この章

CHAPTER
67
ネットワークアドミッションコントロールの
設定
この章には、次の項があります。
• 「概要」（P.67-1）
• 「使用方法、要件、および制限」（P.67-2）
• 「セキュリティアプライアンスの NAC ポリシーの表示」（P.67-2）
• 「NAC ポリシーの追加、アクセス、または削除」（P.67-4）
• 「NAC ポリシーの設定」（P.67-5）
• 「グループポリシーへの NAC ポリシーの割り当て」（P.67-8）
• 「グローバルな NAC Framework 設定の変更」（P.67-8）
概要
ネットワークアドミッションコントロールは、実働状態でのネットワークアクセスの条件として、エ
ンドポイントにおける準拠性チェックと脆弱性チェックを実行することで、ワーム、ウイルス、および
危険なアプリケーションの侵入や感染から企業ネットワークを保護します。これらのチェックは、ポス
チャ検証と呼ばれます。ポスチャ検証を設定して、イントラネット上の脆弱なホストへのアクセスを提
供する前に、IPSec セッションまたは WebVPN セッションを行っているホスト上のアンチウイルス
ファイル、パーソナルファイアウォール規則、または侵入予防ソフトウェアが最新の状態であること
を確認できます。ポスチャ検証では、リモートホストで実行中のアプリケーションが最新のパッチで
アップデートされていることを確認できます。Network Admission Control（NAC; ネットワークアド
ミッションコントロール）は、ユーザ認証とトンネルのセットアップ後にだけ発生します。NAC は、
家庭用 PC などの自動ネットワークポリシー強制の対象ではないホストから企業ネットワークを保護す
るのに特に役立ちます。
エンドポイントと適応型セキュリティアプライアンス間でトンネルを確立すると、ポスチャ検証がト
リガーされます。
クライアントがポスチャ検証の要求に応答しない場合は、適応型セキュリティアプライアンスを設定
して、そのクライアントの IP アドレスをオプションの監査サーバに渡すことができます。Trend サー
バなどの監査サーバは、ホストのヘルスを評価するために、ホスト IP アドレスを使用してホストを直
接調べます。たとえば、ホストのウイルスチェックソフトウェアがアクティブであり、最新であるか
どうかを判断するためにホストを調べることがあります。監査サーバは、リモートホストとの交信を
完了すると、リモートホストのヘルスを示すトークンをポスチャ検証サーバに渡します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-1
第 67 章
ネットワークアドミッションコントロールの設定
使用方法、要件、および制限
ポスチャ検証が成功する、またはリモートホストが正常であることを示すトークンを受信すると、ポ
スチャ検証サーバは、トンネル上のトラフィックに対するアプリケーション用のネットワークアクセ
スポリシーを適応型セキュリティアプライアンスに送信します。
適応型セキュリティアプライアンスを含む NAC Framework のコンフィギュレーションには、クライ
アントで実行されている Cisco Trust Agent だけがポスチャエージェントの役割を果たすことができ、
Cisco Access Control Server（ACS）だけがポスチャ検証サーバの役割を果たすことができます。ACS
はダイナミック Access Control List（ACL; アクセスコントロールリスト）を使用して、各クライアン
トのアクセスポリシーを決定します。
RADIUS サーバである ACS は、ポスチャ検証サーバとしての役割を果たすことに加え、トンネルの確
立に必要なログインクレデンシャルを認証できます。
（注）
適応型セキュリティアプライアンスに設定されている NAC Framework ポリシーだけが、監査サーバ
の使用をサポートしています。
ACS はそのポスチャ検証サーバとしての役割において、アクセスコントロールリストを使用します。
ポスチャ検証が成功し、ACS によって、適応型セキュリティアプライアンスに送信するアクセスポリ
シーの一部としてリダイレクト URL が指定されると、適応型セキュリティアプライアンスは、リモー
トホストからのすべての HTTP 要求と HTTPS 要求をリダイレクト URL にリダイレクトします。ポス
チャ検証サーバによってアクセスポリシーが適応型セキュリティアプライアンスにアップロードされ
ると、関連するすべてのトラフィックはその宛先に到達するためにセキュリティアプライアンスと
ACS（またはその逆も同じ）の両方を通過する必要があります。
IPSec または WebVPN クライアントと適応型セキュリティアプライアンス間のトンネルが確立される
と、NAC Framework ポリシーがグループポリシーに割り当てられている場合、ポスチャ検証がトリ
ガーされます。ただし、NAC Framework ポリシーでは、ポスチャ検証を免除されているオペレーティ
ングシステムを特定し、そのようなトラフィックをフィルタリングするためにオプションの ACL を指
定できます。
使用方法、要件、および制限
NAC をサポートするように設定すると、適応型セキュリティアプライアンスは、Cisco Secure Access
Control Server のクライアントとして機能します。そのため、NAC 認証サービスを提供するために、
ネットワーク上に少なくとも 1 台の Access Control Server をインストールする必要があります。
ネットワークに 1 つまたは複数の Access Control Server を設定した後で、aaa-server コマンドを使用
して Access Control Server グループに名前を付ける必要があります。次に、「NAC ポリシーの設定」
（P.67-5）の手順の説明に従ってください。
NAC Framework に対する ASA サポートは、リモートアクセス IPSec セッションおよび WebVPN ク
ライアントセッションに限定されます。NAC Framework コンフィギュレーションは、シングルモード
だけをサポートしています。
ASA 上の NAC は、レイヤ 3（非 VPN）トラフィックと IPv6 トラフィックはサポートしていません。
セキュリティアプライアンスの NAC ポリシーの表示
グループポリシーに割り当てる NAC ポリシーを設定する前に、適応型セキュリティアプライアンスに
すでに設定されている可能性があるポリシーを確認することをお勧めします。これを行うには、特権
EXEC モードで次のコマンドを入力します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-2
OL-18970-01-J
第 67 章
ネットワークアドミッションコントロールの設定
セキュリティアプライアンスの NAC ポリシーの表示
show running-config nac-policy
デフォルトコンフィギュレーションには NAC ポリシーは含まれていませんが、他のユーザがポリシー
を追加しているかどうかを判断するにはこのコマンドを入力するのが便利です。他のポリシーがある場
合、すでに設定されているポリシーが適していると判断し、NAC ポリシーを設定するセクションを無
視することができます。
次の例は、nacframework1 という名前の NAC ポリシーのコンフィギュレーションを示しています。
hostname# show running-config nac-policy
nac-policy nacframework1 nac-framework
default-acl acl-1
reval-period 36000
sq-period 300
exempt-list os "Windows XP" filter acl-2
hostname#
各 NAC ポリシーの最初の行は、ポリシーの名前とタイプ（nac-framework）を示しています。表 67-1
で、show running-config nac-policy コマンドに対する応答として表示された nac-framework アトリ
ビュートについて説明します。
表 67-1
show running-config nac-policy コマンドのフィールド
フィールド
説明
default-acl
NAC デフォルト ACL が、ポスチャ検証の前に適用されています。ポ
スチャ検証に続き、セキュリティアプライアンスは、デフォルト
ACL をリモートホストの Access Control Server から取得した ACL に
置換します。ポスチャ検証が失敗した場合、適応型セキュリティアプ
ライアンスにはデフォルト ACL が残ります。
reval-period
NAC Framework セッションで成功した各ポスチャ検証間の秒数です。
sq-period
NAC Framework セッションで成功した各ポスチャ検証とホストポス
チャ内の変更に対する次のクエリー間の秒数です。
exempt-list
ポスチャ検証を免除されているオペレーティングシステムの名前で
す。リモートコンピュータのオペレーティングシステムが名前と一致
する場合に、トラフィックをフィルタリングするためのオプションの
ACL も表示されます。
authentication-server-group
NAC ポスチャ検証に使用される認証サーバグループの名前です。
グループポリシーへの NAC ポリシーの割り当てを表示するには、特権 EXEC モードで次のコマンドを
入力します。
show nac-policy
グループポリシーへの NAC ポリシーの割り当てのリストに加えて、CLI により、割り当てられていな
い NAC ポリシー、および各 NAC ポリシーの使用回数が次のように表示されます。
asa2(config)# show nac-policy
nac-policy framework1 nac-framework
applied session count = 0
applied group-policy count = 2
group-policy list:
GroupPolicy2
GroupPolicy1
nac-policy framework2 nac-framework is not in use.
asa2(config)#
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-3
第 67 章
ネットワークアドミッションコントロールの設定
NAC ポリシーの追加、アクセス、または削除
ポリシーがどのグループポリシーにも割り当てられていない場合、CLI により、ポリシータイプの隣
にテキスト「is not in use 」が表示されます。割り当てられている場合は、CLI により、最初の行にポ
リシー名とタイプ、後続の行にグループポリシーの使用データが表示されます。表 67-2 で、
show nac-policy コマンド内のフィールドについて説明します。
表 67-2
show nac-policy コマンドのフィールド
フィールド
説明
applied session count
この適応型セキュリティアプライアンスが NAC ポリシーを適用し
た VPN セッションの累積数です。
applied group-policy count
この適応型セキュリティアプライアンスが NAC ポリシーを適用し
たグループポリシーの累積数です。
group-policy list
この NAC ポリシーが割り当てられているグループポリシーのリス
トです。この場合、グループポリシーが使用されているかどうかに
よって、このリストに表示されるかどうかが決まるわけではありま
せん。NAC ポリシーが実行コンフィギュレーション内のグループポ
リシーに割り当てられている場合、そのグループポリシーがこのリ
ストに表示されます。
NAC ポリシーを作成する、またはすでに存在するポリシーを変更するには、次の項を参照してください。
NAC ポリシーの追加、アクセス、または削除
NAC ポリシーを追加または変更するには、グローバルコンフィギュレーションモードで次のコマンド
を入力します。
[no]
nac-policy
nac-policy-name nac-framework
コンフィギュレーションから NAC ポリシーを削除するには、このコマンドの no バージョンを使用し
ます。または、clear configure nac-policy コマンドを入力して、グループポリシーに割り当てられて
いるポリシーを除くすべての NAC ポリシーをコンフィギュレーションから削除することができます。
NAC ポリシーを削除する、または変更する準備をするためにこのコマンドを入力する場合、そのポリ
シーの名前とタイプの両方を指定する必要があります。
nac-policy-name は、新しい NAC ポリシーまたはすでに存在するポリシーの名前です。名前は最大 64
文字の文字列です。show running-config nac-policy コマンドを使用すると、セキュリティアプライ
アンスにすでに存在する各 NAC ポリシーの名前とコンフィギュレーションが表示されます。
nac-framework は、 NAC
Framework コンフィギュレーションで、リモートホスト用のネットワーク
アクセスポリシーを提供することを指定します。適応型セキュリティアプライアンスに NAC
Framework サービスを提供するには、ネットワーク上に Cisco Access Control Server が存在する必要
があります。このタイプを指定すると、プロンプトは nac-policy-nac-framework コンフィギュレー
ションモードにいることを示します。このモードでは、NAC Framework ポリシーを設定できます。
NAC Framework ポリシーは複数作成できますが、1 つのグループポリシーに 1 つしか割り当てること
はできません。
たとえば、次のコマンドは nac-framework1 という名前の NAC Framework ポリシーを作成し、そのポ
リシーにアクセスします。
hostname(config)# nac-policy nac-framework1 nac-framework
hostname(config-nac-policy-nac-framework)
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-4
OL-18970-01-J
第 67 章
ネットワークアドミッションコントロールの設定
NAC ポリシーの設定
NAC ポリシーの設定
nac-policy コマンドを使用して NAC Framework ポリシーに名前を付けたら、そのポリシーをグルー
プポリシーに割り当てる前に、次の項の手順に従ってポリシーのアトリビュートに値を割り当てます。
Access Control Server グループの指定
NAC をサポートするためには、少なくとも 1 つの Cisco Access Control Server を設定する必要があり
ます。グループにサーバが 1 台だけ含まれている場合でも、aaa-server host コマンドを使用して
Access Control Server グループに名前を付けます。
AAA サーバコンフィギュレーションを表示するには、次のコマンドを入力します。
show running-config aaa-server
次に例を示します。
hostname(config)# show running-config aaa-server
aaa-server acs-group1 protocol radius
aaa-server acs-group1 (outside) host 192.168.22.44
key secret
radius-common-pw secret
hostname(config)#
nac-policy-nac-framework コンフィギュレーションモードで次のコマンドを入力して、NAC ポスチャ
検証で使用されるグループを指定します。
[no] authentication-server-group server-group
NAC ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。
server-group は、aaa-server host コマンドで指定した server-tag 変数と一致する必要があります。こ
のコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。
たとえば、acs-group1 を NAS ポスチャ検証に使用される認証サーバグループとして指定するには、次
のコマンドを入力します。
hostname(config-nac-policy-nac-framework)# authentication-server-group acs-group1
hostname(config-nac-policy-nac-framework)
Query-for-Posture-Changes タイマーの設定
ポスチャ検証が成功するたびに、適応型セキュリティアプライアンスはステータスクエリータイマー
を起動します。このタイマーの期限が切れると、直前のポスチャ検証以降のポスチャ変更を確認するク
エリーがリモートホストにトリガーされます。変更がないことを応答が示している場合、ステータス
クエリータイマーがリセットされます。ポスチャに変更があったことを応答が示している場合、無条
件のポスチャ再検証がトリガーされます。適応型セキュリティアプライアンスは、再検証中、現在の
アクセスポリシーを保持します。
デフォルトでは、成功した各ポスチャ検証、ステータスクエリー、および以降の各ステータスクエ
リーの間隔は 300 秒（5 分）です。ステータスクエリーの間隔を変更するには、
nac-policy-nac-framework コンフィギュレーションモードで次のコマンドを入力します。
[no] sq-period seconds
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-5
第 67 章
ネットワークアドミッションコントロールの設定
NAC ポリシーの設定
ステータスクエリータイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイ
マーをオフにして、show running-config nac-policy を入力すると、CLI により、0 が sq-period アト
リビュートの隣に表示されます。これはタイマーがオフであることを意味します。
seconds は、30 ～ 1800 秒（5 ～ 30 分）の範囲で指定する必要があります。このコマンドの no バー
ジョンを使用している場合は、一致していなくてもかまいません。
次の例では、ステータスクエリータイマーが 1800 秒に変更されます。
hostname(config-group-policy)# sq-period 1800
hostname(config-group-policy)
再検証タイマーの設定
ポスチャ検証が成功するたびに、適応型セキュリティアプライアンスは再検証タイマーを起動します。
このタイマーの期限が切れると、次の無条件のポスチャ検証を開始します。適応型セキュリティアプ
ライアンスは、再検証中、現在のアクセスポリシーを保持します。
デフォルトでは、成功した各ポスチャ検証間の間隔は 36000 秒（10 時間）です。この間隔を変更する
には、nac-policy-nac-framework コンフィギュレーションモードで次のコマンドを入力します。
[no] reval-period seconds
ステータスクエリータイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイ
マーをオフにして、show running-config nac-policy を入力すると、CLI により、0 が sq-period アト
リビュートの隣に表示されます。これはタイマーがオフであることを意味します。
seconds は、300 ～ 86400 秒（5 分～ 24 時間）の範囲で指定する必要があります。このコマンドの no
バージョンを使用している場合は、一致していなくてもかまいません。
たとえば、再検証タイマーを 86400 秒に変更するには次のコマンドを入力します。
hostname(config-nac-policy-nac-framework)# reval-period 86400
hostname(config-nac-policy-nac-framework)
NAC 用デフォルト ACL の設定
各グループポリシーは、ポリシーに一致し NAC の対象となるホストに適用されるデフォルト ACL を
ポイントします。適応型セキュリティアプライアンスは、NAC デフォルト ACL を適用してからポス
チャ検証を実行します。ポスチャ検証に続き、適応型セキュリティアプライアンスは、デフォルト
ACL をリモートホストの Access Control Server から取得した ACL に置換します。ポスチャ検証が失
敗した場合、適応型セキュリティアプライアンスにはデフォルト ACL が残ります。
適応型セキュリティアプライアンスは、デフォルトの設定であるクライアントレス認証がイネーブル
になっている場合、NAC デフォルト ACL も適用します。
NAC セッションのデフォルト ACL として使用される ACL を指定するには、
nac-policy-nac-framework コンフィギュレーションモードで次のコマンドを入力します。
[no] default-acl acl-name
NAC Framework ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。こ
の場合、acl-name の指定はオプションです。
acl-name は、セッションに適用されるアクセスコントロールリストの名前です。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-6
OL-18970-01-J
第 67 章
ネットワークアドミッションコントロールの設定
NAC ポリシーの設定
次の例では、ポスチャ検証が成功する前に適用される ACL として acl-2 を指定しています。
hostname(config-nac-policy-nac-framework)# default-acl acl-2
hostname(config-nac-policy-nac-framework)
NAC 免除の設定
適応型セキュリティアプライアンスのコンフィギュレーションには、NAC ポスチャ検証免除のリスト
が保存されます。免除されるオペレーティングシステムを指定できます。ACL を指定すると、指定し
たオペレーティングシステムを実行しているクライアントは、ポスチャ検証が免除され、クライアン
トのトラフィックは ACL の対象になります。
NAC ポスチャ検証を免除されるリモートコンピュータタイプのリストにエントリを追加するには、
nac-policy-nac-framework コンフィギュレーションモードで次のコマンドを入力します。
[no] exempt-list os "os-name" [ disable | filter acl-name [ disable ] ]
no exempt-list コマンドを使用すると、NAC Framework ポリシーからすべての免除が削除されます。
このコマンドの no 形式を発行するときにエントリを指定すると、免除リストからそのエントリが削除
されます。
（注）
コマンドがオペレーティングシステムを指定している場合、免除リストにすでに追加されているエン
トリを上書きしません。免除する各オペレーティングシステムと ACL に対して、コマンドを 1 回だけ
入力します。
os を指定すると、オペレーティングシステムがポスチャ検証から免除されます。
os-name は、オペレーティングシステムの名前です。名前にスペース（「Windows XP」など）が含ま
れている場合は引用符を使用します。
filter を指定すると、コンピュータのオペレーティングシステムが os name と一致する場合、トラ
フィックをフィルタリングするために ACL が適用されます。filter/acl-name のペアはオプションです。
disable を指定すると、次の 2 つの機能のいずれかが実行されます。
• このキーワードを "os-name" の後に入力すると、適応型セキュリティアプライアンスは免除を無
視して、そのオペレーティングシステムを実行しているリモートホストに NAC ポスチャ検証を
適用します。
• このキーワードを acl-name の後に入力すると、適応型セキュリティアプライアンスはそのオペ
レーティングシステムを免除しますが、関連のトラフィックには ACL を適用しません。
acl-name は、適応型セキュリティアプライアンスコンフィギュレーションにある ACL の名前です。
指定する場合は、filter キーワードの次に続ける必要があります。
たとえば、ポスチャ検証から免除されるコンピュータのリストに Windows XP を実行しているすべて
のホストを追加するには、次のコマンドを入力します。
hostname(config-group-policy)# exempt-list os "Windows XP"
hostname(config-group-policy)
次の例では、Windows XP を実行しているすべてのホストが免除され、ACL acl-2 がそれらのホストか
らのトラフィックに適用されます。
hostname(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-7
第 67 章
ネットワークアドミッションコントロールの設定
グループポリシーへの NAC ポリシーの割り当て
次の例では、免除リストから同じエントリが削除されます。
hostname(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
次の例では、免除リストからすべてのエントリが削除されます。
hostname(config-nac-policy-nac-framework)# no exempt-list
hostname(config-nac-policy-nac-framework)
グループポリシーへの NAC ポリシーの割り当て
各トンネルのセットアップを完了すると、グループポリシーに割り当てられている場合、適応型セキュ
リティアプライアンスは NAC ポリシーをセッションに適用します。
NAC ポリシーをグループポリシーに割り当てるには、グループポリシーコンフィギュレーションモー
ドで nac-settings コマンドを次のように使用します。
[no] nac-settings { value nac-policy-name | none }
no nac-settings は、グループポリシーから nac-policy-name を削除します。グループポリシーは、デ
フォルトグループポリシーから nac-settings 値を継承します。
nac-policy-name を削除し、このグループポリシーに対
する NAC ポリシーの使用をディセーブルにします。グループポリシーは、デフォルトグループポリ
シーから nac-settings 値を継承しません。
nac-settings none は、グループポリシーから
NAC ポリシーをグループポリシーに割り当てます。各 NAC ポリ
シーの名前とコンフィギュレーションを表示するには、show running-config nac-policy コマンドを
入力します。
nac-settings value は、指定した
デフォルトでは、nac-settings コマンドは、各グループポリシーのコンフィギュレーションには存在
しません。適応型セキュリティアプライアンスは、NAC ポリシーが割り当てられると、グループポリ
シーの NAC を自動的にイネーブルにします。
次のコマンド例では、framework1 という名前の NAC ポリシーをグループポリシーに割り当てています。
hostname(config-group-policy)# nac-settings value framework1
hostname(config-group-policy)
グローバルな NAC Framework 設定の変更
適応型セキュリティアプライアンスでは、NAC Framework コンフィギュレーションがデフォルトで設
定されています。この項の手順に従って、ネットワークの強制ポリシーを順守するようにこれらの設定
を調整します。
クライアントレス認証設定の変更
クライアントレス認証に対する NAC Framework のサポートは設定可能です。これは、ポスチャエー
ジェントの役割を果たす Cisco Trust Agent を持たないホストに適用されます。適応型セキュリティア
プライアンスは、デフォルトアクセスポリシーを適用し、ポスチャ検証用に Extensible
Authentication Protocol（EAP）over User Datagram Protocol（UDP）要求を送信して、その要求がタ
イムアウトします。適応型セキュリティアプライアンスが、Access Control Server からのクライアン
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-8
OL-18970-01-J
第 67 章
ネットワークアドミッションコントロールの設定
グローバルな NAC Framework 設定の変更
トレスホストに対するポリシーを要求するように設定されていない場合、クライアントレスホストに
すでに使用されているデフォルトアクセスポリシーを保持します。適応型セキュリティアプライアン
スが、Access Control Server からのクライアントレスホストに対するポリシーを要求するように設定
されている場合、そのように要求して、Access Control Server は適応型セキュリティアプライアンス
が実施するアクセスポリシーをダウンロードします。
クライアントレス認証のイネーブル化とディセーブル化
NAC Framework コンフィギュレーションに対するクライアントレス認証をイネーブルにするには、グ
ローバルコンフィギュレーションモードで次のコマンドを入力します。
[no] eou allow {audit | clientless | none}
audit を指定すると、クライアントレス認証の実行に監査サーバを使用します。
clientless を指定すると、クライアントレス認証の実行に Cisco Access Control Server を使用します。
no は、コンフィギュレーションからコマンドを削除します。
none は、クライアントレス認証をディセーブルにします。
デフォルトコンフィギュレーションには、eou allow clientless コンフィギュレーションが含まれてい
ます。
（注）
eou コマンドは、NAC Framework セッションにだけ適用されます。
クライアントレス認証は、デフォルトでイネーブルになっています。
次の例は、クライアントレス認証の実行に監査サーバを使用するように適応型セキュリティアプライ
アンスを設定する方法を示しています。
hostname(config)# eou allow audit
hostname(config)#
次の例は、監査サーバの使用をディセーブルにする方法を示しています。
hostname(config)# no eou allow audit
hostname(config)#
クライアントレス認証に使用するログインクレデンシャルの変更
クライアントレス認証がイネーブルで、適応型セキュリティアプライアンスがリモートホストからの
検証要求に対する応答の受信できなかった場合、リモートホストの代わりに、セキュリティアプライ
アンスはクライアントレス認証要求を Access Control Server に送信します。この要求には、Access
Control Server でのクライアントレス認証用に設定されたクレデンシャルに一致するログインクレデン
シャルが含まれます。適応型セキュリティアプライアンスのクライアントレス認証用のデフォルト
ユーザ名とパスワードは、Access Control Server のデフォルトユーザ名とパスワードと一致します。
デフォルトユーザ名とパスワードはいずれも「clientless」です。Access Control Server でこれらの値
を変更する場合は、適応型セキュリティアプライアンスでも変更する必要があります。
クライアントレス認証に使用するユーザ名を変更するには、グローバルコンフィギュレーションモー
ドで次のコマンドを入力します。
eou clientless username username
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-9
第 67 章
ネットワークアドミッションコントロールの設定
グローバルな NAC Framework 設定の変更
username は、クライアントレスホストをサポートする Access Control Server に設定されているユーザ
名に一致する必要があります。先頭のスペースと末尾のスペース、ポンド記号（#）、疑問符（?）、引
用符（"）、アスタリスク（*）、および山カッコ（< と >）を除く、1 ～ 64 文字の ASCII 文字を入力し
ます。
クライアントレス認証に使用するパスワードを変更するには、グローバルコンフィギュレーション
モードで次のコマンドを入力します。
eou clientless password password
password は、クライアントレスホストをサポートする Access Control Server に設定されているパス
ワードに一致する必要があります。4 ～ 32 文字の ASCII 文字を入力します。
ユーザ名だけ、パスワードだけ、または両方を指定できます。たとえば、sherlock と 221B-baker それぞ
れに対するクライアントレス認証のユーザ名とパスワードを変更するには、次のコマンドを入力します。
hostname(config)# eou clientless username sherlock
hostname(config)# eou clientless password 221B-baker
hostname(config)#
ユーザ名をそのデフォルト値に変更するには、次のコマンドを入力します。
no eou clientless username
次に例を示します。
hostname(config)# no eou clientless username
hostname(config)#
パスワードをそのデフォルト値に変更するには、次のコマンドを入力します。
no eou clientless password
次に例を示します。
hostname(config)# no eou clientless password
hostname(config)#
NAC Framework セッションアトリビュートの変更
ASA には、適応型セキュリティアプライアンスとリモートホスト間の通信を指定するアトリビュート
のデフォルト設定があります。これらのアトリビュートで、リモートホストのポスチャエージェント
と通信するポート番号、およびポスチャエージェントとの通信を制限する有効制限カウンタを指定し
ます。これらのアトリビュート、デフォルト設定、およびそれらを変更するために入力できるコマンド
は次のとおりです。
• ポスチャエージェントの EAP over UDP の通信に使用するクライアントエンドポイントのポート
番号。
デフォルトのポート番号は 21862 です。変更するには、グローバルコンフィギュレーションモー
ドで次のコマンドを入力します。
eou port port_number
port_number は、CTA で設定されているポート番号に一致する必要があります。値は 1024 ～
65535 の範囲で入力します。
たとえば、EAP over UDP 通信のポート番号を 62445 に変更するには次のコマンドを入力します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-10
OL-18970-01-J
第 67 章
ネットワークアドミッションコントロールの設定
グローバルな NAC Framework 設定の変更
hostname(config)# eou port 62445
hostname(config)#
ポート番号をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。
no eou port
次に例を示します。
hostname(config)# no eou port
hostname(config)#
• 再送信リトライタイマー
適応型セキュリティアプライアンスは EAP over UDP メッセージをリモートホストに送信する場
合、応答を待ちます。n 秒以内に応答を受信できない場合、EAP over UDP メッセージを再送信し
ます。デフォルトでは、再送信タイマーは 3 秒です。この値を変更するには、グローバルコン
フィギュレーションモードで次のコマンドを入力します。
eou timeout retransmit seconds
seconds は、1 ～ 60 の範囲の値です。
次の例では、再送信タイマーを 6 秒に変更します。
hostname(config)# eou timeout retransmit 6
hostname(config)#
再送信リトライタイマーをそのデフォルト値に変更するには、このコマンドの no 形式を次のよう
に使用します。
no eou timeout retransmit
次に例を示します。
hostname(config)# no eou timeout retransmit
hostname(config)#
• 再送信リトライ
適応型セキュリティアプライアンスは EAP over UDP メッセージをリモートホストに送信する場
合、応答を待ちます。応答を受信できない場合、EAP over UDP メッセージを再送信します。デ
フォルトでは、3 回まで再送信されます。この値を変更するには、グローバルコンフィギュレー
ションモードで次のコマンドを入力します。
eou max-retry retries
retries は、1 ～ 3 の範囲の値です。
次の例では、EAP over UDP 再送信の数を 1 に制限します。
hostname(config)# eou max-retry 1
hostname(config)#
再送信リトライの最大回数をそのデフォルト値に変更するには、このコマンドの no 形式を次のよ
うに使用します。
no eou max-retry
次に例を示します。
hostname(config)# no eou max-retry
hostname(config)#
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
67-11
第 67 章
ネットワークアドミッションコントロールの設定
グローバルな NAC Framework 設定の変更
• セッション再初期化タイマー
再送信リトライカウンタと max-retry 値が一致すると、適応型セキュリティアプライアンスはリ
モートホストとの EAP over UDP セッションを終了し、保持タイマーを起動します。保持タイ
マーが n 秒になると、適応型セキュリティアプライアンスは、リモートホストとの新しい EAP
over UDP セッションを確立します。デフォルトでは、新規セッションを確立するまでの最大待機
秒数は 180 秒です。この値を変更するには、グローバルコンフィギュレーションモードで次のコ
マンドを入力します。
eou timeout hold-period seconds
seconds は、60 ～ 86400 の範囲の値です。
たとえば、新しい EAP over UDP アソシエーションを開始するまでの待機期間を 120 秒に変更す
るには次のコマンドを入力します。
hostname(config)# eou timeout hold-period 120
hostname(config)#
セッションの再初期化をそのデフォルト値に変更するには、このコマンドの no 形式を次のように
使用します。
no eou timeout hold-period
次に例を示します。
hostname(config)# no eou timeout hold-period
hostname(config)#
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
67-12
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz