Cisco Secure ACS



 ◆ Cisco Secure ACSとは

 Cisco Secure ACSは、RadiusやTACACS+などの複数のプロトコルをサポートするアクセス制御サーバです。
 ACS5.x が現在の最新バージョンです。以前のバージョンでは、Windowsサーバ上でこのACSを動作させて
 いましたが、現在、ハードウェアアプライアンスである「CSACS-1121-K9」では、Linux上で動作させます。
 ※ ACS5.x はOS/アプリケーションで供給しており、VMWare (CSACS-5.x-VM-K9) もサポートしています。


            



 ◆ Cisco Secure ACS 5.x の概要

ACS 5.x の特徴 説明
Rules-Based Policy モデル  ルールベース属性のポリシーモデルにより柔軟なポリシー適用を実現
監視 ・ レポート ・ ログの統合  監視、レポート、トラブルシューティング時のログ出力機能の統合
外部連携の向上  Active Directory、LDAPなどの外部認証やポリシーデータベースの連携強化
差分レプリケーション  PrimaryとSecondary(s)機の同期を差分アップデートで実行
2種類のプラットフォームのサポート  Linuxベースのハードウェアアプライアンス or VMwareのバーチャルアプライアンス


 ◆ Cisco Secure ACS 5.4 の仕様

 ◆ Cisco 1121 Secure ACS 5.4 Appliance 仕様
コンポーネント 仕様
CPU Intel Xeon 2.66-GHz Q9400(クアッド コア)
システムメモリ 4 GB DDR II ECC
ハードディスク 2 X 250 GB 7.2K RPM 3.5 インチ SATA
光学式ストレージ DVD-ROM
インターフェース 4 10/100/1000、RJ-45 インターフェイス
I/Oポート シリアル ポート × 1、USB 2.0 × 4(前面× 2、背面× 2)、SVGA Video
寸法(1RU) / 重量 44cm(幅)×55.9(奥行き)×4.45(高さ)cm / 11.0(最小)〜 12.7 kg(最大)
電源容量 351W 汎用、自動切り換


 ◆ Cisco Secure ACS 5.4 for VMware の最小要件
コンポーネント 仕様
VMwareバージョン VMware ESX 4.1, i4.1, or 5.0
OS Linux
CPU 2 CPUs (dual CPU, Xeon, Core2 Duo or 2 single CPUs)
システムメモリ 4 GB RAM
ハードディスク要件 60 〜 750 GB のユーザ設定が可能 ( 推奨:150GB以上 )
インターフェース 1Gbps


 ◆ Cisco Secure ACS 5.X 機能
機能 Cisco 1121 Secure ACS 5.X
AAA対応プロトコル RADIUS、TACACS+
プロキシ機能 RADIUS、TACACS+
認証プロトコル ASCII/PAP、MSCHAPv1/MSCHAPv2、CHAP
認証プロトコル(EAP) EAP-MD5、LEAP、PEAP(EAP-GTC)、EAP-FAST、EAP-MSCHAPv2、EAP-TLS、PEAP-TLS
認証データベース ACSローカルDB、AD、LDAP、ワンタイムパス(RSA SecurID、RADIUS)
キャパシティ ACSローカルDB : 300,000ユーザ /  AAAデバイス : 50,000台





 ◆ Cisco Secure ACS 5.x の概要

 ACS5.xの設定メニューは下図の通り、左側にあります。ACS5.x では、この設定メニューに従って設定します。
 メニューの順番通り、@ Network Resourcesの作成 → A Identity Storesの設定 (Active Directory連携) →
 B Policy Elementsの設定 → C Access Policesの設定 → D 証明書発行またはインストールの順となります。

    


 ここでは、ACS5.xの設定メニューが、ACS4.xのどの設定メニューにあたるのかの対比表を最初に紹介します。
 以下のとおり、ACS5.xに比べるとACS4.xでは設定メニューの階層化が上手く出来ていないことが分かります。

ACS5.x ACS4.x
Network Resources Network Configuration
Users and Identity Stores User Setup
Group Setup
External User Databases
Policy Elements User Setup
Group Setup
Shared Profile Components
Access Policies Group Setup
External User Databases
Network Access Profiles
System Administration System Configuration
Administration Control



 ACS5.x の各メニューの概要は以下の通りです。

ACS5.x 説明
Network Resources

 CiscoルータやCatalystのAAAクライアント(RadiusクライアントまたはTacacs+クライアント)を
 登録するメニュー。AAAクライアントはLocation(機器の場所)の情報とDevice Type(機器の種類)
 の2つの属性に分類できる。作成順は一般的にLocation Type → Device Type → AAAクライアント。

Users and
Identity Stores

 認証の際に使用するデータベースを登録するメニュー。ACS内部のデータベースを利用する場合は
 Internal Identity Store、Active Directoryなどの外部のデータベースを利用する場合については
 External Identity Storeで設定する。Internal Store の場合、ユーザの属性をアクセスルールや
 ポリシーで参照するように設定することも可能。

Policy Elements

 ダイナミックVLANのアサイン、Download ACL認証後のAuthorization情報を設定するメニュー。
 Active Directoryで参照するよう指定した属性についてもPolicy Elementsで管理することができる。

Access Policies

 認証(Authentication)と権限(Authorization)付与を行う設定メニュー。認証要求の内容に基づき
 Selection Ruleに従ってAccess Serviceを決定する。Access ServiceではIdentityルールに基づいて
 認証に使用するIdentity Storeを決定する。最後に認証成功後には。Authorizationルールに基づいて
 権限付与するAuthorizaton Profileを決定する。

System Administration

 コンフィグレーションバックアップ、ACSの自己証明書発行、複製の設定などシステム管理メニュー


 Cisco Secure ACSのアクセスポリシーの処理フローは以下の通りです。


  


 最後に
ADとLDAPとの違いを説明します。LDAP( Lightweight Directory Access Protocol )とは、TCP/IP
 ネットワークでディレクトリデータベースにアクセスするためのプロトコルのことです。

 AD (Active Directory) は、LDAPを使用したマイクロソフトのディレクトリサービスのサービス名のことです。
 なお、LDAPサーバにはOpenLDAPなどのオープンソフトウェアなどから、ADの商用ソフトウェアがありますが
 企業で最も使用されているのはADです。ディレクトリサービスにADを使用している場合、ADという用語を使用
 しますが、AD以外のLDAPを使用している構成では「LDAPサーバ」と表記することが多いです。



Cisco Secure ACS 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.