管理者と管理ポリシー

(1)

C H A P T E R

11

管理者と管理ポリシー

この章では、Cisco Secure Access Control Server リリース 4.2（以降は ACS と表記）の [Administration Control] セクションにある機能について説明します。この章は、次の項で構成されています。 • 「管理者アカウント」（P.11-1） • 「ログイン」（P.11-5） • 「アカウントの追加、編集、および削除」（P.11-6） • 「ポリシーオプションの設定」（P.11-8） • 「[Administration Control] ページのリファレンス」（P.11-10）

管理者アカウント

ACS Web インターフェイスにアクセスできるのは、管理者アカウントのユーザだけです。ここでは、次の項目について説明します。 • 「管理者アカウントについて」（P.11-1） • 「特権」（P.11-2） • 「グループアクセス特権」（P.11-3） • 「パスワードの失効とアカウントのロックアウト」（P.11-3） • 「適合認定のサポート」（P.11-4）

管理者アカウントについて

[Administration Control] ページにあるリンクにより、個々の管理者または管理者グループの名前、パスワード、および特権を確立するページに移動できます。 ACS の管理者アカウントには、次のような特徴があります。

• ACS に固有であり、Windows の管理者アカウント、ACS TACACS+ アカウント、または他の

ACS ユーザアカウントなど、それ以外のアカウントと関連はありません。

• 外部 ACS ユーザとの関連はありません。ACS は、ACS 管理者アカウントを別個の内部データベースに保存します。

(2)

第11 章管理者と管理ポリシー 管理者アカウント

特権

各管理者に与えられる特権により、Web インターフェイスへのアクセス権が決まります。デフォルトでは、新しい管理者にはいずれの特権も与えられていません。

Administration Control

特権

Administration Control 特権を持っている管理者は、[Administration Control] ページのすべてのエリア

にアクセスできます。これらの管理者は、[Administration Control] ページにより、管理者を管理したり、管理アクセスポリシーを制御するページにアクセスしたりできます。限定された管理者が自分のパスワードを更新できます。図 11-1（P.11-2）に、Administration Control 特権によって与えられるアクセス権を示します。図 11-1 Administration Control 特権管理者または管理者グループに与えることができる特権には、次のような例があります。 • 共有プロファイルコンポーネント • ネットワーク、システム、およびインターフェイスの設定 • 管理制御

• 外部ユーザデータベース、ポスチャ確認、Network Access Profile（NAP; ネットワークアクセスプロファイル）

• レポートおよびアクティビティ

たとえば、Administration Control 特権を持つ管理者が、ネットワーク管理の役割も持っている管理者

が使用できるように、Web インターフェイスの [Network Configuration] セクションへのアクセス権を

設定するとします。この場合は、Network Configuration 特権だけをオンにして該当する管理者アカウ

ントに与えます。

一方、管理者または管理者グループにすべての特権が与えられるように設定することもできます。この場合は、[Grant All (privileges)] オプションをクリックします。

Web インターフェイスには、管理者に与えるアクセス権の種類を制御するフィルタ機能も用意されて

います。たとえば、ユーザのグループに対して読み取り専用アクセス権を持つ管理者を設定したり、または同じグループに対する追加および編集アクセス権を与えたりすることができます。

(3)

ポリシーの影響

[Administration Control] ページには、アクセスポリシー、セッションポリシー、およびパスワードポリシーの設定ページへのリンクもあります。これらのポリシーは、すべてのアカウントログインに影響を与えます。ポリシーには、次の設定オプションがあります。

• [Access Policy]：IP アドレスの制限、HTTP ポートの制限、および Secure Socket Layer（SSL）のセットアップ。 • [Session Policy]：タイムアウト、自動ローカルログイン、および無効な IP アドレス接続への応答。 • [Password Policy]：パスワード確認、ライフタイム、非アクティビティ、および不正な試行。

グループ

アクセス特権

ACS には、グループまたはグループ内のユーザに対する管理者のアクセス権の種類を決定するオプションがあります。これらのオプションをイネーブルにすると、アクセス可能なグループすべてに関して、次の特権が管理者に与えられます。 • ユーザページの追加または編集 • グループページの編集 • ユーザページへの読み取りアクセス • グループページへの読み取りアクセス表 11-1は、これらのオプションを選択した場合の相互動作の説明を示します。

パスワードの失効とアカウントのロックアウト

ログインが正常に行われると、管理者の画面には、ACS Web インターフェイスのメインページが表示されます。ただし、すべてのログインは、有効期限、アカウントのロックアウト、およびパスワード設定オプションなどの [Administration Contorl] ページで設定した制限事項の対象となります。パスワードのライフタイムとパスワードの非アクティビティに設定する制限により、パスワードの変更またはアカウントのロックアウトを強制できます。また、失敗した試行に設定する制限によってパスワードの変更を強制することもできます。特権を持つ管理者は、手動でアカウントをロックできます。アカウントのロックアウトの場合は、特権を持つ管理者がそのアカウントをロック解除する必要があります。

ACS には、[Account Never Expires] オプションがあり、自動アカウントロックアウトオプションとパ

スワード設定オプションをグローバルに無効にできます。特定の管理者の [Account Never Expires] オ

表 11-1 グループアクセスオプション追加および編集アクセス読み取りアクセス結果なしなし管理者は、[Editable groups] 内のユーザを表示できない。

なしあり管理者は、[Editable groups] 内のユーザを表示できるが、[Submit] は使用できない。

ありなしどちらの場合にもフルアクセス権が与えられる。このオプションをイネーブルにすると、

[Add/Edit Users in these groups] の設定が読み取りアクセスより優先されます。

(4)

• ログインを試みると、パスワード更新のページが表示されます。

• Administration Control 特権を持っていない場合には、ナビゲーションバーで [Administration Control] ボタンをクリックすると [Change Password] ページが表示されます。[Change Password] ページには、パスワード基準のリストが表示されます。

