セキュリティ : Cisco Secure Access Control Server for Unix

Cisco Secure ACS for UNIX の管理のベスト プラクティス

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Secure(CS)ACS for UNIX アプリケーションを管理するためのベスト プラクティスについて説明します。 このドキュメントの推奨事項は、シスコの開発エンジニア(DE)の設計と導入の経験に基づいています。

前提条件

要件

このドキュメントの読者は次のトピックについて理解している必要があります。

  • UNIX の CS ACS の設定および管理

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • CS ACS UNIX バージョン 2.3(5)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ベスト プラクティスのリスト

推奨されるベスト プラクティスのリストは次のとおりです。

ステップ

次の手順を実行します。

  1. SQLAnywhere データベースで 5000 ユーザ プロファイルを超えていないことを確認します。

  2. アカウンティング レコードが、アカウンティング テーブル内で 50,000 レコードを超えないようにします。

  3. AcctExport ユーティリティを毎日実行します。

  4. トランザクション レートが非常に高く、50,000 以上のアカウンティング レコードがあるようなアカウンティング トラフィックになる場合には、AcctExport を負荷に応じて 2 回または 3 回実行します。

  5. Solaris ボックスで使用できる十分なディスク領域およびスワップ領域があることを確認します。

  6. dbunload のユーティリティを毎月実行します。 これは、CSUnix データベースのサイズを削減することに役立ちます。

  7. csecure.db が 1 GB のディスク容量を超えることが決して起こらないようにします。

  8. csecure.db が非常に短時間にこの容量を超える場合は、dbunload をより頻繁に実行するようにします。

  9. RADIUS AAA が CS で使用されない場合、/etc/rc2.d/S80Ciscosecure の – R フラグを使用してこれを無効にできます。

  10. 実行時に、データベースへのインターフェイスで発生したエラーなどの DBServer エラーが logfiles/csdb_ <date> ファイルに報告されます。 Java 仮想マシンで発生した予期せぬエラーまたはクラッシュ情報は、log/dbserver.log ファイルにログされます。 エラーがないかこれらのファイルを確認します。

  11. AAAServer がクラッシュした場合、コア ファイルは $BASEDIR/corefiles にあります。 コア ファイルがあることを確認します。

  12. データベースのバックアップは、お客様のニーズに基づいて定期的(毎日または毎週)に行います。

  13. パフォーマンスを向上するために、csuslog のロギング機能を無効にします。 これによって、パフォーマンスが大幅に向上します。

  14. /etc/system、/etc/rc2.d/S80Ciscosecure $BASEDIR/bin/DBServer.sh での ulimit 値は 4096 である必要があります。

  15. csecure.log は定期的に削除します。 csecure.log を削除する前に、CS を停止する必要があります。

  16. 直接手動でデータベース/テーブルの追加/変更/削除をしないでください。サポートされている方法だけを使用してください。

  17. $BASEDir/logfiles のディレクトリを月に一度アーカイブします。

  18. /var/log/csuslog ファイルを定期的にアーカイブし、cat /dev/null > csuslog コマンドを発行してサイズを減らします。 ファイルが削除された場合、syslog が動作しないため、ログが csuslog ファイルにリダイレクトされません。

  19. DNS サーバの問題でも注意点があります。 ターゲット システムに設定されている DNS があるか、または Solaris オペレーティング システムが DNS サーバとして設定されている場合、DNS のパフォーマンスと動作が正しく機能していることを保証するために特別な注意が必要です。

    Solaris システムをターゲットとする CS ACS サーバで DNS が有効な場合、CS ACS のパフォーマンスまたは認証上の問題がある可能性があります。 CS ACS では直接 DNS サーバの呼び出しは行いません。 ただし、Solaris オペレーティング システムで「gethostbyadd_r」を呼び出すように設定されている場合、これを呼び出して間接的に DNS サーバを呼び出すことがあります。 このような設定については /etc/nsswitch.conf ファイルを確認します。 DNS のドメイン名の解決処理が機能しなかったり遅かったりする場合、これは直接 CS ACS に影響します。

  20. dbbackup および dbunload などのツールの実行中は、パスが正しく設定されている必要があります。 正しく設定されていない場合、ツールが正常に機能しない場合があります。 $BASEDIR/utils/bin/env_setup を、パスの設定に使用できます。 このファイルには、必須の環境変数およびその他のパスの詳細がすべて含まれています。

  21. MaxConnection パラメータおよび ConnectionLicense パラメータは認証の数および CSU で処理可能なトランザクションの数に基づいてニーズを満たすように設定する必要があります。 使用する db が SqlAnyWhere の場合、MaxConnection は最大値の 50 に設定できます。 $BASEDIR/config/CSConfig.ini の ConnectionLicense を増やし、それに応じて $BASEDIR/CSU/libdb.conf の MaxConnection の値を負荷に基づいた ConnectionLicense より 2 少ない値に増加します。

  22. ルータおよびスイッチにログインするために自動スクリプトを使用する場合、およびコマンドを実行する場合、通常のルータ コマンドおよびスイッチ コマンドの間に sleep コマンドを配置することをお勧めします。 これは負荷の分散に有用で、CS サーバのリソース競合を回避します。

  23. さらに、これらの自動スクリプトではリソースが CS サーバでロックされないように Telnet セッションを正しく閉じる必要があります(任意のコマンドの失敗の場合でもこれは必要です)。


関連情報


Document ID: 63755