ACS 4.2 の新機能の設定

C H A P T E R

3-1

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

3

ACS 4.2 の新機能の設定

この章では、ACS 4.2 で提供されるいくつかの新機能を設定する方法について説明します。 ACS for Windows および ACS SE の両方で提供される新機能については、次の項を参照してくださ い。 • グローバル EAP-FAST 設定の新しいオプション（P.3-2） • ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化（P.3-4） • NetBIOS の無効化（P.3-6） • ACS 4.2 の拡張ロギング機能の設定（P.3-7） • NAP レベルのグループ フィルタリングの設定（P.3-8） • ダイナミック ユーザを記録（保存）しないようにするオプション（P.3-9） • Active Directory のマルチフォレストのサポート（P.3-10） ACS SE のみで提供される新機能については、次の項を参照してください。 • ACS 4.2 での syslog の時間形式の設定（P.3-10） • ACS SE の RSA サポート（P.3-11） • ping のオン / オフ（P.3-20）

第3 章 ACS 4.2 の新機能の設定

グローバル EAP-FAST 設定の新しいオプション

グローバル

EAP-FAST 設定の新しいオプション

Global Authentication Setup セクションの EAP-FAST Configuration ページに、いくつかの新しいオプ ションがあります。図3-1 に、EAP-FAST Configuration ページの新しいオプションを示します。

図3-1 グローバル EAP-FAST 設定の新しいオプション

表3-1 に、EAP-FAST の新しい設定の説明を示します。

表3-1 Release 4.2 で提供される、グローバル EAP-FAST 設定の新しいオプション

オプション 説明

Allow Full TLS Renegotiation in Case of Invalid PAC このオプションでは、PAC が無効または有効期限切れ の場合が処理されます。この状況で、EAP サーバは、 無効な PAC とともに通常使用される暗号とは異なる 暗号を選択して、完全な TLS ハンドシェークと認証 を開始できます。 非常に古い証明書を使用して認証を試みる可能性の あるクライアントが存在する場合は、Allow Full TLS Renegotiation in Case of Invalid PAC チェックボックス をオンにします。

Allow Anonymous In-band PAC Provisioning ACS は、EAP-FAST フェーズ 0 を使用してエンドユー ザ クライアントに PAC をプロビジョニングします。

第3 章 ACS 4.2 の新機能の設定

グローバル EAP-FAST 設定の新しいオプション

3-3

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

Enable anonymous TLS renegotiation Allow Anonymous in-band PAC Provisioning チェック ボックスをオンにした場合は、Enable anonymous TLS renegotiation チェックボックスもオンにすることがで きます。

ネットワーク内に Vista クライアントが存在する場合 は、Enable anonymous TLS renegotiation チェックボッ クスをオンにして、Vista ユーザがパスワードの入力 を 2 回求められないようにします。

表3-1 Release 4.2 で提供される、グローバル EAP-FAST 設定の新しいオプション（続き）

第3 章 ACS 4.2 の新機能の設定

ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化

ネットワーク

アクセス プロファイルでの EAP-FAST PAC 処理の無効

化

EAP-FAST を使用するがトンネルやマシンの PAC の発行や受け入れは行わないように ACS に指示 する Network Access Profile（NAP; ネットワーク アクセス プロファイル）を NAP 設定の Protocols セクションで設定できるようになりました。

図3-2 に、ACS 4.2 の NAP Protocols ページの EAP-FAST セクションを示します。

第3 章 ACS 4.2 の新機能の設定

ネットワーク アクセス プロファイルでの EAP-FAST PAC 処理の無効化

3-5

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

表3-2 に、NAP Protocols ページの新しいオプションを示します。

表3-2 NAP Protocols ページの新しいオプション

オプション 説明

Use PACs この NAP を適用されたクライアントが、PAC が有効の状態で

EAP-FAST を使用して ACS で認証されるようにする場合は、 Use PACs オプション ボタンをクリックします。

Use PACs オプション ボタンをクリックすると、グローバル EAP-FAST 設定で使用可能な EAP-FAST 設定オプションと同じ ものが使用可能になります。

Do Not Use PACs この NAP を適用されたクライアントが、PAC が無効の状態で EAP-FAST を使用して ACS で認証されるようにする場合は、Do Not Use PACs オプション ボタンをクリックします。

Require Client Certificate Do Not Use PACs オプション ボタンをクリックすると、Require Client Certificate オプションが使用可能になります。EAP-FAST トンネルを確立するためにクライアント証明書を要求するに は、このオプションを選択します。

Disable Client Certificate Lookup and Comparisons

Do Not Use PACs オプション ボタンをクリックした場合は、 Disable Client Certificate Lookup and Comparisons チェックボック ス を オ ン に し て ク ラ イ ア ン ト 証 明 書 の 検 索 を 無 効 に し、 EAP-FAST PKI 認可バイパスを有効にできます。

Disable Client Certificate Lookup and Comparisons チェックボック スをオンにすると、ACS は、ユーザ データベース内のユーザ グ ループ データまたは公開鍵インフラストラクチャ（PKI）証明 書に基づいてユーザを認可することなく（その代わりに、あら

かじめ設定されているユーザ グループにユーザをマッピングし

て）、EAP-FAST トンネルを確立します。

Assign Group Disable Client Certificate Lookup and Comparisons チェックボック スをオンにした場合は、Assign Group フィールドにあるユーザ グループのドロップダウン リストから、クライアントに適用す るユーザ グループを選択します。

第3 章 ACS 4.2 の新機能の設定 NetBIOS の無効化

NetBIOS の無効化

NetBIOS を無効にした方がよい場合があるので、ACS 4.2 は NetBIOS を無効にして実行できるよう になっています。

ACS SE 4.2 は、Windows 2003 のサービスが全部ではなく一部だけ含まれている、Windows 2003 の

カスタマイズ バージョンで動作します。

（注） Windows 2000、Windows XP、および Windows Server 2003 を使用して NetBIOS over TCP/IP（NetBT） を無効にできますが、多くの企業ネットワークでは無効にしていません。ほとんどの場合、企業 ネットワークにはレガシー（Windows 9.x または Windows NT）マシンが残っているからです。こ のようなマシンは、NetBIOS を使用して、ドメインへのログイン、相互検出、共有リソースへアク セスするためのセッションの確立を実行するので、ネットワークで正常に機能するために NetBIOS が必要です。

Windows 2000、Windows XP、または Windows 2003 で NetBIOS over TCP/IP を無効にするには、次 の手順を実行します。

ステップ 1 My Network Places を右クリックし、Properties を選択します。

ステップ 2 適切な Local Area Connection アイコンを右クリックし、Properties をクリックします。 ステップ 3 Internet Protocol (TCP/IP) をクリックし、Properties を選択します。

ステップ 4 Advanced をクリックし、WINS タブをクリックします。

ステップ 5 WINS タブで、NetBIOS over TCP/IP を有効または無効にします。 この変更は、システムをリブートしなくても、すぐに反映されます。

NetBIOS 設定を DHCP オプションのタイプによって選択的に有効または無効にできる DHCP サー バを使用している場合は、必要に応じて、Use NetBIOS setting from the DHCP server を選択できます。 Windows 2000/2003 を実行しているコンピュータの NetBIOS over TCP/IP は、Windows 2000/2003 DHCP Server サービスによってサポートされている拡張 DHCP オプション タイプを使用して無効 にすることもできます。

（注） Windows 2000 より前のオペレーティング システムを実行しているコンピュータからは、NetBIOS を無効にしている Windows 2000/XP/2003 コンピュータに対するファイルの参照、検索、または作 成、および印刷共有接続を実行できません。

第3 章 ACS 4.2 の新機能の設定

ACS 4.2 の拡張ロギング機能の設定

3-7

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

ACS 4.2 の拡張ロギング機能の設定

ACS 4.2 では、いくつかの新しいロギング機能が提供されます。CSV 形式の Failed Attempts レポー トおよび Passed Authentications レポートを設定するときに、次のフィールドを追加できるようにな りました。 • Response Time：ACS が認証要求を受信してからクライアントに応答するまでに要した時間の 長さを示します。 • Framed-IP-address：Access-Request メッセージを受信したときに IP アドレスを割り当てるよう に ACS が設定されている場合、または着信 Access-Request に IP アドレスが含まれている場合 に、フレーム化された IP アドレスを示します。 • Session-ID：ユーザ セッションのセッション ID を示します。

CSV 形式の Failed Attempts レポートまたは Passed Authentications レポートにフィールドを追加する には、次の手順を実行します。 ステップ 1 ナビゲーション バーの System Configuration をクリックします。 ステップ 2 Logging をクリックします。 Logging Configuration ページが開きます。 ステップ 3 CSV カラムで、設定するレポートの名前の隣にある Configure をクリックします。 選択したレポートの設定ページが開きます。 ステップ 4 レポートにフィールドを追加するには、Attributes カラムでフィールド名をクリックし、右矢印ボタ ンをクリックして Logged Attributes カラムに移動します。 ステップ 5 Submit をクリックして、レポートの設定を保存します。

第3 章 ACS 4.2 の新機能の設定 NAP レベルのグループ フィルタリングの設定

NAP レベルのグループ フィルタリングの設定

ACS 4.2 を使用して、LDAP データベースにより認証されたユーザに対し、ユーザが属する LDAP

グループに基づいてアクセスを許可および拒否できます。この機能は、NAP レベルのグループ フィ

ルタリングと呼ばれます。

NAP レベルのグループ フィルタリングを設定するには、次の手順を実行します。

ステップ 1 ACS サーバに LDAP を設定します。

ステップ 2 ネットワーク アクセス プロファイルを設定します。

a. ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profile ページが開きます。

b. プロファイルの Authentication リンクをクリックします。

選択したプロファイルの Authentication ページが表示されます。Authentication ページの上部に、 Group Filtering for LDAP database セクションがあります（図3-3 を参照）。

図3-3 Group Filtering for LDAP Database の設定

c. LDAP データベースのドロップダウン リストから、ユーザ アクセスのフィルタリングに使用す

る LDAP データベースを選択します。

d. Available Groups リストにある LDAP ユーザ グループの一覧から、アクセスを許可するグルー

プを選択します。 Available Groups リストでグループを選択し、右矢印（-->）ボタンをクリックして、そのグルー プを Selected Groups のリストに移動します。 e. リストをソートするには、Up ボタンまたは Down ボタンをクリックして、グループをリスト の上方または下方に移動します。 ステップ 3 Submit をクリックします。

第3 章 ACS 4.2 の新機能の設定

ダイナミック ユーザを記録（保存）しないようにするオプション

3-9

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

ダイナミック

ユーザを記録（保存）しないようにするオプション

Active Directory や LDAP などの外部データベースを使用して ACS でユーザを認証する場合、ユー

ザが外部データベースで正常に認証されると、デフォルトでは、そのユーザの情報が ACS 内部デー

タベースに保存されます。この方法で作成されたユーザは、ダイナミック ユーザと呼ばれます。 ACS 4.2 では、ダイナミック ユーザのデータを作成（保存）しないように ACS を設定できます。 ACS 内部データベースへのダイナミック ユーザの作成を無効にするには、次の手順を実行します。

ステップ 1 ナビゲーション バーで、External User Databases > Unknown User Policy を選択します。 Configure Unknown User Policy ページが開きます。

ステップ 2 Configure Caching Unknown Users セクションまでスクロール ダウンします（図3-4 を参照）。

図3-4 ダイナミック ユーザの作成の無効化

ステップ 3 Disable Dynamic users チェックボックスをオンにします。

第3 章 ACS 4.2 の新機能の設定 Active Directory のマルチフォレストのサポート

Active Directory のマルチフォレストのサポート

ACS は、EAP-FAST バージョン 1a（PEAP、MSPEAP を使用）および EAP-TLS に対して、複数の フォレスト間のユーザ認証をサポートします。

