購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1008
閲覧回数
0
いいね!
0
コメント

ACS 5.8 - TLS 1.2 サポートについて

Shinpei Kono
Cisco Employee
Cisco Employee

‎2016-06-15 08:53 PM

[toc:faq]

はじめに

ACS 5.8 Patch 4 から TLS 1.2 (含 TLS 1.1) が New Feature としてサポートされました。以下では、Patch 4 以降の動作概要を中心に紹介します。

Patch 4 を適用すると、System Administration > Configuration > Global System Options に Security Settings というメニューが新たに追加されます。Security Settings では、さらに HTTPS Security Settings と Runtime Protocols Security Settings に分かれています。


HTTPS Security Settings は、ACS の GUI アクセスに関する TLS の互換性のオプションにとなります。Runtime Protocols Security Settings は、ACS が提供する AAAサービスに関する TLS の互換性を設定するオプションとなります。

HTTPS Security Settings

以下の表は、Enable TLS 1.0 for https access オプションの有無により、ACS サーバが、どのプロトコルバージョンで応答するかを示したものです。Patch 4 適用後のデフォルトでは、Enable TLS 1.0 for https access は無効であるため、ブラウザで TLS 1.1 以上が有効となっていなければ ACS にアクセスができなくなります。


 Note: SSL 3.0 は ACS 5.6 の Patch 2 から使用できません。 

Enable TLS 1.0 for https access を有効にするには、チェックボックスを入れてください。Submit を実行後、以下のダイアログが出力され、そのまま OK をクリックすると Management サービス (認証サービスには影響がありません) の再起動が発生しますので、サービスの起動が完了するまで待ってから、再度 Primary の GUI にアクセスし直してください。

設定変更の内容は Secondary ノードにも複製されますが、Secondary で本設定変更が有効となるためには、手動で Managementサービスを再起動させる必要がありますので、ご注意ください。



Management サービスの状態は、show application status acs から確認します。running になっていることを確認のうえ、ACS の GUI にアクセスしてください。

acs58/admin# show application status acs

ACS role: PRIMARY

Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

Secondary での Management サービスの再起動は以下の手順で実施します。

acs58c/admin# acs stop management
Stopping management
acs58c/admin#
acs58c/admin# show application status acs

ACS role: SECONDARY

Process 'database' running
Process 'management' not monitored
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

acs58c/admin# acs start management
Starting management
acs58c/admin#
acs58c/admin# show application status acs

ACS role: SECONDARY

Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

Runtime Protocols Security Settings

Enable TLS 1.0 only for legacy clients は、Patch 4 適用後にデフォルトで有効であるため、既存の認証サービスに影響は生じないと考えられます。無効する場合は、TLS 1.0 を使用するサプリカントで認証が出来なくなるので、ご利用環境の実装を事前に再調査することを推奨します。以下は TLS 1.0 対応サプリカントで EAP-TLS を実行した結果を ACS View の Report  から抽出したものになります。

Enable TLS 1.0 only for legacy clients 有効 (チェック有) の場合


Enable TLS 1.0 only for legacy clients 無効(チェック無)の場合


Enable SHA-1 only for legacy clients は SHA-1 hash の Cipher Suites に関するオプションです。Patch 4 適用後にデフォルトで有効となっています。チェックを外すと、ACS の EAP を使用した認証で使用される Cipher のリストから SHA-1 に関するものが除外されるようになるので、サプリカントがサポートする Cipher Suites によっては、認証に影響が出ます。有効・無効それぞれで使用される Cipher Suites のリストは公開資料がないため、書くことはできませんが、確認を要する場合は、runtime を debug level にして、認証ログを調査すれば確認することができます。
 

参考情報

Release Notes for Cisco Secure Access Control System 5.8 - TLS 1.2

User Guide for Cisco Secure Access Control System 5.8 - Configuring Security Settings

SettingsSupported and Interoperable Devices and Software for Cisco Secure Access Control System 5.8 - Supported Browsers

NIST Revises Guide to Use of Transport Layer Security (TLS) in Networks

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents