![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
JP1/NETM/Client Security Control
認証サーバを構築します。認証サーバには次に示すプログラムをインストールおよびセットアップします。
- Microsoft Internet Authentication ServiceまたはNetwork Policy Server
- JP1/NETM/CSC - Agent
- 注意
- JP1/NETM/CSC - Agentのインストールとセットアップは「13.2.3 ネットワーク制御機器を設定する(動的VLAN環境の場合)」または「13.2.4 ネットワーク制御機器を設定する(固定VLAN環境の場合)」を実施したあとに行ってください。
- <この項の構成>
- (1) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのインストール
- (2) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップ
- (3) JP1/NETM/CSC - Agentのインストール
- (4) JP1/NETM/CSC - Agentのセットアップ
(1) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのインストール
Microsoft Internet Authentication ServiceまたはNetwork Policy Serverを認証サーバにインストールします。インストールには前提OSのWindowsのインストール媒体を使用します。インストールの詳細は,Microsoft社のホームページやWindowsヘルプでMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに関するドキュメントを参照してください。
(2) Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップ
Microsoft Internet Authentication ServiceまたはNetwork Policy Serverのセットアップをします。なお,次に示すようなMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverの動作設定は済ませていることを前提としています。
- 接続要求ポリシーの設定
ポリシー名,ポリシー条件などを設定します。
- リモートアクセスポリシーの設定
ポリシー名,アクセス方法,認証方法などを設定します。
動的VLAN環境の場合,リモートアクセスポリシーのTunnel-Pvt-Group-IDにはクライアントが安全なときに接続する社内ネットワークのVLAN-IDを指定します。このVLAN-IDはスイッチでVLANを作成するときに使用します。
- RADIUSクライアントの設定
スイッチのIPアドレス,クライアントベンダ,共有キーなどを設定します。
JP1/NETM/CSCと連携するために必要なMicrosoft Internet Authentication ServiceおよびNetwork Policy Serverのセットアップについて説明します。
- 暗号化を元に戻せる状態でパスワードを保存する設定
- IEEE802.1X認証方式の場合,暗号化を元に戻せる状態でパスワードを保存する設定をします。認証サーバでActive Directoryを構築している場合と,構築していない場合で方法が異なります。
- Active Directoryを構築している場合
[ドメインセキュリティポリシー]−[セキュリティの設定]−[アカウントポリシー]−[パスワードのポリシー]で,「暗号化を元に戻せる状態でパスワードを保存する」を有効にします。
パスワード登録が済んでいる場合は,「暗号化を元に戻せる状態でパスワードを保存する」を有効にしたあと,[Active Directory ユーザとコンピュータ]−[Users]−[対象ユーザ]でパスワードをリセットして,設定し直してください。
- Active Directoryを構築していない場合
[ローカルセキュリティポリシー]−[セキュリティの設定]−[アカウントポリシー]−[パスワードのポリシー]で,「暗号化を元に戻せる状態でパスワードを保存する」を有効にします。
- リモートアクセスポリシーの認証方法の設定
- IEEE802.1X認証方式の場合,リモートアクセスポリシーの認証方法は「MD5-Challenge」または「保護されたEAP(PEAP)」を選択します。MAC認証方式の場合は設定不要です。
セットアップの詳細は,Microsoft社のホームページやWindowsヘルプでMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに関するドキュメントを参照してください。
(3) JP1/NETM/CSC - Agentのインストール
JP1/NETM/CSC - Agentを認証サーバにインストールします。
JP1/NETM/CSC - Agentのインストールの詳細については,「5.7.1 JP1/NETM/CSC - Agentのインストール」を参照してください。
- 注意
- OSがWindows Server 2008の場合,次に示すフォルダに対して,ユーザ「NETWORK SERVICE」のアクセス権限をフルコントロールに変更してください。
- JP1/NETM/CSC - Agentのインストール先フォルダ\log
- JP1/NETM/CSC - Agentのインストール先フォルダ\trace
- JP1/NETM/CSC - Agentのインストール先フォルダ\radius\log
(4) JP1/NETM/CSC - Agentのセットアップ
JP1/NETM/CSC - Agentをインストールしたあと,JP1/NETM/CSC - Agentを開始するまでに,必ずJP1/NETM/CSC - Agentをセットアップしてください。
