セキュリティ : Cisco Secure Access Control Server for Unix

Cisco Secure ACS for UNIX に関する FAQ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、Cisco Secure Access Control Server(ACS)for UNIX(CSUnix)の一般的な質問の回答を記載しています。

一般

Q. CSUnix と Cisco Secure ACS for Windows(ACS)の間でデータを移行できますか。

A. 現在、1 つの製品から別の製品へのユーザ移行に使用できるツールはサポートされていません。

Q. CSUnix は、NT データベース、LDAP、または Novell の NDS に対して認証されますか。

A. いいえ。ただし、これらの機能は将来の Cisco Secure ACS for Windows(ACS)には含まれています。 Cisco アクセス レジストラは、Lightweight Directory Access Protocol(LDAP)をサポートしています。

ライセンス交付およびソフトウェア

Q. CSUnix バージョン 2.3.6.2 は、Oracle バージョン 9.2.0 でサポートされていますか。

A. CSUnix バージョン 2.6.3.2 のリリース ノートには、Oracle Enterprise バージョン 8.0.x、8i および 9i バージョン 9.0.1 がサポートされるバージョンであることが述べられています。 Oracle バージョン 9.2.0 にアップグレードすることは可能です。 ただし、アップグレード前にデータベースをバックアップすることが推奨されます。

Q. 期限切れのライセンス キーを更新するにはどうすればよいのですか。

A. ライセンス キーを取得する方法の詳細については、『Cisco Secure UNIX に関するライセンスの問題』を参照してください。

Q. Solaris のバージョンとシステムの IP アドレスを確認するにはどうすればよいのですか。

A. 使用している Solaris のバージョンを調べるには、uname – a コマンドを発行します。

システムで使用している IP アドレスを調べるには、ifconfig – a コマンドを発行します。

Q. CSUnix のソフトウェア アップグレードおよびパッチはどこで入手できますか。

A. ソフトウェア アップグレードは、Cisco Secure Access Control Server ソフトウェア登録ユーザ専用)Web サイトから入手できます。 ソフトウェア パッチは、Cisco Secure ソフトウェア パッチ - UNIX登録ユーザ専用)Web サイトから入手できます。

注: Cisco Secure ソフトウェア パッチ - UNIX登録ユーザのみ)Web サイトにアクセスするには、[Special Access Code] に cspatchunix を入力する必要があります。

有効な Cisco ID を持っていないユーザは電子メールや電話を介してシスコのテクニカルサポートからソフトウェア アップグレードやパッチを入手できます。 詳細については、シスコ ワールドワイドお問い合わせ先 Web サイトを参照してください。

Q. CSUnix から Cisco Secure for Windows または Cisco アクセス レジストラにアップグレードできますか。

A. 「ラテラル アップグレード」の価格設定とアベイラビリティに関する情報については、お近くのシスコのアカウント チームまでお問い合わせください。

Q. CSUnix のバージョンを確認するにはどうすればよいのですか。

A. 次のコマンドを発行します。

$BASE/CSU/CiscoSecure -v

$BASE は CSUnix がインストールされているディレクトリを表します。

Q. CSUnix サービスを再起動する(シャットダウンと起動)にはどうすればよいのですか。

A. サービスを再起動するには、次の 2 つの異なる方法があります。

  • シャットダウンするために /etc/rc0.d/K80CiscoSecure コマンドを発行し、その後再起動するために /etc/rc2.d/S80CiscoSecure コマンドを発行します。

    または

  • シャットダウンするために $BASE/utils/kcs コマンドを発行し、その後再起動するために $BASE/utils/scs コマンドを発行します。

    $BASE は CSUnix がインストールされているディレクトリを表します。

サービスの再起動後、$BASE/utils/psg コマンドを発行します。 このコマンドは、サービスごとのエントリを表示します。

Q. マシンに CSUnix がインストールされているどうかを調べるにはどうすればよいのですか。

A. CSUnix のインストール場所を調べるには、pkginfo -l CSCEacs コマンドを発行します。

Q. インストール中にどの値が選択されたかを知るにはどうすればよいのですか。

A. CSUnix のインストール ログは、$BASE/logfiles/cs_install.log に保存されています。ここで、$BASE は CSUnix がインストールされているディレクトリを表します。 このファイルには、インストール中に選択した値がすべてリストされています。

Q. 使用中の CSUnix バージョンのハードウェアおよびソフトウェア要件はどこにありますか。

A. 要件の情報は、特定のソフトウェア バージョンのインストール手順に含まれています。 また、要件の情報は Cisco Secure ACS UNIX の互換性にもまとめられています。

Q. CSUnix にエクスポート制限はありますか。

A. いいえ。CSUnix は、Netscape FastTrack Server のエクスポート可能なバージョンがバンドルされています。

システム設定とセットアップ

Q. CSUnix サーバの IP アドレス、ホスト名、完全修飾ドメイン名(FQDN)を変更するにはどうすればよいのですか。

A. サーバの IP アドレス、ホスト名、および FQDN は、使用中の CSUnix のバージョンに基づいて複数のファイルに保存されています。 したがって、IP アドレス、ホスト名、または FQDN を変更するために使用するサポートされる方法は、ソフトウェアをアンインストールしてから、目的の設定で再インストールすることです。 この操作は、データベースには影響しません。 ユーザとグループは保持されます。

