 名の管理者が存在し ます。

追加の管理アカウントを設定するには、次の手順を実行します。 a. 管理者を追加します。

b. それぞれの管理者について、管理者特権を指定します。 c. 必要に応じて、次のオプション管理ポリシーを設定します。

− Access Policy：IP アドレス制限、HTTP ポート制限、および Secure Sockets Layer（SSL）設 定について値を指定します。 − Session Policy：タイムアウト、自動ローカル ログイン、および無効な IP アドレス接続へ の応答について値を指定します。 − Password Policy：管理者に関するパスワード ポリシーを設定します。 詳細については、第 5 章「パスワード ポリシーの設定のシナリオ」を参照してください。 ステップ 4 Web インターフェイスを設定します。 a. AAA クライアントを追加し、クライアントが使用する認可プロトコルを指定します。 b. Interface Configuration をクリックします。 c. Interface Configuration ページで、次のオプションを 1 つまたはそれ以上含めるようにインター

第 1 章 ACS の設定の概要

設定手順の要約

− TACACS+ Configuration Options：詳細については、『User Guide for Cisco Secure ACS 4.2』 の第 2 章「Using the Web Interface」の「Displaying TACACS+ Configuration Options」を参照 してください。

− Advanced Options：詳細については、『User Guide for Cisco Secure ACS 4.2』の第 2 章「Using the Web Interface」の「Displaying RADIUS Configuration Options」を参照してください。

− Customized User Options：詳細については、『User Guide for Cisco Secure ACS 4.2』の第 2 章 「Using the Web Interface」の「Displaying RADIUS Configuration Options」を参照してください。

ステップ 5 ACS の基本的なシステム設定を入力します。

a. System Configuration をクリックします。 b. 次の項目を設定します。

− Service Control − Logging

− Date Format Control − Local Password Management − ACS Backup

− ACS Restore

− ACS Service Management − （オプション）IP Pools Server

− （オプション）IP Pools Address Recovery

詳細な手順については、『User Guide for Cisco Secure ACS 4.2』の第 2 章「Using the Web Interface」の 「Displaying RADIUS Configuration Options」を参照してください。

ステップ 6 ユーザを設定します。 a. ネットワークのセキュリティ構成に合せて、必要に応じてユーザを設定します。次の方法で ユーザを設定できます。 − ACS の Web インターフェイスを使用して、手動で設定する。 − CSUtil ユーティリティを使用して、ユーザを外部データベースからインポートする。 − データベースの同期化を利用する。 − データベース複製を利用する。

詳細な手順については、『User Guide for Cisco Secure ACS 4.2』の第 2 章「Using the Web Interface」の 「Displaying RADIUS Configuration Options」を参照してください。

ステップ 7 証明書を設定します。

この手順が必要になるのは、EAP-TLS、Secure Sockets Layer（SSL）、または Cisco ネットワーク ア ドミッション コントロール（NAC）を使用する場合です。

詳細な手順については、P.6-8 の「ステップ 3：ACS セキュリティ証明書のインストールと設定」を

第 1 章 ACS の設定の概要 設定手順の要約 • EAP-FAST • EAP-TLS • LEAP • EAP-MD5

• MS-CHAP Version 1 や Version 2 などの、従来の認証プロトコル

詳 細 な 手 順 に つ い て は、『User Guide for Cisco Secure ACS 4.2』の第 8 章「System Configuration: Authentication and Certificates」の「Global Authentication Setup」を参照してください。

ステップ 9 共有プロファイル コンポーネントを設定します。 次の共有プロファイル コンポーネントを設定できます。 • ダウンロード可能 IP ACL • ネットワーク アクセス フィルタリング • RADIUS 認可コンポーネント • ネットワーク アクセス制限 • コマンド認可セット

詳細な手順については、『User Guide for Cisco Secure ACS 4.2』の第 3 章「Shared Profile Components」 を参照してください。

ステップ 10 ネットワーク デバイス グループを設定します。

ネットワーク デバイス グループを設定すると、性質の共通するデバイスの設定が容易になります。 詳細については、『User Guide for Cisco Secure ACS 4.2』を参照してください。

