|
◆ Cisco Secure ACSとは
Cisco Secure ACSは、RadiusやTACACS+などの複数のプロトコルをサポートするアクセス制御サーバです。
ACS5.x が現在の最新バージョンです。以前のバージョンでは、Windowsサーバ上でこのACSを動作させて
いましたが、現在、ハードウェアアプライアンスである「CSACS-1121-K9」では、Linux上で動作させます。
※ ACS5.x はOS/アプリケーションで供給しており、VMWare (CSACS-5.x-VM-K9) もサポートしています。
◆ Cisco Secure ACS 5.x の概要
| ACS 5.x の特徴 |
説明 |
| Rules-Based Policy モデル |
ルールベース属性のポリシーモデルにより柔軟なポリシー適用を実現 |
| 監視 ・ レポート ・ ログの統合 |
監視、レポート、トラブルシューティング時のログ出力機能の統合 |
| 外部連携の向上 |
Active Directory、LDAPなどの外部認証やポリシーデータベースの連携強化 |
| 差分レプリケーション |
PrimaryとSecondary(s)機の同期を差分アップデートで実行 |
| 2種類のプラットフォームのサポート |
Linuxベースのハードウェアアプライアンス or VMwareのバーチャルアプライアンス |
◆ Cisco Secure ACS 5.4 の仕様
◆ Cisco 1121 Secure ACS 5.4 Appliance 仕様
| コンポーネント |
仕様 |
| CPU |
Intel Xeon 2.66-GHz Q9400(クアッド コア) |
| システムメモリ |
4 GB DDR II ECC |
| ハードディスク |
2 X 250 GB 7.2K RPM 3.5 インチ SATA |
| 光学式ストレージ |
DVD-ROM |
| インターフェース |
4 10/100/1000、RJ-45 インターフェイス |
| I/Oポート |
シリアル ポート × 1、USB 2.0 × 4(前面× 2、背面× 2)、SVGA Video |
| 寸法(1RU) / 重量 |
44cm(幅)×55.9(奥行き)×4.45(高さ)cm / 11.0(最小)〜 12.7 kg(最大) |
| 電源容量 |
351W 汎用、自動切り換 |
◆ Cisco Secure ACS 5.4 for VMware の最小要件
| コンポーネント |
仕様 |
| VMwareバージョン |
VMware ESX 4.1, i4.1, or 5.0 |
| OS |
Linux |
| CPU |
2 CPUs (dual CPU, Xeon, Core2 Duo or 2 single CPUs) |
| システムメモリ |
4 GB RAM |
| ハードディスク要件 |
60 〜 750 GB のユーザ設定が可能 ( 推奨:150GB以上 ) |
| インターフェース |
1Gbps |
◆ Cisco Secure ACS 5.X 機能
| 機能 |
Cisco 1121 Secure ACS 5.X |
| AAA対応プロトコル |
RADIUS、TACACS+ |
| プロキシ機能 |
RADIUS、TACACS+ |
| 認証プロトコル |
ASCII/PAP、MSCHAPv1/MSCHAPv2、CHAP |
| 認証プロトコル(EAP) |
EAP-MD5、LEAP、PEAP(EAP-GTC)、EAP-FAST、EAP-MSCHAPv2、EAP-TLS、PEAP-TLS |
| 認証データベース |
ACSローカルDB、AD、LDAP、ワンタイムパス(RSA SecurID、RADIUS) |
| キャパシティ |
ACSローカルDB : 300,000ユーザ / AAAデバイス : 50,000台 |
◆ Cisco Secure ACS 5.x の概要
ACS5.xの設定メニューは下図の通り、左側にあります。ACS5.x では、この設定メニューに従って設定します。
メニューの順番通り、@ Network Resourcesの作成 → A Identity Storesの設定 (Active Directory連携) →
B Policy Elementsの設定 → C Access Policesの設定 → D 証明書発行またはインストールの順となります。
ここでは、ACS5.xの設定メニューが、ACS4.xのどの設定メニューにあたるのかの対比表を最初に紹介します。
以下のとおり、ACS5.xに比べるとACS4.xでは設定メニューの階層化が上手く出来ていないことが分かります。
| ACS5.x |
ACS4.x |
| Network Resources |
Network Configuration |
| Users and Identity Stores |
User Setup |
| Group Setup |
| External User Databases |
| Policy Elements |
User Setup |
| Group Setup |
| Shared Profile Components |
| Access Policies |
Group Setup |
| External User Databases |
| Network Access Profiles |
| System Administration |
System Configuration |
| Administration Control |
ACS5.x の各メニューの概要は以下の通りです。
| ACS5.x |
説明 |
| Network Resources |
CiscoルータやCatalystのAAAクライアント(RadiusクライアントまたはTacacs+クライアント)を
登録するメニュー。AAAクライアントはLocation(機器の場所)の情報とDevice Type(機器の種類)
の2つの属性に分類できる。作成順は一般的にLocation Type → Device Type → AAAクライアント。
|
Users and
Identity Stores |
認証の際に使用するデータベースを登録するメニュー。ACS内部のデータベースを利用する場合は
Internal Identity Store、Active Directoryなどの外部のデータベースを利用する場合については
External Identity Storeで設定する。Internal Store の場合、ユーザの属性をアクセスルールや
ポリシーで参照するように設定することも可能。
|
| Policy Elements |
ダイナミックVLANのアサイン、Download ACL認証後のAuthorization情報を設定するメニュー。
Active Directoryで参照するよう指定した属性についてもPolicy Elementsで管理することができる。
|
| Access Policies |
認証(Authentication)と権限(Authorization)付与を行う設定メニュー。認証要求の内容に基づき
Selection Ruleに従ってAccess Serviceを決定する。Access ServiceではIdentityルールに基づいて
認証に使用するIdentity Storeを決定する。最後に認証成功後には。Authorizationルールに基づいて
権限付与するAuthorizaton Profileを決定する。 |
| System Administration |
コンフィグレーションバックアップ、ACSの自己証明書発行、複製の設定などシステム管理メニュー |
Cisco Secure ACSのアクセスポリシーの処理フローは以下の通りです。
最後にADとLDAPとの違いを説明します。LDAP( Lightweight Directory Access Protocol )とは、TCP/IP
ネットワークでディレクトリデータベースにアクセスするためのプロトコルのことです。
AD (Active Directory) は、LDAPを使用したマイクロソフトのディレクトリサービスのサービス名のことです。
なお、LDAPサーバにはOpenLDAPなどのオープンソフトウェアなどから、ADの商用ソフトウェアがありますが
企業で最も使用されているのはADです。ディレクトリサービスにADを使用している場合、ADという用語を使用
しますが、AD以外のLDAPを使用している構成では「LDAPサーバ」と表記することが多いです。
|