CSUnix サーバで設定を変更するには、次の手順を実行してください。

  1. ソフトウェアをシャットダウンします。
  2. データベースをバックアップします。 Oracle または Sybase は、データベース管理者によってバックアップできます。 SQLAnywhere をバックアップするには、csecure.dbcsecure.log ファイルを安全な場所にコピーします。 アンインストールおよび再インストールのプロセス中にテーブルがドロップされることはないため、これは念のためです。 また、$BASE/config/CSU.cfg ファイルのコピーを保存しておきます。 このファイルには、デバイス情報が含まれています。 $BASE は CSUnix がインストールされているディレクトリを表します。
  3. pkgrm CSCEacs コマンドを発行し、プログラムをアンインストールします。 このコマンドは、csecure.dbcsecure.log ファイルを元の場所に残したままにします。
  4. 名前解決が動作していることを確認します。 これを行うには、次の出力に示すように hostnamenslookup、および ifconfig コマンドを発行します。
    # hostname
    
    rtp-evergreen
    
    # nslookup rtp-evergreen
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup rtp-evergreen.cisco.com
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup 172.18.124.114
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # ifconfig -a
    
    lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
    inet 127.0.0.1 netmask ff000000
    le0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu 1500
    inet 172.18.124.114 netmask ffff0000 broadcast 172.18.255.255
    ether 8:0:20:76:79:f9
  5. ソフトウェアをインストールします。 pkgadd -d path_to_software コマンドを発行し、次の出力に示すように、これがアップグレードのインストールであることを指示します。
    New CiscoSecure install             no
    .
    .
    .
    SQLAnywhere DB directory            original_path
    
    !--- Use the path in which the csecure.* files are located.
    
    Drop existing database tables       no
  6. インストールが完了したら、ソフトウェアを起動し、サービスが実行されることを確認します。

Q. ネットワークでドメイン ネーム システム(DNS)の問題が発生しています。 名前解決を実行しようとしないように、CSUnix システムの DNS IP-to-Hostname 解決を無効にするにはどうすればよいのですか。

A. デフォルトでは、CSUnix はクライアント デバイスの着信 IP を完全修飾ドメイン名(FQDN)に解決しようとし、その後 FDQN をCSU.cfg ファイルのエントリと比較します。 ネットワーク内の DNS が正常に動作しない場合、これによって認証の遅延や異常な問題が生じる可能性があります。 CSUnix が解決を試みないようにするには、$BASE/config/CSU.cfgファイルをバックアップします(ここで、$BASEは CSUnix がインストールされているディレクトリを表します)。 次に、先頭のセクションに他の NUMBER エントリを含む次の行を追加することによってファイルを変更します。

NUMBER config_get_names_from_dns = 0;

変更したファイルを保存し、サーバを再起動します。

Q. ログイン試行の失敗が許容される回数を設定するにはどうすればよいのですか。

A. すべてのユーザに向けたグローバル単位で値を設定するには、次の手順を実行します。

  1. $BASE/config/CSU.cfg ファイルを開きます($BASE は CSUnix がインストールされているディレクトリを表します)。
  2. 次に、先頭のセクションに他の NUMBER エントリを含む次の行を追加します。
    NUMBER config_max_failed_authentication = n;
    n は、ログイン試行の失敗が許容される回数で置き換えます。

CSUnix バージョン 2.3.5.1 以降でユーザまたはグループ単位で値を設定するには、次の手順を実行します。

  1. $BASE/config/CSU.cfg ファイルを開きます。
  2. 次に、先頭のセクションに他の NUMBER エントリを含む次の行を追加します。
    NUMBER config_allow_global_max_failed_login_session_enable = 0;
    システムはデフォルトでグローバル設定を使用するので、この行はグローバル単位の失敗した認証の最大数をオフにし、ユーザまたはグループ単位の最大数を設定できるようにするために使用されます。
  3. ユーザまたはグループのプロファイルで次の行を追加します。
    set server max-failed-login-count = n;
    n は、ログイン試行の失敗が許容される回数で置き換えます。

Q. データベースがリスニングするデフォルト ポート(9900)を変更するにはどうすればよいのですか。

注意 注意: CSUnix は、他のソフトウェアとの相互運用性をテストされていません。 複数のアプリケーションを同じサーバで実行することは、サポートされません。 これによって、データサーバ ポート以外のポートのパフォーマンスの問題と競合が発生する可能性があります。

データベースの複数のインスタンスを実行する場合は、CSUnix プロセスをシャットダウンし、次のファイルを変更して 9900 以外のポートを使用するようにします。

  • $BASE/CSU/libdb.conf

  • $BASE/FastAdmin/turbo.conf

  • $BASE/config/CSConfig.ini

$BASE は CSUnix がインストールされているディレクトリを表します。

Q. コマンドライン インターフェイスでグループまたはユーザ プロファイルを表示するにはどうすればよいのですか。

A. 次のコマンドを $BASE/CLI/ ディレクトリのプロンプトで発行します。ここで、$BASE は CSUnix がインストールされているディレクトリを表します。

  • ユーザ プロファイルを表示するには、./ViewProfile -p 9900 -u username を入力します。

    username は表示するユーザ プロファイルのユーザ名で置き換えます。

  • グループ プロファイルを表示するには、./ViewProfile -p 9900 -g groupname を入力します。

    groupname は表示するグループ プロファイルのグループ名で置き換えます。

Q. CSUnix の Web ページがポート 80 以外のポートで実行されるように設定するにはどうすればよいのですか。

注意 注意: CSUnix は、他のソフトウェアとの相互運用性をテストされていません。 複数のアプリケーションを同じサーバで実行することは、サポートされません。 これによって、データサーバ ポート以外のポートのパフォーマンスの問題と競合が発生する可能性があります。

複数の Web サーバを実行する場合は、CSUnix プロセスをシャットダウンし、次のファイルを変更してポート 80 以外のポートを使用するようにします。

  • $BASE/ns-home/httpd-servername/config ファイル(ここで、$BASE は CSUnix がインストールされているディレクトリを表す)で Port 80Port n に変更します。ここで、n は Web サーバを実行する新しいポートです。

  • $BASE/FastAdmin/turbo.conf ファイルで NS_PATH=server/cs/NS_Path=server: n/cs に変更します。ここで、n はファイルに入力したポート番号です。

Q. パスワードを忘れてしまいました。 管理者のプロファイルをリセットするにはどうすればよいのですか。

A. 管理者のパスワードをリセットするには、次のコマンドを発行します。

$BASE/CLI/DeleteProfile -p 9900 -u superuser
$BASE/CLI/AddProfile -p 9900 -u superuser 
           -a 'member = administrator \n privilege = web "password" 15 '

注: 2 つ目のコマンドは 1 行で記述する必要があります。

2 つ目のコマンドの password を新しいパスワードで置き換えます。 $BASE は CSUnix がインストールされているディレクトリを表します。

Q. Acme FastTrack、Netscape Administration、および Netscape Communications サーバのどのバージョンが Cisco Secure で使用されているかを調べるにはどうすればよいのですか。

A. Cisco Secure は、1996 年 11 月 13 日付の Acme Server バージョン 1.7 の修正版を使用しています。

Netscape サーバのバージョンを確認するには、次のコマンドを発行します(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。

$BASEDIR/ns-home/admserv/ns-admin -v
Netscape Communications Corporation Netscape-Administrator/2.14,sec=e

$BASEDIR/ns-home/bin/httpd/ns-httpd -v
Netscape Communications Corporation Netscape-FastTrack/2.01c

データベース

Q. 何人ユーザを 500?MB ディスクスペース要件は SQLAnywhereデータベースを使用してサポートしますか。

A. 500?MB ディスクスペース要件は最大 5,000 人のユーザをサポートします。

Q. csdblog_yy-mm-dd ファイルは、いつ作成されますか。

A. csdblog_yy-mm-dd ファイルは DBServer の初回起動時に作成され、24 時間(おおよその時間)ごとに再生成されます。

Q. SQLAnywhere、Oracle Server、または Sybase Server を使用した CSUnix サーバで無理なく維持できるユーザの最大人数は何人ですか。

A. SQLAnywhere では、最大 5,000 のユーザが正式にサポートされています。 Oracle、Sybase では、それぞれが 10 個の属性値(AV)ペアを持つ最大 100 万人のユーザがテストされています。 これだけ大人数のユーザが存在する場合、メンテナンスは HTML インターフェイスまたは Java ベースの拡張 GUI ではなく、コマンドライン インターフェイス(CLI)ユーティリティを使用した方が時間を短縮できます。 GUI 経由の参照には、非常に時間がかかる可能性があります。 拡張 GUI で [Find] オプション、または HTML インターフェイスの [Edit] > [View] オプションを使用した方が時間がかからない場合があります。

Q. SQLAnywhere データベースを手動で起動するにはどうすればよいのですか。

A. SQLAnywhere データベースを手動で起動するには、次の手順を実行します。

  1. root ユーザに必要な環境変数を設定します。 この例では、c-shell を使用します。 また、次のコマンドを発行します。
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set PATH=($path $SQLANY/bin)
    
  2. データベースを起動するには、次のコマンドを発行します。
    dbeng50 -n csecure $BASE/SQLANY/csecure.db
    
    $BASE/SQLANY は SQLAnywhere データベース ファイルの場所で置き換えます。

Q. データベース サーバ接続にはどのような値を設定する必要がありますか。

A. CSUnix バージョン 2.3 では、デフォルト値は 10 です。 データベース接続は、データベースの実行時やアクセス時にコマンドライン インターフェイス(CLI)ユーティリティや GUI などの他のアプリケーションと共有されます。 一般に、データベース接続の数は 1 秒あたりのピーク時の認証数と、他の ACS タスクのために少なくとも 3 を加え、拡張のために約 25 % を加えた数値と等しくなる必要があります。

その他にも考慮する必要が要素があります。 CLI をオンラインで使用する場合、使用する CLI 並列接続の数を追加する必要があります。 それぞれの CLI 並列接続に、別のデータベース接続を追加します。 CSUnix 2.3 ではアカウンティング バッファリングが有効になっている場合は、最大 8 個のデータベース接続を使用します。

注: データベース接続の数は、CSUnix をどのように使用するかに基づいています。 この情報はガイドラインとしてのみ使用してください。

Q. SQL を使用してデータベースを表示する方法はありますか。

A. はい。SQLAnywhere のグラフィカル ユーザ インターフェイス(ISQL)またはコマンド ラインで ExecSql コマンドを使用できます。 詳細については、『ISQL を使用した Cisco Secure データベースの表示』を参照してください。 このドキュメントでは、データベース構造について説明し、レコードの例を挙げ、一般的なクエリーを示し、ISQL またはコマンドライン インターフェイス(CLI)経由で ExecSql コマンドを使用してクエリーを実行する方法を示しています。 また、ViewProfile コマンドと DBClient コマンドについても説明しています。

Q. CSUnix に付属のデフォルトのデータベース ソフトウェア(SQLAnywhere)を使用してデータベースを複製するにはどうすればよいのですか。

A. SQLAnywhere ではデータベースの複製はサポートされていません。 シスコでは、Sybase Adaptive Server と Oracle 7.3.4 以降を使用した複製だけがサポートされています。

SQLAnywhere データベースのコピーを作成するために使用できる 2 つの方法を次に示します。

  • SQLAnywhere データベース ファイル(csecure.dbcsecure.log)は、送信元サーバとターゲット サーバのシャットダウン後に 1 台のサーバから別のサーバへコピーできます。 ファイルのアクセス権と所有権は、送信元サーバとターゲット サーバで同じである必要があります。

  • dbbackup コマンドは、バックアップ データベース ファイル(csecure.dbcsecure.log)を作成するため送信元サーバの稼働中に発行できます。 これらのファイルは、ターゲット サーバのサービスのシャットダウン後にターゲット サーバにコピーできます。 ファイルのアクセス権と所有権は、送信元サーバとターゲット サーバで同じである必要があります。

Q. CSUnix の実行中に dbbackup コマンドを使用して SQLAnywhere データベースをバックアップするにはどうすればよいのですか。

A. CSUnix の実行中に SQLAnywhere データベースをバックアップするために dbbackup コマンドを発行するには、次の手順を実行します。

注: この手順では c-shell を使用することが前提です。 別のシェルを使用する場合、env コマンドで環境変数が次のように設定されていることを確認することができます。

  1. 環境変数を設定するには、次のコマンドを発行します。
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set path=($path $SQLANY/bin)
    setenv SATMP $SQLANY/tmp
    
  2. dbbackup ユーティリティを実行するには、次のコマンドを発行します。
    
    dbbackup -c "ENG=csecure; UID=DBA; PWD=SQL" -x target_directory
    
    
    target_directory は csecure.db と csecure.log バックアップを保存する場所で置き換えます。

Q. プライマリ サーバがダウンしている場合はデバイスがバックアップ サーバに接続できるように、CSUnix プライマリ サーバとバックアップ サーバを設定できますか。

A. はい。バックアップ サーバへのフェールオーバー接続は、デバイス レベルで決定されます。 ほとんどの Cisco デバイスでは、プライマリ CSUnix サーバが使用できない場合にフェールオーバーが可能になります。 ルータの場合、tacacs-server host または radius-server host エントリは、さまざまなサーバの名前または IP アドレスで設定されます。 フェールオーバーが発生した場合は、さまざまなサーバでユーザ情報を使用できる必要があります。

Q. すべての管理を中央サイトで行い、データベースはローカルの CSUnix サーバに分散された分散環境の CSUnix をセットアップできますか。

A. はい。Oracle または Sybase データベースを使用して CSUnix で分散環境を設定できます。

Q. CSUnix はデータベースとどのようにインターフェイスするのですか。 アカウントを動的に作成してから CSUnix データベースに追加できますか。

A. CSUnix では、ユーザおよびグループの管理に使用するコマンドライン インターフェイス(CLI)と GUI が提供されています。 SQL 経由のデータベースへのダイレクト アクセスではなく、CLI または GUI のいずれかを使用してデータベースにアクセスしてプロファイルを管理します。

Q. 現在、Cisco Secure に 1 つのデータベース タイプがあります。ユーザやグループを異なるデータベース タイプ(たとえば、Oracle から Sybase、SQLAnywhere から Oracle)に移行したいと思います。 どうすればよいでしょうか。

A. ユーザをフラット ファイルにエクスポートし、このファイルから CSUnix にユーザをインポートするには、次の手順を実行します。

注: バージョン 2.3.6.1 以前では、この手順は TACACS+ のプロファイルだけをインポートします。 バージョン 2.3.6.1 では、この手順は RADIUS のプロファイルにも使用できます。

  1. ユーザをフラット ファイルにエクスポートするには、次のコマンドを発行します。
    $BASEDIR/utils/CSexport -p file_path -d export_file_name
    
    
    $BASE は CSUnix がインストールされているディレクトリを表します。
  2. フラット ファイルからユーザをインポートするには、次のコマンドを発行します。
    $BASEDIR/utils/CSimport -t -p file_path -s import_file_name
    
    
    !--- Run CSimport in test mode.
    
    $BASEDIR/utils/CSimport -c -p file_path -s import_file_name
    
    
    !--- Commit the changes to the database.
    
    
    これらのコマンドでは、export_file_name はエクスポートされたファイル名、import_file_name はインポートされたファイル名、file_path はファイルがあるディレクトリです。

Q. 各 CSUnix サーバのデータベースに存在するユーザの数を確認するにはどうすればよいのですか。 どの SQL コマンド構文を使用する必要がありますか。

A. 次のコマンドを $BASE/utils/bin ディレクトリから発行します(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。

$BASE/utils/bin/ ./ExecSql "select count(distinct profile_id) from cs_profile"

このコマンドは、すべてのユーザおよびグループ プロファイルをカウントします。 ユーザ プロファイルのみをカウントするには、cs_profilecs_user_profile で置き換えます。

Q. CSUnix のバージョンと互換性のあるデータベースまたはデータベース クライアントはどれですか。

A. 互換性の詳細については、特定のバージョンのインストール手順または『Cisco Secure ACS UNIX の互換性』の要約を参照してください。

Q. Cisco Secure とは関連のない、ユーザ情報を含む既存のデータベース(リレーショナル データベース管理システム [RDBMS])があります。 CSUnix では、このユーザ情報をインポートできるようにするインポート ツールが提供されていますか。

A. CSUnix では、既存の非 Cisco Secure データベースからユーザをインポートするために使用できるツールは提供されていません。 すべてのデータベースにはデータを表示および変更する機能があるため、「ユーザ情報」は SQL を使用して抽出できます。 既存のデータベースからクエリーした情報はフラット ファイルに収集され、CSimport コマンド(TACACS+ の場合)または CSmigrate コマンド(RADIUS の場合)を使用して CSUnix にインポートできる CSUnix の構文形式に変換できます。

GUI およびWeb管理

Q. ACS GUI のすべてのオプションを表示できません。 この問題を修正するにはどうすればよいのですか。

A. [Interface Configuration] > [Advanced Options] でリモート エージェントのロギングを有効にします。 必要なオプションのすべてにチェックマークを付けます。

Q. Netscape FastTrack 管理サーバにアクセスするにはどうすればよいのですか。

A. 通常、FastTrack 管理サーバには Web ブラウザからアクセスします。 次の手順を使用してください。

  1. 次の URL にアクセスします。
    http://server_name:64000
    server_name は FastTrack 管理サーバの名前または IP アドレスで置き換えます。
  2. 次に示すように、ユーザ名とパスワードを入力します。
    Username: admin
    Password: password
    
  3. パスワードが無効な場合は、次の手順を実行してパスワードをリセットします。
    1. $BASE/ns-home/amdpw ファイルを編集します(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。
    2. ファイルで次の行を探します。
      admin:GuBqifMleNxmY
    3. コロンに続く暗号化されたパスワードのテキストを削除し、ファイルを保存します。 これで、空のパスワードを使用して admin としてログインできるようになります。
  4. Unauthorized host エラー メッセージが表示された場合は、次の手順を実行します。
    1. $BASE/ns-home/admserv/ または $BASE/ns-home/admin-serv/ ディレクトリの ns admin.conf ファイルを編集します(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。

      注:  これらのファイルのどちらかがない場合もあります。

    2. ファイルの HostsAddresses の行を削除します。

      注意 注意: 必ず Addresseses で終わる)行のみを削除してください。 Addresses で終わらない)行は削除しないでください。

    3. ファイルを保存します。
    4. $BASE/ns-home/ ディレクトリで、stop-admin コマンドに続けて start-admin コマンドを発行し、管理サーバを再起動します。

Q. CSUnix のバージョンと互換性のあるブラウザはどれですか。

A. 互換性の詳細については、特定のバージョンのインストール手順または『Cisco Secure ACS UNIX の互換性』の要約を参照してください。

トークンサーバ

Q. CSUnix をインストールした後に Security Dynamics Incorporated(SDI)ACE サーバを追加できますか。

A. はい。次の手順で SDI ACE サーバを有効にできます。

注: CSUnix との統合を開始する前に、SDI そのものが動作していることを確実にするために、SDI クライアントのテスト認証を行うことが推奨されます。

  1. CSUnix をシャットダウンします。
  2. $BASE/config/CSU.cfg ファイルに次の行を追加します(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。
    AUTHEN config_external_authen_symbols = { 
    {
    "./libsdi.so",
    "sdi"
    }
  3. CSUnix を再始動します。

次に示すように、CSUnix GUI を使用して SDI ACE サーバを有効にすることもできます。

注: CSUnix との統合を開始する前に、SDI そのものが動作していることを確実にするために、SDI クライアントのテスト認証を行います。

  1. GUI メニューで、[AAA] > [General] の順に選択します。
  2. [General] タブの [Authentication Methods] 領域で、[Secure Dynamic (ACE Server)] オプション ボタンをクリックします。

詳細については、『Cisco Secure UNIX と Secure ID(SDI クライアント)の設定』を参照してください。

Q. Security Dynamics Incorporated(SDI)ACE サーバと CSUnix を同じマシンにインストールできますか。

A. TACACS+ と RADIUS が SDI ACE サーバで無効になっている場合は、インストールできます。 SDI ACE サーバと TACACS+ または RADIUS が同時に実行された場合は、エラーが生じる可能性があります。 これは、SDI ACE サーバが同じポートで同じ認証プロトコルを使用できることが原因です。

Q. Security Dynamics Incorporated(SDI)ACE サーバでチャレンジ ハンドシェイク認証プロトコル(CHAP)を使用できますか。

A. はい。ただし、パスコードは異なる方法で入力します。 詳細については、『Cisco Secure UNIX と Secure ID(SDI クライアント)の設定』を参照してください。

Q. トークンキャッシュとは何ですか、これを有効にするにはどうすればよいのですか。

A. トークン ベースの認証では、トークンは限られた期間のみ有効で、その期間内で再利用できません。 これらの制限により、ISDN またはマルチリンク ユーザの問題が生じる可能性があります。 ユーザ インターフェイスでユーザによる追加トークンの入力が許可されていないため、最初のトークンの認証は成功しますが、後続の再認証は失敗する可能性があります。

トークンキャッシュを使用すると、再認証の要求が CSUnix に引き続き送信されます。 その後、セッションまたはタイムアウトの条件が満たされると、CSUnix は PASS を返します。

トークンキャッシュを使用するには、次の手順を実行します。

  1. トークンキャッシュは、ユーザまたはグループ プロファイルに次の行を追加することによって有効にする必要があります。
    set server token-caching=enable
  2. パスワードの期限が切れる条件または複数の条件を設定するには、次のコマンドを発行します。これにより、パスワードが有効な期間を設定します。
    set server token-caching-expire-method= [session | timeout | both]
    
    • session は、キャッシュされたパスワードを元のセッションの持続期間だけ有効にします。

    • timeout は、キャッシュされたパスワードを指定された期間だけ有効にします。

    • both は、キャッシュされたパスワードをセッションと指定された期間だけ有効にします。

  3. ステップ 2 で timeout または both のいずれかを選択した場合、パスワードが有効である期間を設定するには、次のコマンドを使用します。
    set server token-caching-timeout=120
    

Q. CRYPTOAdmin が提供する機能は、CSUnix 製品に組み込まれた CRYPTOCard を置き換えますか。 これらは、どのように違いますか。

A. CSUnix にバンドルされた CRYPTOCard サーバは、トークン カードのサポートのみを提供します。一方、CRYPTOAdmin はトークンとユーザの設定に使用するユーザにわかりやすい管理ツールです。 CRYPTOAdmin は CSUnix で動作し、CSUnix にバンドルされていないクライアント GUI を提供します。 CSUnix には CRYPTOCard ツールキットが含まれています。 したがって、CRYPTOAdmin は実質的に CSUnix を補完します。 CRYPTOAdmin の詳細については、CRYPTOCard web site を参照してください。leavingcisco.com

ユーザ プロファイルとパスワード

Q. ACS(UNIX)で TACACS+ のユーザ プロファイルを追加するにはどうすればよいのですか。

A. このタイプのプロファイルを AddProfile コマンドで追加するには、AddProfile -s オプションを使用します(-s は [Filename])。 属性をファイルに保存し、次のようにユーザを追加できます。

*$BASEDIR/CLI* ./AddProfile -p 9900 -u userA -s script

これらの属性は、スクリプト ファイルに保存されます。

*$BASEDIR/CL>* *vi script*

password = clear "userA"
default service=permit
service=Sandvine {
set Sandvine-HomeDir = "/tmp"
set Sandvine-Group = "sv_operator,sv_admin"
set Sandvine-Shell = "/bin/sh"
}

$BASEDIR は Cisco Secure がインストールされているディレクトリです。

Q. CSUnix で許容されるパスワード最小および最大文字数は、何文字ですか。

A. データベースは、最大 255 文字のパスワードを保存します。 GUI インターフェイスは、最小および最大文字数を適用します。 詳細については、CSUnix GUI の [Help] オプションを参照してください。 ここでは、パスワード規則について説明されています。

Q. CSUnix では自分のパスワードを変更できますか。

A. はい。端末(シェル)ログインまたは CSUnix GUI 経由でパスワードを変更できます。 ターミナル(シェル)ログインによってパスワードを変更するには、次の手順を実行します。

注: この手順は、クリアテキスト パスワードのみを変更します。

  1. telnet コマンドを使用して、ルータにアクセスします。
  2. プロンプトが表示されたら、割り当てられたユーザ名を入力します。
  3. パスワードの入力を求められたら、空白のままにして Enter キーを押します。 Change password sequence メッセージが表示されます。
  4. 古いパスワードを入力し、プロンプトに従って新しいパスワードを入力します。

CSUnix GUI(HTML インターフェイス)を使用してパスワードを変更するには、次の手順を実行します。

注: この手順は、割り当てられたパスワードをすべて自動的に変更します。 パスワードのいくつかだけを変更することはできません。

  1. ユーザ プロファイルに次の行を追加します。
    privilege = web "new_password" 1
    new_password は使用する新しいパスワードで置き換えます。
  2. Web ブラウザで、次の URL にアクセスします。
    http://host_name/cs
    host_name は CSUnix サーバの名前または IP アドレスで置き換えます。
  3. ステップ 1 で使用した、割り当てられたユーザ名とパスワードでログインします。

Q. CSUnix ではパスワード エージングがサポートされていますか。

A. はい。ただし、Telnet インターフェイス経由のみです。 次のことを確認してください。

  • ユーザ プロファイルに、パスワードに設定された until の日付があること。

  • CLI.cfg ファイルに次の値を定義する行があること。

    config_warning_period x
    config_expiry_period y
    

これらの項目すべてに当てはまる場合、Telnet 経由で until の日付まで x 日という有効期限に関するメッセージがユーザに表示されます。 パスワードは空白のまま Enter キーを押すことによって、ユーザがパスワード変更シーケンスを開始すると、until の日付は y 日増加されます。 次の出力に簡単な説明とともに、ユーザ プロファイルの例を示します。

> ./ViewProfile -p 9900 -u abcde123

!--- In this example, abcde123 is used in place of an actual user name.

User Profile Information
user = abcde123{
profile_id = 21 
profile_cycle = 1 
password = clear "********" until "8 Aug 2001" 
}

この例では、CSU.cfg ファイルに config_warning_period 5 および config_expiry_period 30 という行がある場合、「abcde123」という名前のユーザは 8 月 3 日(8 月 8 日の 5 日前)からパスワードの有効期限に関する Telnet 警告を受け取るようになります。 ユーザが 8 月 6 日に Telnet インターフェイスでパスワードを変更すると、プロファイルの until の日付は 30 日後にリセットされます。 これにより、新しい有効期限は 9 月 5 日になります。

Q. 指定した日数後、アカウントが非アクティブなユーザを期限切れにする属性はありますか。

A. パスワード エージングが最も近いオプションです。 詳細については、このドキュメントの「パスワード エージングに関する質問」を参照してください。 ユーザがパスワードの期限が切れる日付までにログインしなかった場合、アカウントが期限切れになります。

注: PPP を使用したパスワードの変更はサポートされていません。これは、ユーザの期限はターミナル モードのログインでのみ機能することを意味します。

Q. CSUnix ではパスワードの選択に適用される制限はありますか。 つまり、「わかりやすい」または「クラック可能な」パスワードは拒否されますか。

A. いいえ。CSUnix では、辞書の確認や古いパスワードの記録を含め、パスワード制限のポリシーは何も適用されていません。 主な制限は、パスワードは少なくとも 6 文字長さの英数字でないと認可されないことです。 パスワードとして有効な文字はアルファベット文字(A ~ Z、および a ~ z)、数字(0 ~ 9)のみです。 パスワード制限の詳細については、『ユーザ ガイド』を参照してください。

Q. ユーザ プロファイルが「ロックされた」場合、コマンド ラインからプロファイルのロックを解除するにはどうすればよいのですか。

A. プロファイルのロックを解除するために DBClient コマンドを発行するには、次の手順を実行します。

  1. コマンド ラインで次のコマンドを発行します。
    $BASEDIR/DBClient/DBClient -p 9900
    
    $BASE は CSUnix がインストールされているディレクトリを表します。
  2. プロンプトが表示されたら、次の値を入力します。
    username: 
    admin_name
    
    
    !--- Enter your administrator user name in place of admin_name.
    
    password: 
    admin_password
    
    
    !--- Enter the administrator password in place of admin_password.
    
    
  3. unlock と入力し、Enter キーを押します。
  4. user = user_name と入力します。 user_name はロックを解除するユーザ プロファイルの名前で置き換えます。
  5. Enter キーを 2 回押します。
  6. exit と入力し、Enter キーを押して、コマンド プロンプト ウィンドウを閉じます。

アカウンティング

Q. CSUnix ではユーザごとのアカウント使用状況レポートが提供されていますか。

A. CSUnix ではこのようなレポートは提供されていませんが、この情報はデータベースから抽出できます。 ネットワーク アクセス サーバ(NAS)の提供するアカウンティング情報はそのまま保存され、AcctExport ユーティリティを使用してテキスト ファイルに抽出できます。 データベースからアカウント情報を抽出したら、データを解析し、必要なユーザごとのレポートを生成するために、スクリプトを作成できます。 Acctexport target コマンドを発行すると、データベースからアカウンティング レコードが削除されて、target に移動されます。

Q. AcctExport コマンドの実行中に CSUnix が新しいアカウンティング レコードを生成すると、どうなりますか。

A. AcctExport コマンドは、エクスポート操作を開始する前にテーブルの最大 ID 番号を収集するため、新しいレコードに影響はありません。

Q. AcctExport コマンドが成功したかどうかを知るにはどうすればよいのですか。

A. コマンドラインから AcctExport コマンドを発行した場合、Successfully done というメッセージが返されます。 プログラムから AcctExport コマンドにアクセスした場合、終了コード 0 は成功、終了コード 1 は失敗を示します。

Q. コマンド アカウンティングを有効にした場合、CSUnix はルータに入力したコマンドを正確に記録しますか。 たとえば、ip route 135.52.0.0 255.255.0.0 1.1.1.1 のような具体的なコマンドを記録しますか。

A. ルータで aaa accounting command 15 start-stop tacacs+ コマンドを発行すると、コマンドの完全な構文が AAA サーバに記録されます。 この情報は、AcctExport コマンドを使用してデータベースから取得できます。

次に、アカウンティング コマンドのレコードの例をいくつか示します。

lab-i52.cisco.com dphillip tty18 170.69.200.7 start server=ciscosecure-sun 
     time=10:09:56 date=05/19/97 task_id=74	service=shell

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:09:58 date=05/19/97 task_id=75 service=shell	
     priv-lvl=15 cmd=configure terminal <cr>

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:10:03 date=05/19/97 task_id=76 service=shell 
     priv-lvl=15 cmd=ip route 1.1.1.1 255.255.255.255 Serial 0 <cr>

Q. CallerID はアカウンティングでキャプチャされますか。

A. はい。CallerID は rem_addr フィールドに保存されます。 これには、前方スラッシュ(/)で区切られた、発信回線 ID(CLID)と着信番号情報サービス(DNIS)の両方を含めることができます。

エラーとデバッグ

Q. 「User Access Filtered」エラーを修正するにはどうすればよいですか。

A. Network Access Restrictions(NAR; ネットワーク アクセス制限)をディセーブルにするか、NAR を使用するように完全に設定します。

Q. メッセージ タイプ「Authen failed」の意味を特定するにはどうすればよいのですか。

A. メッセージの日時を記録し、CSAuth ログ ファイルに移動して、その日時を探します。 メッセージのより詳しい説明が示されています。

Q. CSUnix を Solaris Core 8 にインストールすることはできますが、エラーが発生します。 なぜでしょうか。

A. パッケージ ファイルがコア インストールから無くなっていないことを確認します。

/usr/lib/libX11.so.4, a symlink pointing to /usr/openwin/lib/libX11.s0.4
/usr/lib/libXext.so.0, a symlink pointing to /usr/openwin/lib/libXext.so.0
/usr/ucblib/libucb.so.1 

Q. CSUnix で syslog メッセージ、「ERROR - unable to get name of NAS 134」が表示されます。これはどういう意味ですか。

A. コンテンツ スイッチング サーバがある場合は、そのサーバに移動し、サーバから tacacs を削除します。 tacacs frequency 0 を追加し、tacacs をサーバに追加し直します。 これは攻撃と同様の操作で、いずれかが問題を解決します。

CSS サーバ上の TACACS キープアライブを無効にするには、次のコマンドを発行します。

CSS(config)# no tacacs-server 10.152.4.24 49 
CSS(config)# tacacs-server frequency 0 
CSS(config)# tacacs-server 10.152.4.24 49 primary 

Q. ルータでデバッグを実行すると、「protocol garbled」というエラー メッセージが表示されます。 これはどういう意味ですか。

A. おそらく、CSU.cfg ファイルに有効なライセンス キーがありません。 キーがない場合、CSUnix は 4 つのポートに到達すると、$BASE/logfiles/cs_startup.log ファイルにエラーを書き込みます(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。 その後、ルータに Licensed number of ports exceeded メッセージを送信します。 ルータは、このメッセージを protocol garbled として解釈します。 ライセンスの詳細については、『Cisco Secure UNIX に関するライセンスの問題』を参照してください。

Q. 拡張 GUI に接続すると「Security Error」メッセージが表示される場合は、どうすればよいのですか。

A. $BASE/config/CSConfig.ini ファイル(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)を編集し、ValidateClients= true の行を ValidateClients= false に変更します。 変更が適用されるように、サービスを再起動します。 この設定は、着信した管理者の IP アドレスをチェックしないよう CSUnix に指示します。

IP アドレスをチェックする必要がある場合は、ValidateClients = true の行は変更せずに、次の出力のような行をファイルに含めます。

[Valid Clients]
100=chicago.cisco.com
102=1.2.3.4

Q. スタートアップ ログに「Too many open files」エラー メッセージが表示される場合は、どうすればよいのですか。

A. これらのエラー メッセージは、使用できる Solaris のファイル記述子が不足していることを示します。

Jan 21 19:44:54 secs1 : (Too many open files)
Jan 21 19:53:17 secs1 CiscoSecure: ERROR - error on accept: (Too many open files)

これらのエラーを修正して回避するには、次の手順に示すように CSUnix のコンフィギュレーション ファイルを変更します。

  1. 次のように $BASE/bin/DBServer.sh ファイルで ulimit の値を 4096 に増やします(ここで、$BASE は CSUnix がインストールされているディレクトリを表します)。
    ulimit -n 4096
  2. 次のように $BASE/bin/AcmeServer.sh ファイルで ulimit の値を 256 に増やします。
    ulimit -n 256
  3. 次のように /etc/rc2.d/S80CiscoSecure ファイルで ulimit の値を unlimited に設定します。
    ulimit -n unlimited

Q. CSUnix を開始できず、cs_startup.log ファイルに「seminit fail (libsec .8187)」メッセージが表示される場合は、どうすればよいのですか。

A. /tmp ディレクトリの権限をチェックします。 これらの権限は、ユーザ、グループ、およびその他に対して読み取り、書き込み、実行(rwx)に設定する必要があります。 ls -ld /tmp コマンドからは、次のような出力が返されます。

drwxrwxrwt 6 sys sys 317 Jul 8 12:00 /tmp

注: seminit fail (libsec .8187) メッセージは、Netscape のエラー メッセージです。

Q. CSUnix の使用を試みると、「TAC+: Received unsane data from server」エラー メッセージが表示される場合は、どうすればよいのですか。

A. これは、ネットワーク アクセス サーバ(NAS)と CSUnix の間でキーの不一致がある、またはドメイン ネーム システム(DNS)や Network Information Service(NIS)に問題があることを意味します。

設定をテストするには、CSU.cfg ファイルで NAS IP アドレスまたは名前を空白の二重引用符("")で置き換えます。 置き換えることによって、CSUnix は正しいキーを持つクライアントと通信できるようになります。 置き換え前後の CSU.cfg ファイルの行の例を次に示します。

  • 置き換え前:

    NAS config_nas_config = {
    {
    "192.91.124.172", /* NAS name can go here */
  • 置き換え後:

    NAS config_nas_config = {
    {
    "", /* NAS name can go here */

また、CSU.cfg ファイルの先頭のセクションに他の NUMBER エントリを含む次の行を追加することによって DNS を無効にします。

NUMBER config_get_dns_names = 0

詳細については、『ユーザ ガイド』を参照してください。

Q. Cisco Secure サーバのコンソールに「Can't locate server profile」エラー メッセージが多数表示される場合は、どうすればよいのですか。

A. 通常、このエラー メッセージは表面的な問題で、データベースが 1 台のサーバから別のサーバにコピーされたときに発生する可能性があります。 送信元サーバにサーバ プロファイルが存在し、ターゲット サーバにサーバ プロファイルが存在しない場合、このメッセージが生成されます。

この問題を回避するには、拡張 GUI で CSUnix サーバ自体のプロファイルを追加できます。 または、RADIUS を使用しない場合、この手順で RADIUS を無効にすることができます。

  1. /etc/rc2.d/S80CiscoSecure ファイルをバックアップします。

  2. 次に示す行に -R を挿入することによって、/etc/rc2.d/S80CiscoSecure ファイルを編集します。

    cd $BASE/CSU; $BASE/CSU/CiscoSecure -R -f $BASE/config/CSU.cfg 
    >>$BASE/logfiles/cs_startup.log 2>&1
  3. CSUnix サービスを再起動します。

Q. プロトコルのロギング情報およびバイト レベルの詳細なデバッグを取得するには、どうすればよいのですか。 すでに CSU.cfg ファイルで「config_logging_configuration」の値を変更しましたが、まだプロトコルのロギングを取得できません。

A. プロトコルのデバッグ情報は syslog に送信されません。 代わりに、この情報は標準のエラーに書き込まれます。 通常の設定では、CSUnix サーバは標準のエラーのファイル記述子を閉じてしまうため、プロトコルのデバッグはビット バケットに投げられてしまいます。

プロトコルレベルのデバッグを表示するには、-c -x コマンドライン オプションで CSUnix サーバを起動する必要があります。 これにより、AAA サーバが最前面で動作し、標準の出力と標準のエラーのファイル記述子が開いたままになります。 そうすると、プロトコルのデバッグがコンソールに表示されます。 これらのデバッグは、UNIX の標準のエラー リダイレクションを使用してファイルにキャプチャすることもできます。

Q. プロセスが開いているファイル数を調べるには、どうすればよいのですか。

A. コマンド ラインで次のコマンドを発行します。

/usr/proc/bin/pfiles process_ID

process_ID はプロセス ID 番号で置き換えます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 4186