（注） マルチフォレスト機能は、ユーザ名にドメイン情報が含まれている場合に限り機能します。

ACS 4.2 での syslog の時間形式の設定

ACS SE 4.2 では、ACS が syslog サーバへのメッセージの送信に使用する時間形式を設定するための 新しいオプションが提供されます。

以前のリリースでは、ACS SE デバイスは、デバイス自身に設定されている現地時間を使用しての み、syslog メッセージを送信できました。リリース 4.2 では、現地時間の設定またはグリニッジ標 準時（GMT）を使用して syslog メッセージを送信するように ACS SE を設定できます。

syslog サーバに送信されるイベントで使用される時間形式を設定するには、次の手順を実行します。

ステップ 1 ナビゲーション バーで、System Configuration > Date Format Control を選択します。 Date Format Control ページが開きます。

ステップ 2 Time Zone Selection for syslog セクションで、syslog サーバに送信されるイベントの日付形式を指定 します。次のようにして指定します。

• 現地時間を使用する場合は、Use Local Time オプション ボタンをクリックします。 • GMT 時間を使用する場合は、Use GMT Time オプション ボタンをクリックします。

第3 章 ACS 4.2 の新機能の設定

ACS SE の RSA サポート

3-11

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

ACS SE の RSA サポート

ACS 4.2 では、RSA トークン サーバに対するサポートを ACS SE に追加できます。このサポートを 追加するには、次の手順を実行します。

ステップ 1 ナビゲーション バーの External User Databases をクリックします。 External User Databases ページが開きます。

ステップ 2 Database Configuration をクリックします。

External User Databases Configuration ページが開きます（図3-5 を参照）。

図3-5 External User Databases Configuration ページ（ACS SE）

ステップ 3 RSA SecureID Token Server をクリックします。

Database Configuration Creation ページが表示されます。 ステップ 4 Create New Configuration をクリックします。

第3 章 ACS 4.2 の新機能の設定 ACS SE の RSA サポート

図3-6 Create a New External Database Configuration ページ

ステップ 5 RSA SecureID トークン サーバの名前を入力し、Submit をクリックします。

トークン サーバで実行する処理を選択するように求められます。

ステップ 6 Configure をクリックします。

sdconf.rec ファイルをアップロードするように求められます。

ステップ 7 Upload scconf.rec をクリックします。

ステップ 8 Cisco Secure ACS to RSA SecurID Configuration ページが表示されます（図3-7 を参照）。

第3 章 ACS 4.2 の新機能の設定

ACS SE の RSA サポート

3-13

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

ステップ 10 Submit をクリックします。

RSA ノード シークレット ファイルの消去

RSA トークン サーバの設定を変更した場合は、既存のノード シークレット ファイルを消去する必 要があります。ノード シークレット ファイルを消去するには、次の手順を実行します。

ステップ 1 ナビゲーション バーの External User Databases をクリックします。 External User Databases ページが開きます。

ステップ 2 Database Configuration をクリックします。

External User Databases Configuration ページが開きます。 ステップ 3 RSA SecurID Token Server をクリックします。

External User Database Configuration ページが開きます。

ステップ 4 Configure をクリックします。

Cisco Secure ACS to RSA SecurID Configuration ページが開きます。 ステップ 5 Purge Node Secret をクリックします。

RSA SecurID トークンと LDAP グループ マッピングの設定

認証は、ネイティブ モードの RSA で実行することも、LDAP グループ マッピングを RSA と併用し て実行することもできます。RSA と LDAP グループ マッピングを使用する場合は、ユーザの LDAP

グループ メンバーシップによって認可が制御されます。RSA ネイティブ モードでの認証が成功す

ると、LDAP でグループ マッピングが実行されます。ユーザのグループは、グループ マッピング

の設定に基づいて適用されます。

表3-3 RSA SecureID サーバの設定

フィールド 説明

FTP Server: sdconf.rec ファイルがある FTP サーバの IP アドレス。このファイルは、RSA

TokenID インストレーションの設定ファイルです。

Login: FTP サーバ用のログイン名。

Password: FTP サーバ用のパスワード。

第3 章 ACS 4.2 の新機能の設定 ACS SE の RSA サポート （注） LDAP グループ マッピングを使用する RSA 認証を設定する前に、このタイプの外部データベース をサポートするために必要なサードパーティ DLL が適切にインストールまたは設定されているこ とを確認してください。 LDAP グループ マッピングを使用する RSA 認証を設定するには、次の手順を実行します。

ステップ 1 P.3-11 の「ACS SE の RSA サポート」の説明に従って、RSA サポートを有効にします。 ステップ 2 ナビゲーション バーの External User Databases をクリックします。

ステップ 3 Database Configuration をクリックします。

選択できる外部ユーザ データベース タイプがすべてリストされます。

ステップ 4 RSA SecurID Token and LDAP Group Mapping をクリックします。

External Database Configuration ページが表示されます。

ステップ 5 Configure をクリックします。

LDAP Native RSA Configuration ページが開きます。

ステップ 6 Configure LDAP をクリックします。

第3 章 ACS 4.2 の新機能の設定

ACS SE の RSA サポート

3-15

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

図3-8 RSA SecurID Token and LDAP Group Mapping Configuration ページ

ステップ 7 LDAP 認証要求に対してユーザ名によるフィルタリングを ACS が行わないようにするには、Domain Filtering の Process all usernames を選択します。

第3 章 ACS 4.2 の新機能の設定 ACS SE の RSA サポート

ステップ 8 この LDAP 設定によって処理される認証を、特定のドメイン修飾を持つユーザ名に制限するには、 次の手順を実行します。

（注） ドメイン フィルタリングについては、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の 「Domain Filtering」を参照してください。

a. Domain Filtering の Only process usernames that are domain qualified オプション ボタンをクリッ

クします。

b. Qualified by リストから、適切なドメイン修飾タイプ（Suffix または Prefix）を選択します。サ

ポートされるドメイン修飾タイプは、1 つの LDAP 設定につき 1 つだけです。

たとえば、この LDAP 設定を使用して、特定のドメイン名で始まるユーザ名を認証する場合は、

Prefix を選択します。この LDAP 設定を使用して、特定のドメイン名で終わるユーザ名を認証

する場合は、Suffix を選択します。

c. Domain Qualifier ボックスに、この LDAP 設定でユーザ名を認証するドメインの名前を入力しま

す。ユーザ ID とドメイン名を区切るデリミタを含めます。デリミタが適切な位置にあること を確認してください。Qualified by リストで Prefix を選択した場合はドメイン名の終わりに、 Qualified by リストで Suffix を選択した場合はドメイン名の始めに置く必要があります。 サポートされるドメイン名は、1 つの LDAP 設定につき 1 つだけです。512 文字まで入力でき ます。 d. LDAP データベースに送信する前にドメイン修飾子を削除するように ACS を設定するには、 Strip domain before submitting username to LDAP server チェックボックスをオンにします。

e. ドメイン修飾子を削除せずにユーザ名を LDAP データベースに渡すように ACS を設定するに

は、Strip domain before submitting username to LDAP server チェックボックスをオフにします。

ステップ 9 ACS がユーザ名からドメイン修飾子を削除してから LDAP サーバにユーザ名を送信できるように するには、次の手順を実行します。

（注） ドメイン フィルタリングについては、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の 「Domain Filtering」を参照してください。

a. Domain Filtering の Process all usernames after stripping domain name and delimiter オプション

ボタンをクリックします。

b. 前に置かれたドメイン修飾子を削除するように ACS を設定するには、Strip starting characters through the last X character チェックボックスをオンにし、ドメイン修飾子デリミタを X ボック

スに入力します。

（注） ポンド記号（#）、疑問符（?）、引用符（“）、アスタリスク（*）、右山カッコ（>）、およ び左山カッコ（<）は、X ボックスに入力できません。ACS では、これらの文字をユー

ザ名に使用できません。これらの文字のいずれかが X ボックスに入力されていると、削

第3 章 ACS 4.2 の新機能の設定

ACS SE の RSA サポート

3-17

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

（注） ポンド記号（#）、疑問符（?）、引用符（“）、アスタリスク（*）、右山カッコ（>）、およ び左山カッコ（<）は、X ボックスに入力できません。ACS では、これらの文字をユー ザ名に使用できません。これらの文字のいずれかが X ボックスに入力されていると、削 除が失敗します。

ステップ 10 Common LDAP Configuration の User Directory Subtree ボックスに、すべてのユーザが含まれている

ツリーの DN を入力します。

ステップ 11 Group Directory Subtree ボックスに、すべてのグループが含まれているサブツリーの DN を入力しま

す。

ステップ 12 UserObjectType ボックスに、ユーザ名を含むユーザ レコード内のアトリビュートの名前を入力しま

す。このアトリビュート名は、ディレクトリ サーバから入手できます。詳細については、ご使用の

LDAP データベースのマニュアルを参照してください。

（注） UserObjectType と後続のフィールドのデフォルト値には、Netscape Directory Server のデフォ ルト設定が反映されます。LDAP サーバの設定とマニュアルを参照して、これらのフィー ルドの値をすべて確認します。

ステップ 13 UserObjectClass ボックスに、レコードをユーザとして識別する LDAP objectType アトリビュート

の値を入力します。しばしば、ユーザ レコードの objectType アトリビュートには複数の値があり、 ユーザに固有のものや、他のオブジェクト タイプと共有されているものがあります。共有されてい ない値を選択します。 ステップ 14 GroupObjectType ボックスに、グループ名を含むグループ レコード内のアトリビュートの名前を入 力します。 ステップ 15 GroupObjectClass ボックスに、レコードをグループとして識別するグループ レコード内の LDAP objectType アトリビュートの値を入力します。 ステップ 16 GroupAttributeName ボックスに、そのグループのメンバーであるユーザ レコードのリストを含むグ ループ レコードのアトリビュートの名前を入力します。

ステップ 17 Server Timeout ボックスに、ACS が LDAP サーバとの接続に失敗したと判断するまでに ACS が

LDAP サーバからの応答を待つ秒数を入力します。

ステップ 18 LDAP 認証試行のフェールオーバーを有効にするには、On Timeout Use Secondary チェックボック

スをオンにします。

ステップ 19 Failback Retry Delay ボックスに、プライマリ LDAP サーバがユーザ認証に失敗してから、プライマ

リ LDAP サーバへ先に認証要求を送信するのを ACS が再開するまでの経過時間（分単位）を入力 します。

（注） ACS が常にプライマリ LDAP サーバを先に使用するように指定するには、Failback Retry Delay ボックスにゼロ（0）を入力します。

第3 章 ACS 4.2 の新機能の設定 ACS SE の RSA サポート

ステップ 20 Max. Admin Connection ボックスに、LDAP 管理者アカウント権限での同時接続の最大数を入力しま

す。

ステップ 21 Primary LDAP Server テーブルおよび Secondary LDAP Server テーブルで、次の手順を実行します。

（注） On Timeout Use Secondary チェックボックスをオンにしなかった場合は、Secondary LDAP

Server テーブルのオプションを設定する必要はありません。

a. Hostname ボックスに、LDAP ソフトウェアを実行しているサーバの名前または IP アドレスを

入力します。ネットワーク上で DNS を使用している場合、IP アドレスの代わりにホスト名を 入力できます。

b. Port ボックスに、LDAP サーバが受信している TCP/IP ポート番号を入力します。デフォルト

は、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバ上にそれ らのプロパティを表示することによって、ポート番号を取得できます。安全な認証を使用する 場合、通常はポート 636 が使用されます。

c. ACS が LDAP バージョン 3 を使用して LDAP データベースと通信するように指定するには、 LDAP Version チェックボックスをオンにします。LDAP Version チェックボックスをオンにし