ステップ 11 AAA クライアントを追加します。

RADIUS クライアントまたは TACACS+ クライアントを追加できます。詳細な手順については、

P.6-7 の「ステップ 2：RADIUS AAA クライアントの設定」を参照してください。

ステップ 12 ユーザ グループを設定します。

ユーザ グループを設定すると、グループに含まれるユーザに対して共通の設定値を適用できます。 詳細な手順については、『User Guide for Cisco Secure ACS 4.2』の第 2 章「User Group Management」 を参照してください。 ステップ 13 ポスチャ確認を設定します。 ACS で NAC を使用する場合は、ポスチャ確認を設定します。 ステップ 14 ネットワーク アクセス プロファイルを設定します。 必要に応じて、ネットワーク アクセス プロファイルを設定します。 ステップ 15 ログとレポートを設定します。

第 1 章 ACS の設定の概要 設定のフローチャート

設定のフローチャート

図 1-1 は、ACS を設定する作業の主な手順を示した設定フローチャートです。 図 1-1 ACS の設定のフローチャート それぞれの手順の詳細については、P.1-2 の「設定手順の要約」に示した手順のリストを参照して ください。 1: 2: ACS 3: 4: Web 9: 8: 10: 12: 11: AAA 13: 14: 15: 5: ACS 6: 158309 ODBC CSUtil NAC 7: EAP-TLS SSL NAC

第 1 章 ACS の設定の概要 設定のフローチャート

C H A P T E R

2

Access Control Server の展開

この章では、Cisco Secure Access Control Server（以降は ACS と表記）の展開前に検討する必要のあ る事項について説明します。

このマニュアルでは、ACS のソフトウェア インストール手順、および ACS SE のハードウェア設置 手順については説明しません。インストールおよび設置の詳細については、次のマニュアルを参照 してください。

• Installation Guide for Cisco Secure ACS for Windows Release 4.2（次の URL の Cisco.com で入手可能）

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.2/ installation/guide/windows/IGwn42.html

• Installation Guide for Cisco Secure ACS Solution Engine Release 4.2（次の URL の Cisco.com で入手

可能）

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_solution_engine/ 4.2/installation/guide/solution_engine/ACS_42_SE_install.html

（注） ACS の展開方法の詳細については、次の URL にある『Cisco Secure Access Control Server Deployment

Guide』を参照してください。 http://www.cisco.com/application/pdf/en/us/guest/products/ps2086/c1244/cdccont_0900aecd80737943.pdf この章は、次の項で構成されています。 • 展開アーキテクチャの決定（P.2-2） • 展開する ACS の数（スケーラビリティ）の決定（P.2-12） • サーバのフェールオーバーをサポートする ACS サーバの展開（P.2-15） • NAC/NAP 環境への ACS の展開（P.2-17） • その他の検討事項（P.2-19）

第 2 章 Access Control Server の展開 展開アーキテクチャの決定

展開アーキテクチャの決定

企業ネットワークの構成内容およびネットワーク トポロジは、ACS を展開する上で最も重要な要 素と考えられます。 この項では、次の項目について説明します。 • アクセスのタイプ：ユーザによるネットワーク アクセスの方法（スイッチ経由の LAN アクセ スや無線アクセスなど）、およびユーザ アクセスの制御に使用するセキュリティ プロトコル （RADIUS、EAP-TLS、および Microsoft Active Directory など）。

• ネットワークのアーキテクチャ：ネットワークの構成（キャンパス LAN、地域 LAN、WLAN を利用した中央集約型など）。 この項は、次のトピックで構成されています。 • アクセスのタイプ（P.2-2） • RADIUS サーバの配置（P.2-11）

アクセスのタイプ

この項は、次のトピックで構成されています。 • 有線 LAN アクセス（P.2-2） • 無線アクセスのトポロジ（P.2-5） • ダイヤルアップ アクセスのトポロジ（P.2-10）

有線 LAN アクセス

有線 LAN アクセスは、小規模の LAN 環境、キャンパス LAN 環境、および複数地域またはグロー バルに分散しているネットワークで利用できます。LAN または WLAN の規模は、ユーザ数で決ま ります。 有線 LAN 環境では、次のセキュリティ プロトコルを使用します。 • RADIUS：RADIUS は、有線 LAN へのユーザ アクセスを制御するために使用します。ブロー ドキャストまたはスイッチ ベースのイーサネット ネットワークでは、RADIUS を使用するこ とで、認可済みの各ユーザに対して仮想 LAN 識別情報を提供できます。

• EAP：Extensible Authentication Protocol（EAP）を使用すると、イーサネット ネットワーク環境 に RADIUS を展開できます。EAP は、Internet Engineering Task Force（IETF; インターネット技 術特別調査委員会）の RFC 2284 および IEEE 802.1x 標準で定義されています。

802.1x 標準は、EAP over LAN（EAPoL）とも呼ばれ、ブロードキャスト メディア ネットワー クに関する広範囲な EAP 標準の一部です。接続が確立されると、クライアント LAN デバイス 上のエンド ユーザから、LAN スイッチを経由して AAA サーバまで、EAPoL が通信チャネル

規模 ユーザ

小規模の LAN 1 ∼ 3,000

中規模の LAN 3,000 ∼ 25,000

大規模の LAN 25,000 ∼ 50,000

第 2 章 Access Control Server の展開

展開アーキテクチャの決定

EAP は、複雑なチャレンジ / レスポンス交換をサポートすることにより、Challenge Handshake Authentication Protocol（CHAP; チャレンジ ハンドシェーク認証プロトコル）などの従来の単方 向ハッシュ パスワード認証スキームだけでなく、Transport Layer Security（TLS）、デジタル証 明書などのより高度な認証スキームでもユーザ ベースの認証要求に容易に対応できます。 • EAP-TLS：Extensible Authentication Protocol-Transport Layer Security（EAP-TLS）。EAP-TLS で

は、Secure Sockets Layer（SSL）プロトコルの最新版である TLS プロトコル（RFC 2246）を使 用しています。TLS は、IETF が発表したものです。TLS を使用することで、ユーザとサーバの 認証、およびダイナミック セッション キーの生成に証明書を使用できます。

• PEAP：Protected Extensible Authentication Protocol（PEAP）は、無線 LAN（WLAN）で使用され る 802.1x 認証方式の 1 つです。PEAP は強力なセキュリティとユーザ データベース拡張性を提 供し、ワンタイム トークン認証、パスワードの変更とエージングをサポートします。PEAP は、 シスコシステムズ、Microsoft、および RSA Security が IETF に提案したインターネット ドラフ トに基づいています。

小規模の LAN 環境

小規模の LAN 環境（ユーザが 3,000 人以下の LAN。図 2-1 を参照）では、通常はスイッチの近く、 ファイアウォールの背後に ACS を 1 つだけ配置します。このような環境では、AAA 用の ACS にア クセスする必要があるスイッチはほとんどないため、ユーザ データベースは通常小さくなり、負荷 が小さいので、ACS は 1 つしか必要ありません。 ただし、冗長性を確保するために 2 つ目の ACS サーバを展開し、その ACS サーバをプライマリ サーバの複製パートナーとして設定するとよい場合があります。ACS の機能が失われると、ユーザ がネットワークにアクセスできなくなるからです。図 2-1 には、ファイアウォールとルータを経由 するインターネット接続が含まれています。このようなネットワークは、多くの場合インターネッ ト接続機能を備えているからです。ただし、インターネット接続は厳密には Cisco Catalyst AAA 構 成と関係がなく、この構成の必須要素ではありません。

また、ACS をホスティングするシステムにアクセスするユーザとデバイスは、必要なだけの少数に 抑える必要があります。アクセスを設定するには、図 2-1 に示すように、ACS ホストをファイア ウォールのプライベート LAN セグメントに接続します。このセグメントには、Cisco Catalyst スイッ チ クライアント、および管理目的で ACS への HTTP アクセスを必要とするユーザ マシンだけがア クセスできるように制限します。ACS がネットワークの一部であることを、ユーザが分からないよ うにします。

