管理者と管理ポリシー

Transcription

1 CHAPTER 11 この章では Cisco Secure Access Control Server リリース 4.2( 以降は ACS と表記 ) の [Administration Control] セクションにある機能についてします この章は 次の項で構成されています 管理者アカウント (P.11-1) ログイン (P.11-5) アカウントの追加 編集 および削除 (P.11-6) ポリシーの設定 (P.11-8) (P.11-10) 管理者アカウント ACS Web インターフェイスにアクセスできるのは 管理者アカウントのユーザだけです ここでは 次の項目についてします 管理者アカウントについて (P.11-1) 特権 (P.11-2) グループアクセス特権 (P.11-3) パスワードの失効とアカウントのロックアウト (P.11-3) 適合認定のサポート (P.11-4) 管理者アカウントについて [Administration Control] ページにあるリンクにより 個々の管理者または管理者グループの名前 パスワード および特権を確立するページに移動できます ACS の管理者アカウントには 次のような特徴があります ACS に固有であり Windows の管理者アカウント ACS TACACS+ アカウント または他の ACS ユーザアカウントなど それ以外のアカウントと関連はありません 外部 ACS ユーザとの関連はありません ACS は ACS 管理者アカウントを別個の内部データベースに保存します 11-1

2 管理者アカウント 特権 各管理者に与えられる特権により Web インターフェイスへのアクセス権が決まります デフォルトでは 新しい管理者にはいずれの特権も与えられていません Administration Control 特権 Administration Control 特権を持っている管理者は [Administration Control] ページのすべてのエリアにアクセスできます これらの管理者は [Administration Control] ページにより 管理者を管理したり 管理アクセスポリシーを制御するページにアクセスしたりできます 限定された管理者が自分のパスワードを更新できます 図 11-1(P.11-2) に Administration Control 特権によって与えられるアクセス権を示します 図 11-1 Administration Control 特権 管理者または管理者グループに与えることができる特権には 次のような例があります 共有プロファイルコンポーネント ネットワーク システム およびインターフェイスの設定 管理制御 外部ユーザデータベース ポスチャ確認 Network Access Profile(NAP; ネットワークアクセスプロファイル ) レポートおよびアクティビティたとえば Administration Control 特権を持つ管理者が ネットワーク管理の役割も持っている管理者が使用できるように Web インターフェイスの [Network Configuration] セクションへのアクセス権を設定するとします この場合は Network Configuration 特権だけをオンにして該当する管理者アカウントに与えます 一方 管理者または管理者グループにすべての特権が与えられるように設定することもできます この場合は [Grant All (privileges)] をクリックします Web インターフェイスには 管理者に与えるアクセス権の種類を制御するフィルタ機能も用意されています たとえば ユーザのグループに対して読み取り専用アクセス権を持つ管理者を設定したり または同じグループに対する追加および編集アクセス権を与えたりすることができます ( 注 ) 管理者に与えられる特権のレポートを生成する場合の詳細については 第 10 章 ログとレポート を参照してください 11-2

3 管理者アカウント ポリシーの影響 [Administration Control] ページには アクセスポリシー セッションポリシー およびパスワードポリシーの設定ページへのリンクもあります これらのポリシーは すべてのアカウントログインに影響を与えます ポリシーには 次の設定があります [Access Policy]:IP アドレスの制限 HTTP ポートの制限 および Secure Socket Layer(SSL) のセットアップ [Session Policy]: タイムアウト 自動ローカルログイン および無効な IP アドレス接続への応答 [Password Policy]: パスワード確認 ライフタイム 非アクティビティ および不正な試行 グループアクセス特権 ACS には グループまたはグループ内のユーザに対する管理者のアクセス権の種類を決定するがあります これらのをイネーブルにすると アクセス可能なグループすべてに関して 次の特権が管理者に与えられます ユーザページの追加または編集 グループページの編集 ユーザページへの読み取りアクセス グループページへの読み取りアクセス表 11-1 は これらのを選択した場合の相互動作のを示します 表 11-1 グループアクセス 追加および編集アクセス 読み取りアクセス 結果 なし なし 管理者は [Editable groups] 内のユーザを表示できない なし あり 管理者は [Editable groups] 内のユーザを表示できるが [Submit] は使用できない ありあり なしあり どちらの場合にもフルアクセス権が与えられる このをイネーブルにすると [Add/Edit Users in these groups] の設定が読み取りアクセスより優先されます パスワードの失効とアカウントのロックアウト ログインが正常に行われると 管理者の画面には ACS Web インターフェイスのメインページが表示されます ただし すべてのログインは 有効期限 アカウントのロックアウト およびパスワード設定などの [Administration Contorl] ページで設定した制限事項の対象となります パスワードのライフタイムとパスワードの非アクティビティに設定する制限により パスワードの変更またはアカウントのロックアウトを強制できます また 失敗した試行に設定する制限によってパスワードの変更を強制することもできます 特権を持つ管理者は 手動でアカウントをロックできます アカウントのロックアウトの場合は 特権を持つ管理者がそのアカウントをロック解除する必要があります ACS には [Account Never Expires] があり 自動アカウントロックアウトとパスワード設定をグローバルに無効にできます 特定の管理者の [Account Never Expires] をイネーブルにすると 管理者をロックアウトするすべてのが無視されます アカウントがロックアウトされた場合は ACS に [Login Process Fail] ページが表示されます の種類に応じて 次のようなパスワード変更用のページが ACS に表示されます 11-3

4 管理者アカウント ログインを試みると パスワード更新のページが表示されます Administration Control 特権を持っていない場合には ナビゲーションバーで [Administration Control] ボタンをクリックすると [Change Password] ページが表示されます [Change Password] ページには パスワード基準のリストが表示されます 図 11-2(P.11-4) に ログイン時のプロセスフローを示します 図 11-2 ログインプロセスフロー 1 管理者の試行回数が Incorrect Password Attempt 制限に達すると ACS はその管理者アカウントをロックします この時点で 正常にログインできなくなります ただし [Account Never Expires] が設定されている場合には アカウントをロックアウトできません 2 管理者は正常にログインしました したがって ACS は パスワードが誤って使用されただけであれば Incorrect Password Attempt 制限を超過していても 管理者に再試行を許可します 適合認定のサポート ACS には 適合認定をサポートできるがあります たとえば Administration Control 特権を持つ管理者は Administration Control 特権を他の管理者に与えるかどうかを決定できます この特権を持っていない管理者は 管理者の詳細設定にアクセスできません 11-4

5 ログイン 管理者によるすべてのログイン試行は [Account Never Expires] をオンにしていない限り パスワードおよびアカウントに設定したポリシーに従って処理されます たとえば ACS では パスワードのライフタイム アクティビティ および間違ったパスワード試行に対して制限を設けることができます これらのにより パスワードを強制的に変更させたり アカウントを自動的にロックアウトしたりすることができます 特権を持つ管理者は アカウントをロックアウトすることも可能です また 最後のパスワード変更と最後のアカウントアクティビティを管理者ごとにモニタリングできます さらに レポートへのアクセス権を制限できます たとえば Administration Audit レポート設定を変更する管理者の権限をイネーブルまたはディセーブルにすることができます ユーザグループへの管理者アクセス権を設定することもできます グループのセットアップやユーザの追加または編集を許可する対象の管理者を選択できます ACS では ユーザおよびグループに対する管理者の読み取りアクセスを設定することも可能です ログイン ACS のログインページは Web インターフェイスへのアクセスポイントです パスワードの有効期限が切れたり ポリシーの変更によってパスワードが影響を受けたりすると ログイン時に ACS によってパスワードの変更を強制されます ロックアウトされた場合は Administration Control 特権を持っている管理者に連絡してください ( 注 ) 管理者は ログインして ACS サービスを管理するために Windows ドメイン管理者アカウントを持っている必要があります ただし Windows ドメイン管理者は ACS にログインできません ACS にログインできるのは 有効な ACS アカウントを持っている管理者だけです 詳細については Installation Guide for Cisco Secure ACS for Windows Release 4.2 または Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 を参照してください ACS for Windows クライアントからログインするには 管理者アカウントを持っている必要があります ただし セッションポリシーには [Allow automatic local login] が含まれています このがイネーブルの場合 ACS を実行しているサーバのログインページをバイパスできます このは 予期しないロックアウトの場合に使用できます 自動ローカルログインの詳細については セッションポリシーの設定 (P.11-9) を参照してください ACS Solution Engine(SE) ブラウザから ACS Web インターフェイスにアクセスするには 管理者アカウントを使用して ACS にログインします 最初にログインする管理者は Command Line Interface(CLI; コマンドラインインターフェイス ) で Add ACS Admin コマンドを使用し 最初のアカウントの管理者名とパスワードを作成する必要があります CLI の詳細については Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 の Administering Cisco Secure ACS Solution Engine の章を参照してください ACS によってすべての管理者がロックアウトされた場合は CLI の Unlock <administrator name> コマンドを使用します このコマンドは Administration Control 特権を持つ管理者だけが使用できます CLI の詳細については Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 の Administering Cisco Secure ACS Solution Engine の章を参照してください 11-5

6 アカウントの追加 編集 および削除 ログインするには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ACS を起動するには Cisco Secure ACS プログラムグループの [ACS Admin] ボタンをクリックします Cisco Secure ACS のログインページが表示されます [Username] と [Password] のフィールドに値を入力します [Login] ボタンをクリックします Cisco Secure ACS のメインページが表示されます アカウントの追加 編集 および削除 Administration Control 特権を持つ管理者は 管理者アカウントを追加 編集 および削除できます ここでは 次の項目についてします アカウントの追加または編集 アカウントの削除 アカウントの追加または編集 管理者アカウントを追加または編集するには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ナビゲーションバーの [Administration Control] をクリックします 現在のアカウントが Administration Control 特権を持っている場合は [Administration Control] ページが表示されます 持っていない場合は [Change Password] ページが表示されます [Add Administrator] をクリックして [Add Administrator] ページを表示します または 編集対象の管理者アカウントの名前をクリックして [Edit Administrator administrator_name] ページを表示します [Administrator Name] [Password] および [Password Confirmation] の各フィールドに 新しいアカウントを入力します 必要に応じて 既存アカウントの [Password] フィールドと [Password Confirmation] フィールドの値を変更します これらのフィールドの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください この管理者のアカウントが失効しないようにするには [Account Never Expires] をオンにします 詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください このアカウントをロックするには [Account Locked] チェックボックスをオンにします [Account Locked] チェックボックスをオンにした場合は ボックスをオフにするとアカウントがロック解除されます すべての特権をグローバルに追加または削除するには [Grant All] または [Revoke All] をクリックしします これらのコマンドの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください 既存アカウントから特権を削除すると そのアカウントが無効になります [Available groups] リストボックスと [Editable groups] リストボックスの間でグループ名を移動させます 現在の管理者は 有効にしたアクセスに従って [Editable groups] リストのグループと関連ユーザにアクセスできます 11-6

7 アカウントの追加 編集 および削除 ステップ 8 ステップ 9 ステップ 10 ステップ 11 ステップ 12 ステップ 13 ステップ 14 ステップ 15 ステップ 16 ステップ 17 ステップ 18 [Editable groups] とその関連ユーザにアクセス特権を与えるには 該当するをオンにします これらのの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください Web インターフェイスの [Shared Profile Components] セクション内にある特定の領域へのアクセスを許可するには [Shared Profile Components] 領域で適切なをオンにします これらのの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください 共有プロファイルコンポーネントの詳細については 第 4 章 共有プロファイルコンポーネント を参照してください Web インターフェイスの [Network Configuration] セクションへのアクセスを許可するには [Network Configuration] をオンにします ネットワーク設定の詳細については 第 3 章 ネットワーク設定 を参照してください Web インターフェイスの [System Configuration] セクション内にあるページへのアクセス権を与えるには [System Configuration] 領域のをオンにします これらのの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください システム設定の詳細については 第 7 章 システム設定 : 基本 第 8 章 システム設定 : 高度 および第 10 章 ログとレポート を参照してください Web インターフェイスの [Interface Configuration] セクションへのアクセスを許可するには [Interface Configuration] をオンにします インターフェイスの設定の詳細については 第 2 章 Web インターフェイスの使用方法 を参照してください Web インターフェイスの [Administration Control] セクションへのアクセスを許可するには [Administration Control] をオンにします Web インターフェイスの [External User Databases] セクションへのアクセスを許可するには [External User Databases] をオンにします 外部ユーザデータベースの詳細については 第 12 章 ユーザデータベース を参照してください Web インターフェイスの [Posture Validation] セクションへのアクセスを許可するには [Posture Validation] をオンにします ポスチャ確認の詳細については 第 13 章 ポスチャ確認 を参照してください Web インターフェイスの [Network Access Profiles] セクションへのアクセスを許可するには [Network Access Profiles] をオンにします ネットワークアクセスプロファイルの詳細については 第 14 章 ネットワークアクセスプロファイル を参照してください Web インターフェイスの [Reports and Activities] セクション内にあるページへのアクセス権を与えるには [Reports and Activities] 領域のをオンにします これらのの詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください レポートについては 第 10 章 ログとレポート を参照してください [Submit] をクリックします ACS によって新しい管理者アカウントが保存されます 新しいアカウントは [Administration Control] ページの管理者アカウントのリストに表示されます 11-7

8 ポリシーの設定 アカウントの削除 この機能を使用して管理者アカウントを削除します アカウントを無効にするには [Revoke All] ボタンをクリックします ただし 使用しない管理者アカウントはすべて削除することを推奨します アカウントを削除するには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ナビゲーションバーの [Administration Control] をクリックします [Administration Control] ページが表示されます 削除する管理者アカウントの名前をクリックします [Edit Administrator administrator_name] ページが表示されます この administrator_name は選択した管理者アカウントの名前です [Delete] ボタンをクリックします 確認ダイアログボックスが表示されます [OK] をクリックします ACS によって 管理者アカウントが削除されます [Administration Control] ページの [Administrators] リストに 管理者アカウントが表示されなくなります ポリシーの設定 これらのページのにより アクセスポリシー セッションポリシー およびパスワードポリシーを制御します この項では 次のについて取り上げます アクセスポリシーの設定 (P.11-8) セッションポリシーの設定 (P.11-9) パスワードポリシーの設定 (P.11-10) アクセスポリシーの設定 Administration Control 特権を持つ管理者は アクセスポリシー機能を使用して 管理セッションで使用される IP アドレスと TCP ポート範囲によってアクセスを制限できます Web インターフェイスへのアクセスにおいて Secure Sockets Layer(SSL) を使用可能にすることもできます 始める前に管理者アクセスで SSL をイネーブルにする場合は ACS サーバ証明書のインストール (P.9-24) と 認証局証明書の追加 (P.9-28) の手順を実行しておく必要があります SSL をイネーブルにした後 ACS は次の管理者ログイン時に SSL の使用を開始します この変更により現在の管理者セッションが影響を受けることはありません 証明書がない場合は SSL の設定を試みるとエラーメッセージが表示されます 11-8

9 ポリシーの設定 ACS のアクセスポリシーを設定するには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ナビゲーションバーの [Administration Control] をクリックします [Administration Control] ページが表示されます [Access Policy] をクリックします [Access Policy Setup] ページが表示されます 適切な [IP Address Filtering] をクリックします これらのの詳細については [Access Policy Setup] ページ (P.11-19) を参照してください [IP Address Filtering] に従って 適切な IP アドレス範囲を入力します 該当する [HTTP Port Allocation] をオンにして 全ポートを許可するか または特定のポートへのアクセスを制限します アクセスを制限する場合は 制限されるポートの範囲を入力します これらのの詳細については [Access Policy Setup] ページ (P.11-19) を参照してください ACS で SSL を使用する場合は このをオンにします このの詳細については [Access Policy Setup] ページ (P.11-19) を参照してください [Submit] をクリックします ACS はアクセスポリシー設定を保存し 適用を開始します セッションポリシーの設定 Administration Control 特権を持つ管理者は セッションポリシーの制御機能を使用して 次の動作をイネーブルまたはディセーブルにすることができます ローカルログイン 無効な IP アドレス接続への応答 ACS のセッションポリシーを設定するには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ナビゲーションバーの [Administration Control] をクリックします [Administration Control] ページが表示されます [Session Policy] をクリックします [Session Policy Setup] ページが表示されます 適切なポリシーをクリックし 適切な情報を入力してポリシーをセットアップします これらのおよびフィールドの詳細については [Session Policy Setup] ページ (P.11-21) を参照してください [Submit] をクリックします ACS は セッションポリシー設定を保存して適用を開始します 11-9

10 パスワードポリシーの設定 [Add Administrator] ページの [Password Policy] ボタンから [Administrator Password Policy] ページにアクセスできます パスワードポリシーを設定しない場合は いずれの管理者もログイン 管理者の作成 および特権の割り当てを行うことができます [Administrator Password Policy] ページには 次の制御機能があります 複雑なパスワードを強制する ライフタイムを制限する 非アクティブなアカウントを制限する 不正なログイン試行を制限するパスワードポリシーをセットアップするには 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ナビゲーションバーの [Administration Control] をクリックします [Administration Control] ページが表示されます [Password Policy] をクリックします [Administrator Password Policy] ページが表示されます 適切なをオンにし 適切な値を入力します これらのおよびフィールドの詳細については [Administrator Password Policy] ページ (P.11-17) を参照してください [Submit] をクリックします ACS は パスワードポリシーの設定を保存し 次のログインから適用を開始します 次のトピックでは ナビゲーションバーの [Administration Control] ボタンからアクセスするページについてします [Administration Control] ページ (P.11-10) [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) [Administrator Password Policy] ページ (P.11-17) [Access Policy Setup] ページ (P.11-19) [Session Policy Setup] ページ (P.11-21) [Administration Control] ページ [Administration Control] ページは 管理者アカウントとポリシー設定を開始するときに開く最初のページです Administration Control 特権を持つ管理者だけがこのページにアクセスできます このページを開くには ナビゲーションバーで [Administration Control] ボタンをクリックします 11-10

11 表 11-2 Administration Control( 特権を持つ管理者 ) Administrators <administrator_name> Add Administrator Access Policy Session Policy Password Policy 設定されているすべての管理者の一覧を表示します [Edit Administrator <administrator_name>] ページを開きます 詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください [Add Administrator] ページを開きます 詳細については [Add Administrator] ページと [Edit Administrator] ページ (P.11-11) を参照してください [Access Policy Setup] ページを開きます このページでブラウザのネットワークアクセスを制御します 詳細については [Administrator Password Policy] ページ (P.11-17) を参照してください [Session Policy Setup] ページを開きます このページには HTTP セッションの設定の詳細が表示されます 詳細については [Session Policy Setup] ページ (P.11-21) を参照してください [Administrator Password Policy] ページを開きます 詳細については [Administrator Password Policy] ページ (P.11-17) を参照してください 関連項目 アカウントの追加または編集 (P.11-6) アカウントの削除 (P.11-8) アクセスポリシーの設定 (P.11-8) セッションポリシーの設定 (P.11-9) パスワードポリシーの設定 (P.11-10) [Add Administrator] ページと [Edit Administrator] ページ [Add Administrator] ページと [Edit Administrator] ページの領域を使用して 次の操作を行います 管理者を追加する ([Add Administrator] ページのみ ) パスワードを追加 編集 およびモニタリングする ロックアウトされたアカウントをモニタリングおよび再有効化する 特権を有効または無効にするこれらのページを開くには [Administration Control] をクリックし [Add Administrator] をクリックするか <administrator_name> をクリックして 管理者を編集します 表 11-3 に 次ののを示します Administrator Details (P.11-12) Administrative Privileges (P.11-13) User & Group Setup (P.11-13) Shared Profile Components (P.11-14) Network Configuration (P.11-14) System Configuration (P.11-14) Interface Configuration (P.11-15) Administration Control (P.11-15) 11-11

12 External User Databases (P.11-16) Posture Validation (P.11-16) Network Access Profiles (P.11-16) Reports & Activity (P.11-16) 表 11-3 [Add Administrator] ページと [Edit Administrator] ページ Administrator Details Administrator Name([Add Administrator] ページにだけ表示 ) ACS 管理者アカウントのログイン名 管理者名には 左山カッコ (<) 右山カッコ (>) およびバックスラッシュ (\) を含まない 1 ~ 32 文字を使用できます ACS 管理者名は ネットワークユーザ名と一致する必要はありません Password ACS では 事前に設定された管理者の名前変更は許可されないため [Edit Administrator] ページに管理者名は表示されません 名前を変更するには アカウントを削除し 新しい名前でアカウントを設定します アカウントを無効にするには すべての特権を無効にします パスワードは 管理者ユーザがダイヤルイン認証で使用するパスワードに一致させるか または別のパスワードにすることができます ACS は [Administrator Password Policy] ページの [Password Validation Options] セクションにあるを適用します Confirm Password Last Password Change ([Edit Administrator] ページのみ ) Last Activity([Edit Administrator] ページのみ ) Account Never Expires Account Locked パスワードは 最小長 4 文字で構成され 数字を少なくとも 1 つ含む必要があります パスワードには ユーザ名または逆ユーザ名を含めることはできません また 前の 4 つのパスワードのいずれとも一致せず ASCII 文字を使用する必要があります パスワードにエラーがあると パスワード基準が表示されます パスワードポリシーに変更があってパスワードの変更がない場合 管理者はログイン状態のままになります ACS は 次回のログインから新しいパスワードポリシーを適用します [Password] フィールドのパスワードを確認します パスワード入力にエラーがあると エラーメッセージが表示されます このページの管理者アクションまたはログイン時のパスワードの失効により パスワードが変更される変更日を表示します ( 読み取り専用 ) 有効期限ではなく 変更日を常に表示します 新しいアカウントが送信されるまでは表示されません 最後に正常にログインした日付を表示します ( 読み取り専用 ) 新しいアカウントが送信されるまでは表示されません 手動ロックアウトの場合を除いて [Administrator Password Policy] ページのロックアウトを無効にすることによりアカウントのロックアウトを防止します このため アカウントが失効することはありませんが パスワードの変更ポリシーは有効のままになります デフォルトではオフ ( 無効 ) です [Password Policy] ページのロックアウトによってロックアウトされた管理者がログインできないようにします このをオフ ( ディセーブル ) にすると ロックアウトされた管理者がロック解除されます Administration Control 特権を持つ管理者は このを使用して 手動でアカウントをロックアウトしたり ロックされたアカウントをリセットしたりできます システムには ロックアウトの理由をしたメッセージが表示されます 管理者がアカウントをロック解除すると ACS は [Last Password Change] フィールドと [Last Activity] フィールドの値を管理者がアカウントをロック解除する日付にリセットします ロックされたアカウントをリセットしても 失敗した試行のロックアウトおよびロック解除のメカニズムの設定に影響はありません 11-12

13 表 11-3 [Add Administrator] ページと [Edit Administrator] ページ ( 続き ) Administrative Privileges Grant All Revoke All User & Group Setup Add/Edit users in these groups Setup of these groups Read access to users in these groups Web インターフェイスの [User Setup] セクションと [Group Setup] セクションの特権を含みます デフォルトでは リモート管理者に特権は与えられていません すべての特権を有効にします ACS は すべてのユーザグループを [Editable Groups] リストに移動します 特権を持つ管理者は 個別に特権を割り当てることにより それぞれの ACS 管理者に特権を与えることもできます どちらの場合でも 管理者は [Grant All] によって有効になったを個別に無効にすることができます デフォルトでは 新しい管理者アカウントのすべての特権が制限されます すべての特権をクリア ( 制限 ) します ACS は [Editable Groups] リストからすべてのユーザグループを削除します 既存アカウントのすべての特権を削除すると そのアカウントは実質的に無効になります 管理者は [Revoke All] によって無効になったを個別に有効にすることができます また すべての特権を無効にすることによってアカウントを無効にすることもできます 管理者は ユーザを追加または編集し [Editable groups] リストにあるグループにユーザを割り当てることができます このをイネーブルにすると これらのグループのユーザに対する読み取りアクセスの設定よりもこの設定が優先されます 管理者は [Editable groups] リストにあるグループの設定を編集できます このをイネーブルにすると これらのグループの読み取りアクセスの設定よりもこの設定が優先されます [Editable groups] のユーザに対する読み取り専用アクセスを可能にします [Add/Edit users in these groups] をイネーブルにすると これらのグループのユーザに対する読み取りアクセスの設定よりもこのが優先されます [Add/Edit users in these groups] をオン ( イネーブル ) にしている場合は この設定がイネーブルかディセーブルかは動作に影響しません [Add/Edit users in these groups] の設定はこの設定より優先され 管理者は [Editable groups] 内のすべてのユーザを編集できます [Add/Edit users in these groups] がオフ ( ディセーブル ) になっている場合は 次のようになります このチェックボックスをオンにすると 管理者に [Editable groups] 内のユーザに対する読み取りアクセスを許可します この場合 管理者は変更を送信できません このチェックボックスをオフにすると 管理者はユーザを参照できません 11-13

14 表 11-3 [Add Administrator] ページと [Edit Administrator] ページ ( 続き ) Read access of these groups [Editable groups] のユーザに対する読み取り専用アクセスを可能にします [Add/Edit users in these groups] をイネーブルにすると これらのグループのユーザに対する読み取りアクセスの設定よりもこのが優先されます [Add/Edit users in these groups] をオン ( イネーブル ) にしている場合は この設定がイネーブルかディセーブルかは動作に影響しません [Add/Edit users in these groups] の設定はこの設定より優先され 管理者は [Editable groups] を編集できます [Add/Edit users in these groups] がオフ ( ディセーブル ) になっている場合は 次のようになります このチェックボックスをオンにすると 管理者に [Editable groups] リストに対する読み取りアクセスを許可します この場合 管理者は変更を送信できません Available groups Editable groups このチェックボックスをオフにすると 管理者はグループを参照できません すべてのユーザグループをリストで示します 管理者は このリストのグループへのアクセス権を持っていません 管理者がアクセス権を持っているユーザグループをリストで示します [User & Group Setup] 領域内の他のにより このリストにあるこれらのグループと関連付けられたユーザへの管理者アクセス権に適用される制限が決まります Shared Profile Components Network Access Restriction Sets Network Access Filtering Sets Downloadable ACLs RADIUS Authorization Components Create new Device Command Set Type Shell Command Authorization Sets PIX/ASA Command Authorization Sets Network Configuration System Configuration [>>] をクリックしてすべてのグループを追加するか [<<] をクリックしてすべてのグループを削除します [>] をクリックして 1 つのグループを追加するか [<] をクリックして 1 つのグループを削除します ( 注 ) このセクションのアクセス設定は 外部認証者のグループマッピングに適用されません Network Access Restriction Sets 機能にフルアクセスできるようにします Network Access Filtering Sets 機能にフルアクセスできるようにします Downloadable PIX ACLs 機能にフルアクセスできるようにします RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント ) にフルアクセスできるようにします 新規デバイスコマンドセットタイプを追加するための有効なクレデンシャルとして 他の Cisco アプリケーションでこの管理者アカウントを使用できます この特権を使用して ACS に追加した新規デバイスコマンドセットタイプは Web インターフェイスの [Shared Profile Components] セクションに表示されます Shell Command Authorization Sets 機能にフルアクセスできるようにします PIX/ASA Command Authorization Sets 機能にフルアクセスできるようにします ( 注 ) たとえば CiscoWorks などの Cisco ネットワーク管理アプリケーションによって ACS の設定がアップデートされた場合は 追加のコマンド認可セット特権が表示されることがあります Web インターフェイスの [Network Configuration] セクションにある機能にフルアクセスできるようにします Web インターフェイスの [System Configuration] セクションにある機能の特権が含まれています それぞれの機能でをイネーブルにすると その機能にフルアクセスできるようになります 11-14

15 表 11-3 [Add Administrator] ページと [Edit Administrator] ページ ( 続き ) Service Control Date/Time Format Control Logging Control Administration Audit Configuration Password Change Configuration Password Validation DB Replication RDBMS Synchronization IP Pool Address Recovery サービスログファイルの設定へのアクセス および ACS サービスの停止と再起動ができるようにします 日付形式の制御にアクセスできるようにします [Logging Configuration] ページに関連付けられたレポートにアクセスできるようにします [Logging Configuration] ページにアクセスするには [System Configuration] をクリックしてから [Logging] をクリックします この管理者が Administration Audit レポート設定を変更できるようにします この管理者が Password Change レポート設定を変更できるようします ユーザパスワードの確認パラメータにアクセスできるようにします ACS 内部データベース複製にアクセスできるようにします RDBMS 同期化にアクセスできるようにします IP プールアドレス復旧にアクセスできるようにします IP Pool Server Configuration IP プールの設定にアクセスできるようにします ACS Backup ACS Restore ACS Service Management VoIP Accounting Configuration ACS Certificate Setup Global Authentication Setup EAP-FAST PAC Files Generation (ACS SE) NAC Attributes management (ACS SE) Appliance Configuration (ACS SE) Support Operations (ACS SE) View Diagnostic Logs (ACS SE) Appliance Upgrade Status (ACS SE) Interface Configuration Administration Control ACS バックアップにアクセスできるようにします ACS 復元にアクセスできるようにします システムモニタリングとイベントロギングにアクセスできるようにします VoIP アカウンティング設定にアクセスできるようにします ACS 証明書のセットアップにアクセスできるようにします グローバル認証セットアップの特権を与えます [EAP-FAST Files Generation] 設定ページにアクセスする必要があるすべての管理者は Global Authentication Setup 特権をイネーブルにしておく必要があります EAP-FAST 認証で使用する PAC ファイルの生成をイネーブルにします Network Admission Control(NAC; ネットワークアドミッションコントロール ) アトリビュート管理にアクセスできるようにします アプライアンスの設定にアクセスできるようにします サポート操作にアクセスできるようにします 診断ログにアクセスできるようにします アプライアンスのアップグレードステータスレポートにアクセスできるようにします Web インターフェイスの [Interface Configuration] セクションにある機能にフルアクセスできるようにします Web インターフェイスの [Administration Control] セクションにある機能にフルアクセスできるようにします 11-15

16 表 11-3 [Add Administrator] ページと [Edit Administrator] ページ ( 続き ) External User Databases Posture Validation Network Access Profiles Reports & Activity TACACS+ Accounting TACACS+ Administration RADIUS Accounting VoIP Accounting Passed Authentications Failed Attempts Logged-In Users Purge of Logged-in Users Disabled Accounts ACS Backup and Restore DB Replication RDBMS Synchronization Administration Audit ACS Service Monitor User Change Password Entitlement Reports Appliance Status (ACS SE) Appliance Administration Audit (ACS SE) Web インターフェイスの [External User Database] セクションにある機能にフルアクセスできるようにします ネットワークアドミッションコントロール (NAC) 設定にアクセスできるようにします NAP を使用したサービスベースのポリシー設定にアクセスできるようにします これらのログにアクセスするには ナビゲーションバーの [Reports and Activities] ボタンをクリックします TACACS+ セッション情報を記録した TACACS+ Accounting ログにアクセスできるようにします 設定コマンドをリストで示す TACACS+ Administration ログにアクセスできるようにします RADIUS セッション情報を記録した RADIUS Accounting ログにアクセスできるようにします VoIP セッション情報を記録した VoIP Accounting ログにアクセスできるようにします 成功した認証要求をリストで示す Passed Authentication ログにアクセスできるようにします 認証および認可の失敗をリストで示す Failed Attempts ログにアクセスできるようにします AAA クライアントからサービスを受けるすべてのユーザをリストで示す Logged-in Users ログにアクセスできるようにします ユーザがログイン中と表示されているが AAA クライアントへの接続が失われていて 実際にはユーザがログインしていない場合は [Purge] をクリックしてそのセッションのアクティビティを終了します このリストからユーザを削除しても ユーザは AAA クライアントからログオフされませんが アカウンティングのセッションレコードは終了します このリストを印刷するには 右側のウィンドウの一部を右クリックし ブラウザからウィンドウを印刷します 無効になったユーザアカウントすべてをリストで示す Disabled Accounts ログにアクセスできるようにします バックアップと復元のアクティビティをリストで示す ACS Backup and Restore ログにアクセスできるようにします データベースの複製アクティビティをリストで示す Database Replication ログにアクセスできるようにします RDBMS 同期化アクティビティをリストで示す RDBMS Synchronization ログにアクセスできるようにします システム管理者のアクションをリストで示す Administration Audit ログにアクセスできるようにします ACS サービスの開始と停止をリストで示す ACS Service Monitoring ログにアクセスできるようにします ユーザが開始したパスワード変更をリストで示す User Password Changes ログにアクセスできるようにします ユーザおよび管理者のエンタイトルメントレポートにアクセスできるようにします リソースの利用率を記録する Appliance Status ログにアクセスできるようにします シリアルコンソールでのアクティビティをリストで示す Appliance Administration Audit ログにアクセスできるようにします 11-16

17 関連項目 サービス制御 (P.7-1) 日付形式と時刻形式の制御 (P.7-4) ローカルパスワードの管理 (P.7-5) ACS バックアップ (P.7-9) ACS システムの復元 (P.7-16) ACS アクティブサービス管理 (P.7-20) Voice Over IP(VoIP) アカウンティングの設定 (P.7-23) アプライアンスの設定 (ACS SE のみ ) (P.7-24) [Support] ページ (P.7-27) 診断ログの表示またはダウンロード (ACS SE のみ ) (P.7-29) ACS 内部データベースの複製 (P.8-1) RDBMS 同期化 (P.8-17) IP プールサーバ (P.8-40) IP プールアドレスの復旧 (P.8-45) [Global Authentication Setup] (P.9-22) ACS 証明書のセットアップ (P.9-24) [NAC Attribute Management](ACS SE のみ ) (P.8-46) アプライアンスの設定 (ACS SE のみ ) (P.7-24) ACS ログとレポートについて (P.10-1) パスワードの失効とアカウントのロックアウト (P.11-3) アカウントの追加 編集 および削除 (P.11-6) [Administrator Password Policy] ページ [Administrator Password Policy] ページを使用して パスワード確認 ライフタイム 非アクティビティ および不正な試行のを設定します パスワードポリシーを設定しない場合は いずれの管理者もログイン 管理者の作成 および特権の割り当てを行うことができます このページを開くには [Administration Control] をクリックしてから [Password Policy] をクリックします ACS は 次の場合にエラーを返します 指定が範囲外になっている ユーザがこのページの基準を満たさない 表 11-4 に 次ののを示します Password Validation (P.11-18) Password Lifetime (P.11-18) Password Inactivity (P.11-18) Incorrect Password Attempt (P.11-19) 11-17

18 表 11-4 [Administrator Password Policy] ページ Password Validation Password may not contain the username このがイネーブルになって場合は パスワードにユーザ名や逆ユーザ名を含めることはできません Minimum length n characters n は 最小パスワード長を指定します ( デフォルトは 4 範囲は 4 ~ 20 です ) Password must contain: upper case alphabetic characters lower case alphabetic characters numeric characters non alphanumeric characters Password must be different from the previous n versions Password Lifetime Following a change of password: 複雑なパスワードを強制するには このを使用します このがイネーブルになっている場合は パスワードに大文字の英文字を含める必要があります このがイネーブルになっている場合は パスワードに小文字の英文字を含める必要があります このがイネーブルになっている場合は パスワードに数字を含める必要があります このがイネーブルになっている場合は パスワードに非英数字を含める必要があります ( このがイネーブルになっている場合は n 回前までのパスワードと異なるパスワードを使用する必要があります ( デフォルト値は 1 範囲は 1 ~ 99) このを使用して 管理者パスワードのライフタイムに制限を設定します 値 n は パスワードが最後に変更されてからの経過日数を表します The password will require change after n days [Following a change of password] がイネーブルになっている場合 n は パスワードエージングにより ACS がパスワードの変更を要求するまでの日数を示します ( デフォルトは 30) 範囲は 1 ~ 365 です オン ( イネーブル ) にした場合 [The Administrator will be locked after n days] を設定すると ACS は 2 つの Password Lifetime を比較して大きいほうの値を選択します The Administrator will be locked out after n days Password Inactivity Following last account activity: The password will require change after n days [Following a change of password] がイネーブルになっている場合 n は 関連付けられた管理者アカウントをパスワードエージングにより ACS がロックアウトするまでの日数を示します ( デフォルトは 60 範囲は 1 ~ 365) これらのを使用して 非アクティブな管理者アカウントの使用に制限を設けます 値 n は アクティビティ ( 管理者ログイン ) からの経過日数を表します [Following the last account activity] がイネーブルになっている場合 n は パスワードが非アクティブであるために ACS がパスワードの変更を要求するまでの日数を示します ( デフォルトは 30) 範囲は 1 ~ 365 です オン ( イネーブル ) にした場合 [The Administrator will be locked after n days] を設定すると ACS は 2 つの Password Inactivity を比較して大きいほうの値を選択します ( 注 ) セキュリティを高めるため ACS は非アクティブなパスワードの制限値に近づいているユーザに警告しません 11-18

19 表 11-4 [Administrator Password Policy] ページ ( 続き ) The Administrator will be locked out after n days [Following the last account activity] がイネーブルになっている場合 n は 関連付けられた管理者アカウントをパスワードが非アクティブであるために ACS がロックアウトするまでの日数を示します ( デフォルトは 60 範囲は 1 ~ 365) ( 注 ) セキュリティを高めるため ACS は非アクティブなアカウントの制限値に近づいているユーザに警告しません Incorrect Password Attempt Lock out Administrator after n successive failed attempts このがイネーブルになっている場合 n は 不正なパスワード試行の許容回数を示します オンになっている場合 n を 0 に設定することはできません このがディセーブル ( オフ ) になっている場合 ACS はログイン試行の失敗を何度でも許可します ( デフォルトは 3 範囲は 1 ~ 98) ( 注 ) セキュリティを高めるため ACS は試行の失敗回数の上限に近づいているユーザに警告しません 特定の管理者の [Account Never Expires] をイネーブルにすると このは無視されます [Access Policy Setup] ページ [Access Policy Setup] ページを使用して IP アドレスと範囲でのアクセスの設定 HTTP アクセスの設定 および Secure Sockets Layer(SSL) のセットアップを行います [Access Policy Setup] ページを開くには [Administration Control] をクリックしてから [Access Policy] をクリックします 表 11-5 に 次ののを示します Message of the Day (P.11-19) IP Address Filtering (P.11-20) IP Address Ranges (P.11-20) HTTP Configuration (P.11-20) Secure Socket Layer Setup (P.11-21) 表 11-5 Access Policy Message of the Day ログインページに表示するテキストを入力します Show MOTD in the Home page ACS アプリケーションへのロギング時に表示される Message Of The Day (MOTD) バナーを入力できます ( 注 ) MOTD には 最大で 512 文字まで入力できます 二重引用符 (") などの HTML 固有の文字は使用できません ACS のホームページにも MOTD バナーを表示する場合に このチェックボックスをオンにします 11-19

20 表 11-5 Access Policy ( 続き ) IP Address Filtering Allow all IP addresses to connect Allow only listed IP addresses to connect Reject connections from listed IP addresses IP Address Ranges 任意の IP アドレスから Web インターフェイスにリモートアクセスができるようにします Web インターフェイスにリモートアクセスができる IP アドレスを 指定した IP アドレス範囲内に制限します Web インターフェイスにリモートアクセスができる IP アドレスを 指定した IP アドレス範囲外に制限します IP フィルタリングは リモート管理者の Web ブラウザから HTTP 要求で受信した IP アドレスで動作します ブラウザが HTTP プロキシサーバを使用するように設定されている場合 または ブラウザがネットワークアドレス変換を実行するネットワークデバイスの背後のワークステーションで実行されている場合 HTTP プロキシサーバまたは NAT デバイスの IP アドレスにだけ IP フィルタリングが適用されます [IP Address Ranges] テーブルには IP アドレス範囲を設定するための 10 行が用意されています 範囲には 最初と最後の値が常に含まれます つまり 開始 IP アドレスと終了 IP アドレスは範囲に含まれます ドット付き 10 進形式を使用します 範囲を定義する IP アドレスは 最後のオクテットだけが異なる形式 (Class C 形式 ) でなければなりません Start IP Address 指定した範囲内の最下位 IP アドレスを定義します ( 最大 16 文字 ) End IP Address 指定した範囲内の最上位 IP アドレスを定義します ( 最大 16 文字 ) HTTP Configuration HTTP Port Allocation Allow any TCP ports to be used for Administration HTTP Access Restrict Administration Sessions to the following port range From Port n to Port n Web インターフェイスへのリモートアクセスで ACS が任意の有効な TCP ポートを使用できるようにします Web インターフェイスへのリモートアクセスで ACS が使用できるポートを制限します ボックスを使用してポート範囲 ( ボックスあたり最大 5 桁 ) を指定します 範囲には 常に下限値と上限値が含まれます つまり 開始ポート番号と終了ポート番号も範囲に含まれることになります 指定された範囲のサイズによって 同時管理セッションの最大数が決まります ACS は ポート 2002 を使用して すべての管理セッションを開始します ポート 2002 は ポート範囲に入れる必要がありません また ACS では ポート 2002 だけで構成される HTTP ポート範囲は定義できません ポート範囲は 2002 以外の少なくとも 1 つのポートで構成する必要があります ポート 2002 は 管理セッションの起動時に Web ブラウザがアクセスするポートであるため ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは このポートの HTTP トラフィックも許可する必要があります ファイアウォールの外部からの ACS の管理を許可することは推奨しません ファイアウォールの外部からの Web インターフェイスへのアクセスが必要な場合は HTTP ポート範囲をできる限り狭くしてください 範囲を狭くすることで 不正なユーザがアクティブな管理ポートを偶然に発見するのを防ぐことができます 不正なユーザは アクティブな管理セッションの HTTP ポートを悪用するために 正当なホストの IP アドレスになりすます ( スプーフィング ) ことがあります 11-20

21 表 11-5 Access Policy ( 続き ) Secure Socket Layer Setup Use HTTPS Transport for Administration Access CSAdmin サービスと Web インターフェイスにアクセスする Web ブラウザとの間で ACS が Secure Socket Layer(SSL) プロトコルを使用して HTTP トラフィックを暗号化できるようにします このを使用すると ブラウザと ACS の間の HTTP トラフィックの暗号化ができるようになり HTTPS で始まる URL の表示に設定が反映されます ほとんどのブラウザには SSL 暗号化接続のインジケータが用意されています SSL をイネーブルにするには まずサーバ証明書と認証局証明書をインストールします [System Configuration] > [ACS Certificate Setup] を選択して インストールプロセスにアクセスします SSL をイネーブルにすると ACS は 次の管理者ログイン時に HTTPS の使用を開始します 現在の管理セッションは影響を受けません 証明書が存在しない場合 ACS はエラーを表示します 関連項目 ACS サーバ証明書のインストール (P.9-24) 認証局証明書の追加 (P.9-28) [Session Policy Setup] ページ [Session Policy Setup] ページを使用して タイムアウト 自動ローカルログイン (ACS for Windows のみ ) および無効な IP アドレス接続に対する応答を含むセッションアトリビュートを設定します このページを開くには [Administration Control] をクリックしてから [Session Policy] をクリックします 表 11-6 に セッション設定のを示します 表 11-6 セッションポリシー Session Configuration Session idle timeout (minutes) ACS が接続を終了するまでに 管理セッションのアイドル状態を維持する必要がある時間 ( 分数 ) を指定します ( 最大 4 桁 5 ~ 1439) 管理セッションが終了すると ACS により 管理者に続行するかどうかを尋ねるダイアログボックスが表示されます 管理者が続行を希望すると ACS によって新しい管理セッションが開始されます このパラメータは ブラウザでの ACS 管理セッションにだけ適用されます 管理ダイヤルアップセッションには適用されません 11-21

22 表 11-6 セッションポリシー ( 続き ) Allow Automatic Local Login(ACS for Windows) Respond to invalid IP address connections ACS を実行しているコンピュータのブラウザを使用している場合は ログインしなくても管理者が管理セッションを開始できるようにします ACS は local_login というデフォルトの管理者アカウントを使用して これらのセッションを実行します オフ ( ディセーブル ) の場合は 管理者が管理者名とパスワードを使用してログインする必要があります ( 注 ) 定義済み管理者アカウントがない場合の予期せぬロックアウトを防止するため ACS は ACS へのローカルアクセスの際に管理者名とパスワードを要求しません local_login 管理者アカウントには Administration Control 特権が必要です ACS は local_login アカウントを使用する管理セッションを local_login 管理者名の下の Administrative Audit レポートに記録します Access Policy で無効として設定された IP アドレス範囲を使用して リモート管理セッションを開始しようとした場合に ACS がエラーメッセージを送信できるようにします このチェックボックスをオフにすると ACS は 無効なリモート接続が試行されてもエラーメッセージを表示しません ( デフォルトはイネーブルです ) このをディセーブルにすると 不正なユーザによる ACS の検出を防ぐことができます 11-22