[toc:faq]
はじめに
ACS 5.8 Patch 4 から TLS 1.2 (含 TLS 1.1) が New Feature としてサポートされました。以下では、Patch 4 以降の動作概要を中心に紹介します。
Patch 4 を適用すると、System Administration > Configuration > Global System Options に Security Settings というメニューが新たに追加されます。Security Settings では、さらに HTTPS Security Settings と Runtime Protocols Security Settings に分かれています。
HTTPS Security Settings は、ACS の GUI アクセスに関する TLS の互換性のオプションにとなります。Runtime Protocols Security Settings は、ACS が提供する AAAサービスに関する TLS の互換性を設定するオプションとなります。
HTTPS Security Settings
以下の表は、Enable TLS 1.0 for https access オプションの有無により、ACS サーバが、どのプロトコルバージョンで応答するかを示したものです。Patch 4 適用後のデフォルトでは、Enable TLS 1.0 for https access は無効であるため、ブラウザで TLS 1.1 以上が有効となっていなければ ACS にアクセスができなくなります。
Note: SSL 3.0 は ACS 5.6 の Patch 2 から使用できません。
Enable TLS 1.0 for https access を有効にするには、チェックボックスを入れてください。Submit を実行後、以下のダイアログが出力され、そのまま OK をクリックすると Management サービス (認証サービスには影響がありません) の再起動が発生しますので、サービスの起動が完了するまで待ってから、再度 Primary の GUI にアクセスし直してください。
設定変更の内容は Secondary ノードにも複製されますが、Secondary で本設定変更が有効となるためには、手動で Managementサービスを再起動させる必要がありますので、ご注意ください。
Management サービスの状態は、show application status acs から確認します。running になっていることを確認のうえ、ACS の GUI にアクセスしてください。
acs58/admin# show application status acs
ACS role: PRIMARY
Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running
Secondary での Management サービスの再起動は以下の手順で実施します。
acs58c/admin# acs stop management
Stopping management
acs58c/admin#
acs58c/admin# show application status acs
ACS role: SECONDARY
Process 'database' running
Process 'management' not monitored
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running
acs58c/admin# acs start management
Starting management
acs58c/admin#
acs58c/admin# show application status acs
ACS role: SECONDARY
Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running
Runtime Protocols Security Settings
Enable TLS 1.0 only for legacy clients は、Patch 4 適用後にデフォルトで有効であるため、既存の認証サービスに影響は生じないと考えられます。無効する場合は、TLS 1.0 を使用するサプリカントで認証が出来なくなるので、ご利用環境の実装を事前に再調査することを推奨します。以下は TLS 1.0 対応サプリカントで EAP-TLS を実行した結果を ACS View の Report から抽出したものになります。
Enable TLS 1.0 only for legacy clients 有効 (チェック有) の場合
Enable TLS 1.0 only for legacy clients 無効(チェック無)の場合
Enable SHA-1 only for legacy clients は SHA-1 hash の Cipher Suites に関するオプションです。Patch 4 適用後にデフォルトで有効となっています。チェックを外すと、ACS の EAP を使用した認証で使用される Cipher のリストから SHA-1 に関するものが除外されるようになるので、サプリカントがサポートする Cipher Suites によっては、認証に影響が出ます。有効・無効それぞれで使用される Cipher Suites のリストは公開資料がないため、書くことはできませんが、確認を要する場合は、runtime を debug level にして、認証ログを調査すれば確認することができます。
参考情報
Release Notes for Cisco Secure Access Control System 5.8 - TLS 1.2
User Guide for Cisco Secure Access Control System 5.8 - Configuring Security Settings
SettingsSupported and Interoperable Devices and Software for Cisco Secure Access Control System 5.8 - Supported Browsers
NIST Revises Guide to Use of Transport Layer Security (TLS) in Networks