JP1/NETM/CSC - Agentのセットアップに必要な情報は,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定します。
[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログには二つの画面があり,それぞれタブをクリックして選択します。[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを次の図に示します。
図13-7 [JP1/NETM/Client Security Control - Agent セットアップ]ダイアログ
[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定する内容について,次の表に示します。
表13-5 [JP1/NETM/Client Security Control - Agent セットアップ]ダイアログで設定する内容
選択するタブ 内容 「基本設定」タブ 設定済みのJP1/NETM/CSC - Agentの環境設定情報を表示したり,環境設定情報を変更したりできます。 「IAS」タブ 認証サーバと連携する場合だけ使用します。JP1/NETM/CSC - Agentの環境設定情報を表示したり,環境設定情報を変更したりできます。
なお,このタブは「基本設定」タブの「ネットワーク制御製品情報」に「Internet Authentication Service」を指定すると表示され,選択できるようになります。
- 注
- 認証サーバとの連携は,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログの「基本設定」タブおよび「IAS」タブで設定します。
[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを表示して,項目を設定する手順を次に示します。
- [スタート]ボタンをクリックして[プログラム]−[JP1_NETM_Client Security Control]をポイントし,次に[エージェントセットアップ]を選択する。
[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログが表示されます。
- タブを選択して,項目に値を設定する。
項目を選択すると,値や文字列を入力するボックスが項目一覧の下に表示されます。入力ボックスで値や文字列を直接入力するか,プルダウンメニューから値を選択します。
詳細については「(a) 「基本設定」タブでの操作」および「(b) 「IAS」タブでの操作」を参照してください。
- [OK]ボタンをクリックする。
指定した内容でJP1/NETM/CSC - Agentの環境が設定されて,[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログが閉じます。
環境設定をしないで[JP1/NETM/Client Security Control - Agent セットアップ]ダイアログを閉じるには,[キャンセル]ボタンをクリックします。
(a) 「基本設定」タブでの操作
「基本設定」タブでは,JP1/NETM/CSC - Agentの環境設定情報を表示したり,変更したりできます。
「基本設定」タブを次の図に示します。
図13-8 「基本設定」タブ
「基本設定」タブで確認および設定できる項目を次の表に示します。
表13-6 「基本設定」タブで確認および設定できる項目
項目 内容 設定値 初期環境設定時のデフォルト マネージャー通信環境情報 IPアドレス JP1/NETM/CSC - ManagerのIPアドレスです。 IPv4形式(xxx.xxx.xxx.xxx) − ポート番号 JP1/NETM/CSC - Agentとの通信に使用するJP1/NETM/CSC - Managerのポート番号です。JP1/NETM/CSC - Managerの「基本設定」タブで指定する「マネージャー通信環境情報」の「要求受付ポート番号」と同じポート番号を入力してください。 1024〜65535 22340 エージェント通信環境情報 ポート番号 JP1/NETM/CSC - Agentのポート番号です。JP1/NETM/CSC - Managerのエージェント情報の追加画面で登録するポート番号と同じポート番号を入力してください。 1024〜65535 22345 ネットワーク制御製品情報 名称 連携するネットワーク制御製品の名称です。 Internet Authentication Service※ JP1/NETM/Network Monitor ログ情報 ログファイルサイズ JP1/NETM/CSC - Agentのログファイルの最大サイズ(単位:キロバイト)を指定します。 1〜2097151 1024 ログファイル数 JP1/NETM/CSC - Agentのログファイルの最大数を指定します。 1〜999 10 クラスタ情報 クラスタ環境 JP1/NETM/CSC - Agentをクラスタ環境で運用するかどうかを指定します。 運用する/運用しない 運用しない 論理IPアドレス クラスタ環境で使用する論理IPアドレスを指定します。 IPv4形式(xxx.xxx.xxx.xxx) − 共有ディスク クラスタ環境で使用する共有ディスクパスを指定します。 フルパス − 監査ログ情報 監査ログ JP1/NETM/Auditで収集するための監査ログを出力するかどうかを指定します。 出力する/出力しない 出力しない
- (凡例)
- −:設定なし
- 注※
- Network Policy Serverの場合も,Internet Authentication Serviceを指定してください。
- 注意
- ネットワーク制御製品情報は,Microsoft Internet Authentication Serviceのサービスを停止してから選択してください。Microsoft Internet Authentication Serviceのサービスが動作している状態で選択すると,[OK]ボタンをクリックしたときにエラーになります。なお,Network Policy Serverの場合も同様です。
- 参考
- ログ情報には,JP1/NETM/CSC - Agentの開始や終了などの情報や,ネットワーク制御製品との接続情報などが記録されます。
(b) 「IAS」タブでの操作
「IAS」タブでは,認証サーバ連携のため,JP1/NETM/CSC - AgentとMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverとの連携の環境設定情報の表示,変更ができます。
なお,「IAS」タブで設定を変更するときは,Microsoft Internet Authentication Serviceのサービスが停止していることを確認してください。Microsoft Internet Authentication Serviceのサービスが動作しているとエラーとなり,設定を変更できません。Network Policy Serverの場合も同様です。
「IAS」タブを次の図に示します。
図13-9 「IAS」タブ
「IAS」タブで確認および設定できる項目を次の表に示します。
表13-7 「IAS」タブで確認および設定できる項目
項目 内容 設定値 初期環境設定時のデフォルト 未登録資産の接続情報 ネットワーク種別 クライアントが接続制御リストに登録されていない場合に,クライアントが接続するネットワークを指定します。
- 検疫ネットワークに接続させる場合「検疫」を指定します。
- ネットワークに接続させない場合,「拒否」を指定します。
- 社内ネットワークに接続させる場合,「通常」を指定します。
- 認証前ネットワークに接続させる場合,「認証前」を指定します。
検疫 / 拒否 / 通常 / 認証前 検疫 拒否資産の接続情報 ネットワーク種別 クライアントが接続制御リストで,拒否になっていた場合に,クライアントが接続するネットワークを指定します。
- 検疫ネットワークに接続させる場合「検疫」を指定します。
- ネットワークに接続させない場合,「拒否」を指定します。
- 認証前ネットワークに接続させる場合,「認証前」を指定します。
検疫 / 拒否 / 認証前 検疫 VLAN情報※1 検疫VLAN 検疫ネットワークのVLAN-IDを指定します。 1〜4095※2 10 拒否VLAN スイッチにネットワークとして割り当てていないVLAN-IDを指定します。 1〜4095※2 10 接続履歴情報 接続履歴ファイルサイズ クライアントの接続履歴を登録するファイルのサイズです。
最大サイズ(単位:キロバイト)を指定します。1〜2097151 1024 接続履歴ファイル数 作成する接続履歴ファイルの最大数を指定します。 1〜999 100 メッセージ通知情報 メッセージ通知※3,※4 クライアントに接続先のネットワークを知らせるためのメッセージ通知の有無を指定します。 通知する / 通知しない 通知しない 通常ネットワーク時 クライアントが社内ネットワークに接続されたときに,クライアントに通知するメッセージの内容を1〜1,024バイトまでの文字列で入力します。 文字列 通常ネットワークに接続しました。 検疫ネットワーク時 クライアントが検疫ネットワークに接続されたときに,クライアントに通知するメッセージの内容を1〜1,024バイトまでの文字列で入力します。 文字列 脆弱なマシンと判定したので検疫ネットワークに接続しました。必要な対策を実施して,マシンを再起動してください。 通知コマンド クライアントにメッセージを通知するときに使用するコマンドです。
コマンドラインを1〜1,024バイトまでの文字列で入力します。文字列 net send %1 %2※5
- 注※1
- 社内ネットワークのVLAN-ID(通常VLAN)はJP1/NETM/CSC - Agentでは設定しません。社内ネットワークのVLAN-IDは,Microsoft Internet Authentication ServiceまたはNetwork Policy ServerのリモートアクセスポリシーのTunnel-Pvt-Group-IDに指定したVLAN-IDです。
- 注※2
- VLAN-IDの有効範囲は,使用するスイッチによって異なります。拒否VLANもスイッチの有効範囲内のVLAN-IDを指定してください。
- 詳細は,スイッチのマニュアルを参照してください。
- 注※3
- メッセージ通知を「通知する」に設定すると,クライアントの認証(再認証)が行われるたび,クライアントにメッセージが通知されます。
- 注※4
- 認証サーバのOSがWindows Server 2008の場合,メッセージ通知機能は使用できません。
- 注※5
- %1および%2は可変値です。通知コマンドの実行時にそれぞれ次の値に置き換わります。
- %1:メッセージを通知するクライアントのIPアドレス
- %2:メッセージ通知情報の通常ネットワーク時または検疫ネットワーク時に指定した文字列
- 参考
- 未登録資産の接続情報に「拒否」を設定すると,接続制御リストに登録されていないクライアントや,不正PCをネットワークに接続させない運用ができます。
- ただし,新規クライアントをネットワークに追加するとき,クライアントの情報が接続制御リストに自動で登録されないため,オフラインマシンからインベントリ情報を取得する必要があります。
- 詳細は,「14.2.6 新規クライアントをネットワークに追加する」を参照してください。
All Rights Reserved. Copyright (C) 2009, 2011, Hitachi, Ltd.
(C) 1998-2004 Trend Micro Incorporated. All rights reserved.
![[図データ]](FIGURE/ZU131100.GIF)
![[図データ]](FIGURE/ZU131200.GIF)
![[図データ]](FIGURE/ZU131300.GIF)