安全 : 用于 Windows 的思科安全访问控制服务器

为Cisco Secure ACS for Windows设置复制

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 10 月 1 日) | 反馈


目录


简介

数据库复制帮助使验证、授权和统计(AAA)环境更加容错。它也复制主服务器的零件设置对一个或更多辅助服务器,帮助创建Cisco Secure ACS for Windows (ACS)服务器镜像系统。如果主服务器出故障或是不可得到的,您能配置您的AAA客户端使用这些辅助服务器。如果辅助服务器数据库是主服务器数据库的复制品,并且主服务器去服务中断,流入请求验证,不用网络中断时间。在AAA客户端配置对对辅助服务器条件下的故障切换这发生。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 您拥有至少两个Cisco Secure ACS for Windows服务器。

  • 您能配置您的ACS。

使用的组件

本文档中的信息基于以下软件版本:

  • ACS版本3.2.x和3.3.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

重要实施注意事项

当Cisco Secure数据库复制功能实现时,请考虑这些点:

  • ACS只支持数据库复制到其他ACS服务器。参加Cisco Secure数据库复制的所有ACS服务器必须运行同一个版本和修补级别ACS。

  • 主服务器传达被压缩,其数据库组件加密的复制给辅助服务器。此发射在一TCP连接发生,用端口2000。传输控制协议(TCP)会话验证并且使用已加密, Cisco专有协议。

  • 只适当地已配置的,有效ACS主机可以是辅助服务器。添加辅助服务器,在本文的Network Configuration部分的AAA Servers表配置它。当服务器被添加到AAA Servers表时,服务器为选择出现作为在AAA Servers列表的一辅助服务器在复制伙伴下, Cisco Secure数据库复制页面的。

  • 必须配置主服务器作为AAA服务器,并且必须有密钥。辅助服务器必须有作为AAA服务器配置的主服务器,并且其主服务器的密钥必须匹配主服务器自己的密钥。

  • 对辅助服务器的复制按在Replication列表列出的顺序顺序地发生在复制伙伴下, Cisco Secure数据库复制页面的。

  • 必须配置辅助服务器,接收复制的组件,接受从主服务器的数据库复制。要配置数据库复制的一辅助服务器,参考配置本文一个附属Cisco Secure ACS服务器部分

  • ACS不支持双向数据库复制。辅助服务器,接收复制的组件,验证主服务器不在其Replication列表。否则,辅助服务器接受复制的组件。如果那样,它拒绝组件。

  • 要顺利地复制用户定义的RADIUS供应商和供应商专用属性(VSA)配置,将复制的定义一定是相同的在主要的和辅助服务器。这包括用户定义的RADIUS供应商占用的RADIUS供应商slot。关于用户定义的RADIUS供应商和VSAs的更多信息,参考本文Cisco Secure ACS命令行数据库工具程序的用户定义的RADIUS供应商和VSA系节。

网络图

本文档使用此图中所示的网络设置:

acs1-a.gif

主机名- Arnie主要的ACS服务器Microsoft Windows 2000域控制器

主机名-手帕附属ACS服务器Microsoft Windows 2000域控制器

配置主要的ACS服务器

使用此步骤配置一个主要的ACS服务器:

  1. 登陆对主要的ACS服务器HTML界面。

  2. 在Network Configuration部分,请添加每辅助服务器到AAA Servers表。

    acs1-b.gif

    注意: 如果此功能没出现,请选择Interface Configuration > Advanced Options,并且选择Cisco Secure ACS Database Replication复选框。并且,请验证Distributed System Settings复选框选择。

  3. 在导航条,请点击系统配置

  4. 点击Cisco Secure数据库复制

    一旦此步骤完成,数据库复制设置页出版。

  5. 选择每个数据库组件的Send复选框能发送到辅助服务器。

    acs1-c.gif

  6. 在复制伙伴下,请添加附属ACS服务器到Replication Partner列。

    acs1-d.gif

  7. 单击 submit

    ACS保存指定的复制配置和频率或者时代。ACS开始发送组件到指定的其他ACS服务器。

配置附属ACS服务器

使用此步骤配置附属ACS服务器:

  1. 登陆对辅助服务器HTML界面。

  2. 在Network Configuration部分,请添加主服务器到AAA Servers表(以与在主要的ACS相似的方式)。

    注意: 如果此功能没出现,请选择Interface Configuration > Advanced Options,并且选择Cisco Secure ACS Database Replication复选框。并且,请验证Distributed System Settings复选框选择。

  3. 在导航条,请点击系统配置

  4. 点击Cisco Secure数据库复制

    一旦此步骤完成,数据库复制设置页出版。

  5. 点击从主服务器能将接收的每个数据库组件的Receive复选框

    acs1-e.gif

  6. 如果辅助服务器只是接收从一主服务器的复制组件,请选择另一个Cisco Secure ACS服务器名,从Accept replication列表。

  7. 如果辅助服务器是接收从超过一主服务器的复制组件,请选择从Accept replication列表的所有已知Cisco Secure ACS Windows 2000/NT版服务器

    所有已知Cisco Secure ACS Windows 2000/NT版服务器选项对在Network Configuration部分的AAA Servers表列出的服务器被限制。

  8. 请勿添加主服务器到Replication Partner列。在复制伙伴下,理想地说Replication Partner列是空白的。

    acs1-f.gif

  9. 单击 submit

    ACS保存指定的复制配置和频率或者时代。ACS接受从指定的其他服务器的复制的组件。

调度选项

当Cisco Secure数据库复制发生时,您能指定;这在主服务器没有配置,没有第二。控制的这些选项,当复制发生在Cisco Secure数据库复制页面的Replication Scheduling表出现。这是选项:

  • 手工— ACS不进行自动数据库复制。

  • 自动地被触发的层叠—,当从主服务器的数据库复制完成时, ACS进行数据库复制对辅助服务器配置列表。这使您建立服务器传播层级,不要求主服务器传播复制的组件到其他服务器。

  • 每个x分钟— ACS在集合频率进行,数据库复制对辅助服务器配置列表。测量单位是分钟,与默认更新频率60分钟。

  • 在特定时间— ACS在日期和小时图、数据库实行,当时指定对辅助服务器配置列表。最小解析度是一个小时,并且复制在选择的小时发生。

报告

报告和活动,选择数据库复制,并且检查激活数据库Replication.csv日志。如果复制是成功的,您看到这些日志。

在主要的ACS的数据库Replication.csv

伊达市 时间 状态 消息
06/12/2002 14:14:26 INFO 完成的出局复制循环。
06/12/2002 14:14:26 错误 对ACS “手帕”的复制是成功的。
06/12/2002 14:14:00 INFO 出局复制循环将开始。

在附属ACS的数据库Replication.csv

伊达市 时间 状态 消息
06/12/2002 16:32:02 INFO 从ACS “Arnie”的Inbound的数据库复制完成。
06/12/2002 16:31:41 INFO 从ACS “”的Inbound的数据库复制开始的Arnie。

注意: 在主服务器的日志消息,消息类型显示错误。欲知详情,参考Cisco Bug ID CSCdw51174 (仅限注册用户)。不管ERROR关键字,复制正确地仍然完成。

Workaround: Ignore the ERROR status.

如果复制不是成功的,您看到这些日志。可能的症状包括:

  • 共享密钥在远程终端的AAA服务器表里不配比。

  • 远程服务器不回应。

伊达市 时间 状态 消息
06/14/2002 10:02:30 INFO 完成的出局复制循环。
06/14/2002 10:02:30 警告 不能复制到“手帕” -服务器不回应。
06/14/2002 10:02:23 INFO 出局复制循环将开始。

验证

添加一新用户或组到主服务器或者做在当前用户或组设置的所有变动和当前然后单击复制品从数据库复制设置部分在系统配置下。在辅助服务器上,请检查用户或组并且请参阅更改生效。

故障排除

这些是遇到的某些错误消息和其中每一的解决方案:

  • 失败与错误的验证;验证失败:代理失败错误消息能提交由于一不正确代理分配配置。在主要的ACS,请检查代理分配分录没有设置转发到附属ACS或反向。正确配置是指向对应的ACS本身。

  • 如果复制不工作,请确保主要的ACS列出作为附属ACS的一个复制伙伴。如果它删除, AAA复制伙伴未选择。至少一需要选择为了复制能发生。错误返回。

    如果出站复制配置与特定时间,请更改设置对指南。这通常解决问题。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 23120