CSM 3.x:ユーザ権限とロールのセットアップ

ダウンロード オプション

  • PDF     (463.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (88.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (112.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 5 月 14 日
Document ID:91762

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Security Manager(CSM)のユーザに権限とロールをセットアップする方法について説明します。

前提条件

要件

このドキュメントでは、CSMがインストールされ、適切に動作していることを前提としています。

使用するコンポーネント

このドキュメントの情報は、CSM 3.1に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

ユーザ権限の設定

Cisco Security Managerでは、ログインする前にユーザ名とパスワードを認証します。認証後、Security Managerによってアプリケーション内にロールが確立されます。このロールは、実行する権限を持つタスクまたは操作のセットであるユーザーの権限(権限とも呼ばれます)を定義します。特定のタスクまたはデバイスに対して承認されていない場合、関連するメニュー項目、目次の項目、およびボタンは非表示または無効になります。また、選択した情報を表示する権限または選択した操作を実行する権限がないことを示すメッセージが表示されます。

Security Managerの認証と許可は、CiscoWorksサーバ(ACS)またはCisco Secure Access Control Server(ACS)によって管理されます。 デフォルトでは、CiscoWorksは認証と認可を管理しますが、CiscoWorks Common ServicesのAAA Mode Setupページを使用してCisco Secure ACSに変更できます。

Cisco Secure ACSを使用する主な利点は、特殊なアクセス許可セットを使用して詳細なユーザロールを作成する機能(たとえば、ユーザが特定のポリシータイプのみを設定できる機能)と、ネットワークデバイスグループ(NDG)を設定してユーザを特定のデバイスに制限する機能です。

次のトピックでは、ユーザ権限について説明します。

セキュリティマネージャの権限

Security Managerは、次のように権限をカテゴリに分類します。

  1. 表示:現在の設定を表示できます。詳細については、「権限の表示」を参照してください。

  2. 修正:現在の設定を変更できます。詳細については、「権限の変更」を参照してください。

  3. Assign:デバイスとVPNトポロジにポリシーを割り当てることができます。詳細については、「権限の割り当て」を参照してください。

  4. 承認:ポリシーの変更と導入ジョブを承認できます。詳細については、「権限の承認」を参照してください。

  5. インポート:デバイスにすでに展開されている設定をSecurity Managerにインポートできます。

  6. Deploy:設定変更をネットワーク内のデバイスに展開し、ロールバックを実行して以前に展開した設定に戻ることができます。

  7. 制御:デバイスにpingなどのコマンドを発行できます。

  8. Submit:設定変更を承認のために送信できます。

  • 変更、割り当て、承認、インポート、制御、または展開の権限を選択する場合は、対応する表示権限も選択する必要があります。そうしないと、セキュリティマネージャが正しく機能しません。

  • [ポリシー権限の変更]を選択した場合は、対応する割り当て権限とビューポリシー権限も選択する必要があります。

  • ポリシーオブジェクトを定義の一部として使用するポリシーを許可する場合は、これらのオブジェクトタイプに対して表示権限も付与する必要があります。たとえば、ルーティングポリシーを変更する権限を選択する場合、ネットワークオブジェクトとインターフェイスロールを表示する権限も選択する必要があります。ネットワークオブジェクトとインターフェイスロールは、ルーティングポリシーに必要なオブジェクトタイプです。

  • 定義の一部として他のオブジェクトを使用するオブジェクトを許可する場合も、同様です。たとえば、ユーザグループを変更する権限を選択する場合、ネットワークオブジェクト、ACLオブジェクト、およびAAAサーバグループを表示する権限も選択する必要があります。

権限の表示

Security Managerの表示(読み取り専用)権限は、次に示すカテゴリに分類されます。

ポリシー権限の表示

Security Managerには、ポリシーに対する次の表示権限が含まれています。

  1. View > Policies > Firewallの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのファイアウォールサービスポリシー(Firewallの下のポリシーセレクタに表示)を表示できます。ファイアウォールサービスポリシーの例としては、アクセスルール、AAAルール、インスペクションルールなどがあります。

  2. View > Policies > Intrusion Prevention Systemの順に選択します。IOSルータで実行されているIPSのポリシーを含む、IPSポリシー(IPSの下のポリシーセレクタに表示されます)を表示できます。

  3. View > Policies > Imageの順に選択します。Tools > Apply IPS Updateの下にあるApply IPS Updatesウィザードでシグニチャ更新パッケージを選択できますが、Modify > Policies > Imageの権限を持っていない限り、特定のデバイスにパッケージを割り当てることはできません。

  4. View > Policies > NATの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータ上のネットワークアドレス変換(NAT)ポリシーを表示できます。NATポリシーの例としては、スタティックルールやダイナミックルールなどがあります。

  5. View > Policies > Site-to-Site VPNの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイス上のサイト間VPNポリシーを表示できます。サイト間VPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、事前共有キーなどがあります。

  6. View > Policies > Remote Access VPNの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスでリモートアクセスVPNポリシーを表示できます。リモートアクセスVPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、PKIポリシーなどがあります。

  7. View > Policies > SSL VPNの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータ上のSSL VPNポリシー(SSL VPNウィザードなど)を表示できます。

  8. View > Policies > Interfacesの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、IPSセンサー、およびCatalyst 6500/7600デバイスのインターフェイスポリシー(Interfacesの下のポリシーセレクタに表示されます)を表示できます。

    1. PIX/ASA/FWSMデバイスでは、この権限はハードウェアポートとインターフェイス設定を対象とします。

    2. IOSルータでは、この権限は、インターフェイスの基本設定と詳細設定、およびDSL、PVC、PPP、ダイヤラポリシーなどのインターフェイス関連の他のポリシーを対象としています。

    3. IPSセンサーでは、この権限は物理インターフェイスとサマリーマップを対象とします。

    4. Catalyst 6500/7600デバイスでは、この権限はインターフェイスとVLAN設定を対象とします。

  9. View > Policies > Bridgingの順に選択します。PIX/ASA/FWSMデバイスのARPテーブルポリシー(Platform > Bridgingの下のポリシーセレクタに表示されます)を表示できます。

  10. View > Policies > Device Administrationの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのデバイス管理ポリシー(Platform > Device Adminの下のPolicy Selectorにあります)を表示できます。

    1. PIX/ASA/FWSMデバイスでは、例として、デバイスアクセスポリシー、サーバアクセスポリシー、フェールオーバーポリシーなどがあります。

    2. IOSルータの例には、デバイスアクセス(回線アクセスを含む)ポリシー、サーバアクセスポリシー、AAA、セキュアデバイスプロビジョニングなどがあります。

    3. IPSセンサーでは、この権限はデバイスアクセスポリシーとサーバアクセスポリシーに適用されます。

    4. Catalyst 6500/7600デバイスでは、この権限はIDSM設定とVLANアクセスリストを対象とします。

  11. View > Policies > Identityの順に選択します。802.1xポリシーやネットワークアドミッションコントロール(NAC)ポリシーなど、Cisco IOSルータのアイデンティティポリシー(Platform > Identityの下のポリシーセレクタに表示されます)を表示できます。

  12. View > Policies > Loggingの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびIPSセンサーのロギングポリシー(Platform > Loggingの下のPolicyセレクタに表示)を表示できます。ロギングポリシーの例としては、ロギングセットアップ、サーバセットアップ、syslogサーバポリシーなどがあります。

  13. View > Policies > Multicastの順に選択します。PIX/ASA/FWSMデバイス上のマルチキャストポリシー(ポリシーセレクタのPlatform > Multicastの下にあります)を表示できます。マルチキャストポリシーの例としては、マルチキャストルーティングやIGMPポリシーなどがあります。

  14. View > Policies > QoSの順に選択します。Cisco IOSルータのQoSポリシー(Platform > Quality of Serviceの下のポリシーセレクタに表示)を表示できます。

  15. View > Policies > Routingの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータ上のルーティングポリシー(Platform > Routingの下のPolicy Selectorにあります)を表示できます。ルーティングポリシーの例としては、OSPF、RIP、スタティックルーティングポリシーなどがあります。

  16. View > Policies > Securityの順に選択します。PIX/ASA/FWSMデバイスおよびIPSセンサーのセキュリティポリシー(Platform > Securityの下のポリシーセレクタに表示)を表示できます。

    1. PIX/ASA/FWSMデバイスでは、アンチスプーフィング、フラグメント、およびタイムアウトの設定がセキュリティポリシーに含まれています。

    2. IPSセンサーでは、セキュリティポリシーにブロッキング設定が含まれています。

  17. 表示>ポリシー>サービスポリシールール。PIX 7.x/ASAデバイス上のサービスポリシールールポリシー(Platform > Service Policy Rulesの下のポリシーセレクタ内にあります)を表示できます。例としては、プライオリティキューやIPS、QoS、接続ルールなどがあります。

  18. View > Policies > User Preferencesの順に選択します。PIX/ASA/FWSMデバイスの導入ポリシー(Platform > User Preferencesの下のPolicyセレクタに表示)を表示できます。このポリシーには、導入時にすべてのNAT変換をクリアするためのオプションが含まれています。

  19. View > Policies > Virtual Deviceの順に選択します。IPSデバイスの仮想センサーポリシーを表示できます。このポリシーは、仮想センサーを作成するために使用されます。

  20. View > Policies > FlexConfigの順に選択します。FlexConfigを表示できます。これは、PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスに展開できる追加のCLIコマンドおよび手順です。

オブジェクトのアクセス許可の表示

Security Managerには、オブジェクトに対する次の表示権限が含まれています。

  1. View > Objects > AAA Server Groupsの順に選択します。AAAサーバグループオブジェクトを表示できます。これらのオブジェクトは、AAAサービス(認証、認可、アカウンティング)を必要とするポリシーで使用されます。

  2. View > Objects > AAA Serversの順に選択します。AAAサーバオブジェクトを表示できます。これらのオブジェクトは、AAAサーバグループの一部として定義された個々のAAAサーバを表します。

  3. View > Objects > Access Control Lists - Standard/Extendedの順に選択します。標準および拡張ACLオブジェクトを表示できます。拡張ACLオブジェクトは、NATやNACなどのさまざまなポリシーや、VPNアクセスの確立に使用されます。標準ACLオブジェクトは、OSPFやSNMPなどのポリシー、およびVPNアクセスの確立に使用されます。

  4. View > Objects > Access Control Lists - Webの順に選択します。Web ACLオブジェクトを表示できます。Web ACLオブジェクトは、SSL VPNポリシーでコンテンツフィルタリングを実行するために使用されます。

  5. 表示>オブジェクト> ASAユーザグループ。ASAユーザグループオブジェクトを表示できます。これらのオブジェクトは、Easy VPN、リモートアクセスVPN、およびSSL VPN設定のASAセキュリティアプライアンスで設定されます。

  6. 「ビュー」 > 「オブジェクト」 > 「カテゴリ」の順に選択します。カテゴリオブジェクトを表示できます。これらのオブジェクトを使用すると、色を使用して規則テーブル内の規則やオブジェクトを簡単に識別できます。

  7. View > Objects > Credentialsの順に選択します。クレデンシャルオブジェクトを表示できます。これらのオブジェクトは、IKE拡張認証(Xauth)中にEasy VPN設定で使用されます。

  8. View > Objects > FlexConfigsの順に選択します。FlexConfigオブジェクトを表示できます。これらのオブジェクトには、追加のスクリプト言語の命令を伴う設定コマンドが含まれており、Security Managerのユーザインターフェイスでサポートされていないコマンドの設定に使用できます。

  9. 表示>オブジェクト> IKEプロポーザルIKEプロポーザルオブジェクトを表示できます。これらのオブジェクトには、リモートアクセスVPNポリシーのIKEプロポーザルに必要なパラメータが含まれています。

  10. View > Objects > Inspect - Class Maps - DNSの順に選択します。DNSクラスマップオブジェクトを表示できます。これらのオブジェクトは、DNSトラフィックに対してアクションを実行できるように、特定の基準に基づいてDNSトラフィックを照合します。

  11. View > Objects > Inspect - Class Maps - FTPの順に選択します。FTPクラスマップオブジェクトを表示できます。これらのオブジェクトは、特定の基準でFTPトラフィックを照合し、そのトラフィックに対してアクションを実行できるようにします。

  12. View > Objects > Inspect - Class Maps - HTTPの順に選択します。HTTPクラスマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックに対してアクションを実行できるように、特定の基準でHTTPトラフィックを照合します。

  13. View > Objects > Inspect - Class Maps - IMの順に選択します。IMクラスマップオブジェクトを表示できます。これらのオブジェクトは、そのトラフィックに対してアクションを実行できるように、特定の基準でIMトラフィックを照合します。

  14. View > Objects > Inspect - Class Maps - SIPの順に選択します。SIPクラスマップオブジェクトを表示できます。これらのオブジェクトは、SIPトラフィックに対してアクションを実行できるように、特定の基準でSIPトラフィックを照合します。

  15. [表示] > [オブジェクト] > [検査] - [ポリシーマップ] - [DNS]DNSポリシーマップオブジェクトを表示できます。これらのオブジェクトは、DNSトラフィックのインスペクションマップを作成するために使用されます。

  16. View > Objects > Inspect - Policy Maps - FTPの順に選択します。FTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、FTPトラフィックのインスペクションマップを作成するために使用されます。

  17. View > Objects > Inspect - Policy Maps - GTPの順に選択します。GTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、GTPトラフィックのインスペクションマップを作成するために使用されます。

  18. View > Objects > Inspect - Policy Maps - HTTP(ASA7.1.x/PIX7.1.x/IOS)の順に選択します。 ASA/PIX 7.1.xデバイスおよびIOSルータ用に作成されたHTTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックのインスペクションマップを作成するために使用されます。

  19. View > Objects > Inspect - Policy Maps - HTTP(ASA7.2/PIX7.2)の順に選択します。 ASA 7.2/PIX 7.2デバイス用に作成されたHTTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックのインスペクションマップを作成するために使用されます。

  20. View > Objects > Inspect - Policy Maps - IM(ASA7.2/PIX7.2)の順に選択します。 ASA 7.2/PIX 7.2デバイス用に作成されたIMポリシーマップオブジェクトを表示できます。これらのオブジェクトは、IMトラフィックのインスペクションマップを作成するために使用されます。

  21. View > Objects > Inspect - Policy Maps - IM(IOS)の順に選択します。 IOSデバイス用に作成されたIMポリシーマップオブジェクトを表示できます。これらのオブジェクトは、IMトラフィックのインスペクションマップを作成するために使用されます。

  22. View > Objects > Inspect - Policy Maps - SIPの順に選択します。SIPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、SIPトラフィックのインスペクションマップを作成するために使用されます。

  23. View > Objects > Inspect – 正規表現。正規表現オブジェクトを表示できます。これらのオブジェクトは、正規表現グループの一部として定義された個々の正規表現を表します。

  24. View > Objects > Inspect - Regular Expressions Groupsの順に選択します。正規表現グループオブジェクトを表示できます。これらのオブジェクトは、特定のクラスマップによって使用され、パケット内のテキストと一致するようにマップを検査します。

  25. View > Objects > Inspect - TCP Mapsを選択します。TCPマップオブジェクトを表示できます。これらのオブジェクトは、両方向のTCPフローの検査をカスタマイズします。

  26. View > Objects > Interface Rolesを選択します。インターフェイスロールオブジェクトを表示できます。これらのオブジェクトは、異なるタイプのデバイス上の複数のインターフェイスを表すことができる命名パターンを定義します。インターフェイスロールを使用すると、各インターフェイスの名前を手動で定義しなくても、複数のデバイス上の特定のインターフェイスにポリシーを適用できます。

  27. View > Objects > IPsec Transform Setsの順に選択します。IPSecトランスフォームセットオブジェクトを表示できます。これらのオブジェクトは、セキュリティプロトコル、アルゴリズム、およびその他の設定の組み合わせで構成され、IPSecトンネル内のデータの暗号化および認証方法を正確に指定します。

  28. View > Objects > LDAP Attribute Mapsの順に選択します。LDAP属性マップオブジェクトを表示できます。これらのオブジェクトは、カスタム(ユーザ定義)属性名をCisco LDAP属性名にマッピングするために使用されます。

  29. View > Objects > Networks/Hostsの順に選択します。ネットワーク/ホスト・オブジェクトを表示できます。これらのオブジェクトは、ネットワーク、ホスト、またはその両方を表すIPアドレスの論理的な集合です。ネットワーク/ホストオブジェクトを使用すると、各ネットワークまたはホストを個別に指定しなくてもポリシーを定義できます。

  30. 「表示」 > 「オブジェクト」 > 「PKI登録」の順に選択します。PKI登録オブジェクトを表示できます。これらのオブジェクトは、公開キーインフラストラクチャ内で動作する証明機関(CA)サーバーを定義します。

  31. View > Objects > Port Forwarding Listsの順に選択します。ポート転送リストオブジェクトを表示できます。これらのオブジェクトは、リモートクライアント上のポート番号と、アプリケーションのIPアドレスおよびSSL VPNゲートウェイの背後にあるポートとのマッピングを定義します。

  32. View > Objects > Secure Desktop Configurationsの順に選択します。セキュアなデスクトップ設定オブジェクトを表示できます。これらのオブジェクトは再利用可能な名前付きコンポーネントであり、SSL VPNポリシーで参照できるため、SSL VPNセッションの間に共有される機密データのトレースをすべて確実に排除できます。

  33. View > Objects > Services - Port Listsの順に選択します。ポート・リスト・オブジェクトを表示できます。これらのオブジェクトは、1つまたは複数のポート番号の範囲を含み、サービスオブジェクトの作成プロセスを合理化するために使用されます。

  34. View > Objects > Services/Service Groups:サービスおよびサービスグループオブジェクトを表示できます。これらのオブジェクトは、ポリシーで使用されるKerberos、SSH、POP3などのネットワークサービスを説明するプロトコル定義とポート定義のマッピングです。

  35. View > Objects > Single Sign On Serversの順に選択します。シングル・サインオン・サーバー・オブジェクトを表示できます。シングルサインオン(SSO)を使用すると、SSL VPNユーザはユーザ名とパスワードを1回入力するだけで、保護された複数のサービスやWebサーバにアクセスできます。

  36. View > Objects > SLA Monitorsの順に選択します。SLAモニタオブジェクトを表示できます。これらのオブジェクトは、バージョン7.2以降を実行するPIX/ASAセキュリティアプライアンスでルートトラッキングを実行するために使用されます。この機能は、プライマリルートの可用性を追跡し、プライマリルートに障害が発生した場合にバックアップルートをインストールする方法を提供します。

  37. View > Objects > SSL VPN Customizationsの順に選択します。SSL VPNカスタマイズオブジェクトを表示できます。これらのオブジェクトは、ログイン/ログアウトやホームページなど、ユーザに表示されるSSL VPNページの外観を変更する方法を定義します。

  38. View > Objects > SSL VPN Gatewaysを選択します。SSL VPNゲートウェイオブジェクトを表示できます。これらのオブジェクトは、SSL VPN内の保護されたリソースへの接続のプロキシとしてゲートウェイを使用できるようにするパラメータを定義します。

  39. 「ビュー」 > 「オブジェクト」 > 「スタイルオブジェクト」スタイルオブジェクトを表示できます。これらのオブジェクトを使用すると、フォントの特性や色などのスタイル要素を設定して、SSL VPNユーザがセキュリティアプライアンスに接続したときに表示されるSSL VPNページの外観をカスタマイズできます。

  40. 「ビュー」 > 「オブジェクト」 > 「テキストオブジェクト」自由形式の文字オブジェクトを表示できます。これらのオブジェクトは、名前と値のペアで構成されます。値は、単一の文字列、文字列のリスト、または文字列のテーブルです。

  41. [表示] > [オブジェクト] > [時間範囲]時間範囲オブジェクトを表示できます。これらのオブジェクトは、時間ベースのACLとインスペクションルールを作成するときに使用されます。また、ASAユーザグループを定義して、VPNアクセスを特定の時間帯に制限するときにも使用されます。

  42. 表示>オブジェクト>トラフィックフロー。トラフィックフローオブジェクトを表示できます。これらのオブジェクトは、PIX 7.x/ASA 7.xデバイスで使用される特定のトラフィックフローを定義します。

  43. View > Objects > URL Listsの順に選択します。URLリストオブジェクトを表示できます。これらのオブジェクトは、ログインが成功した後にポータルページに表示されるURLを定義します。これにより、ユーザはクライアントレスアクセスモードで動作しているときに、SSL VPN Webサイトで利用可能なリソースにアクセスできます。

  44. View > Objects > User Groupsの順に選択します。ユーザー・グループ・オブジェクトを表示できます。これらのオブジェクトは、Easy VPNトポロジ、リモートアクセスVPN、およびSSL VPNで使用されるリモートクライアントのグループを定義します。

  45. View > Objects > WINS Server Listsの順に選択します。WINSサーバーのリストオブジェクトを表示できます。これらのオブジェクトはWINSサーバを表します。WINSサーバは、リモートシステム上のファイルにアクセスしたり、共有したりするためにSSL VPNによって使用されます。

  46. View > Objects > Internal - DN Rulesの順に選択します。DNポリシーで使用されるDNルールを表示できます。これは、Security Managerで使用される内部オブジェクトであり、Policy Object Managerには表示されません。

  47. View > Objects > Internal - Client Updatesの順に選択します。これは、Policy Object Managerに表示されないユーザグループオブジェクトに必要な内部オブジェクトです。

  48. View > Objects > Internal - Standard ACEsの順に選択します。これは、ACLオブジェクトによって使用される標準アクセスコントロールエントリ(ACE)の内部オブジェクトです。

  49. [表示] > [オブジェクト] > [内部 – 拡張ACE]。これは、拡張アクセスコントロールエントリ(ACE)の内部オブジェクトであり、ACLオブジェクトによって使用されます。

その他の表示権限

Security Managerには、次の追加の表示権限が含まれます。

  1. View > Adminを選択します。セキュリティマネージャの管理設定を表示できます。

  2. View > CLIを選択します。デバイスで設定されているCLIコマンドを表示し、導入されるコマンドをプレビューできます。

  3. View > Config Archiveを選択します。コンフィギュレーションアーカイブに含まれるコンフィギュレーションのリストを表示できます。デバイス設定やCLIコマンドは表示できません。

  4. View > Devicesの順に選択します。デバイスビューでデバイスを表示したり、デバイスの設定、プロパティ、割り当てなどの関連情報をすべて表示したりできます。

  5. View > Device Managersの順に選択します。CiscoルータやCisco IOSルータ用のSecurity Device Manager(SDM)など、個々のデバイスのデバイスマネージャの読み取り専用バージョンを起動できます。

  6. [表示] > [トポロジ]。マップビューで設定したマップを表示できます。

権限の変更

Security Managerの変更(読み取り/書き込み)権限は、次に示すカテゴリに分類されます。

ポリシー権限の変更

注:ポリシーの変更権限を指定する場合は、対応するポリシーの割り当ておよび表示の権限も選択していることを確認してください。

Security Managerには、ポリシーに対する次の変更権限が含まれています。

  1. Modify > Policies > Firewallの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのファイアウォールサービスポリシー(Firewallの下のポリシーセレクタに表示)を変更できます。ファイアウォールサービスポリシーの例としては、アクセスルール、AAAルール、インスペクションルールなどがあります。

  2. Modify > Policies > Intrusion Prevention Systemの順に選択します。IOSルータで実行されているIPSのポリシーを含む、IPSポリシー(IPSの下のポリシーセレクタに表示)を変更できます。この権限では、(Tools > Apply IPS Updateの下にある)Signature Updateウィザードでシグニチャを調整することもできます。

  3. Modify > Policies > Imageの順に選択します。Tools > Apply IPS Updateの下にあるApply IPS Updatesウィザードで、デバイスにシグニチャ更新パッケージを割り当てることができます。 この権限では、特定のデバイスに自動更新設定を割り当てることもできます([ツール] > [Security Manager Administration] > [IPS Updates]の順に選択します)。

  4. Modify > Policies > NATの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータのネットワークアドレス変換(NAT)ポリシーを変更できます。NATポリシーの例としては、スタティックルールやダイナミックルールなどがあります。

  5. Modify > Policies > Site-to-Site VPNの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのサイト間VPNポリシーを変更できます。サイト間VPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、事前共有キーなどがあります。

  6. Modify > Policies > Remote Access VPNの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのリモートアクセスVPNポリシーを変更できます。リモートアクセスVPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、PKIポリシーなどがあります。

  7. Modify > Policies > SSL VPNの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータ上のSSL VPNポリシー(SSL VPNウィザードなど)を変更できます。

  8. Modify > Policies > Interfacesの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、IPSセンサー、およびCatalyst 6500/7600デバイスのインターフェイスポリシー(Interfacesの下のポリシーセレクタに表示)を変更できます。

    1. PIX/ASA/FWSMデバイスでは、この権限はハードウェアポートとインターフェイス設定を対象とします。

    2. IOSルータでは、この権限は、インターフェイスの基本設定と詳細設定、およびDSL、PVC、PPP、ダイヤラポリシーなどのインターフェイス関連の他のポリシーを対象としています。

    3. IPSセンサーでは、この権限は物理インターフェイスとサマリーマップを対象とします。

    4. Catalyst 6500/7600デバイスでは、この権限はインターフェイスとVLAN設定を対象とします。

  9. Modify > Policies > Bridgingの順に選択します。PIX/ASA/FWSMデバイスのARPテーブルポリシー(Platform > Bridgingの下のポリシーセレクタにあります)を変更できます。

  10. Modify > Policies > Device Administrationの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスのデバイス管理ポリシー(Platform > Device Adminの下のポリシーセレクタにあります)を変更できます。

    1. PIX/ASA/FWSMデバイスでは、例として、デバイスアクセスポリシー、サーバアクセスポリシー、フェールオーバーポリシーなどがあります。

    2. IOSルータの例には、デバイスアクセス(回線アクセスを含む)ポリシー、サーバアクセスポリシー、AAA、セキュアデバイスプロビジョニングなどがあります。

    3. IPSセンサーでは、この権限はデバイスアクセスポリシーとサーバアクセスポリシーに適用されます。

    4. Catalyst 6500/7600デバイスでは、この権限はIDSM設定とVLANアクセスリストを対象とします。

  11. Modify > Policies > Identityの順に選択します。802.1xやネットワークアドミッションコントロール(NAC)ポリシーなど、Cisco IOSルータのアイデンティティポリシー(Platform > Identityの下のポリシーセレクタにあります)を変更できます。

  12. Modify > Policies > Loggingの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびIPSセンサーのロギングポリシー(Platform > Loggingの下のPolicyセレクタに表示)を変更できます。ロギングポリシーの例としては、ロギングセットアップ、サーバセットアップ、syslogサーバポリシーなどがあります。

  13. Modify > Policies > Multicastの順に選択します。PIX/ASA/FWSMデバイスでマルチキャストポリシーを変更できます(ポリシーセレクタのPlatform > Multicastにあります)。マルチキャストポリシーの例としては、マルチキャストルーティングやIGMPポリシーなどがあります。

  14. Modify > Policies > QoSの順に選択します。Cisco IOSルータのQoSポリシー(Platform > Quality of Serviceの下のポリシーセレクタに表示)を変更できます。

  15. Modify > Policies > Routingの順に選択します。PIX/ASA/FWSMデバイスおよびIOSルータのルーティングポリシーを変更できます(ポリシーセレクタのPlatform > Routingにあります)。ルーティングポリシーの例としては、OSPF、RIP、スタティックルーティングポリシーなどがあります。

  16. Modify > Policies > Securityの順に選択します。PIX/ASA/FWSMデバイスおよびIPSセンサーのセキュリティポリシーを変更できます(ポリシーセレクタのPlatform > Securityにあります)。

    1. PIX/ASA/FWSMデバイスでは、アンチスプーフィング、フラグメント、およびタイムアウトの設定がセキュリティポリシーに含まれています。

    2. IPSセンサーでは、セキュリティポリシーにブロッキング設定が含まれています。

  17. Modify > Policies > Service Policy Rulesの順に選択します。PIX 7.x/ASAデバイスでサービスポリシールールポリシー(Platform > Service Policy Rulesの下のポリシーセレクタにあります)を変更できます。例としては、プライオリティキューやIPS、QoS、接続ルールなどがあります。

  18. Modify > Policies > User Preferencesの順に選択します。PIX/ASA/FWSMデバイスの導入ポリシーを変更できます(ポリシーセレクタのPlatform > User Preferencesにあります)。このポリシーには、導入時にすべてのNAT変換をクリアするためのオプションが含まれています。

  19. Modify > Policies > Virtual Deviceの順に選択します。IPSデバイスの仮想センサーポリシーを変更できます。このポリシーを使用して、仮想センサーを作成します。

  20. Modify > Policies > FlexConfigの順に選択します。FlexConfigを変更できます。これは、PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスに展開できる追加のCLIコマンドおよび手順です。

オブジェクトの権限の変更

Security Managerには、オブジェクトに対する次の表示権限が含まれています。

  1. Modify > Objects > AAA Server Groupsの順に選択します。AAAサーバグループオブジェクトを表示できます。これらのオブジェクトは、AAAサービス(認証、認可、アカウンティング)を必要とするポリシーで使用されます。

  2. Modify > Objects > AAA Serversの順に選択します。AAAサーバオブジェクトを表示できます。これらのオブジェクトは、AAAサーバグループの一部として定義された個々のAAAサーバを表します。

  3. Modify > Objects > Access Control Lists - Standard/Extendedの順に選択します。標準および拡張ACLオブジェクトを表示できます。拡張ACLオブジェクトは、NATやNACなどのさまざまなポリシーや、VPNアクセスの確立に使用されます。標準ACLオブジェクトは、OSPFやSNMPなどのポリシー、およびVPNアクセスの確立に使用されます。

  4. Modify > Objects > Access Control Lists - Webの順に選択します。Web ACLオブジェクトを表示できます。Web ACLオブジェクトは、SSL VPNポリシーでコンテンツフィルタリングを実行するために使用されます。

  5. Modify > Objects > ASA User Groupsの順に選択します。ASAユーザグループオブジェクトを表示できます。これらのオブジェクトは、Easy VPN、リモートアクセスVPN、およびSSL VPN設定のASAセキュリティアプライアンスで設定されます。

  6. 「修正」 > 「オブジェクト」 > 「カテゴリ」の順にクリックします。カテゴリオブジェクトを表示できます。これらのオブジェクトを使用すると、色を使用して規則テーブル内の規則やオブジェクトを簡単に識別できます。

  7. Modify > Objects > Credentialsの順に選択します。クレデンシャルオブジェクトを表示できます。これらのオブジェクトは、IKE拡張認証(Xauth)中にEasy VPN設定で使用されます。

  8. Modify > Objects > FlexConfigsの順に選択します。FlexConfigオブジェクトを表示できます。これらのオブジェクトには、追加のスクリプト言語の命令を伴う設定コマンドが含まれており、Security Managerのユーザインターフェイスでサポートされていないコマンドの設定に使用できます。

  9. Modify > Objects > IKE Proposalsの順に選択します。IKEプロポーザルオブジェクトを表示できます。これらのオブジェクトには、リモートアクセスVPNポリシーのIKEプロポーザルに必要なパラメータが含まれています。

  10. Modify > Objects > Inspect - Class Maps - DNSの順に選択します。DNSクラスマップオブジェクトを表示できます。これらのオブジェクトは、DNSトラフィックに対してアクションを実行できるように、特定の基準に基づいてDNSトラフィックを照合します。

  11. Modify > Objects > Inspect - Class Maps - FTPの順に選択します。FTPクラスマップオブジェクトを表示できます。これらのオブジェクトは、特定の基準でFTPトラフィックを照合し、そのトラフィックに対してアクションを実行できるようにします。

  12. Modify > Objects > Inspect - Class Maps - HTTPの順に選択します。HTTPクラスマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックに対してアクションを実行できるように、特定の基準でHTTPトラフィックを照合します。

  13. Modify > Objects > Inspect - Class Maps - IMの順に選択します。IMクラスマップオブジェクトを表示できます。これらのオブジェクトは、そのトラフィックに対してアクションを実行できるように、特定の基準でIMトラフィックを照合します。

  14. Modify > Objects > Inspect - Class Maps - SIPの順に選択します。SIPクラスマップオブジェクトを表示できます。これらのオブジェクトは、SIPトラフィックに対してアクションを実行できるように、特定の基準でSIPトラフィックを照合します。

  15. Modify > Objects > Inspect - Policy Maps - DNSの順に選択します。DNSポリシーマップオブジェクトを表示できます。これらのオブジェクトは、DNSトラフィックのインスペクションマップを作成するために使用されます。

  16. Modify > Objects > Inspect - Policy Maps - FTPの順に選択します。FTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、FTPトラフィックのインスペクションマップを作成するために使用されます。

  17. Modify > Objects > Inspect - Policy Maps - HTTP(ASA7.1.x/PIX7.1.x/IOS)の順に選択します。 ASA/PIX 7.xデバイスおよびIOSルータ用に作成されたHTTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックのインスペクションマップを作成するために使用されます。

  18. Modify > Objects > Inspect - Policy Maps - HTTP(ASA7.2/PIX7.2)の順に選択します。 ASA 7.2/PIX 7.2デバイス用に作成されたHTTPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、HTTPトラフィックのインスペクションマップを作成するために使用されます。

  19. Modify > Objects > Inspect - Policy Maps - IM(ASA7.2/PIX7.2)の順に選択します。 ASA 7.2/PIX 7.2デバイス用に作成されたIMポリシーマップオブジェクトを表示できます。これらのオブジェクトは、IMトラフィックのインスペクションマップを作成するために使用されます。

  20. Modify > Objects > Inspect - Policy Maps - IM(IOS)の順に選択します。 IOSデバイス用に作成されたIMポリシーマップオブジェクトを表示できます。これらのオブジェクトは、IMトラフィックのインスペクションマップを作成するために使用されます。

  21. Modify > Objects > Inspect - Policy Maps - SIPの順に選択します。SIPポリシーマップオブジェクトを表示できます。これらのオブジェクトは、SIPトラフィックのインスペクションマップを作成するために使用されます。

  22. Modify > Objects > Inspect - Regular expressionsの順に選択します。正規表現オブジェクトを表示できます。これらのオブジェクトは、正規表現グループの一部として定義された個々の正規表現を表します。

  23. Modify > Objects > Inspect - Regular Expressions Groupsを選択します。正規表現グループオブジェクトを表示できます。これらのオブジェクトは、特定のクラスマップによって使用され、パケット内のテキストと一致するようにマップを検査します。

  24. Modify > Objects > Inspect - TCP Mapsの順に選択します。TCPマップオブジェクトを表示できます。これらのオブジェクトは、両方向のTCPフローの検査をカスタマイズします。

  25. Modify > Objects > Interface Rolesを選択します。インターフェイスロールオブジェクトを表示できます。これらのオブジェクトは、異なるタイプのデバイス上の複数のインターフェイスを表すことができる命名パターンを定義します。インターフェイスロールを使用すると、各インターフェイスの名前を手動で定義しなくても、複数のデバイス上の特定のインターフェイスにポリシーを適用できます。

  26. Modify > Objects > IPsec Transform Setsの順に選択します。IPSecトランスフォームセットオブジェクトを表示できます。これらのオブジェクトは、セキュリティプロトコル、アルゴリズム、およびその他の設定の組み合わせで構成され、IPSecトンネル内のデータの暗号化および認証方法を正確に指定します。

  27. Modify > Objects > LDAP Attribute Mapsの順に選択します。LDAP属性マップオブジェクトを表示できます。これらのオブジェクトは、カスタム(ユーザ定義)属性名をCisco LDAP属性名にマッピングするために使用されます。

  28. Modify > Objects > Networks/Hostsの順に選択します。ネットワーク/ホスト・オブジェクトを表示できます。これらのオブジェクトは、ネットワーク、ホスト、またはその両方を表すIPアドレスの論理的な集合です。ネットワーク/ホストオブジェクトを使用すると、各ネットワークまたはホストを個別に指定しなくてもポリシーを定義できます。

  29. 修正>オブジェクト> PKI登録。PKI登録オブジェクトを表示できます。これらのオブジェクトは、公開キーインフラストラクチャ内で動作する証明機関(CA)サーバーを定義します。

  30. Modify > Objects > Port Forwarding Listsの順に選択します。ポート転送リストオブジェクトを表示できます。これらのオブジェクトは、リモートクライアント上のポート番号と、アプリケーションのIPアドレスおよびSSL VPNゲートウェイの背後にあるポートとのマッピングを定義します。

  31. Modify > Objects > Secure Desktop Configurationsの順に選択します。セキュアなデスクトップ設定オブジェクトを表示できます。これらのオブジェクトは再利用可能な名前付きコンポーネントであり、SSL VPNポリシーで参照できるため、SSL VPNセッションの間に共有される機密データのトレースをすべて確実に排除できます。

  32. Modify > Objects > Services - Port Listsの順に選択します。ポート・リスト・オブジェクトを表示できます。これらのオブジェクトは、1つまたは複数のポート番号の範囲を含み、サービスオブジェクトの作成プロセスを合理化するために使用されます。

  33. [変更] > [オブジェクト] > [サービス/サービスグループ]サービスおよびサービスグループオブジェクトを表示できます。これらのオブジェクトは、ポリシーで使用されるKerberos、SSH、POP3などのネットワークサービスを説明するプロトコル定義とポート定義のマッピングです。

  34. [変更]>[オブジェクト]>[シングルサインオンサーバー]。シングル・サインオン・サーバー・オブジェクトを表示できます。シングルサインオン(SSO)を使用すると、SSL VPNユーザはユーザ名とパスワードを1回入力するだけで、保護された複数のサービスやWebサーバにアクセスできます。

  35. Modify > Objects > SLA Monitorsの順に選択します。SLAモニタオブジェクトを表示できます。これらのオブジェクトは、バージョン7.2以降を実行するPIX/ASAセキュリティアプライアンスでルートトラッキングを実行するために使用されます。この機能は、プライマリルートの可用性を追跡し、プライマリルートに障害が発生した場合にバックアップルートをインストールする方法を提供します。

  36. Modify > Objects > SSL VPN Customizationsの順に選択します。SSL VPNカスタマイズオブジェクトを表示できます。これらのオブジェクトは、ログイン/ログアウトやホームページなど、ユーザに表示されるSSL VPNページの外観を変更する方法を定義します。

  37. Modify > Objects > SSL VPN Gatewaysの順に選択します。SSL VPNゲートウェイオブジェクトを表示できます。これらのオブジェクトは、SSL VPN内の保護されたリソースへの接続のプロキシとしてゲートウェイを使用できるようにするパラメータを定義します。

  38. 「修正」 > 「オブジェクト」 > 「スタイルオブジェクト」スタイルオブジェクトを表示できます。これらのオブジェクトを使用すると、フォントの特性や色などのスタイル要素を設定して、SSL VPNユーザがセキュリティアプライアンスに接続したときに表示されるSSL VPNページの外観をカスタマイズできます。

  39. 「修正」 > 「オブジェクト」 > 「テキストオブジェクト」自由形式の文字オブジェクトを表示できます。これらのオブジェクトは、名前と値のペアで構成されます。値は、単一の文字列、文字列のリスト、または文字列のテーブルです。

  40. 修正>オブジェクト>時間範囲時間範囲オブジェクトを表示できます。これらのオブジェクトは、時間ベースのACLとインスペクションルールを作成するときに使用されます。また、ASAユーザグループを定義して、VPNアクセスを特定の時間帯に制限するときにも使用されます。

  41. Modify > Objects > Traffic Flowsの順に選択します。トラフィックフローオブジェクトを表示できます。これらのオブジェクトは、PIX 7.x/ASA 7.xデバイスで使用される特定のトラフィックフローを定義します。

  42. Modify > Objects > URL Listsの順に選択します。URLリストオブジェクトを表示できます。これらのオブジェクトは、ログインが成功した後にポータルページに表示されるURLを定義します。これにより、ユーザはクライアントレスアクセスモードで動作しているときに、SSL VPN Webサイトで利用可能なリソースにアクセスできます。

  43. Modify > Objects > User Groupsの順に選択します。ユーザー・グループ・オブジェクトを表示できます。これらのオブジェクトは、Easy VPNトポロジ、リモートアクセスVPN、およびSSL VPNで使用されるリモートクライアントグループを定義します

  44. Modify > Objects > WINS Server Listsの順に選択します。WINSサーバーのリストオブジェクトを表示できます。これらのオブジェクトはWINSサーバを表します。WINSサーバは、リモートシステム上のファイルにアクセスしたり、共有したりするためにSSL VPNによって使用されます。

  45. Modify > Objects > Internal - DN Rulesの順に選択します。DNポリシーで使用されるDNルールを表示できます。これは、Security Managerで使用される内部オブジェクトであり、Policy Object Managerには表示されません。

  46. Modify > Objects > Internal - Client Updatesの順に選択します。これは、Policy Object Managerに表示されないユーザグループオブジェクトに必要な内部オブジェクトです。

  47. Modify > Objects > Internal - Standard ACEの順に選択します。これは、ACLオブジェクトによって使用される標準アクセスコントロールエントリ(ACE)の内部オブジェクトです。

  48. Modify > Objects > Internal - Extended ACEの順に選択します。これは、拡張アクセスコントロールエントリ(ACE)の内部オブジェクトであり、ACLオブジェクトによって使用されます。

追加の変更アクセス許可

Security Managerには、次に示す追加の変更権限が含まれています。

  1. Modify > Adminの順に選択します。セキュリティマネージャの管理設定を変更できます。

  2. Modify > Config Archiveの順に選択します。設定アーカイブ内のデバイス設定を変更できます。さらに、アーカイブに設定を追加したり、設定アーカイブツールをカスタマイズしたりできます。

  3. Modify > Devicesの順に選択します。デバイスのプロパティと属性を変更したり、デバイスを追加および削除したりできます。追加するデバイスのポリシーを検出するには、インポート権限も有効にする必要があります。また、Modify > Devices権限を有効にする場合は、Assign > Policies > Interfaces権限も有効にしてください。

  4. 修正>階層。デバイスグループを変更できます。

  5. Modify > Topologyの順に選択します。マップビューでマップを修正できます。

権限を割り当てる

Security Managerには、次に示すポリシー割り当て権限が含まれています。

  1. Assign > Policies > Firewallの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスにファイアウォールサービスポリシー(Firewallの下のポリシーセレクタにあります)を割り当てることができます。ファイアウォールサービスポリシーの例としては、アクセスルール、AAAルール、インスペクションルールなどがあります。

  2. Assign > Policies > Intrusion Prevention Systemの順に選択します。IOSルータで実行されているIPSのポリシーを含む、IPSポリシー(IPSの下のポリシーセレクタ内にあります)を割り当てることができます。

  3. Assign > Policies > Imageの順に選択します。このアクセス許可は現在セキュリティマネージャによって使用されていません。

  4. 割り当て>ポリシー> NAT。ネットワークアドレス変換(NAT)ポリシーをPIX/ASA/FWSMデバイスおよびIOSルータに割り当てることができます。NATポリシーの例としては、スタティックルールやダイナミックルールなどがあります。

  5. Assign > Policies > Site-to-Site VPNの順に選択します。サイト間VPNポリシーをPIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスに割り当てることができます。サイト間VPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、事前共有キーなどがあります。

  6. Assign > Policies > Remote Access VPNの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスにリモートアクセスVPNポリシーを割り当てることができます。リモートアクセスVPNポリシーの例としては、IKEプロポーザル、IPsecプロポーザル、PKIポリシーなどがあります。

  7. 割り当て>ポリシー> SSL VPN。SSL VPNウィザードなどのPIX/ASA/FWSMデバイスおよびIOSルータにSSL VPNポリシーを割り当てることができます。

  8. Assign > Policies > Interfacesの順に選択します。インターフェイスポリシー(インターフェイスの下のポリシーセレクタにあります)を、PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスに割り当てることができます。

    1. PIX/ASA/FWSMデバイスでは、この権限はハードウェアポートとインターフェイス設定を対象とします。

    2. IOSルータでは、この権限は、インターフェイスの基本設定と詳細設定、およびDSL、PVC、PPP、ダイヤラポリシーなどのインターフェイス関連の他のポリシーを対象としています。

    3. Catalyst 6500/7600デバイスでは、この権限はインターフェイスとVLAN設定を対象とします。

  9. Assign > Policies > Bridgingの順に選択します。PIX/ASA/FWSMデバイスにARPテーブルポリシー(Platform > Bridgingの下のポリシーセレクタにあります)を割り当てることができます。

  10. Assign > Policies > Device Administrationの順に選択します。PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスにデバイス管理ポリシー(Platform > Device Adminの下のポリシーセレクタにあります)を割り当てることができます。

    1. PIX/ASA/FWSMデバイスでは、例として、デバイスアクセスポリシー、サーバアクセスポリシー、フェールオーバーポリシーなどがあります。

    2. IOSルータの例には、デバイスアクセス(回線アクセスを含む)ポリシー、サーバアクセスポリシー、AAA、セキュアデバイスプロビジョニングなどがあります。

    3. IPSセンサーでは、この権限はデバイスアクセスポリシーとサーバアクセスポリシーに適用されます。

    4. Catalyst 6500/7600デバイスでは、この権限はIDSM設定とVLANアクセスリストを対象とします。

  11. Assign > Policies > Identityの順に選択します。Platform > Identityの下のPolicy selectorにあるアイデンティティポリシーを、802.1xやNetwork Admission Control(NAC)ポリシーなどのCisco IOSルータに割り当てることができます。

  12. Assign > Policies > Loggingの順に選択します。ロギングポリシー(Platform > Loggingの下のPolicyセレクタにある)をPIX/ASA/FWSMデバイスおよびIOSルータに割り当てることができます。ロギングポリシーの例としては、ロギングセットアップ、サーバセットアップ、syslogサーバポリシーなどがあります。

  13. Assign > Policies > Multicastの順に選択します。マルチキャストポリシー(Policy SelectorのPlatform > Multicastにあります)をPIX/ASA/FWSMデバイスに割り当てることができます。マルチキャストポリシーの例としては、マルチキャストルーティングやIGMPポリシーなどがあります。

  14. Assign > Policies > QoSの順に選択します。QoSポリシー(Platform > Quality of Serviceの下のポリシーセレクタにあります)をCisco IOSルータに割り当てることができます。

  15. Assign > Policies > Routingの順に選択します。ルーティングポリシー(Platform > Routingの下のPolicy selectorにあります)をPIX/ASA/FWSMデバイスとIOSルータに割り当てることができます。ルーティングポリシーの例としては、OSPF、RIP、スタティックルーティングポリシーなどがあります。

  16. Assign > Policies > Securityの順に選択します。(Platform > Securityの下のPolicyセレクタにある)セキュリティポリシーをPIX/ASA/FWSMデバイスに割り当てることができます。セキュリティポリシーには、アンチスプーフィング、フラグメント、およびタイムアウトの設定があります。

  17. 割り当て>ポリシー>サービスポリシールール。サービスポリシールールポリシー(Platform > Service Policy Rulesの下のポリシーセレクタにあります)をPIX 7.x/ASAデバイスに割り当てることができます。例としては、プライオリティキューやIPS、QoS、接続ルールなどがあります。

  18. Assign > Policies > User Preferencesの順に選択します。導入ポリシー(Platform > User Preferencesの下のPolicy Selectorにあります)をPIX/ASA/FWSMデバイスに割り当てることができます。このポリシーには、導入時にすべてのNAT変換をクリアするためのオプションが含まれています。

  19. Assign > Policies > Virtual Deviceの順に選択します。バーチャルセンサーポリシーをIPSデバイスに割り当てることができます。このポリシーを使用して、仮想センサーを作成します。

  20. 割り当て>ポリシー> FlexConfigFlexConfigを割り当てることができます。これは、PIX/ASA/FWSMデバイス、IOSルータ、およびCatalyst 6500/7600デバイスに展開できる追加のCLIコマンドおよび手順です。

注記:割り当てパーミッションを指定する場合は、対応するビューパーミッションも選択していることを確認してください。

権限の承認

Security Managerは、次に示すように承認の権限を付与します。

  1. Approve > CLIの順に選択します。導入ジョブに含まれるCLIコマンドの変更を承認できます。

  2. Approve > Policyの順に選択します。ワークフローアクティビティで設定されたポリシーに含まれる構成変更を承認できます。

CiscoWorksロールについて

ユーザがCiscoWorks Common Servicesで作成されると、1つ以上のロールが割り当てられます。各ロールに関連付けられている権限によって、各ユーザがSecurity Managerで実行できる操作が決まります。

次のトピックでは、CiscoWorksのロールについて説明します。

CiscoWorks Common Servicesデフォルトロール

CiscoWorks Common Servicesには、次のデフォルトロールが含まれています。

  1. ヘルプデスク:ヘルプデスクのユーザは、デバイス、ポリシー、オブジェクト、トポロジマップを表示できます(変更はできません)。

  2. ネットワークオペレータ:表示権限に加えて、ネットワークオペレータは、CLIコマンドおよびセキュリティマネージャの管理設定を表示できます。ネットワークオペレータは、設定アーカイブを変更し、デバイスに対してコマンド(pingなど)を発行することもできます。

  3. 承認者:権限の表示に加えて、承認者は配布ジョブを承認または拒否できます。展開を実行できません。

  4. ネットワーク管理者:ネットワーク管理者には、管理設定の変更以外の完全な表示権限と変更権限があります。デバイスと、これらのデバイス上で設定されているポリシーを検出し、デバイスにポリシーを割り当て、デバイスにコマンドを発行できます。ネットワーク管理者は、アクティビティや導入ジョブを承認することはできませんが、他の人が承認したジョブを導入することはできます。

  5. システム管理者:システム管理者は、変更、ポリシーの割り当て、アクティビティとジョブの承認、検出、導入、デバイスへのコマンドの発行など、すべてのSecurity Manager権限に対する完全なアクセス権を持ちます。

注:サーバに追加のアプリケーションがインストールされている場合、エクスポートデータなどの追加の役割がCommon Servicesに表示されることがあります。エクスポートデータの役割はサードパーティ開発者向けであり、Security Managerでは使用されません。

ヒント: CiscoWorksのロールの定義は変更できませんが、各ユーザに割り当てるロールを定義できます。詳細については、「CiscoWorks Common Servicesでのユーザへのロールの割り当て」を参照してください。

CiscoWorks Common Servicesでのユーザへのロールの割り当て

CiscoWorks Common Servicesでは、各ユーザに割り当てるロールを定義できます。ユーザのロール定義を変更すると、そのユーザがSecurity Managerで実行できる権限の種類が変更されます。たとえば、ヘルプデスクの役割を割り当てた場合、ユーザは表示操作に制限され、データを変更できません。ただし、Network Operatorロールを割り当てると、ユーザは設定アーカイブも変更できます。各ユーザに複数のロールを割り当てることができます。

注:ユーザ権限を変更した後は、Security Managerを再起動する必要があります。

手順:

  1. Common Servicesでは、目次からServer > Securityの順に選択し、次にSingle-Server Trust Management > Local User Setupの順に選択します。

    ヒント: Security Manager内からLocal User Setupページにアクセスするには、Tools > Security Manager Administration > Server Securityの順に選択し、Local User Setupをクリックします。

  2. 既存のユーザの横にあるチェックボックスをオンにして、Editをクリックします。

  3. 「ユーザー情報」ページで、チェックボックスをクリックして、このユーザーに割り当てるロールを選択します。

    各ロールの詳細については、「CiscoWorks Common Servicesデフォルトロール」を参照してください。

  4. OKをクリックして変更を保存します。

  5. Security Managerを再起動します。

Cisco Secure ACSのロールについて

Cisco Secure ACSは、設定可能なアプリケーション固有のロールをサポートしているため、CiscoWorksよりも柔軟にSecurity Managerの権限を管理できます。各権限は、Security Managerタスクに対する承認レベルを決定する一連の権限で構成されています。Cisco Secure ACSでは、各ユーザグループ(および必要に応じて個々のユーザ)にロールを割り当てます。これにより、そのグループの各ユーザは、そのロールに定義された権限によって許可された操作を実行できます。

さらに、これらのロールをCisco Secure ACSデバイスグループに割り当てることにより、異なるデバイスセットで権限を区別できます。

注:Cisco Secure ACSデバイスグループは、Security Managerデバイスグループから独立しています。

次のトピックでは、Cisco Secure ACSのロールについて説明します。

Cisco Secure ACSデフォルトロール

Cisco Secure ACSには、CiscoWorksと同じロール(「CiscoWorksのロールについて」を参照)に加えて、次のロールが含まれます。

  1. セキュリティ承認者:セキュリティ承認者は、デバイス、ポリシー、オブジェクト、マップ、CLIコマンド、および管理設定を表示できます(変更はできません)。さらに、セキュリティ承認者は、アクティビティに含まれる構成変更を承認または拒否できます。展開ジョブを承認または拒否したり、展開を実行したりすることはできません。

  2. セキュリティ管理者:表示権限に加えて、セキュリティ管理者はデバイス、デバイスグループ、ポリシー、オブジェクト、トポロジマップを変更できます。また、デバイスとVPNトポロジにポリシーを割り当て、検出を実行して新しいデバイスをシステムにインポートすることもできます。

  3. ネットワーク管理者:権限の表示に加えて、ネットワーク管理者は設定アーカイブの変更、導入の実行、デバイスへのコマンドの発行を行うことができます。

注:Cisco Secure ACSネットワーク管理者ロールに含まれる権限は、CiscoWorksネットワーク管理者ロールに含まれる権限とは異なります。詳細については、「CiscoWorksのロールについて」を参照してください。

CiscoWorksとは異なり、Cisco Secure ACSでは、各Security Managerロールに関連付けられている権限をカスタマイズできます。デフォルトロールの変更の詳細については、「Cisco Secure ACSロールのカスタマイズ」を参照してください。

注:Security Manager認証を使用するには、Cisco Secure ACS 3.3以降がインストールされている必要があります。

Cisco Secure ACSロールのカスタマイズ

Cisco Secure ACSでは、各Security Managerロールに関連付けられている権限を変更できます。特定のSecurity Managerタスクを対象とした権限を持つ特殊なユーザロールを作成して、Cisco Secure ACSをカスタマイズすることもできます。

注:ユーザ権限を変更した後は、Security Managerを再起動する必要があります。

手順:

  1. Cisco Secure ACSで、ナビゲーションバーのShared Profile Componentsをクリックします。

  2. Shared ComponentsページでCisco Security Managerをクリックします。Security Managerに設定されているロールが表示されます。

  3. 次のいずれかを実行します。

    • ロールを作成するには、Addをクリックします。ステップ 4 に進みます。

    • 既存のロールを変更するには、ロールをクリックします。手順 5 に進みます。

  4. ロールの名前を入力し、必要に応じて説明を入力します。

  5. 権限ツリーのチェックボックスをオンまたはオフにして、このロールの権限を定義します

    ツリーのブランチのチェックボックスをオンにすると、そのブランチのすべての権限が選択されます。たとえば、Assignを選択すると、割り当て権限がすべて選択されます。

    セキュリティマネージャ権限の完全なリストについては、「セキュリティマネージャ権限」を参照してください。

    注:変更、承認、割り当て、インポート、制御、または展開のアクセス許可を選択する場合は、対応するビューのアクセス許可も選択する必要があります。そうしないと、Security Managerが正しく機能しません。

  6. [Submit] をクリックして、変更内容を保存します。

  7. Security Managerを再起動します。

Security Managerにおける権限とロールのデフォルトの関連付け

次の表に、Security Manager権限がCiscoWorks Common ServicesロールおよびCisco Secure ACSのデフォルトロールにどのように関連付けられるかを示します。

権限 ロール
System Admin セキュリティ管理者(ACS) セキュリティ承認者(ACS) ネットワーク管理者(CW) ネットワーク管理者(ACS) 承認者 ネットワークオペレータ ヘルプデスク
権限の表示
デバイスの表示 Yes Yes Yes Yes Yes Yes Yes Yes
ポリシーの表示 Yes Yes Yes Yes Yes Yes Yes Yes
オブジェクトの表示 Yes Yes Yes Yes Yes Yes Yes Yes
トポロジの表示 Yes Yes Yes Yes Yes Yes Yes Yes
CLIの表示 Yes Yes Yes Yes Yes Yes Yes いいえ
管理者の表示 Yes Yes Yes Yes Yes Yes Yes いいえ
構成アーカイブの表示 Yes Yes Yes Yes Yes Yes Yes Yes
デバイスマネージャの表示 Yes Yes Yes Yes Yes Yes Yes いいえ
権限の変更
デバイスの変更 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
階層の変更 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
ポリシーの変更 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
イメージを修正 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
オブジェクトを修正 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
トポロジの変更 Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
管理者の変更 Yes いいえ いいえ いいえ いいえ いいえ いいえ いいえ
構成アーカイブの変更 Yes Yes いいえ Yes Yes いいえ Yes いいえ
追加のアクセス許可
ポリシーの割り当て Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
ポリシーの承認 Yes いいえ Yes いいえ いいえ いいえ いいえ いいえ
CLIの承認 Yes いいえ いいえ いいえ いいえ Yes いいえ いいえ
検出(インポート) Yes Yes いいえ Yes いいえ いいえ いいえ いいえ
展開 Yes いいえ いいえ Yes Yes いいえ いいえ いいえ
Control Yes いいえ いいえ Yes Yes いいえ Yes いいえ
Submit Yes Yes いいえ Yes いいえ いいえ いいえ いいえ

関連情報

更新履歴

改定 発行日 コメント
1.0
14-May-2007
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています