セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS for Windows の FAQ

2011 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 5 月 18 日) | フィードバック

質問

概要
User Access Filtered」エラーを修正するにはどうすればよいですか。
64 ビット Operating System(OS; オペレーティング システム)は ACS 製品で動作しますか。
外部 Windows データベースで ACS Solution Engine(SE)に接続できません。これは、なぜですか。
ACS Express で認可コマンドはサポートされていますか。
Cisco Secure ACS で IETF ペア # 80 - framed-pool をイネーブルにするにはどうすればよいのですか。
メッセージ タイプ「Authen failed」の意味を特定するにはどうすればよいのですか。
ACS で radius を使用して WLC を認証すると失敗するのはなぜですか。また、失敗した試行が ACS に表示されないのはなぜですか。
ACS Express を使用してユーザがサブドメインに認証できません。なぜ、このような現象が発生するのでしょうか。
VMWare ESX サーバは Windows ACS 4.1 および 4.2 をサポートしていますか。
ACS 5.X は、VMWare ツールをサポートしていますか。
認証をセットアップすると、認証試行時に「Chpass is currently disabled」エラーが表示されます。この問題を解決するにはどうすればよいのですか。
csutil.exe -d コマンドでデータベースをダウンロードしようとすると、「Failed to initialize crypto API」というエラー メッセージが表示されます。これはどういう意味ですか。
Cisco Secure ACS for Windows 3.0.3 から 3.2 にアップグレードしようとすると、「ACS FOLDER IS LOCKED BY ANOTHER APPLICATION」というエラー メッセージが表示されます。どうすればよいのですか。
ログはネイティブの ACS 形式で転送されますか。syslog に変換することはできますか。
Cisco Secure ACS SE で毎日ログ ファイルを生成するにはどうすればよいのですか。
ファイルにアクセスしたり、ファイルを調べたりするために使用できるツールはありますか。
Microsoft Point-to-Point Encryption(MPPE)キーイングを使用する Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)のサポートが Cisco Secure ACS for Windows に追加されたのはいつですか。
ACS は Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)をサポートしますか。
(変更発生時)ACS アカウンティング情報は Monitoring, Analysis, and Response System(MARS)に対する分析を実行しますか。
ACS にローカルでログインするときにユーザ名とパスワードを要求するように設定を変更したところ、すべてのユーザがロックアウトされるようになりました。これはどのように解決すればよいですか。
ACS マニュアルの Cisco Secure ACS コマンドライン データベース ユーティリティに関する章に、csutil -i コマンドを使用して ACS に大量のユーザをインポートする方法が説明されています。Network Access Server(NAS; ネットワーク アクセス サーバ)を一括してインポートするにはどうすればよいのですか。
ネットワーク上のすべての Network Access Server(NAS; ネットワーク アクセス サーバ)をリストに入力すると管理上のオーバーヘッドが生じるため、それを軽減したいと考えています。NAS の tacacs-server キーはすべて同じです。NAS で使用するデフォルト キーを設定するにはどうすればよいのですか。
認証のために TACACS+ と RADIUS の両方で ACS と「会話する」デバイスが必要です。一方をダイヤル用、もう一方をルータ管理に使用します。どうすればよいでしょうか。
Password Authentication Protocol(PAP; パスワード認証プロトコル)と Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)の違いは何ですか。また、CHAP を NT データベースで使用できないのはなぜですか。
ACS は他のサーバのプロキシ サーバのように動作しますか。
ACS のユーザ情報はどこに保存されていますか。
ACS のバックアップを作成するにはどうすればよいのですか。
ある ACS でバックアップ ユーティリティを使用して保存した情報を、別のサーバに復元できますか。
使用している ACS ソフトウェアの正確なリリースを知るにはどうすればよいのですか。
Security Dynamics International(SDI)と ACS を同じシステムにインストールできますか。
アカウンティング情報を別のシステムに送信し、同時にローカル システムでコピーを保持できますか。
ACS でドメインの削除はサポートされますか。
Relational Database Management System(RDBMS; リレーショナル データベース管理システム)同期とは何ですか。
GUI を起動しようとすると、「Invalid administration control」というエラーが表示されます。インストールは正常に完了し、サービスも実行されています。問題は何でしょうか。
ユーザが NT データベースに対して認証できない場合は、何を確認すればよいですか。
Novell Directory Server(NDS)データベースを設定するにはどうすればよいのですか。
ユーザが Novell Directory Server(NDS)データベースに対して認証できない場合は、何を確認すればよいですか。
Security Dynamics International(SDI)の認証問題のトラブルシューティングは、どのように行えばよいですか。
マルチリンク サービスに対して ACS 認証が機能していません。どうすればよいのですか。
ACS は RADIUS をサポートしていますか。
ACS でサポートできる Network Access Server(NAS; ネットワーク アクセス サーバ)の数に制限はありますか。
Cisco Secure では、一定期間が過ぎたら、ユーザに強制的にパスワードを変更させることができます。Windows NT データベースを認証に使用している場合でも、パスワードの強制変更は可能ですか。
ユーザが自分のパスワードを変更するにはどうすればよいのですか。
複製が失敗した場合は何を調べればよいですか。
ACS の「Logged In Users」レポートが一部のデバイスで機能しません。問題は何でしょうか。
ACS バージョン 3.0 以降では CRYPTOCard ソフトウェアはどのように扱われていますか。
シスコのカスタマーの CRYPTOAdmin Authentication Server のライセンス ポリシーはどのようになっていますか。
ACS アカウンティングで「NAS reset」というメッセージが表示されます。このメッセージが表示される原因は何ですか。
ACS のパスワードの保存には、どの暗号化アルゴリズムが使用されていますか。
シスコでは、ACS で利用できるアカウンティング ログのレポート作成に使用できるソフトウェア アプリケーションを推奨していますか。
ACS は RADIUS から TACACS+、またはその逆の変換プロキシを実行できますか。
TACACS+ を使用して ACS から PPP 接続用の Domain Name System(DNS; ドメイン ネーム システム)および Windows Internet Naming Service(WINS)サーバの IP アドレスを割り当てるにはどうすればよいのですか。
RADIUS を使用して ACS から PPP 接続用の Domain Name System(DNS; ドメイン ネーム システム)および Windows Internet Naming Service(WINS)サーバの IP アドレスを割り当てるにはどうすればよいのですか。
RADIUS サーバがリッスンするポートをレジストリ設定で変更するにはどうすればよいのですか。
TACACS+ のデフォルト ポートを TCP 49 以外の値に変更できますか。
ACS GUI に異常が見られます。たとえば、同じユーザが複数のグループに表示され、データベースからユーザを削除できません。このような問題を解決するにはどうすればよいのですか。
ソフトウェアの再インストールを何度か行ったら、RADIUS のサービスを開始できなくなりました。イベント エラーには、サービスが「service specific error 11」で終端したと表示されます。
ACS のインストールが失敗し、「NSLDAPSSL32V30.dll」ファイルを上書きできないというエラーが表示されました。原因は何ですか。また、このエラーを解決するにはどうすればよいのですか。
ファイアウォール経由で ACS GUI にアクセスすると、URL フィールドのサーバのアドレスがグローバル IP アドレスからローカル アドレスに変わります。原因は何ですか。
地理的に離れた場所にあるサーバで ACS を使用していますが、複製を行うとサービスが中断する場合があります。この問題はどのように対処すればよいですか。
ACS 3.2 を入手して前のバージョンをアップグレードするにはどうすればよいのですか。
ユーザは同時に複数のグループに存在することができますか。
aaa authentication enable default tacacs+set authentication login tacacs enable telnet primary などのコマンドを使用して、スイッチまたはルータのイネーブル認証にチェックマークを付けると、イネーブル モードからロックアウトされ、ルータに「Error in authentication」というエラー メッセージが表示されます。どうすればよいのですか。
デフォルトの設定では、ユーザは Telnet からルータに接続して自分のパスワードを変更できます。このオプションをディセーブルにするにはどうすればよいのですか。
Apply password change rule が設定されていると、TACACS+ の Password Aging Rule が SSH では動作しません。この問題はどのように対処すればよいですか。
リモート エージェントへの通信の試行中にタイムアウトが発生することがあります。これは、なぜですか。
Cisco Secure ACS サーバのパスワードを回復するにはどうすればよいのですか。
ACS でリモート エージェントを削除するにはどうすればよいのですか。
ACS で DHCP リレーはサポートされていますか。
ACS にリモート エージェントを追加すると、「Failed to commit all Fields」というエラーが表示されます。このエラーを解決するにはどうすればよいのですか。
Windows で稼働している ACS サーバのホスト名は変更できますか。
ACS は Windows 2008 サーバ プラットフォームでサポートされていますか。
ACS でデータのバックアップを作成しようとすると、「CSBackupRestore(OUT) cannot save reg key」というエラー メッセージが表示されます。なぜこのエラーが発生するのでしょうか。
ACS のこのアラームはどういう意味ですか。
Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要



このドキュメントでは、Cisco Secure ACS for Windows(ACS)の一般的な質問の回答を記載しています。



Q.「User Access Filtered」エラーを修正するにはどうすればよいのですか。



A.Network Access Restrictions(NAR; ネットワーク アクセス制限)をディセーブルにするか、NAR を使用するように完全に設定します。



Q.64 ビット Operating System(OS; オペレーティング システム)は ACS 製品で動作しますか。



A.はい。ACS 4.2.1 は ACS Windows および ACS リモート エージェントで 64 ビット Windows をサポートしています。4.2.1 よりも前の ACS バージョンは、64 ビット オペレーティング システムをサポートしていません。



Q.外部 Windows データベースで ACS Solution Engine(SE)に接続できません。これは、なぜですか。



A.この問題の原因は、外部 Windows データベースが 64 ビット OS であることです。バージョン 4.2.1 よりも前の ACS を搭載する ACS 製品は 64 ビット OS では使用できません。ACS バージョン 4.2.1 以降では 64 ビット OS がサポートされているため、ACS Solution Engine(SE)を外部 Windows データベースと接続できます。



Q.ACS Express で認可コマンドはサポートされていますか。



A.いいえ、これは ACS でのみ使用でき、ACS Express では使用できません。



Q.Cisco Secure ACS で IETF ペア # 80 - framed-pool をイネーブルにするにはどうすればよいのですか。



A.ACS GUI にはこの値を設定するオプションがすでにあるため、この属性を直接編集することはできません。

グループ編集の [IP address assignment] セクションには、[no ip address assignment]、[assigned by dialup client]、[Assigned from AAA client pool] の 3 つのオプションがあります。割り当てられているプールがある場合は、[Assigned from AAA server pool] という 4 つめのオプションがあります。

3 つめのオプション([Assigned from AAA client pool])を使用する必要があります。このオプションを設定してから、プールの名前を設定すると、属性 88 にこの値が返されます。このオプションをユーザごとに設定する必要がある場合は、ユーザ側の設定にもこれらのオプションがあります。また、RADIUS(IETF)を使用して認証するには、AAA クライアントを設定する必要があります。



Q.メッセージ タイプ「Authen failed」の意味を特定するにはどうすればよいのですか。



A.メッセージの日時を記録し、CSAuth ログ ファイルに移動して、その日時を探します。メッセージのより詳しい説明が示されています。



Q.ACS で radius を使用して WLC を認証すると失敗するのはなぜですか。また、失敗した試行が ACS に表示されないのはなぜですか。



A.パッチ 4 よりも前には ACS 5.0 と WLC の相互運用性に問題があることに注意してください。パッチ 8 をダウンロードして、このパッチを CLI に適用します。この問題を修正するために TFTP は使用しないでください。



Q.ACS Express を使用してユーザがサブドメインに認証できません。なぜ、このような現象が発生するのでしょうか。



A.この問題は、ユーザがドメイン名を指定しない場合に発生します。ドメイン名を指定しないと、ACS Express は ACS Express が加入しているドメインのドメイン名を追加しようとします。ユーザがサブドメインにいて、ACS Express が親ドメインに加入している場合、ユーザはユーザ名認証で完全修飾ドメイン名を提供する必要があります。



Q.VMWare ESX サーバは Windows ACS 4.1 および 4.2 をサポートしていますか。



A.ACS 4.1 および 4.2 は、次の構成によって VMWare ESX サーバでテストされています。

  • VMWare ESX サーバ 3.0.0

  • 16 GB の RAM

  • AMD Opteron デュアル コア プロセッサ

  • 300 GB のハード ドライブ

  • 4 つの仮想マシン

  • Windows 2003 Standard Edition

  • ゲスト オペレーティング システム用に 3 GB の RAM



Q.ACS 5.X は、VMWare ツールをサポートしていますか。



A.いいえ現在のところ、VMWare ツールは ACS 5.X バージョンではサポートされていません。詳細は、「拡張機能の要求登録ユーザ専用)」を参照してください。



Q.認証をセットアップすると、認証試行時に「Chpass is currently disabled」エラーが表示されます。この問題を解決するにはどうすればよいのですか。



A.ユーザ アカウント パスワードは change on login に設定する必要があります。パスワードを変更するには、[System Configuration] > [Local Password Management] > [Disable TELNET Change Password] の順に選択して、この ACS に対して Telnet でのパスワードの変更をディセーブルにし、ユーザの Telnet セッションに「Chpass is currently disabled」というメッセージが返されたら、ボックスのチェックをはずします。これで、パスワードを変更できるようになります。



Q.csutil.exe -d コマンドでデータベースをダウンロードしようとすると、「Failed to initialize crypto API」というエラー メッセージが表示されます。これはどういう意味ですか。



A.ローカルの admin アカウント以外の Cisco Secure ACS サーバにログインすると、このエラー メッセージが表示され、csutils コマンドを実行できなくなります。

このエラーのもう 1 つの原因は、ACS データベースのパスワードと AAA キーが Microsoft Crypto API によって暗号化されているためです。これらのパスワードとキーの暗号化を解除するために必要となる重要な情報にアクセスできるのは、ローカル管理者と実際のシステムのみです。



Q.Cisco Secure ACS for Windows 3.0.3 から 3.2 にアップグレードしようとすると、「ACS FOLDER IS LOCKED BY ANOTHER APPLICATION」というエラー メッセージが表示されます。どうすればよいのですか。



A.次の手順を実行します。

  1. インストール中に Filemon ユーティリティを実行して、「sharing violations」があるかどうかを確認します。

    注:ターミナル サービスを使用して、このサービスをアップグレードしたり一時的にディセーブルにしたりしないでください。

  2. [System Configuration] > [Service Control] > [Manage Directory] の順に選択し、最後の 7 ファイルだけを保存するように変更します。


Q.ログはネイティブの ACS 形式で転送されますか。syslog に変換することはできますか。



A.いいえ、ログはネイティブの syslog です。



Q.Cisco Secure ACS SE で毎日ログ ファイルを生成するにはどうすればよいのですか。



A.Cisco Secure ACS は、CSV ログごとに個別のログ ファイルを作成します。ログ ファイルのサイズが 10 MB になると、Cisco Secure ACS は新しいログ ファイルを作成します。Cisco Secure ACS は各 CSV ログに最も新しい 7 個のログ ファイルを保持します。ログの作成の詳細については、「CSV ログのイネーブル化とディセーブル化」を参照してください。



Q.ファイルにアクセスしたり、ファイルを調べたりするために使用できるツールはありますか。



A.いいえ、ACS に付属しているツールはありません。詳細については、「シスコでは、ACS で利用できるアカウンティング ログのレポート作成に使用できるソフトウェア アプリケーションを推奨していますか。」を参照してください。



Q.Microsoft Point-to-Point Encryption(MPPE)キーイングを使用する Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)のサポートが Cisco Secure ACS for Windows に追加されたのはいつですか。



A.PPTP バージョン 2.6 で MPPE キーイング(暗号化)を実行するには、Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)認証が必要です。これよりも前のバージョンでは、PPTP 認証を実行できます。ただし、MPPE キーイングは ACS 2.6 よりも前のバージョンではサポートされていません。



Q.ACS は Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)をサポートしますか。



A.ACS は現在 MS-CHAP バージョン 1 をサポートしています。ACS バージョン 3.0 以降では、MS-CHAP バージョン 1 および 2 がサポートされています。



Q.(変更発生時)ACS アカウンティング情報は Monitoring, Analysis, and Response System(MARS)に対する分析を実行しますか。



A.残念ながら、MARS での現在のサポートには、Failed Attempts ログ、Passed Authentications ログ、RADIUS Accounting ログ以外を解析する機能がありません。

ACS 5.0 では、MARS ではなく ACS View を使用して ACS の監視とレポートを行います。



Q.ACS にローカルでログインするときにユーザ名とパスワードを要求するように設定を変更したところ、すべてのユーザがロックアウトされるようになりました。これはどのように解決すればよいですか。



A.この問題への解決策は、ソフトウェアのバージョンによって異なりますが、ソフトウェアのバージョンにかかわらず、必ず最初に NT レジストリのバックアップを作成してください。

ACS の初期バージョンでは、ローカル ログインのユーザ名およびパスワードの要件をレジストリで変更できます。regedit コマンドを発行し、allow AutoLocalLogin を探します。レジストリ値を 1 に変更してローカル ログインを実行できるようにし、このサービスを再利用します。

ACS バージョン 2.6 以降では、regedit コマンドを発行し、次の場所のユーザを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

Administrators キーの下に、作成されている管理者がすべて表示されます。ユーザを削除して、レジストリを終了します。ACS にアクセスしても、ユーザ名とパスワードは要求されません。GUI から管理者を追加します。



Q.ACS マニュアルの Cisco Secure ACS コマンドライン データベース ユーティリティに関する章に、csutil -i コマンドを使用して ACS に大量のユーザをインポートする方法が説明されています。Network Access Server(NAS; ネットワーク アクセス サーバ)を一括してインポートするにはどうすればよいのですか。



A.NAS を一括してインポートする手順は、ユーザのインポートと似ています。次にフラット ファイルの例を示します。

ONLINE 
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+ 
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R

NAS を特定のネットワーク デバイス グループにインポートすることもできます。次にフラット ファイルの例を示します。

ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg


Q.ネットワーク上のすべての Network Access Server(NAS; ネットワーク アクセス サーバ)をリストに入力すると管理上のオーバーヘッドが生じるため、それを軽減したいと考えています。NAS の tacacs-server キーはすべて同じです。NAS で使用するデフォルト キーを設定するにはどうすればよいのですか。



A.ホスト名と IP アドレスは空白のままにして、デフォルトの NAS を NAS 設定エリアに追加します。キーのみを入力します。[Submit] をクリックします。others*.*.*.* となっている NAS が表示されます。

注:この手順は TACACS+ でのみ有効です。RADIUS では使用できません。



Q.認証のために TACACS+ と RADIUS の両方で ACS と「会話する」デバイスが必要です。一方をダイヤル用、もう一方をルータ管理に使用します。どうすればよいでしょうか。



A.TACACS+ に対して、前の質問で説明されている手順でデフォルトの Network Access Server(NAS; ネットワーク アクセス サーバ)を設定し、次にその NAS を RADIUS に対して設定します。aaa authentication ppp default if-needed RADIUS コマンドを発行すると、NAS は RADIUS のダイヤル要求を RADIUS ポートの ACS に送信します。

aaa authentication login default TACACS+ コマンドを発行すると、NAS は TACACS+ のルータ管理要求を TACACS+ ポートの ACS に送信します。



Q.Password Authentication Protocol(PAP; パスワード認証プロトコル)と Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)の違いは何ですか。また、CHAP を NT データベースで使用できないのはなぜですか。



A.PAP はユーザと TACACS+ または RADIUS クライアント/デバイスとの間でクリア テキストのパスワードを送信します。パスワードが正しければ、認証が確認応答されます。正しくなければ、接続が終了します。

CHAP はリモート ユーザにチャレンジ メッセージを送信します。リモート ユーザは、一方向ハッシュ関数を使用して計算された値で応答します。クライアントまたはデバイスは、その応答が自分の計算した予測ハッシュ値と一致するかどうかをチェックします。値が一致する場合、認証は確認応答されます。一致しない場合、接続が終了します。パスワードはクリア テキストでは送信されません。

CHAP RFC(1994) leavingcisco.com の要件があるため、CHAP は NT データベースでは使用できません。この中で、

「CHAP では、シークレットはプレーン テキスト形式で使用できなければならない。一般に使用される、不可逆的に暗号化されたパスワード データベースは使用できない」と規定されています。

この仕様のため、NT データベースでは CHAP を使用できません。ただし、Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)はオプションとして使用できます。

Microsoft では、Microsoft Windows NT ユーザ データベースの回避策として、ホットフィックスを提供しています。このホットフィックスを使用すると、ユーザ パスワードをプレーン テキスト形式で保存できます。詳細な情報については、CHAP の『CHAP Update for IAS (NT4.0 RADIUS Server) Authentication to Windows NT4.0 Domain Controllersleavingcisco.com を参照してください。



Q.ACS は他のサーバのプロキシ サーバのように動作しますか。



A.はい、ACS は Network Access Server(NAS; ネットワーク アクセス サーバ)から認証要求を受信して、その要求を他のサーバに転送します。他のサーバを定義する必要があります。他のサーバを定義するには、送信元で [Network Configuration] > [AAA Servers] の順に選択します。送信元サーバは、ターゲット上で TACACS+ または RADIUS NAS として定義されます。これらを定義した後、送信元の [Network Configuration] で [Distributed System Settings] を設定して、プロキシ パラメータを定義します。



Q.ACS のユーザ情報はどこに保存されていますか。



A.ACS には独自のデータベースがあります。ユーザ情報は複数のファイルに保存されています。



Q.ACS のバックアップを作成するにはどうすればよいのですか。



A.ACS のバックアップには、GUI で [System Configuration] タブを使用する方法と、Command Line Interface(CLI; コマンドライン インターフェイス)を使用する方法があります。GUI を使用すると、ユーザ設定、グループ設定、レジストリ設定をバックアップできます。CLI を使用する場合は、次のコマンドを発行します。

ユーザおよびグループをダンプする場合

$BASE\utils\csutil -d

ユーザ設定、グループ設定、レジストリ設定をバックアップする場合

$BASE\utils\csutil -b


Q.ある ACS でバックアップ ユーティリティを使用して保存した情報を、別のサーバに復元できますか。



A.いいえ、バックアップ ユーティリティは、特定の ACS ボックスからユーザ、グループ、レジストリの情報を保存し、その情報を同じバージョンのソフトウェアを実行している同じ ACS ボックスに復元するためのものです。ACS ボックスをクローニングする必要がある場合は、代わりに複製を使用します。

あるサーバから他のサーバにユーザとグループのみをコピーする場合は、csutil -d コマンドを発行すると、新しいダンプ テキスト(.txt)ファイルがターゲットのボックスにコピーされます。その後、csutil -n -l コマンドを発行し、データベースを初期化して、ユーザとグループをインポートします。



Q.使用している ACS ソフトウェアの正確なリリースを知るにはどうすればよいのですか。



A.リリースをチェックするには、次の 2 とおりの方法があります。

  • ブラウザを起動して、ページの下部でリリースを探します。

    Cisco Secure ACS v2.3 for Windows NT
     
    Release 2.3(2)
  • Cisco Secure マシンで DOS プロンプトを起動し、次のコマンドを実行します。

    D:\Program Files\Cisco Secure ACS v2.3\Utils>csutil
    CSUtil v2.3(2.4), Copyright 1997, Cisco Systems Inc.


Q.Security Dynamics International(SDI)と ACS を同じシステムにインストールできますか。



A.はい、ACS と SDI の Access Control Entry(ACE; アクセス コントロール エントリ)サーバは同じマシン上で実行できます。あるマシンに ACS と ACE クライアントがあり、別のマシンに ACE サーバがあるというクライアント サーバ構成も可能です。



Q.アカウンティング情報を別のシステムに送信し、同時にローカル システムでコピーを保持できますか。



A.はい、これを設定するには、[System Configuration] > [Logging] の順に選択します。



Q.ACS でドメインの削除はサポートされますか。



A.はい、ACS はドメインの削除をサポートしています。これは、Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)ユーザと VPDN 以外のユーザが混在している場合に役立ちます。

ドメインの削除は、外部の NT データベースを認証に使用している場合にも使用できます。ユーザが初めてログインしたときに、ユーザ名は ACS に自動的に格納されます。ユーザは「DOMAIN_A\user」または「user」となるため、ACS 内での名前は「DOMAIN_A\user」または「user」と表示されます。この結果、両方のエントリがデータベースに入ります。このような場合にドメインの削除を使用すると、エントリの重複を回避できます。ドメインの削除では、プレフィクスのドメインとデリミタ「\」を消去して、データベースに一貫性を確保できます。これを設定するには、[Network Configuration] > [Proxy Distribution Table] の順に選択します。



Q.Relational Database Management System(RDBMS; リレーショナル データベース管理システム)同期とは何ですか。



A.ACS は Oracle などの RDBMS データベースをサポートしているため、RDBMS を使用する 2 つのシステム間のデータベースを同期化できます。



Q.GUI を起動しようとすると、「Invalid administration control」というエラーが表示されます。インストールは正常に完了し、サービスも実行されています。問題は何でしょうか。



A.この問題は通常、ブラウザにプロキシ サーバが設定されている場合に起こります。これを解決するには、プロキシ サーバを完全にディセーブルにしてから、ACS の管理画面を起動します。



Q.ユーザが NT データベースに対して認証できない場合は、何を確認すればよいですか。



A.この問題のトラブルシューティングを行うには、次の手順を実行します。

  1. ローカル ドメインでユーザを認証できるかどうかを確認します。これを確認するには、[Start] > [Shutdown] > [Close all programs and log on as a different user] の順に選択します。ローカル ドメインでユーザを認証できない場合、ACS は動作しません。
  2. Cisco Secure のデータベース設定で [verify grant dialin permission for the users] にチェックを付けている場合、NT データベースでこのユーザにダイヤルインの許可が与えられているかどうかを確認します。
  3. これがダイヤル接続の場合は、Password Authentication Protocol(PAP; パスワード認証プロトコル)または Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)(CHAP ではなく)がルータと PC に設定されていることを確認します。


Q.Novell Directory Server(NDS)データベースを設定するにはどうすればよいのですか。



A.[NDS Server Support] を選択する場合は、次の手順を実行します。

  1. Novell NetWare 管理者に問い合わせて、ツリー、コンテナ、コンテキストの名前やその他の情報を取得します。
  2. [NDS Server Support] をクリックします。
  3. 設定の名前を入力します。これは単なる参考情報です。
  4. ツリー名を入力します。
  5. 完全なコンテキスト リストをドット(.)で区切って入力します。複数のコンテキスト リストを入力できます。その場合は、カンマとスペースで区切ります。たとえば、組織が Corporation、組織名が Chicago で、2 つのコンテキスト名(Marketing と Engineering)を入力する場合は、次のように入力します。
    Engineering.Chicago.Corporation, 
    Marketing.Chicago.Corporation
    コンテキスト リストにユーザを追加する必要はありません。
  6. [Submit] をクリックします。変更はただちに有効になるため、ACS を再起動する必要はありません。

    注意 注意:[Delete] をクリックすると、NDS データベースの設定が削除されます。



Q.ユーザが Novell Directory Server(NDS)データベースに対して認証できない場合は、何を確認すればよいですか。



A.ツリー名、コンテキスト名、コンテナ名がすべて正しく指定されているかどうかを確認します。ユーザが存在する 1 つのコンテナから始めて、その後で必要に応じてさらにコンテナを追加します。

これが成功した場合は、次に NAS でシェル ユーザ(Telnet ユーザ)を認証できるかどうかを確認します。また、PPP の場合は、Password Authentication Protocol(PAP; パスワード認証プロトコル)認証が非同期インターフェイスで設定されていることも確認します。



Q.Security Dynamics International(SDI)の認証問題のトラブルシューティングは、どのように行えばよいですか。



A.SDI 認証問題のトラブルシューティングを行うには、次の手順を実行します。

  1. まず、Access Control Entry(ACE; アクセス コントロール エントリ)テスト エージェントでユーザを認証します。
  2. これが動作する場合は、カードがデータベースと同期していることを確認します。カードを初期化するときは、必ず SDI サーバで Data Encryption Standard(DES; データ暗号規格)暗号化を使用します。SDI を選択すると正常に動作しません。
  3. 次に、ACE サーバでアクティビティ モニタを起動し、デバイスに対して Telnet 認証を行います。
  4. ACE サーバのアクティビティ モニタにエラーが表示されていないかどうかを確認します。
  5. ACE サーバは動作しても、ダイヤル ユーザに問題がある場合は、Network Access Server(NAS; ネットワーク アクセス サーバ)の設定を確認し、Password Authentication Protocol(PAP; パスワード認証プロトコル)が設定されていることを確かめます。その後、SDI 以外のユーザとして接続します。
  6. これが動作する場合は、SDI ユーザとしての接続は問題なく動作します。[Dial-up Networking] のユーザ名タブにユーザ名を入力し、パスワード タブにパスコードを入力します。
  7. ダイヤルしているクライアントが、ダイヤル後にポスト ターミナル画面を起動するように設定されている場合は、NAS で次の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)コマンドを必ず発行します。
    aaa authentication ppp default if-needed 
    tacacs+/Radius
    
    ここで重要な点は、if-needed を使用することです。これは、次の AAA コマンドを発行するとユーザがすでに認証されていることを意味します。
    aaa authentication login default
    	 tacacs+/radius
    
    これで、PPP 処理中にユーザを再度認証する必要はありません。これは通常の PAP パスワードを使用している場合にも適用されます。


Q.マルチリンク サービスに対して ACS 認証が機能していません。どうすればよいのですか。



A.[Interface Configuration] > [Tacacs+ (Cisco)] > [Add New Service] の順に選択します。サービスとして ppp を、プロトコルとして multilink を割り当てます。

注:PPP とマルチリンクはすべて小文字です。



Q.ACS は RADIUS をサポートしていますか。



A.RADIUS がどの程度サポートされているかは、ACS のバージョンによって異なります。Request For Comment(RFC)2138 leavingcisco.com および 2139 leavingcisco.com は Cisco IOS® ソフトウェア Vendor-Specific Attribute(VSA; ベンダー固有属性)であるため、常にサポートされています。特定のバージョンでの RADIUS サポートのリストを入手するには、[Network Configuration] > [Network Device Groups] > [AAA Clients Area] の順に選択します。



Q.ACS でサポートできる Network Access Server(NAS; ネットワーク アクセス サーバ)の数に制限はありますか。



A.これは Windows NT レジストリがサポートできる数に関係しているため、制限はありません。Windows NT レジストリでは数千台のサーバをサポートできると推定されます。NAS の情報はデータベースではなく、レジストリに保存されています。そのため、csutil -d コマンドを使用しても、NAS の情報はバックアップされません。



Q.Cisco Secure では、一定期間が過ぎたら、ユーザに強制的にパスワードを変更させることができます。Windows NT データベースを認証に使用している場合でも、パスワードの強制変更は可能ですか。



A.Cisco Secure データベースを認証に使用している場合、この機能はすべてのバージョンで有効です。バージョン 3.0 以降では、Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェイク認証プロトコル)バージョン 2 および MS-CHAP Password Aging をサポートしています。これは Microsoft ダイヤルアップ ネットワーク クライアント、Cisco VPN Client(バージョン 3.0 以降)、MS-CHAP をサポートするデスクトップ クライアントと動作します。パスワードの有効期限が切れた後にログインすると、この機能によりパスワードの変更が要求されます。MS-CHAP ベースのパスワード エージング機能は、Cisco Secure ユーザ データベースによるパスワード エージングの他に、Windows ユーザ データベースで認証するユーザをサポートしています。この機能は ACS 3.0 に追加されていますが、デバイスまたはクライアントでもサポートされている必要があります。シスコシステムズでは、デバイスまたはクライアントのサポートを各種ハードウェアに徐々に追加される予定です。



Q.ユーザが自分のパスワードを変更するにはどうすればよいのですか。



A.PC 上に Cisco Secure Authentication Agent が存在する場合、ダイヤル接続に関する Cisco Secure データベース パスワードの期限が切れたことがユーザに通知されます。ユーザがネットワークに接続している場合、User Changeable Password ソフトウェアが使用されます。このソフトウェアは Microsoft IIS で動作します。ネットワーク上のユーザは User Control Point(UCP)がインストールされているシステムにブラウザでアクセスしてパスワードを変更します。



Q.複製が失敗した場合は何を調べればよいですか。



A.コマンドラインから net stopcsauth コマンドを発行して、各サーバのサービスを停止します。次に csauth -z -p コマンドを発行してソースとターゲットの両方をデバッグ モードで実行し、ウィンドウに表示されるメッセージを調べます。出力は $BASE\CSAuth\Logs\auth.log ファイルにも記録されます。1 台以上の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバの設定が誤っている可能性があるため、不正なホストまたは不明なホストからの要求をレポートしているメッセージをターゲット上で調べます。ソースに複数のネットワーク アダプタがある場合は、それが元でターゲットが間違った IP アドレスを参照したり、ソースを不明として拒否したりします。



Q.ACS の「Logged In Users」レポートが一部のデバイスで機能しません。問題は何でしょうか。



A.「Logged In Users」レポートが正常に機能するには(これはセッションにかかわる他のほとんどの機能にも適用されます)、パケットに少なくとも次のフィールドが含まれている必要があります。

認証要求パケット

nas-ip-address
nas-port

アカウンティング開始パケット

nas-ip-address
nas-port
session-id
framed-ip-address

アカウンティング停止パケット

nas-ip-address
nas-port
session-id
framed-ip-address

複数のパケットに見られる属性(nas-portnas-ip-address など)には、すべてのパケットで同じ値である必要があります。

接続時間が非常に短く、開始パケットから停止パケットまでの時間がほとんどない場合(たとえば、PIX を経由する HTTP)も、Logged In Users は機能しません。

ACS バージョン 3.0 以降では、デバイスは nas-port または nas-port-id のいずれかを送信できます。



Q.ACS バージョン 3.0 以降では CRYPTOCard ソフトウェアはどのように扱われていますか。



A.ACS バージョン 3.0 以降では、CRYPTOAdmin サーバ コンポーネントは ACS から削除されています。今後のライセンスは、無償か有償かにかかわらず、CRYPTOCard から直接取得する必要があります。



Q.シスコのカスタマーの CRYPTOAdmin Authentication Server のライセンス ポリシーはどのようになっていますか。



A.ライセンス条項と今後のアップグレードに関する詳細が必要な場合は、sales@cryptocard.com 宛てに電子メールを送信してください。参照用に使用する製品コードは CA5.1SC です。期限付きライセンスやソフトウェア トークンなどが含まれる CRYPTOAdmin Server ソフトウェアの評価パッケージは、CRYPTOCard のダウンロード ページ leavingcisco.com から入手できます。



Q.ACS アカウンティングで「NAS reset」というメッセージが表示されます。このメッセージが表示される原因は何ですか。



A.NAS reset」メッセージは、デバイスをリブートした場合や、Cisco IOS ソフトウェアで tacacs-server host #.#.#.# single-connection コマンドを発行した場合に表示されます。デバイスをリブートしていない場合は、tacacs-server host #.#.#.# コマンドを発行して設定を変更すると、このメッセージは表示されなくなります。



Q.ACS のパスワードの保存には、どの暗号化アルゴリズムが使用されていますか。



A.パスワードは、RC2 アルゴリズムと 40 ビット キーを使用して、Crypto API Microsoft Base Cryptographic Provider バージョン 1.0 によって暗号化されます。詳細については、「ユーザ データベース:Cisco Secure ユーザ データベースについて」を参照してください。



Q.シスコでは、ACS で利用できるアカウンティング ログのレポート作成に使用できるソフトウェア アプリケーションを推奨していますか。



A.ACS アカウンティング ログは、次の 2 つの形式のいずれかで記録できます。

  • CSV ファイル:Comma-Separated Value(CSV; カンマ区切り形式)は、カンマで区切られたカラムにデータを記録します。この形式は、Microsoft Excel や Microsoft Access などのさまざまなサードパーティ アプリケーションに簡単にインポートできます。CSV ファイルからこれらのアプリケーションにデータをインポートしたら、図表を作成したり、特定の時間帯でユーザがネットワークに何時間ログインしていたかを算出するクエリーを実行したりできます。

  • ODBC 準拠のデータベース テーブル:Open Database Connectivity(ODBC)のロギングを使用して、ODBC 準拠のリレーショナル データベースに直接ログを記録するように ACS を設定できます。その際、情報はログごとに 1 つのテーブルに格納されます。データがリレーショナル データベースにエクスポートされたら、そのデータを自由に使用できます。

どちらの方法でも、さまざまなログ解析ソフトウェアを利用できますが、シスコでは特定のベンダーを推奨していません。



Q.ACS は RADIUS から TACACS+、またはその逆の変換プロキシを実行できますか。



A.ACS は RADIUS から RADIUS、または TACACS+ から TACACS+ へのプロキシは実行できますが、異なるプロトコル間のプロキシは実行できません。



Q.TACACS+ を使用して ACS から PPP 接続用の Domain Name System(DNS; ドメイン ネーム システム)および Windows Internet Naming Service(WINS)サーバの IP アドレスを割り当てるにはどうすればよいのですか。



A.ACS からユーザごと、またはユーザのグループに DNS および WINS サーバの IP アドレスを指定するには、グループ設定に PPP IP のカスタム属性として次の行を追加します。

dns-servers = 10.1.1.1 10.1.1.3

wins-servers = 10.1.1.5 10.1.1.16


Q.RADIUS を使用して ACS から PPP 接続用の Domain Name System(DNS; ドメイン ネーム システム)および Windows Internet Naming Service(WINS)サーバの IP アドレスを割り当てるにはどうすればよいのですか。



A.ACS からユーザごと、またはユーザのグループに DNS および WINS サーバの IP アドレスを指定するには、グループ設定の Cisco RADIUS 属性と AV ペアの下に次の行を追加します。

ip:wins-server=123.1.1.1 123.1.1.2

ip:dns-servers=212.1.1.1 212.1.1.2


Q.RADIUS サーバがリッスンするポートをレジストリ設定で変更するにはどうすればよいのですか。



A.バージョン 2.5 以降の ACS は、認証では RADIUS ポートの User Datagram Protocol(UDP; ユーザ データグラム プロトコル)1645 および UDP 1812 でリッスンし、アカウンティングではポート 1646 および 1813 でリッスンします。

これよりも古いバージョンを使用している場合は、リスニング ポートを変更します。リスニング ポートを変更するには、次のように Windows レジストリで適切なキーの属性値を再編集します。

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv2.3\CSRadius
"AuthenticationPort"=dword:1812
"AccountingPort"=dword:1813
This can also be changed in the newer version:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSRadius
AccountingPort = 1646
AccountingPortNew = 1813
AuthenticationPort = 1645
AuthenticationPortNew = 1812


Q.TACACS+ のデフォルト ポートを TCP 49 以外の値に変更できますか。



A.TACACS+ サービスのポートのデフォルト値を変更します。デフォルト値を変更するには、次のように Windows レジストリで適切なキーの属性値を再編集します。

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSTacacs
"Port"=dword:59


Q.ACS GUI に異常が見られます。たとえば、同じユーザが複数のグループに表示され、データベースからユーザを削除できません。このような問題を解決するにはどうすればよいのですか。



A.次の手順を実行して、ユーザを追加します。

  1. ファイルの最後に新しいレコードを追加する。
  2. 新しいレコードへのインデックス パスを作成する。

このプロセスの間に CSAuth サービスが中断した場合は、レコードがデータベースに存在していても、編集できないことがあります。これは、レコードの検索にインデックス コードが使用されるためです。

データベースをクリーンアップするには、コマンドラインに移動し、$BASE\utils\csutil -q -d -n -l dump.txt コマンドを発行します。

「$BASE」はソフトウェアがインストールされているディレクトリです。このコマンドを発行すると、データベースのアンロードとリロードが行われ、カウンタがクリアされます。



Q.ソフトウェアの再インストールを何度か行ったら、RADIUS のサービスを開始できなくなりました。イベント エラーには、サービスが「service specific error 11」で終端したと表示されます。



A.CSRadius サービスを開始できない原因はいくつか考えられます。最も一般的な問題は、サポートされていないサービス パックが適用されている Windows を実行しているか、他のアプリケーションとソフトウェアの競合が起こっているかです。サポートされているプラットフォームとサービス パックについては、インストールに関する文書に記載されています。

ポートの競合を確認するには、サーバのコマンドラインに移動して、netstat -an | findstr 1645 および netstat -an | findstr 1644 コマンドを発行し、他のサービスがこれらの User Data Protocol(UDP)ポートを使用しているかどうかを確認します。別のサービスがこれらのポートを使用している場合は、次のような出力が表示されます。

UDP 0.0.0.0:1645 *:*

UDP 0.0.0.0:1646 *:*

このエラー メッセージの他の原因としては、Microsoft Server サービスが起動していなかったことが考えられます。これを確認するには、[Control Panel] > [Services] の順に選択し、Server サービスの [Started] と [Automatic] のオプションが選択されていることを確認します。



Q.ACS のインストールが失敗し、「NSLDAPSSL32V30.dll」ファイルを上書きできないというエラーが表示されました。原因は何ですか。また、このエラーを解決するにはどうすればよいのですか。



A.このエラーは、Cisco Secure VPN Client バージョン 1.1 のインストールとの競合によって起こる場合があります。この競合を解消するには、VPN Client をシステムから削除します。



Q.ファイアウォール経由で ACS GUI にアクセスすると、URL フィールドのサーバのアドレスがグローバル IP アドレスからローカル アドレスに変わります。原因は何ですか。



A.ACS 3.0 の現在のバージョンでは、この問題は解決しています。初期ログインの後でその次のページに変更しても、グローバル IP アドレスは変わりません。



Q.地理的に離れた場所にあるサーバで ACS を使用していますが、複製を行うとサービスが中断する場合があります。この問題はどのように対処すればよいですか。



A.認証を行うデバイスでフェールオーバーが設定されていることを確認します。つまり、一方のサーバが到達不能になった場合にバックアップになるように定義されているサーバが、少なくとも 2 台あることを確認します(複製を行わない場合でも、このように構成することをお勧めします)。たとえば、米国の ACS がオーストラリアにある 2 台目の ACS に複製を作成するようサーバを構成している場合、最初に米国を試してから次にオーストラリアを試すように認証デバイスを設定するのは最善の方法とはいえません。2 台目のローカル サーバを(米国に)設置して、米国のマスターから米国のスレーブに複製を作成し、次に米国のスレーブからオーストラリアのスレーブに複製を作成するという方法を検討してください。



Q.ACS 3.2 を入手して前のバージョンをアップグレードするにはどうすればよいのですか。



A.詳細については、「Cisco Secure ACS Version 3.2 for Windows 2000 and NT の Q & A」を参照してください。



Q.ユーザは同時に複数のグループに存在することができますか。



A.いいえ、ユーザは同時に複数のグループには存在できません。



Q.aaa authentication enable default tacacs+set authentication login tacacs enable telnet primary などのコマンドを使用して、スイッチまたはルータのイネーブル認証にチェックマークを付けると、イネーブル モードからロックアウトされ、ルータに「Error in authentication」というエラー メッセージが表示されます。どうすればよいのですか。



A.ACS のログでエラーの箇所を確認します。ログに「CS password invalid」と記録されていたら、そのユーザに特別なイネーブル パスワードが設定されていなかったことが原因と考えられます。これは、イネーブル認証を設定する場合に必要です。ユーザ オプションに Advanced TACACS+ Settings が表示されない場合は、[Interface Configuration] > [Advanced Configuration Options] > [Advanced TACACS+ Features] の順に選択して、このオプションを選択します。これで、TACACS+ の設定がユーザの設定に表示されます。次に [Max privilege for any AAA Client](通常は 15)を選択し、そのユーザのイネーブル パスワードとして使用する TACACS+ イネーブル パスワードを入力します。



Q.デフォルトの設定では、ユーザは Telnet からルータに接続して自分のパスワードを変更できます。このオプションをディセーブルにするにはどうすればよいのですか。



A.ユーザが Telnet 経由で自分のパスワードを変更できないようにするには、次の手順に従います。

  1. ローカル レジストリのバックアップを作成します。
  2. レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv< your_version >\CSTacacs に移動します。
  3. CSTacacs を強調表示します。次に NEW-DWORD を右クリックして選択し、レジストリ値を追加します。
  4. 新しいキーがウィンドウの右側に表示されたら、新しいキーのウィンドウに disablechangepassword と入力します。
  5. 新しいキーのデフォルト値は 0 です。これはユーザによるパスワード変更を許可することを示します。新しいキーを右クリックして、[Modify] を選択します。次に、キーの値を 1 に変更してパスワードを変更できないようにします。
  6. この新しいキーを追加したら、CSTacacs サービスと CSAuth サービスを再起動します。


Q.Apply password change rule が設定されていると、TACACS+ の Password Aging Rule が SSH では動作しません。この問題はどのように対処すればよいですか。



A.認証に Telnet を使用します。

有効期限が切れる前などに、ログイン中に TACACS+ ユーザ パスワードを変更しても、SSH では動作しません。これは TACACS+ AAA サーバと SSH でセッションを確立する場合に発生する固有の問題であり、RADIUS セッションまたは Telnet セッションでは発生しません。

TACACS+ には、AAA サーバに空のパスワードが指定されると、パスワード変更シーケンスを開始するという機能があります。たとえば、古いパスワードの後に、新しいパスワードが要求されます。パスワード変更シーケンスは、成功または失敗、および新しいパスワードが受け入れられたか拒否されたかによって異なります。

有効期限前にパスワードを変更する必要がある場合は、Telnet を使用します。有効期限が切れたパスワードでは、SSH は正常に動作します。これは、パスワードの有効期限が切れた時点で、パスワード変更のシーケンスが開始されるためです。

ルータに Telnet で接続すると、ユーザは [Password:]プロンプトに入力し、パスワード変更シーケンスを開始できます。また、パスワードの有効期限が間もなく切れることや、有効期限が切れたことをユーザに通知するように設定できます。この機能は、SSH からルータへの接続中には使用できません。



Q.リモート エージェントへの通信の試行中にタイムアウトが発生することがあります。これは、なぜですか。



A.ACS サーバとリモート エージェントのソフトウェア バージョンが同じであることを確認します。たとえば、ACS SE で実行しているソフトウェアのバージョンが 4.1 の場合、AD ではリモート エージェント バージョン 4.1 を使用する必要があります。ソフトウェア バージョンが同じでないと、設定が正常に動作せず、次のエラー メッセージが表示されることがあります。External DB user invalid or bad password.



Q.Cisco Secure ACS サーバのパスワードを回復するにはどうすればよいのですか。



A.Cisco Secure ACS サーバのパスワードを回復する手順を追った方法については、「Cisco Secure ACS Solution Engine のパスワード回復手順」を参照してください。パスワードの回復手順が詳細に説明されています。



Q.ACS でリモート エージェントを削除するにはどうすればよいのですか。



A.ACS でリモート エージェントを削除するには、次の手順を実行します。

  1. Windows サーバの [Services] に移動し、ACS エージェントのサービスを停止します。
  2. ACS に移動し、ログイン サービスを停止します。[System Configuration] > [login] > [Remote Login setup] の順に選択し、[Do not log Remotely] を選択します。
  3. リモート エージェントを削除します。リモート エージェントの削除の詳細については、「リモート エージェント設定の削除」を参照してください。


Q.ACS で DHCP リレーはサポートされていますか。



A.いいえ、ACS では DHCP リレーはサポートされていません。



Q.ACS にリモート エージェントを追加すると、「Failed to commit all Fields」というエラーが表示されます。このエラーを解決するにはどうすればよいのですか。



A.パッチが正常にインストールされていない場合や、破損していたりする場合に、「Failed to commit all Fields」エラー メッセージが表示されることがあります。ACS のイメージを再度作成して設定を復元し、このエラーを解消します。



Q.Windows で稼働している ACS サーバのホスト名は変更できますか。



A.いいえ、Windows で稼働している ACS サーバのホスト名は変更できません。ACS はデフォルトで Windows サーバの名前をホスト名として使用するように設計されています。



Q.ACS は Windows 2008 サーバ プラットフォームでサポートされていますか。



A.はい、ACS は Windows サーバ 2008 でサポートされ、ACS 4.2 パッチ 4 以降で使用できます。詳細については、『Cisco Secure ACS 4.2 のリリース ノート』の「Windows と Active Directory 2008 でサポートされるシナリオ」セクションを参照してください。



Q.ACS でデータのバックアップを作成しようとすると、「CSBackupRestore(OUT) cannot save reg key」というエラー メッセージが表示されます。なぜこのエラーが発生するのでしょうか。



A.このエラーは、ACS がインストールされているディスクがいっぱいであるか、書き込み保護されている場合に発生します。エラーが再発しないようにするには、ディスク領域に十分な空き容量があることと、書き込み保護されていないことを確認します。



Q.ACS のこのアラームはどういう意味ですか。

Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000


A.このエラーの正確な意味は、ACS View が限界である 250,000 セッションに到達した場合、20,000 セッションの削除を促すアラームが発生します。ACS View データベースはそれまでの認証セッションをすべて保存しており、セッション数が 250,000 に到達すると、キャッシュをクリアして 20,000 セッションを削除するよう促すアラームが発生します。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 8539