セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS for Windows のレプリケーションの設定

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 9 月 23 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

データベース複製は、認証、許可、アカウンティング(AAA)のフォールト トレラント性向上に役立ちます。 また、Cisco Secure ACS for Windows(ACS)サーバのミラー システムの作成を支援するため、1 つ以上のセカンダリ サーバにプライマリ サーバ設定の一部も複製します。 AAA クライアントでは、プライマリ サーバで障害が発生した場合またはプライマリ サーバに到達できなくなった場合にこれらのセカンダリ サーバを使用するよう設定できます。 セカンダリ サーバ データベースがプライマリ サーバ データベースのレプリカになっていれば、プライマリ サーバがアウト オブ サービスに移行した場合でも、ネットワークをダウンさせずに着信要求が認証されます。 このためには、AAA クライアントがセカンダリ サーバにフェールオーバーするように設定されている必要があります。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • 少なくとも 2 台の Cisco Secure ACS for Windows サーバの所有

  • ACS の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • ACS バージョン 3.2.x および 3.3.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

実装に関する重要な注意事項

Cisco Secure データベース複製 機能が設定されているときこれらのポイントを考慮して下さい:

  • ACS は他の ACS サーバへのデータベース レプリケーションしかサポートしていません。 Cisco Secure データベース複製に加わるすべての ACS サーバは ACS の水平な同じバージョンおよびパッチを動作する必要があります。

  • プライマリ サーバは、自身のデータベース コンポーネントのコピーを圧縮および暗号化してセカンダリ サーバに送信します。 この伝達はポート 2000 が付いている TCP 接続に、実行します。 伝送制御 プロトコル(TCP) セッションは認証され、暗号化される、Cisco専有プロトコル使用します。

  • セカンダリ サーバにできるのは、適切に設定された有効な ACS ホストだけです。 セカンダリサーバを追加するために、この資料の Network Configuration セクションの AAA Servers 表でそれを設定して下さい。 サーバが AAA Servers 表に追加されるとき、サーバは Cisco Secure Database Replication ページの Replication Partners の下で AAA Servers リストのセカンダリサーバとして選択のために、現われます。

  • プライマリ サーバは AAAサーバで設定され、キーを持たなければなりません。 セカンダリサーバは AAAサーバで設定されるプライマリ サーバがあり、プライマリ サーバのためのキーは自身のキー プライマリ サーバを一致する必要があります。

  • セカンダリ サーバへのレプリケーションは、Cisco Secure データベース レプリケーション ページの Replication Partners の下にある Replication リストに列挙されている順に実行されます。

  • 複製されたコンポーネントを受け取るセカンダリサーバはプライマリ サーバからのデータベース複製を受け入れるために設定する必要があります。 データベース複製のためのセカンダリサーバを設定するために、この資料のセカンダリ Cisco Secure ACS サーバセクションの設定を参照して下さい。

  • ACS は双方向のデータベース レプリケーションをサポートしていません。 複製されたコンポーネントを受け取るセカンダリサーバはプライマリ サーバが Replication リストにないことを確認します。 列挙されていない場合、セカンダリ サーバはレプリケートされたコンポーネントを受け入れます。 列挙されている場合は、コンポーネントの受け入れを拒否します。

  • ユーザ定義 の RADIUS ベンダーおよび vendor-specific属性 (VSA) コンフィギュレーションを正常に複製するために、複製されるべき定義はプライマリおよびセカンダリサーバで同一である必要があります。 これには、ユーザ定義の RADIUS ベンダーが占有している RADIUS ベンダー スロットが含まれます。 ユーザ定義の RADIUS ベンダーおよび VSA の詳細については、「ユーザ定義の RADIUS ベンダーおよび VSA セット」を参照してください。

ネットワーク構成図

この文書では、次のダイヤグラムに示すネットワーク設定を使用します。

acs1-a.gif

hostname — Arnie プライマリ ACS サーバ Microsoft Windows 2000 ドメインコントローラ

hostname —ハンカチ セカンダリ ACS サーバ Microsoft Windows 2000 ドメインコントローラ

プライマリ ACS サーバの設定

プライマリ ACS サーバを設定するのにこのプロシージャを使用して下さい:

  1. プライマリ ACS サーバの HTML インターフェイスにログインします。

  2. Network Configuration セクションで、個々のセカンダリ サーバを AAA Servers テーブルに追加します。

    acs1-b.gif

    注: この機能が現われない場合、Interface Configuration > Advanced Options の順に選択 し、Cisco Secure ACS Database Replication チェックボックスを選択して下さい。 また、Distributed System Settings チェックボックスが選択されていることを確かめます。

  3. ナビゲーション バーで System Configuration をクリックします。

  4. Cisco Secure Database Replication をクリックします。

    このステップが完了すれば、データベース複製のセットアップ ページは提示されます。

  5. セカンダリ サーバに送信する各データベース コンポーネントの Send チェックボックスを選択します。

    acs1-c.gif

  6. Replication Partners の下で、セカンダリ ACS サーバを Replication Partner カラムに追加します。

    acs1-d.gif

  7. [Submit] をクリックします。

    ACS は規定 されるレプリケーション構成および周波数または時保存します。 ACS は規定 される他の ACS サーバにコンポーネントを送り始めます。

セカンダリ ACS サーバの設定

セカンダリ ACS サーバを設定するのにこのプロシージャを使用して下さい:

  1. セカンダリ サーバの HTML インターフェイスにログインします。

  2. Network Configuration セクションでは、AAA Servers 表にプライマリ サーバを追加して下さい(プライマリ ACS でと同様に)。

    注: この機能が現われない場合、Interface Configuration > Advanced Options の順に選択 し、Cisco Secure ACS Database Replication チェックボックスを選択して下さい。 また、Distributed System Settings チェックボックスが選択されていることを確かめます。

  3. ナビゲーション バーで System Configuration をクリックします。

  4. Cisco Secure Database Replication をクリックします。

    このステップが完了すれば、データベース複製のセットアップ ページは提示されます。

  5. プライマリ サーバから受信する各データベース コンポーネントの Receive チェックボックスを選択します。

    acs1-e.gif

  6. セカンダリサーバが 1 人のプライマリ サーバだけから複製コンポーネントを受け取ることである場合 Accept replication リストから他の Cisco Secure ACS サーバ名を、選択して下さい。

  7. セカンダリサーバが複数のプライマリ サーバから複製コンポーネントを受け取ることである場合 Accept replication リストから Windows 2000 /NT サーバに既知 Cisco Secure ACS を選択して下さい。

    Any Known Cisco Secure ACS for Windows 2000/NT Server オプションは、Network Configuration セクションの AAA Servers テーブルに列挙されているサーバに限定されます。

  8. Replication Partner カラムにプライマリ サーバを追加しないで下さい。 Replication Partners の下で、理想的に Replication Partner カラムはブランクです。

    acs1-f.gif

  9. [Submit] をクリックします。

    ACS は規定 されるレプリケーション構成および周波数または時保存します。 ACS は規定 される他のサーバからの複製されたコンポーネントを受け入れます。

スケジューリング オプション

Cisco Secure データベース複製が行われるとき規定できます; これはプライマリ サーバで、ないセカンダリ設定されます。 複製が行われると制御するこれらのオプションは Cisco Secure Database Replication ページの Replication Scheduling 表に現われます。 オプションはここにあります:

  • Manually -- データベースのレプリケーションは自動的に実行されません。

  • Automatically Triggered Cascade -- プライマリ サーバからのデータベース レプリケーションが完了したときに、設定リストに挙げられているセカンダリ サーバへのデータベース レプリケーションが実行されます。 これはプライマリ サーバが他のサーバに複製されたコンポーネントを伝搬させるように要求しないサーバの伝搬階層を構築することを可能にします。

  • Every X minutes -- 設定された頻度で、設定リストの順にセカンダリ サーバへのデータベース レプリケーションが実行されます。 頻度は分単位で設定します。デフォルトの更新頻度は 60 分です。

  • At specific times -- 日付および時刻のグラフで指定した日時に、設定リストの順序でセカンダリ サーバへのデータベース レプリケーションが実行されます。 最小の設定単位は 1 時間で、レプリケーションは選択した時刻に実行されます。

レポート

Reports and Activity に移動し、Database Replication を選択して、アクティブな Database Replication.csv ログをチェックします。 複製が正常である場合、これらのログが表示されます。

プライマリ ACS の Database Replication.csv

日付 時刻 ステータス メッセージ
06/12/2002 14:14:26 INFO Outbound replication cycle completed.(レプリケーション発信サイクルが完了しました)
06/12/2002 14:14:26 ERROR Replication to ACS "Hanky" was successful.(ACS「Hanky」へのレプリケーションが成功しました)
06/12/2002 14:14:00 INFO アウトバウンド レプリケーション サイクルは開始することを約あります。

セカンダリ ACS の Database Replication.csv

日付 時刻 ステータス メッセージ
06/12/2002 16:32:02 INFO Inbound database replication from ACS "Arnie" completed.(ACS「Arnie」からのデータベース レプリケーション受信が完了しました)
06/12/2002 16:31:41 INFO Inbound database replication from ACS "Arnie" started.(ACS「Arnie」からのデータベース レプリケーション受信が開始されました)

注: プライマリ サーバのログメッセージでは、メッセージタイプはエラーを示します。 詳細については、Cisco バグ ID CSCdw51174登録ユーザのみ)を参照して下さい。 レプリケーションは ERROR キーワードに関係なく正常に完了します。

Workaround: Ignore the ERROR status.

複製が正常ではない場合これらのログが表示されます。 可能性のある現象は下記のものを含んでいます:

  • (1 つまたは複数の)リモート エンドの AAA サーバ テーブルで共有秘密鍵が一致していない。

  • リモートサーバは応答しません。

日付 時刻 ステータス メッセージ
06/14/2002 10:02:30 INFO Outbound replication cycle completed.(レプリケーション発信サイクルが完了しました)
06/14/2002 10:02:30 警告 「ハンカチに」複製できません-サーバは応答しません。
06/14/2002 10:02:23 INFO アウトバウンド レプリケーション サイクルは開始することを約あります。

確認

その他のリソースについては、シスコの「セキュリティ テクノロジー用の TAC ツール」を参照してください。 セカンダリサーバで、ユーザをチェックしか、またはグループ化し、変更が実施されることがわかって下さい。

トラブルシューティング

これらはいくつかの見つけられる、およびそれぞれのためのソリューションですエラーメッセージ:

  • エラーの認証失敗; Authentication failed : プロキシ失敗エラーメッセージは不正確なプロキシ ディストリビューション 設定が原因で示す可能性があります。 プライマリ ACS で、プロキシ配布先エントリーがセカンダリ ACS か反転に転送するために設定 されないことを確認して下さい。 正しい設定はそれ自身を対応した ACS を指すことです。

  • 複製がはたらかない場合、プライマリ ACS がセカンダリ ACS の Replication Partners としてリストされていることを確かめて下さい。 それが取除かれる場合、AAA Replication Partners は選択されませんでした。 少なくとも 1 つは複製が起こることができるように選択される必要があります。 エラーは返されます。

    送信 複製が特定時で設定される場合、手動に設定を変更して下さい。 これは通常問題を解決します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 23120