認証サーバと連携した検疫システムでは,JP1/NETM/CSC - Agentの接続制御リストに基づいて,クライアントのネットワーク接続を制御します。
ここでは,接続制御リストについて次の内容を説明します。
(1) 接続制御リストに登録される内容
接続制御リストは,ネットワーク接続の制御のアクションによって更新・登録されます。クライアントを認証するときに,接続制御リストの登録内容によって,クライアントの接続先が決定されます。
接続制御リストには,アクションの実行によってクライアントの次の情報が登録されます。
また,アクションによって登録・更新される接続制御リストの内容を次の表に示します。
表14-4 アクションによって登録・更新される接続制御リストの内容
項番 | アクション | 接続制御リストの内容 | |||
---|---|---|---|---|---|
許可として 登録済みの場合 | 拒否として 登録済みの場合 | 緊急拒否として登録済みの場合 | 未登録の場合 | ||
1 | ネットワーク接続の許可 | 接続情報は変更しない。 IPアドレスに変更があれば更新する。 | 接続情報を拒否から許可に変更する。 IPアドレスに変更があれば更新する。 | 接続情報を緊急拒否から許可に変更する。 IPアドレスに変更があれば更新する。 | MACアドレス,IPアドレスを新規に追加し,接続情報を許可にして登録する。 |
2 | ネットワーク接続の拒否 | 接続情報を許可から拒否に変更する。 IPアドレスに変更があれば更新する。 | 接続情報は変更しない。 IPアドレスに変更があれば更新する。 | 接続情報は変更しない。 IPアドレスに変更があれば更新する。 | MACアドレス,IPアドレスを新規に追加し,接続情報を拒否にして登録する。 |
3 | ネットワーク接続の緊急拒否 | 接続情報を許可から緊急拒否に変更する。 IPアドレスに変更があれば更新する。 | 接続情報は変更しない。 IPアドレスに変更があれば更新する。 | 接続情報は変更しない。 IPアドレスに変更があれば更新する。 | MACアドレス,IPアドレスを新規に追加し,接続情報を緊急拒否にして登録する。 |
(2) 接続制御リストが更新されるタイミング
接続制御リストを更新するには,クライアントの危険レベルを判定して,アクションを実行する必要があります。しかし,認証サーバがクライアントの認証を完了するまでは,クライアントがネットワークに接続できないため,管理サーバに最新のインベントリ情報を通知することができません。
接続制御リストが更新されるタイミングを次の図に示します。
図14-26 接続制御リストが更新されるタイミング
上記の図のとおり,クライアントがネットワークに接続したあと,最新のインベントリ情報によって接続制御リストが更新されます。
(3) 接続制御リストによるネットワーク接続の制御についての注意事項
接続制御リストによってクライアントのネットワーク接続の制御が行われるのは,IEEE802.1X認証方式またはMAC認証方式でクライアントの認証が完了したときです。
クライアントの使用者は認証を完了したあと,自動的にネットワークへの接続を制御されるため,クライアントの使用者への通知として次の二つを設定しておくことをお勧めします。
(4) 接続制御リストの管理用のコマンド
接続制御リストを管理するために使用するコマンドを次の表に示します。
表14-5 接続制御リストの管理用コマンド一覧
項番 | コマンド名 | 説明 |
---|---|---|
1 | cscrexport | 接続制御リストをCSV形式のファイルにエクスポートします。 エクスポートしたあとのファイルを使用して,接続制御リストに登録されている内容を確認したり,クライアントの情報を編集したりできます。 |
2 | cscrimport | 管理者が作成したエクスポートファイルや,cscrexportコマンドでエクスポートした接続制御リストをJP1/NETM/CSC - Agentにインポートします。 接続制御リストをCSV形式のテキストファイルで編集した場合や,エクスポートしたときの状態に戻したい場合に使用します。 |
3 | cscrdelete | 接続制御リストに登録済みのクライアントの情報を削除します。 クライアントをネットワークから撤去する場合に使用します。 |
なお,コマンドの形式などの詳細は「15. コマンド」を参照してください。
(5) 接続制御リストの編集
接続制御リストは通常,認証サーバのJP1/NETM/CSC - Agentによって更新されますが,管理者が任意にCSV形式のテキストデータで作成および編集できます。
作成したあとは,データをcscrimportコマンドでインポートしてください。なお,接続制御リストの形式などの詳細については,「16.16 インポートファイル」を参照してください。