図 11-2（P.11-4）に、ログイン時のプロセスフローを示します。

図 11-2 ログインプロセスフロー

1_{管理者の試行回数が}_{Incorrect Password Attempt}_{制限に達すると、}_ACS_{はその管理者アカウントを}

ロックします。この時点で、正常にログインできなくなります。ただし、[Account Never Expires] が

設定されている場合には、アカウントをロックアウトできません。

2_{管理者は正常にログインしました。したがって、}_ACS_{は、パスワードが誤って使用されただけであれ}

ば、Incorrect Password Attempt 制限を超過していても、管理者に再試行を許可します。

適合認定のサポート

ACS には、適合認定をサポートできるオプションがあります。たとえば、Administration Control 特権

を持つ管理者は、Administration Control 特権を他の管理者に与えるかどうかを決定できます。この特

(5)

第11 章管理者と管理ポリシー

ログイン

管理者によるすべてのログイン試行は、[Account Never Expires] オプションをオンにしていない限り、

パスワードおよびアカウントに設定したポリシーに従って処理されます。たとえば ACS では、パスワードのライフタイム、アクティビティ、および間違ったパスワード試行に対して制限を設けることができます。これらのオプションにより、パスワードを強制的に変更させたり、アカウントを自動的にロックアウトしたりすることができます。特権を持つ管理者は、アカウントをロックアウトすることも可能です。また、最後のパスワード変更と最後のアカウントアクティビティを管理者ごとにモニタリングできます。さらに、レポートへのアクセス権を制限できます。たとえば、Administration Audit レポート設定を変更する管理者の権限をイネーブルまたはディセーブルにすることができます。ユーザグループへの管理者アクセス権を設定することもできます。グループのセットアップやユーザの追加または編集を許可する対象の管理者を選択できます。ACS では、ユーザおよびグループに対する管理者の読み取りアクセスを設定することも可能です。

ACS のログインページは、Web インターフェイスへのアクセスポイントです。パスワードの有効期限が切れたり、ポリシーの変更によってパスワードが影響を受けたりすると、ログイン時に ACS によってパスワードの変更を強制されます。ロックアウトされた場合は、Administration Control 特権を持っている管理者に連絡してください。（注）管理者は、ログインして ACS サービスを管理するために、Windows ドメイン管理者アカウントを持っ

ている必要があります。ただし、Windows ドメイン管理者は ACS にログインできません。ACS にロ

グインできるのは、有効な ACS アカウントを持っている管理者だけです。詳細については、

『Installation Guide for Cisco Secure ACS for Windows Release 4.2』または『Installation Guide for

Cisco Secure ACS Solution Engine Release 4.2』を参照してください。

ACS for Windows

クライアントからログインするには、管理者アカウントを持っている必要があります。ただし、セッションポリシーには [Allow automatic local login] オプションが含まれています。このオプションがイ

ネーブルの場合、ACS を実行しているサーバのログインページをバイパスできます。このオプション

は、予期しないロックアウトの場合に使用できます。自動ローカルログインの詳細については、「セッ

ションポリシーの設定」（P.11-9）を参照してください。

ACS Solution Engine

（

SE

）

ブラウザから ACS Web インターフェイスにアクセスするには、管理者アカウントを使用して ACS に

ログインします。

最初にログインする管理者は、Command Line Interface（CLI; コマンドラインインターフェイス）で

Add ACS Admin コマンドを使用し、最初のアカウントの管理者名とパスワードを作成する必要があります。CLI の詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。

ACS によってすべての管理者がロックアウトされた場合は、CLI の Unlock <administrator name> コ

マンドを使用します。このコマンドは、Administration Control 特権を持つ管理者だけが使用できます。

CLI の詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。

(6)

第11 章管理者と管理ポリシー アカウントの追加、編集、および削除

ログインするには、次の手順を実行します。

ステップ 1 ACS を起動するには、Cisco Secure ACS プログラムグループの [ACS Admin] ボタンをクリックします。 Cisco Secure ACS のログインページが表示されます。

ステップ 2 [Username] と [Password] のフィールドに値を入力します。ステップ 3 [Login] ボタンをクリックします。

Cisco Secure ACS のメインページが表示されます。

アカウントの追加、編集、および削除

Administration Control 特権を持つ管理者は、管理者アカウントを追加、編集、および削除できます。ここでは、次の項目について説明します。 • アカウントの追加または編集 • アカウントの削除

アカウントの追加または編集

管理者アカウントを追加または編集するには、次の手順を実行します。ステップ 1 ナビゲーションバーの [Administration Control] をクリックします。

現在のアカウントが Administration Control 特権を持っている場合は、[Administration Control] ページ

が表示されます。持っていない場合は、[Change Password] ページが表示されます。

ステップ 2 [Add Administrator] をクリックして [Add Administrator] ページを表示します。または、編集対象の管理者アカウントの名前をクリックして、[Edit Administrator administrator_name] ページを表示します。ステップ 3 [Administrator Name]、[Password]、および [Password Confirmation] の各フィールドに、新しいアカ

ウントを入力します。必要に応じて、既存アカウントの [Password] フィールドと [Password

Confirmation] フィールドの値を変更します。これらのフィールドの詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参照してください。

ステップ 4 この管理者のアカウントが失効しないようにするには、[Account Never Expires] オプションをオンに

します。詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参照してください。

ステップ 5 このアカウントをロックするには、[Account Locked] チェックボックスをオンにします。[Account Locked] チェックボックスをオンにした場合は、ボックスをオフにするとアカウントがロック解除されます。

ステップ 6 すべての特権をグローバルに追加または削除するには、[Grant All] または [Revoke All] をクリックし

します。これらのコマンドの詳細については、「[Add Administrator] ページと [Edit Administrator]

ページ」（P.11-11）を参照してください。既存アカウントから特権を削除すると、そのアカウントが無効になります。

ステップ 7 [Available groups] リストボックスと [Editable groups] リストボックスの間でグループ名を移動させま

す。現在の管理者は、有効にしたアクセスオプションに従って、[Editable groups] リストのグループ

(7)

アカウントの追加、編集、および削除

ステップ 8 [Editable groups] とその関連ユーザにアクセス特権を与えるには、該当するオプションをオンにします。これらのオプションの詳細については、「[Add Administrator] ページと [Edit Administrator] ペー

ジ」（P.11-11）を参照してください。

ステップ 9 Web インターフェイスの [Shared Profile Components] セクション内にある特定の領域へのアクセスを

許可するには、[Shared Profile Components] 領域で適切なオプションをオンにします。これらのオプ

ションの詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参

照してください。共有プロファイルコンポーネントの詳細については、第 4 章「共有プロファイルコ

ンポーネント」を参照してください。

ステップ 10 Web インターフェイスの [Network Configuration] セクションへのアクセスを許可するには、[Network Configuration] オプションをオンにします。ネットワーク設定の詳細については、第 3 章「ネットワー

ク設定」を参照してください。

ステップ 11 Web インターフェイスの [System Configuration] セクション内にあるページへのアクセス権を与えるには、[System Configuration] 領域のオプションをオンにします。これらのオプションの詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参照してください。シス

テム設定の詳細については、第 7 章「システム設定：基本」、第 8 章「システム設定：高度」、および

第 10 章「ログとレポート」を参照してください。

ステップ 12 Web インターフェイスの [Interface Configuration] セクションへのアクセスを許可するには、 [Interface Configuration] オプションをオンにします。インターフェイスの設定の詳細については、

第 2 章「Web インターフェイスの使用方法」を参照してください。

ステップ 13 Web インターフェイスの [Administration Control] セクションへのアクセスを許可するには、 [Administration Control] オプションをオンにします。

ステップ 14 Web インターフェイスの [External User Databases] セクションへのアクセスを許可するには、 [External User Databases] オプションをオンにします。外部ユーザデータベースの詳細については、

第 12 章「ユーザデータベース」を参照してください。

ステップ 15 Web インターフェイスの [Posture Validation] セクションへのアクセスを許可するには、[Posture Validation] オプションをオンにします。ポスチャ確認の詳細については、第 13 章「ポスチャ確認」を参照してください。

ステップ 16 Web インターフェイスの [Network Access Profiles] セクションへのアクセスを許可するには、 [Network Access Profiles] オプションをオンにします。ネットワークアクセスプロファイルの詳細に

ついては、第 14 章「ネットワークアクセスプロファイル」を参照してください。

ステップ 17 Web インターフェイスの [Reports and Activities] セクション内にあるページへのアクセス権を与えるには、[Reports and Activities] 領域のオプションをオンにします。これらのオプションの詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参照してください。レ

ポートについては、第 10 章「ログとレポート」を参照してください。

ステップ 18 [Submit] をクリックします。

ACS によって新しい管理者アカウントが保存されます。新しいアカウントは、[Administration

(8)

第11 章管理者と管理ポリシー ポリシー オプションの設定

アカウントの削除

この機能を使用して管理者アカウントを削除します。アカウントを無効にするには、[Revoke All] ボタンをクリックします。ただし、使用しない管理者アカウントはすべて削除することを推奨します。アカウントを削除するには、次の手順を実行します。ステップ 1 ナビゲーションバーの [Administration Control] をクリックします。 [Administration Control] ページが表示されます。ステップ 2 削除する管理者アカウントの名前をクリックします。

[Edit Administrator administrator_name] ページが表示されます。この administrator_name は選択した管理者アカウントの名前です。

ステップ 3 [Delete] ボタンをクリックします。確認ダイアログボックスが表示されます。ステップ 4 [OK] をクリックします。

ACS によって、管理者アカウントが削除されます。[Administration Control] ページの [Administrators] リストに、管理者アカウントが表示されなくなります。

ポリシー

オプションの設定

これらのページのオプションにより、アクセスポリシー、セッションポリシー、およびパスワードポリシーを制御します。この項では、次のオプションについて取り上げます。 • 「アクセスポリシーの設定」（P.11-8） • 「セッションポリシーの設定」（P.11-9） • 「パスワードポリシーの設定」（P.11-10）

アクセス

ポリシーの設定

Administration Control 特権を持つ管理者は、アクセスポリシー機能を使用して、管理セッションで使用される IP アドレスと TCP ポート範囲によってアクセスを制限できます。Web インターフェイスへ

のアクセスにおいて、Secure Sockets Layer（SSL）を使用可能にすることもできます。

始める前に管理者アクセスで SSL をイネーブルにする場合は、「ACS サーバ証明書のインストール」（P.9-24）と「認証局証明書の追加」（P.9-28）の手順を実行しておく必要があります。SSL をイネーブルにした後、 ACS は次の管理者ログイン時に SSL の使用を開始します。この変更により現在の管理者セッションが影響を受けることはありません。証明書がない場合は、SSL の設定を試みるとエラーメッセージが表示されます。

(9)

第11 章管理者と管理ポリシー ポリシー オプションの設定 ACS のアクセスポリシーを設定するには、次の手順を実行します。ステップ 1 ナビゲーションバーの [Administration Control] をクリックします。 [Administration Control] ページが表示されます。ステップ 2 [Access Policy] をクリックします。

[Access Policy Setup] ページが表示されます。

ステップ 3 適切な [IP Address Filtering] オプションをクリックします。これらのオプションの詳細については、

「[Access Policy Setup] ページ」（P.11-19）を参照してください。

ステップ 4 [IP Address Filtering] オプションに従って、適切な IP アドレス範囲を入力します。

ステップ 5 該当する [HTTP Port Allocation] オプションをオンにして、全ポートを許可するか、または特定のポートへのアクセスを制限します。アクセスを制限する場合は、制限されるポートの範囲を入力します。これらのオプションの詳細については、「[Access Policy Setup] ページ」（P.11-19）を参照してください。ステップ 6 ACS で SSL を使用する場合は、このオプションをオンにします。このオプションの詳細については、

「[Access Policy Setup] ページ」（P.11-19）を参照してください。ステップ 7 [Submit] をクリックします。 ACS はアクセスポリシー設定を保存し、適用を開始します。

セッション

ポリシーの設定

Administration Control 特権を持つ管理者は、セッションポリシーの制御機能を使用して、次の動作をイネーブルまたはディセーブルにすることができます。 • ローカルログイン • 無効な IP アドレス接続への応答 ACS のセッションポリシーを設定するには、次の手順を実行します。ステップ 1 ナビゲーションバーの [Administration Control] をクリックします。 [Administration Control] ページが表示されます。ステップ 2 [Session Policy] をクリックします。

[Session Policy Setup] ページが表示されます。

ステップ 3 適切なポリシーをクリックし、適切な情報を入力してポリシーをセットアップします。これらのオプ

ションおよびフィールドの詳細については、「[Session Policy Setup] ページ」（P.11-21）を参照してください。

ステップ 4 [Submit] をクリックします。

(10)

第11 章管理者と管理ポリシー [Administration Control] ページのリファレンス

パスワード

ポリシーの設定

[Add Administrator] ページの [Password Policy] ボタンから、[Administrator Password Policy] ページ

にアクセスできます。パスワードポリシーを設定しない場合は、いずれの管理者もログイン、管理者

の作成、および特権の割り当てを行うことができます。

[Administrator Password Policy] ページには、次の制御機能があります。

• 複雑なパスワードを強制する • ライフタイムを制限する • 非アクティブなアカウントを制限する • 不正なログイン試行を制限するパスワードポリシーをセットアップするには、次の手順を実行します。ステップ 1 ナビゲーションバーの [Administration Control] をクリックします。 [Administration Control] ページが表示されます。ステップ 2 [Password Policy] をクリックします。

[Administrator Password Policy] ページが表示されます。

ステップ 3 適切なオプションをオンにし、適切な値を入力します。これらのオプションおよびフィールドの詳細に

ついては、「[Administrator Password Policy] ページ」（P.11-17）を参照してください。ステップ 4 [Submit] をクリックします。 ACS は、パスワードポリシーの設定を保存し、次のログインから適用を開始します。

[Administration Control]

ページのリファレンス

次のトピックでは、ナビゲーションバーの [Administration Control] ボタンからアクセスするページについて説明します。 • 「[Administration Control] ページ」（P.11-10）

• 「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11） • 「[Administrator Password Policy] ページ」（P.11-17）

• 「[Access Policy Setup] ページ」（P.11-19） • 「[Session Policy Setup] ページ」（P.11-21）

[Administration Control]

ページ

[Administration Control] ページは、管理者アカウントとポリシー設定を開始するときに開く最初の

ページです。Administration Control 特権を持つ管理者だけがこのページにアクセスできます。

(11)

第11 章管理者と管理ポリシー [Administration Control] ページのリファレンス 関連項目 • 「アカウントの追加または編集」（P.11-6） • 「アカウントの削除」（P.11-8） • 「アクセスポリシーの設定」（P.11-8） • 「セッションポリシーの設定」（P.11-9） • 「パスワードポリシーの設定」（P.11-10）

[Add Administrator]

ページと

[Edit Administrator]

ページ

[Add Administrator] ページと [Edit Administrator] ページの領域を使用して、次の操作を行います。

• 管理者を追加する（[Add Administrator] ページのみ）

• パスワードを追加、編集、およびモニタリングする

• ロックアウトされたアカウントをモニタリングおよび再有効化する

• 特権を有効または無効にする

これらのページを開くには、[Administration Control] をクリックし、[Add Administrator] をクリックするか <administrator_name> をクリックして、管理者を編集します。

表 11-3に、次のオプションの説明を示します。

• 「Administrator Details」（P.11-12） • 「Administrative Privileges」（P.11-13） • 「User & Group Setup」（P.11-13） • 「Shared Profile Components」（P.11-14） • 「Network Configuration」（P.11-14） • 「System Configuration」（P.11-14）

表 11-2 Administration Control（特権を持つ管理者）

オプション説明

Administrators 設定されているすべての管理者の一覧を表示します。

<administrator_name> [Edit Administrator <administrator_name>] ページを開きます。詳細については、「[Add Administrator]

ページと [Edit Administrator] ページ」（P.11-11）を参照してください。

Add Administrator [Add Administrator] ページを開きます。詳細については、「[Add Administrator] ページと [Edit Administrator] ページ」（P.11-11）を参照してください。

Access Policy [Access Policy Setup] ページを開きます。このページでブラウザのネットワークアクセスを制御します。詳細については、「[Administrator Password Policy] ページ」（P.11-17）を参照してください。

Session Policy [Session Policy Setup] ページを開きます。このページには、HTTP セッションの設定の詳細が表示されます。詳細については、「[Session Policy Setup] ページ」（P.11-21）を参照してください。 Password Policy [Administrator Password Policy] ページを開きます。詳細については、「[Administrator

(12)

• 「External User Databases」（P.11-16） • 「Posture Validation」（P.11-16） • 「Network Access Profiles」（P.11-16） • 「Reports & Activity」（P.11-16）

表 11-3 [Add Administrator] ページと [Edit Administrator] ページ

Administrator Details

Administrator Name（[Add Administrator] ページにだけ表示）

ACS 管理者アカウントのログイン名。管理者名には、左山カッコ（<）、右山カッコ（>）、お

よびバックスラッシュ（\）を含まない 1 ～ 32 文字を使用できます。ACS 管理者名は、ネッ

トワークユーザ名と一致する必要はありません。

ACS では、事前に設定された管理者の名前変更は許可されないため、[Edit Administrator] ペー

ジに管理者名は表示されません。名前を変更するには、アカウントを削除し、新しい名前でアカウントを設定します。アカウントを無効にするには、すべての特権を無効にします。 Password パスワードは、管理者ユーザがダイヤルイン認証で使用するパスワードに一致させるか、ま

たは別のパスワードにすることができます。ACS は、[Administrator Password Policy] ページの [Password Validation Options] セクションにあるオプションを適用します。

パスワードは、最小長 4 文字で構成され、数字を少なくとも 1 つ含む必要があります。パスワードには、ユーザ名または逆ユーザ名を含めることはできません。また、前の 4 つのパスワードのいずれとも一致せず、ASCII 文字を使用する必要があります。パスワードにエラーがあると、パスワード基準が表示されます。パスワードポリシーに変更があってパスワードの変更がない場合、管理者はログイン状態のままになります。ACS は、次回のログインから新しいパスワードポリシーを適用します。

Confirm Password [Password] フィールドのパスワードを確認します。パスワード入力にエラーがあると、エ

ラーメッセージが表示されます。

Last Password Change （[Edit Administrator] ページ

のみ）

このページの管理者アクションまたはログイン時のパスワードの失効により、パスワードが変更される変更日を表示します。（読み取り専用）有効期限ではなく、変更日を常に表示します。新しいアカウントが送信されるまでは表示されません。

Last Activity（[Edit Administrator] ページのみ）

最後に正常にログインした日付を表示します。（読み取り専用）新しいアカウントが送信されるまでは表示されません。

Account Never Expires 手動ロックアウトの場合を除いて、[Administrator Password Policy] ページのロックアウトオプションを無効にすることによりアカウントのロックアウトを防止します。このため、アカウントが失効することはありませんが、パスワードの変更ポリシーは有効のままになります。デフォルトではオフ（無効）です。

Account Locked [Password Policy] ページのロックアウトオプションによってロックアウトされた管理者がログインできないようにします。このオプションをオフ（ディセーブル）にすると、ロックアウトされた管理者がロック解除されます。

Administration Control 特権を持つ管理者は、このオプションを使用して、手動でアカウントをロックアウトしたり、ロックされたアカウントをリセットしたりできます。システムには、ロックアウトの理由を説明したメッセージが表示されます。

管理者がアカウントをロック解除すると、ACS は、[Last Password Change] フィールドと [Last Activity] フィールドの値を管理者がアカウントをロック解除する日付にリセットします。ロックされたアカウントをリセットしても、失敗した試行のロックアウトおよびロック解除のメカニズムの設定に影響はありません。

(13)

[Administration Control] ページのリファレンス

Administrative Privileges Web インターフェイスの [User Setup] セクションと [Group Setup] セクションの特権オプ

ションを含みます。

デフォルトでは、リモート管理者に特権は与えられていません。

Grant All すべての特権を有効にします。ACS は、すべてのユーザグループを [Editable Groups] リストに移動します。特権を持つ管理者は、個別に特権を割り当てることにより、それぞれの

ACS 管理者に特権を与えることもできます。どちらの場合でも、管理者は [Grant All] によっ

て有効になったオプションを個別に無効にすることができます。

デフォルトでは、新しい管理者アカウントのすべての特権が制限されます。

Revoke All すべての特権をクリア（制限）します。ACS は、[Editable Groups] リストからすべてのユー

ザグループを削除します。既存アカウントのすべての特権を削除すると、そのアカウントは

実質的に無効になります。管理者は、[Revoke All] によって無効になったオプションを個別

に有効にすることができます。

また、すべての特権を無効にすることによってアカウントを無効にすることもできます。

User & Group Setup

Add/Edit users in these groups

管理者は、ユーザを追加または編集し、[Editable groups] リストにあるグループにユーザを

割り当てることができます。

このオプションをイネーブルにすると、これらのグループオプションのユーザに対する読み

取りアクセスの設定よりもこの設定が優先されます。

Setup of these groups 管理者は [Editable groups] リストにあるグループの設定を編集できます。

このオプションをイネーブルにすると、これらのグループオプションの読み取りアクセスの

設定よりもこの設定が優先されます。 Read access to users in these

groups [Editable groups]

のユーザに対する読み取り専用アクセスを可能にします。

[Add/Edit users in these groups] オプションをイネーブルにすると、これらのグループオプションのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。 [Add/Edit users in these groups] オプションをオン（イネーブル）にしている場合は、この設定がイネーブルかディセーブルかは動作に影響しません。[Add/Edit users in these groups] の設定

はこの設定より優先され、管理者は、[Editable groups] 内のすべてのユーザを編集できます。

[Add/Edit users in these groups] オプションがオフ（ディセーブル）になっている場合は、次のようになります。

• このチェックボックスをオンにすると、管理者に [Editable groups] 内のユーザに対する

読み取りアクセスを許可します。この場合、管理者は変更を送信できません。

• このチェックボックスをオフにすると、管理者はユーザを参照できません。

表 11-3 [Add Administrator] ページと [Edit Administrator] ページ（続き）

(14)

Read access of these groups [Editable groups] のユーザに対する読み取り専用アクセスを可能にします。

[Add/Edit users in these groups] オプションをイネーブルにすると、これらのグループオプションのユーザに対する読み取りアクセスの設定よりもこのオプションが優先されます。 [Add/Edit users in these groups] オプションをオン（イネーブル）にしている場合は、この設定がイネーブルかディセーブルかは動作に影響しません。[Add/Edit users in these groups] の

設定はこの設定より優先され、管理者は [Editable groups] を編集できます。

[Add/Edit users in these groups] オプションがオフ（ディセーブル）になっている場合は、次のようになります。 • このチェックボックスをオンにすると、管理者に [Editable groups] リストに対する読み取りアクセスを許可します。この場合、管理者は変更を送信できません。 • このチェックボックスをオフにすると、管理者はグループを参照できません。 Available groups すべてのユーザグループをリストで示します。管理者は、このリストのグループへのアクセス権を持っていません。

Editable groups 管理者がアクセス権を持っているユーザグループをリストで示します。[User & Group Setup] 領域内の他のオプションにより、このリストにあるこれらのグループと関連付けられたユーザへの管理者アクセス権に適用される制限が決まります。 [>>] をクリックしてすべてのグループを追加するか、[<<] をクリックしてすべてのグループを削除します。[>] をクリックして 1 つのグループを追加するか、[<] をクリックして 1 つのグループを削除します。（注）このセクションのアクセス設定は、外部認証者のグループマッピングに適用されません。

Shared Profile Components

Network Access Restriction

Sets Network Access Restriction Sets

機能にフルアクセスできるようにします。 Network Access Filtering

Sets Network Access Filtering Sets

機能にフルアクセスできるようにします。 Downloadable ACLs Downloadable PIX ACLs 機能にフルアクセスできるようにします。 RADIUS Authorization

Components RADIUS Authorization Componentできるようにします。（RAC; RADIUS 認可コンポーネント）にフルアクセス Create new Device

Command Set Type

新規デバイスコマンドセットタイプを追加するための有効なクレデンシャルとして、他の

Cisco アプリケーションでこの管理者アカウントを使用できます。この特権を使用して ACS

に追加した新規デバイスコマンドセットタイプは、Web インターフェイスの [Shared Profile

Components] セクションに表示されます。 Shell Command

Authorization Sets Shell Command Authorization Sets 機能にフルアクセスできるようにします。 PIX/ASA Command

Authorization Sets PIX/ASA Command Authorization Sets

機能にフルアクセスできるようにします。

（注）たとえば、CiscoWorks などの Cisco ネットワーク管理アプリケーションによって

ACS の設定がアップデートされた場合は、追加のコマンド認可セット特権オプショ

ンが表示されることがあります。

Network Configuration _Webインターフェイスの [Network Configuration] セクションにある機能にフルアクセスでき

るようにします。

System Configuration Web インターフェイスの [System Configuration] セクションにある機能の特権オプションが

含まれています。それぞれの機能でオプションをイネーブルにすると、その機能にフルアク

(15)

Service Control サービスログファイルの設定へのアクセス、および ACS サービスの停止と再起動ができるようにします。

Date/Time Format Control 日付形式の制御にアクセスできるようにします。

Logging Control [Logging Configuration] ページに関連付けられたレポートオプションにアクセスできるようにします。[Logging Configuration] ページにアクセスするには、[System Configuration] を

クリックしてから [Logging] をクリックします。 Administration Audit Configuration この管理者が Administration Audit レポート設定を変更できるようにします。 Password Change Configuration この管理者が Password Change レポート設定を変更できるようします。 Password Validation ユーザパスワードの確認パラメータにアクセスできるようにします。 DB Replication ACS 内部データベース複製にアクセスできるようにします。 RDBMS Synchronization RDBMS 同期化にアクセスできるようにします。 IP Pool Address Recovery IP プールアドレス復旧にアクセスできるようにします。 IP Pool Server Configuration IP プールの設定にアクセスできるようにします。 ACS Backup ACS バックアップにアクセスできるようにします。 ACS Restore ACS 復元にアクセスできるようにします。

ACS Service Management システムモニタリングとイベントロギングにアクセスできるようにします。 VoIP Accounting

Configuration VoIP

アカウンティング設定にアクセスできるようにします。 ACS Certificate Setup ACS 証明書のセットアップにアクセスできるようにします。

Global Authentication Setup グローバル認証セットアップの特権を与えます。[EAP-FAST Files Generation] 設定ページにアクセスする必要があるすべての管理者は、Global Authentication Setup 特権をイネーブルにしておく必要があります。

EAP-FAST PAC Files Generation

（ACS SE）

EAP-FAST 認証で使用する PAC ファイルの生成をイネーブルにします。

NAC Attributes management （ACS SE）

Network Admission Control（NAC; ネットワークアドミッションコントロール）アトリビュート管理にアクセスできるようにします。 Appliance Configuration （ACS SE）アプライアンスの設定にアクセスできるようにします。 Support Operations （ACS SE）サポート操作にアクセスできるようにします。

View Diagnostic Logs

（ACS SE）

診断ログにアクセスできるようにします。

Appliance Upgrade Status

（ACS SE）

アプライアンスのアップグレードステータスレポートにアクセスできるようにします。

Interface Configuration Web インターフェイスの [Interface Configuration] セクションにある機能にフルアクセスで

きるようにします。

Administration Control Web インターフェイスの [Administration Control] セクションにある機能にフルアクセスでき

(16)

External User Databases Web インターフェイスの [External User Database] セクションにある機能にフルアクセスでき

るようにします。

Posture Validation ネットワークアドミッションコントロール（NAC）設定にアクセスできるようにします。

Network Access Profiles NAP を使用したサービスベースのポリシー設定にアクセスできるようにします。

Reports & Activity これらのログにアクセスするには、ナビゲーションバーの [Reports and Activities] ボタンを

クリックします。

TACACS+ Accounting TACACS+ セッション情報を記録した TACACS+ Accounting ログにアクセスできるようにします。

TACACS+ Administration 設定コマンドをリストで示す TACACS+ Administration ログにアクセスできるようにします。 RADIUS Accounting RADIUS セッション情報を記録した RADIUS Accounting ログにアクセスできるようにします。 VoIP Accounting VoIP セッション情報を記録した VoIP Accounting ログにアクセスできるようにします。 Passed Authentications 成功した認証要求をリストで示す Passed Authentication ログにアクセスできるようにします。 Failed Attempts 認証および認可の失敗をリストで示す Failed Attempts ログにアクセスできるようにします。 Logged-In Users AAA クライアントからサービスを受けるすべてのユーザをリストで示す Logged-in Users ロ

グにアクセスできるようにします。

Purge of Logged-in Users ユーザがログイン中と表示されているが、AAA クライアントへの接続が失われていて、実際

にはユーザがログインしていない場合は、[Purge] をクリックしてそのセッションのアクティ

ビティを終了します。このリストからユーザを削除しても、ユーザは AAA クライアントか

らログオフされませんが、アカウンティングのセッションレコードは終了します。このリス

トを印刷するには、右側のウィンドウの一部を右クリックし、ブラウザからウィンドウを印刷します。

Disabled Accounts 無効になったユーザアカウントすべてをリストで示す Disabled Accounts ログにアクセスできるようにします。

ACS Backup and Restore バックアップと復元のアクティビティをリストで示す ACS Backup and Restore ログにアクセスできるようにします。

DB Replication データベースの複製アクティビティをリストで示す Database Replication ログにアクセスできるようにします。

RDBMS Synchronization RDBMS 同期化アクティビティをリストで示す RDBMS Synchronization ログにアクセスできるようにします。

Administration Audit システム管理者のアクションをリストで示す Administration Audit ログにアクセスできるようにします。

ACS Service Monitor ACS サービスの開始と停止をリストで示す ACS Service Monitoring ログにアクセスできるようにします。

User Change Password ユーザが開始したパスワード変更をリストで示す User Password Changes ログにアクセスできるようにします。 Entitlement Reports ユーザおよび管理者のエンタイトルメントレポートにアクセスできるようにします。 Appliance Status （ACS SE）リソースの利用率を記録する Appliance Status ログにアクセスできるようにします。 Appliance Administration Audit （ACS SE）

シリアルコンソールでのアクティビティをリストで示す Appliance Administration Audit ログにアクセスできるようにします。

(17)

第11 章管理者と管理ポリシー [Administration Control] ページのリファレンス 関連項目 • 「サービス制御」（P.7-1） • 「日付形式と時刻形式の制御」（P.7-4） • 「ローカルパスワードの管理」（P.7-5） • 「ACS バックアップ」（P.7-9） • 「ACS システムの復元」（P.7-16） • 「ACS アクティブサービス管理」（P.7-20）

• 「Voice Over IP（VoIP）アカウンティングの設定」（P.7-23） • 「アプライアンスの設定（ACS SE のみ）」（P.7-24） • 「[Support] ページ」（P.7-27） • 「診断ログの表示またはダウンロード（ACS SE のみ）」（P.7-29） • 「ACS 内部データベースの複製」（P.8-1） • 「RDBMS 同期化」（P.8-17） • 「IP プールサーバ」（P.8-40） • 「IP プールアドレスの復旧」（P.8-45） • 「[Global Authentication Setup]」（P.9-22） • 「ACS 証明書のセットアップ」（P.9-24）

• 「[NAC Attribute Management]（ACS SE のみ）」（P.8-46） • 「アプライアンスの設定（ACS SE のみ）」（P.7-24） • 「ACS ログとレポートについて」（P.10-1）

• 「パスワードの失効とアカウントのロックアウト」（P.11-3） • 「アカウントの追加、編集、および削除」（P.11-6）

[Administrator Password Policy]

ページ

[Administrator Password Policy] ページを使用して、パスワード確認、ライフタイム、非アクティビ

ティ、および不正な試行のオプションを設定します。パスワードポリシーを設定しない場合は、いず

れの管理者もログイン、管理者の作成、および特権の割り当てを行うことができます。

このページを開くには、[Administration Control] をクリックしてから、[Password Policy] をクリックします。 ACS は、次の場合にエラーを返します。 • 指定が範囲外になっている。 • ユーザがこのページの基準を満たさない。表 11-4に、次のオプションの説明を示します。 • 「Password Validation オプション」（P.11-18） • 「Password Lifetime オプション」（P.11-18） • 「Password Inactivity オプション」（P.11-18）

(18)

表 11-4 [Administrator Password Policy] ページ

Password Validation オプション

Password may not contain the username このオプションがイネーブルになって場合は、パスワードにユーザ名や逆ユーザ名を含めることはできません。

Minimum length n characters n は、最小パスワード長を指定します（デフォルトは 4、範囲は 4 ～ 20 です）。

Password must contain: 複雑なパスワードを強制するには、このオプションを使用します。 upper case alphabetic characters このオプションがイネーブルになっている場合は、パスワードに大文字

の英文字を含める必要があります。

lower case alphabetic characters このオプションがイネーブルになっている場合は、パスワードに小文字の英文字を含める必要があります。

numeric characters このオプションがイネーブルになっている場合は、パスワードに数字を含める必要があります。

non alphanumeric characters このオプションがイネーブルになっている場合は、パスワードに非英数

字を含める必要があります（たとえば、@）。

Password must be different from the previous n versions

このオプションがイネーブルになっている場合は、n 回前までのパスワー

ドと異なるパスワードを使用する必要があります（デフォルト値は 1、範

囲は 1 ～ 99）。

Password Lifetime オプション

Following a change of password: このオプションを使用して、管理者パスワードのライフタイムに制限を

設定します。値 n は、パスワードが最後に変更されてからの経過日数を

表します。

The password will require change after n days [Following a change of password] がイネーブルになっている場合、n は、

パスワードエージングにより ACS がパスワードの変更を要求するまで

の日数を示します（デフォルトは 30）。範囲は 1 ～ 365 です。オン（イ

ネーブル）にした場合、[The Administrator will be locked after n days] オプションを設定すると、ACS は 2 つの Password Lifetime オプションを比較して大きいほうの値を選択します。

The Administrator will be locked out after n

days [Following a change of password]

がイネーブルになっている場合、n は、

関連付けられた管理者アカウントをパスワードエージングにより ACS

がロックアウトするまでの日数を示します（デフォルトは 60、範囲は 1

～ 365）。

Password Inactivity オプション

Following last account activity: これらのオプションを使用して、非アクティブな管理者アカウントの使

用に制限を設けます。値 n は、アクティビティ（管理者ログイン）から

の経過日数を表します。

The password will require change after n days [Following the last account activity] がイネーブルになっている場合、n

は、パスワードが非アクティブであるために ACS がパスワードの変更

を要求するまでの日数を示します（デフォルトは 30）。範囲は 1 ～ 365

です。オン（イネーブル）にした場合、[The Administrator will be locked after n days] オプションを設定すると、ACS は 2 つの Password Inactivity オプションを比較して大きいほうの値を選択します。

（注）セキュリティを高めるため、ACS は非アクティブなパスワード

(19)

[Access Policy Setup]

ページ

[Access Policy Setup] ページを使用して、IP アドレスと範囲でのアクセスの設定、HTTP アクセスの設定、および Secure Sockets Layer（SSL）のセットアップを行います。

[Access Policy Setup] ページを開くには、[Administration Control] をクリックしてから、[Access Policy] をクリックします。

表 11-5に、次のオプションの説明を示します。

• 「Message of the Day」（P.11-19） • 「IP Address Filtering」（P.11-20） • 「IP Address Ranges」（P.11-20） • 「HTTP Configuration」（P.11-20） • 「Secure Socket Layer Setup」（P.11-21）

The Administrator will be locked out after n days

[Following the last account activity] がイネーブルになっている場合、n

は、関連付けられた管理者アカウントをパスワードが非アクティブであるために ACS がロックアウトするまでの日数を示します（デフォルトは 60、範囲は 1 ～ 365）。

（注）セキュリティを高めるため、ACS は非アクティブなアカウント

の制限値に近づいているユーザに警告しません。

Incorrect Password Attempt オプション

Lock out Administrator after n successive failed attempts このオプションがイネーブルになっている場合、n は、不正なパスワード試行の許容回数を示します。オンになっている場合、n を 0 に設定することはできません。このオプションがディセーブル（オフ）になっている場合、ACS はログイン試行の失敗を何度でも許可します（デフォルトは 3、範囲は 1 ～ 98）。（注）セキュリティを高めるため、ACS は試行の失敗回数の上限に近づいているユーザに警告しません。特定の管理者の [Account Never Expires] オプションをイネーブルにすると、このオプションは無視されます。

表 11-4 [Administrator Password Policy] ページ（続き）

表 11-5 Access Policy オプション

Message of the Day

ログインページに表示するテキストを入

力します。

ACS アプリケーションへのロギング時に表示される Message Of The Day

（MOTD）バナーを入力できます。

（注） MOTD には、最大で 512 文字まで入力できます。二重引用符（"）などの HTML 固有の文字は使用できません。

Show MOTD in the Home page ACS のホームページにも MOTD バナーを表示する場合に、このチェックボックスをオンにします。

(20)

IP Address Filtering

Allow all IP addresses to connect 任意の IP アドレスから Web インターフェイスにリモートアクセスができるようにします。

Allow only listed IP addresses to connect Web インターフェイスにリモートアクセスができる IP アドレスを、指定した

IP アドレス範囲内に制限します。

Reject connections from listed IP

addresses Web インターフェイスにリモートアクセスができる IP アドレスを、指定した IP アドレス範囲外に制限します。 IP フィルタリングは、リモート管理者の Web ブラウザから HTTP 要求で受信した IP アドレスで動作します。ブラウザが HTTP プロキシサーバを使用するように設定されている場合、または、ブラウザがネットワークアドレス変換を実行するネットワークデバイスの背後のワークステーションで実行されている場合、HTTP プロキシサーバまたは NAT デバイスの IP アドレスにだけ IP フィルタリングが適用されます。

IP Address Ranges _{[IP Address Ranges]}テーブルには、IP アドレス範囲を設定するための 10 行が

用意されています。範囲には、最初と最後の値が常に含まれます。つまり、開始 IP アドレスと終了 IP アドレスは範囲に含まれます。ドット付き 10 進形式を使用します。範囲を定義する IP アドレスは、最後のオクテットだけが異なる形式（Class C 形式）でなければなりません。 Start IP Address 指定した範囲内の最下位 IP アドレスを定義します（最大 16 文字）。 End IP Address 指定した範囲内の最上位 IP アドレスを定義します（最大 16 文字）。 HTTP Configuration HTTP Port Allocation

Allow any TCP ports to be used for

Administration HTTP Access Web

インターフェイスへのリモートアクセスで、ACS が任意の有効な TCP

ポートを使用できるようにします。 Restrict Administration Sessions to the

following port range From Port n to Port n Web

インターフェイスへのリモートアクセスで ACS が使用できるポートを制限します。ボックスを使用してポート範囲（ボックスあたり最大 5 桁）を指定します。範囲には、常に下限値と上限値が含まれます。つまり、開始ポート番号と終了ポート番号も範囲に含まれることになります。指定された範囲のサイズによって、同時管理セッションの最大数が決まります。 ACS は、ポート 2002 を使用して、すべての管理セッションを開始します。ポート 2002 は、ポート範囲に入れる必要がありません。また、ACS では、ポート 2002 だけで構成される HTTP ポート範囲は定義できません。ポート範囲は、2002 以外の少なくとも 1 つのポートで構成する必要があります。ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスするポートであるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。ファイアウォールの外部からの ACS の管理を許可することは推奨しません。ファイアウォールの外部からの Web インターフェイスへのアクセスが必要な場合は、HTTP ポート範囲をできる限り狭くしてください。範囲を狭くすることで、不正なユーザがアクティブな管理ポートを偶然に発見するのを防ぐことができます。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なホストの IP アドレスになりすます（スプーフィング）ことがあります。表 11-5 Access Policy オプション（続き）オプション説明

(21)

[Session Policy Setup]

ページ

[Session Policy Setup] ページを使用して、タイムアウト、自動ローカルログイン（ACS for Windows

のみ）、および無効な IP アドレス接続に対する応答を含むセッションアトリビュートを設定します。

このページを開くには、[Administration Control] をクリックしてから、[Session Policy] をクリックします。

表 11-6に、セッション設定オプションの説明を示します。

Secure Socket Layer Setup

Use HTTPS Transport for Administration

Access CSAdmin

サービスと Web インターフェイスにアクセスする Web ブラウザとの

間で、ACS が Secure Socket Layer（SSL）プロトコルを使用して HTTP トラフィックを暗号化できるようにします。このオプションを使用すると、ブラウザと ACS の間の HTTP トラフィックの暗号化ができるようになり、HTTPS で始まる URL の表示に設定が反映されます。ほとんどのブラウザには、SSL 暗号化接続のインジケータが用意されています。

SSL をイネーブルにするには、まずサーバ証明書と認証局証明書をインストー

ルします。[System Configuration] > [ACS Certificate Setup] を選択して、イン

ストールプロセスにアクセスします。SSL をイネーブルにすると、ACS は、次の管理者ログイン時に HTTPS の使用を開始します。現在の管理セッションは影響を受けません。証明書が存在しない場合、ACS はエラーを表示します。表 11-5 Access Policy オプション（続き）オプション説明表 11-6 セッションポリシーオプション説明 Session Configuration

Session idle timeout (minutes) ACS が接続を終了するまでに、管理セッションのアイドル状態を維持

する必要がある時間（分数）を指定します（最大 4 桁、5 ～ 1439）。管理セッションが終了すると、ACS により、管理者に続行するかどうかを尋ねるダイアログボックスが表示されます。管理者が続行を希望すると、ACS によって新しい管理セッションが開始されます。このパラメータは、ブラウザでの ACS 管理セッションにだけ適用されます。管理ダイヤルアップセッションには適用されません。

(22)

Allow Automatic Local Login（ACS for Windows） ACS を実行しているコンピュータのブラウザを使用している場合は、ログインしなくても管理者が管理セッションを開始できるようにします。ACS は、local_login というデフォルトの管理者アカウントを使用して、これらのセッションを実行します。オフ（ディセーブル）の場合は、管理者が管理者名とパスワードを使用してログインする必要があります。（注）定義済み管理者アカウントがない場合の予期せぬロックアウトを防止するため、ACS は、ACS へのローカルアクセスの際に管理者名とパスワードを要求しません。

local_login 管理者アカウントには、Administration Control 特権が必要です。ACS は、local_login アカウントを使用する管理セッションを、 local_login 管理者名の下の Administrative Audit レポートに記録します。 Respond to invalid IP address connections Access Policy で無効として設定された IP アドレス範囲を使用して、リ

モート管理セッションを開始しようとした場合に、ACS がエラーメッセージを送信できるようにします。このチェックボックスをオフにすると、ACS は、無効なリモート接続が試行されてもエラーメッセージを表示しません（デフォルトはイネーブルです）。このオプションをディセーブルにすると、不正なユーザによる ACS の検出を防ぐことができます。表 11-6 セッションポリシー（続き）オプション説明