ない場合、ACS では LDAP バージョン 2 が使用されます。

d. SSL を使用して LDAP サーバに接続するように ACS を設定するには、Use secure authentication

チェックボックスをオンにし、次の 3 つのステップを実行します。SSL を使用しない場合、ユー ザ名とパスワードのクレデンシャルは、通常、クリア テキストでネットワークを経由して LDAP ディレクトリに渡されます。

e. ACS SE のみ：Use Secure Authentication チェックボックスをオンにした場合は、次のいずれか

の手順を実行します。まず、次のチェックボックスをオンにします。

－ Trusted Root CA チェックボックス。次に、隣のドロップダウン リストで、信頼できるルー

ト CA を選択します。

－ Certificate Database Path チェックボックス。次に、cert7.db ファイルをダウンロードします。

（注） cert7.db 証明書データベース ファイルを ACS に今すぐダウンロードするには、『User Guide for Cisco Secure ACS, 4.2』の第 12 章の「Downloading a Certificate Database (Solution Engine

Only)」の手順を完了してから、ステップ f に進みます。証明書データベースは、後でダウ

ンロードすることもできます。現在の LDAP サーバ用の証明書データベースがダウンロー

ドされていないと、この LDAP サーバでの安全な認証は失敗します。

f. ACS for Windows のみ：Use Secure authentication チェックボックスをオンにした場合は、次の

いずれかの手順を実行します。まず、次のボタンをクリックします。

－ Trusted Root CA オプション ボタン。次に、隣のドロップダウン リストで、信頼できる

ルート CA を選択します。

－ Certificate Database Path オプション ボタン。次に、隣のボックスに、Netscape cert7.db ファ

イルへのパスを入力します。このファイルには、照会されるサーバおよび信頼できる CA

の証明書が含まれています。

g. Admin DN ボックスには、管理者の完全修飾認定者名（DN）、つまり、User Directory Subtree 内

第3 章 ACS 4.2 の新機能の設定

ACS SE の RSA サポート

3-19

Cisco Secure ACS 4.2 コンフィギュレーション ガイド OL-14390-02-J

user id は、ユーザ名です。

organizational unit は、ツリーの一番下のレベルです。 next organizational unit は、ツリーの 1 つ上のレベルです。

次の例を参考にしてください。

uid=joesmith,ou=members,ou=administrators,o=cisco

ヒント Netscape DS を LDAP ソフトウェアとして使用している場合は、この情報を Netscape コン ソールからコピーできます。

h. Password ボックスに、Admin DN ボックスで指定した管理者アカウントのパスワードを入力し

ます。大文字と小文字の区別は、サーバによって決定されます。

ステップ 22 Submit をクリックします。

（注） 作成した全般的な LDAP 設定は ACS によって保存されます。この時点で、設定を Unknown User Policy に追加するか、特定のユーザ アカウントを割り当てることにより、このデータベースを認証 に使用できます。

第3 章 ACS 4.2 の新機能の設定 ping のオン / オフ

ping のオン / オフ

ACS 4.2 では、ACS SE デバイスの ping を有効または無効にできます。リリース 4.2 より前のリリー スでは、リモート デバイスが ping 要求を SE デバイスに送信すると、ping は常に拒否されました。 デフォルトでは、Cisco Security Agent（CSA）が ACS SE デバイス上で実行されているからです。 CSA は、リモート ping 要求を自動的に拒否します。

ACS 4.2 では、CSA のポリシーを更新することによって ping をオンまたはオフにする次のソフト ウェア パッチが提供されます。

• Ping Turn On Patch：このパッチにより、CSA の ping オプションがオンにされます。その結果、

ACS SE への ping が可能になります。

• Ping Turn Off Patch：このパッチにより、CSA の ping オプションがオフにされます。その結

果、ACS SE は ping を拒否するようになります。

これらのパッチのインストール方法の詳細は、『Installation Guide for Cisco Secure ACS Solution Engine, 4.2』の第 3 章「Installing and Configuring Cisco Secure ACS Solution Engine 4.2」の「Turning Ping On