図 2-1 小規模な LAN 環境の ACS サーバ

Catalyst 2900/3500

第 2 章 Access Control Server の展開 展開アーキテクチャの決定

キャンパス LAN

キャンパス LAN での有線アクセスに ACS を使用できます。キャンパス LAN は、通常は複数のサ ブネットに分割されています。図 2-2 に、有線キャンパス LAN での ACS の展開を示します。

図 2-2 キャンパス LAN の ACS

図 2-2 は、有線キャンパス LAN で考えられる ACS の配置を示しています。このキャンパス LAN で は、建物が 3 つのセグメントにまとめられています。各セグメントは 1 ∼ 3 棟の建物で構成され、 セグメント内では、すべての建物が共通の LAN 上に配置されます。建物間およびセグメント間の ネットワーク接続には、すべて 1 Gb の光ファイバ技術が使用されています。プライマリのネット ワーク アクセスには、有線イーサネットのスイッチ ポートを利用します。

ACS を使用してネットワーク アクセス サーバに RADIUS 認証を提供し、ACS は外部データベース を使用するように設定します。5 ∼ 10 棟の建物で構成されるセグメントごとに、ACS を 1 つずつ 配置します。ロード バランシングおよびフェールオーバーのために、Cisco LocalDirector コンテン ト スイッチを各 ACS の前に配置します。 地理的に分散した有線 LAN 比較的規模が大きい、地理的に分散したネットワークの場合、中央集約型の ACS サービスを使用 するか、地理的に分散した複数の ACS ユニットを使用するかは、速度、冗長性、および信頼性が 重要な決め手になります。多くのアプリケーションと同様に、AAA クライアントでは、クエリー に対して的確なタイミングで正確な応答を得られることが必要です。ACS の展開方法を決定する上 で、ネットワークの速度は重要な要素です。ネットワークが原因となって認証の遅延が発生すると、 クライアント側またはスイッチでタイムアウトが発生するおそれがあるためです。 3 A A A 1 2 158308

第 2 章 Access Control Server の展開

展開アーキテクチャの決定

図 2-3 に、地理的に分散している有線 LAN での ACS の展開を示します。この図のスイッチ 1 では、 ACS 1 をプライマリ AAA サーバとして設定し、地域 2 にある ACS 2 をセカンダリとして設定しま す。スイッチ 2 では、ACS 2 をプライマリとして設定し、ACS 3 をセカンダリとして設定します。 同様に、スイッチ 3 では ACS 3 をプライマリとして使用し、ACS 1 をセカンダリとして使用しま す。ローカルの ACS をプライマリ AAA サーバとして使用すると、AAA による WAN トラフィッ クは最小限で済みます。必要に応じて、他の地域のプライマリ ACS をセカンダリとして使用する と、ACS ユニットの数をさらに抑えることができます。

図 2-3 地理的に分散した LAN の ACS

無線アクセスのトポロジ

Cisco Aironet シリーズのような無線アクセス ポイント（AP）では、モバイル エンドユーザ クライ アントは LAN 内部へのブリッジ接続が使用できます。無線ネットワークでは、AP へのアクセスが 容易であることから、認証が必要不可欠です。通信において盗聴が容易であるため、暗号化も必要 となります。 スケーリングは無線ネットワークでは重要な問題となります。WLAN の可動性という要素について は、ダイヤルアップ ネットワークと同じように考察が必要です。しかし、有線 LAN と異なり、 WLAN は拡張がはるかに容易です。WLAN 技術では AP を介した接続可能ユーザ数について物理的 1 3 1 T1 T1 T1 ACS 1 158313 1 ACS 3 2 ACS 2

第 2 章 Access Control Server の展開 展開アーキテクチャの決定 単純な WLAN 単純な WLAN では、設置される AP が 1 つだけの場合があります（図 2-4）。AP が 1 つだけなので、 主要な問題はセキュリティです。このような環境では、一般にユーザ ベースは小規模で、ネット ワーク デバイスはほとんどありません。ネットワーク上の他のデバイスに提供する AAA サービス が、ACS に特に大きな負荷として加わることはありません。 図 2-4 単純な WLAN 3 A A A 1 2 158308

第 2 章 Access Control Server の展開

展開アーキテクチャの決定

キャンパス WLAN

大きな建物やキャンパス環境のように、多数の AP が展開されている WLAN では、ACS の展開方 法を決定する作業が複雑になります。設置環境での処理のニーズに応じて、すべての AP を同一の LAN に配置することもできます。図 2-5 では、すべての AP が同一の LAN 上にあります。一方、AP を LAN 全体に分散して、ルータやスイッチなどを介して接続することもできます。

第 2 章 Access Control Server の展開 展開アーキテクチャの決定 地域の WLAN の設定 地理または組織構成に応じて区分された各地域では、ユーザの総数が、単一の ACS での限界レベ ルに達していることも、達していないこともあります。小規模なオフィスでは、専用の ACS を配 置するだけの利用量がなく、一方で地域のオフィスが十分な予備キャパシティを備えていることが あります。この場合、小規模なオフィスは規模の大きい地域オフィスに WAN 経由でアクセスして、 ユーザを認証することができます。繰り返しになりますが、リモート オフィスのユーザがこの WAN アクセスによってリスクにさらされないことを確認する必要があります。必要不可欠な接続ニーズ を見積もる際は、中央にある ACS の信頼性とスループットを考慮に入れます。 図 2-6 は、地域の WLAN を示しています。 図 2-6 地域の WLAN の ACS 158314 A A A Cisco Aironet

Cisco Secure ACS

第 2 章 Access Control Server の展開 展開アーキテクチャの決定 大規模な企業での WLAN の設定 非常に大きな、地理的に分散したネットワーク（ユーザ 50,000 人以上）では、複数のアクセス サー バが都市の別の場所、異なる都市、あるいは異なる大陸に配置されることがあります。中央に ACS を 1 台設置するという構成は、ネットワーク待ち時間が問われない場合はうまく動作しますが、長 距離接続の信頼性が問題となる場合があります。このような場合、ローカル ACS を複数設置する 方が、中央に ACS を 1 台設置するより望ましいことがあります。 グローバルに一貫性のあるユーザ データベースが何よりも重要視される場合、中央 ACS からの データベースの複製またはデータベースの同期化が必要になります。データベース複製に関する検 討事項については、P.2-15 の「データベース複製の検討」、および P.2-16 の「データベース同期化 の検討」を参照してください。認証に外部データベース、たとえば、Windows ユーザ データベース や Lightweight Directory Access Protocol（LDAP）を使用する場合、地理的に分散しているローカル ACS の展開は、さらに複雑になる可能性があります。 図 2-7 に、地理的に分散し、多くの WLAN があるネットワークでの ACS の配置を示します。 図 2-7 地理的に分散した WLAN の ACS 図 2-7 に示すモデルでは、ACS の場所は、すべてのユーザからあらゆる AP へのアクセスが必要で あるのか、または地域ネットワークまたはローカル ネットワークへのアクセスだけが必要であるの かによって決まります。この設置場所は、データベースの種類とともに、ローカルあるいは地域の ACS のどちらが必要か、およびデータベースの連続性をどのようにして維持するかを左右します。 この非常に大きな展開モデル（ユーザ数 50,000 以上）では、セキュリティの問題ははるかに複雑に なります。 WLAN 環境での ACS の展開に関するその他の検討事項 ACS を WLAN 環境に展開する場合は、次の点も考慮する必要があります。

I

63491

第 2 章 Access Control Server の展開 展開アーキテクチャの決定

ダイヤルアップ アクセスのトポロジ

ネットワーク リソースへのリモート アクセスを提供する方法は、最近まではダイヤルアップ アク セスが主流でした。しかし、モデムを利用したダイヤルアップ アクセスの大部分は、DSL アクセ スおよび VPN を利用したアクセスに移行しています。 このような状況でも、LAN 環境によっては、ACS を使用してダイヤルアップ アクセスのセキュリ ティを確保します。小規模の LAN または大規模なダイヤルイン LAN に対して、ダイヤルアップ ア クセスを提供できます。 小規模ダイヤルアップ ネットワーク アクセス

小規模の LAN 環境では、図 2-8 のように、典型的なネットワーク構成として 1 つの ACS を AAA クライアントの内側に配置し、外部のアクセスからはファイアウォールと AAA クライアントに よって保護します。このような環境では、Authentication, Authorization, and Accounting（AAA; 認証、 認可、アカウンティング）用の ACS にアクセスする必要があるデバイスはほとんどないため、ユー ザ データベースは通常小さくなり、データベースの複製は、バックアップとしてセカンダリ ACS に複製するものに限られます。 図 2-8 小規模ダイヤルアップ ネットワーク 大規模ダイヤルアップ ネットワーク アクセス 大規模のダイヤルイン環境でも、1 つの ACS が 1 つのバックアップを持つ設計が適している場合が あります。この構成が最適かどうかは、ネットワーク アクセスおよびサーバ アクセスの待ち時間 によります。図 2-9 に、大規模ダイヤルイン ネットワークの例を示します。この場合は、バック アップ ACS を追加することを推奨します。

第 2 章 Access Control Server の展開 展開アーキテクチャの決定 図 2-9 大規模ダイヤルアップ ネットワーク

RADIUS サーバの配置

RADIUS サーバを実稼働環境で使用する場合は、一般ネットワークの内側に配置する必要がありま す。可能な場合は、DHCP やドメイン ネーム システム（DNS）などのサーバ用に確保した、安全 なサブネットに配置します。ネットワークの遅延や接続の喪失が発生する場合もあるので、RADIUS 要求を WAN 接続を介して伝送することは避けてください。さまざまな理由により、このタイプの 構成を実現できない場合もあります。たとえば、本社からの認証サポートが必要になる小規模なリ モート サブネットが存在する場合です。 また、バックアップ認証についても検討する必要があります。たとえば、RADIUS セカンダリとし て運用するシステムを配置することが考えられます。または、それぞれ別のネットワーク セグメン トをサポートする 2 つのシステムを用意して、互いに同期化し、いずれかで障害が発生した場合に もう一方がバックアップとなるようにします。データベースの複製、および外部データベースの使 用方法については、RADIUS サーバのマニュアルを参照してください。

第 2 章 Access Control Server の展開 展開する ACS の数（スケーラビリティ）の決定

展開する ACS の数（スケーラビリティ）の決定

ACS 環境のスケーラビリティ（つまり、ユーザからのアクセス要求を各 ACS がどれほど効率的に 処理できるか）、およびネットワークに展開する必要のある ACS サーバ数については、多くの要素 が関係します。 スケーラビリティに関する検討事項の詳細については、ACS の展開に関する次のホワイト ペーパー を参照してください。これらのホワイト ペーパーは、次の URL の Cisco.com で参照できます。 http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_white_papers_list.html

• Building a Scalable TACACS+ Device Management Framework

• Catalyst Switching and ACS Deployment Guide

• Deploying Cisco Secure ACS for Windows in Cisco Aironet Environment

• EAP-TLS Deployment Guide for Wireless LAN Networks

• Guidelines for Placing ACS in the Network

この項は、次のトピックで構成されています。 • ユーザ数（P.2-12）

• ネットワーク アクセス サーバの数（P.2-12）

• LAN の展開と WAN の展開（ネットワーク内の LAN の数）（P.2-13）

• WAN の遅延と依存性（P.2-13） • 無線ネットワークに展開する ACS サーバ数の決定（P.2-13）

ユーザ数

ユーザの数は、どのトポロジにおいても重要な検討事項です。たとえば、1 つの ACS で 21,000 人 のユーザをサポートできるとします。1 台の無線アクセス ポイントで 10 人のユーザをサポートで きる場合、この ACS は、WLAN 環境に含まれている 2,100 台の無線アクセス ポイントをサポート できます。

LAN または WLAN の規模は、LAN または WLAN を使用しているユーザの数によって決まります。

詳細な公式については、ホワイト ペーパー『Deploying Cisco Secure ACS for Windows in Cisco Aironet

Environment』を参照してください。このホワイト ペーパーは、次の URL の Cisco.com で参照でき

ます。 http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_white_papers_list.html

ネットワーク アクセス サーバの数

規模 ユーザ 小規模の LAN 1 ∼ 3,000 中規模の LAN 3,000 ∼ 25,000 大規模の LAN 25,000 ∼ 50,000 非常に大規模な LAN または WLAN 50,000 以上

第 2 章 Access Control Server の展開

展開する ACS の数（スケーラビリティ）の決定

LAN の展開と WAN の展開（ネットワーク内の LAN の数）

通常、ACS サーバは LAN ごとに 1 つ配置する必要があります。バックアップ ACS が必要な場合 は、バックアップ ACS を同じ LAN に配置することも、別の LAN にある ACS をバックアップにす ることもできます。

WAN の遅延と依存性

大規模なネットワーク（ユーザ数が 25,000 ∼ 50,000）では、LAN 間の距離も検討事項になります。 ネットワークが 1 箇所にまとまっている場合は、プライマリ ACS 1 つとセカンダリ ACS 1 つで十 分です。 ネットワークが地理的に分散している場合、必要になる ACS サーバの数は、それぞれの地域での ニーズによって異なります。次の例を参考にしてください。 • 地域によっては、専用の ACS は必要ありません。 • 企業の本社など、規模が比較的大きい地域（ユーザ数が 10,000 以上の地域）では、複数の ACS が必要です。 また、サブネット間の距離も考慮する必要があります。サブネット間の距離が近い場合は、接続の 信頼性が高くなり、必要な ACS サーバの数は少なくなります。隣接するサブネット間では、信頼 性の高い接続を通じて他の建物にサービスを提供できます。サブネット間の距離が離れている場合 は、必要な ACS サーバの数が多くなります。 サブネットの数、および各サブネットのユーザの数も要素の 1 つです。たとえば、WLAN におい て、1 棟の建物に 400 人の潜在的なユーザが存在し、4 棟の建物で 1 つのサブネットが構成されて いるとします。このサブネットに割り当てる 1 つの ACS で、1,600 人のユーザ（現在のユーザ数の 約 10 分の 1）にサービスを提供することになります。他の建物は、安定した WAN 接続を経由した 隣接サブネット上に存在していてもかまいません。隣接サブネット上の ACS は、バックアップ用 のセカンダリ システムとして使用できます。 このサブネットにある建物間の WAN 接続の距離が短く、接続が安定していて、ネットワーク遅延 の問題が発生しない場合は、これらのすべての建物、すべてのユーザに対して、2 つの ACS でサー ビスを提供できます。40% の負荷がかかる状態で、1 つの ACS が半数のアクセス ポイント（AP） のプライマリ サーバとして機能し、もう一方の ACS は残りの AP を担当します。それぞれの ACS が、他方の ACS のバックアップとして機能します。さらに、負荷が 40% なので、1 つの ACS に障 害が発生した場合でも、停止の期間中、もう一方の ACS には 80% の負荷しかかかりません。使用 している WAN が認証接続に適さない場合は、LAN で 2 つ以上の ACS を使用して、それぞれをプ ライマリ モードまたはセカンダリ モードで運用するか、負荷を分散して運用することをお勧めし ます。

無線ネットワークに展開する ACS サーバ数の決定

無線ネットワークに展開する ACS サーバの数を検討するときは、次の点を考慮します。 • アクセス ポイントの位置と数。たとえば、AP が 4,200 台ある場合は次のようにします。 − 1 つの ACS が、半数の AP のプライマリ サーバとして動作する。 − もう一方の ACS で残りの AP を処理する。

第 2 章 Access Control Server の展開 展開する ACS の数（スケーラビリティ）の決定

たとえば、EAP-TLS を使用する場合は必要な ACS サーバが多くなり、PEAP を使用する場合は 少なくなります。EAP-TLS では、公開鍵インフラストラクチャ（PKI）の処理時間が発生する ので、PEAP よりも処理が遅くなります。

無線ネットワークで必要になる ACS サーバ数の計算式の詳細については、ホワイト ペーパー 『Deploying Cisco Secure ACS for Windows in an Aironet Environment』を参照してください。このホワ

イト ペーパーは、次の URL の Cisco.com で参照できます。