×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

ACS 5.8 - TLS 1.2 サポートについて

ドキュメント

2017/03/16 - 07:02
6月 15th, 2016
User Badges:
  • Cisco Employee,



はじめに

ACS 5.8 Patch 4 から TLS 1.2 (含 TLS 1.1) が New Feature としてサポートされました。以下では、Patch 4 以降の動作概要を中心に紹介します。

Patch 4 を適用すると、System Administration > Configuration > Global System Options に Security Settings というメニューが新たに追加されます。Security Settings では、さらに HTTPS Security Settings と Runtime Protocols Security Settings に分かれています。


HTTPS Security Settings は、ACS の GUI アクセスに関する TLS の互換性のオプションにとなります。Runtime Protocols Security Settings は、ACS が提供する AAAサービスに関する TLS の互換性を設定するオプションとなります。

HTTPS Security Settings

以下の表は、Enable TLS 1.0 for https access オプションの有無により、ACS サーバが、どのプロトコルバージョンで応答するかを示したものです。Patch 4 適用後のデフォルトでは、Enable TLS 1.0 for https access は無効であるため、ブラウザで TLS 1.1 以上が有効となっていなければ ACS にアクセスができなくなります。


 Note: SSL 3.0 は ACS 5.6 の Patch 2 から使用できません。 

Enable TLS 1.0 for https access を有効にするには、チェックボックスを入れてください。Submit を実行後、以下のダイアログが出力され、そのまま OK をクリックすると Management サービス (認証サービスには影響がありません) の再起動が発生しますので、サービスの起動が完了するまで待ってから、再度 Primary の GUI にアクセスし直してください。

設定変更の内容は Secondary ノードにも複製されますが、Secondary で本設定変更が有効となるためには、手動で Managementサービスを再起動させる必要がありますので、ご注意ください。



Management サービスの状態は、show application status acs から確認します。running になっていることを確認のうえ、ACS の GUI にアクセスしてください。

acs58/admin# show application status acs

ACS role: PRIMARY

Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

Secondary での Management サービスの再起動は以下の手順で実施します。

acs58c/admin# acs stop management
Stopping management
acs58c/admin#
acs58c/admin# show application status acs

ACS role: SECONDARY

Process 'database' running
Process 'management' not monitored
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

acs58c/admin# acs start management
Starting management
acs58c/admin#
acs58c/admin# show application status acs

ACS role: SECONDARY

Process 'database' running
Process 'management' running
Process 'runtime' running
Process 'adclient' running
Process 'ntpd' running

Runtime Protocols Security Settings

Enable TLS 1.0 only for legacy clients は、Patch 4 適用後にデフォルトで有効であるため、既存の認証サービスに影響は生じないと考えられます。無効する場合は、TLS 1.0 を使用するサプリカントで認証が出来なくなるので、ご利用環境の実装を事前に再調査することを推奨します。以下は TLS 1.0 対応サプリカントで EAP-TLS を実行した結果を ACS View の Report  から抽出したものになります。

Enable TLS 1.0 only for legacy clients 有効 (チェック有) の場合


Enable TLS 1.0 only for legacy clients 無効(チェック無)の場合


Enable SHA-1 only for legacy clients は SHA-1 hash の Cipher Suites に関するオプションです。Patch 4 適用後にデフォルトで有効となっています。チェックを外すと、ACS の EAP を使用した認証で使用される Cipher のリストから SHA-1 に関するものが除外されるようになるので、サプリカントがサポートする Cipher Suites によっては、認証に影響が出ます。有効・無効それぞれで使用される Cipher Suites のリストは公開資料がないため、書くことはできませんが、確認を要する場合は、runtime を debug level にして、認証ログを調査すれば確認することができます。
 

参考情報

Release Notes for Cisco Secure Access Control System 5.8 - TLS 1.2

User Guide for Cisco Secure Access Control System 5.8 - Configuring Security Settings


SettingsSupported and Interoperable Devices and Software for Cisco Secure Access Control System 5.8 - Supported Browsers


NIST Revises Guide to Use of Transport Layer Security (TLS) in Networks

Loading.

アクション

このドキュメントについて

Related Content