セキュリティ : Cisco Secure Access Control Server for Windows

Cisco Secure ACS for Windows のレプリケーションの設定

2002 年 9 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 2 月 2 日) | フィードバック

目次


概要

データベース レプリケーションは、Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)環境のフォールト トレランスをより強化するのに役立ちます。また、プライマリ サーバ設定の各部分を 1 台または複数台のセカンダリ サーバに複製することにより、Cisco Secure ACS for Windows(ACS)サーバのミラー システムを作成することもできます。AAA クライアントでは、プライマリ サーバで障害が発生した場合またはプライマリ サーバに到達できなくなった場合にこれらのセカンダリ サーバを使用するよう設定できます。セカンダリ サーバ データベースがプライマリ サーバ データベースのレプリカになっていれば、プライマリ サーバがアウト オブ サービスに移行した場合でも、ネットワークをダウンさせずに着信要求が認証されます。このためには、AAA クライアントがセカンダリ サーバにフェールオーバーするように設定されている必要があります。

前提条件

このドキュメントの読者は、次のことについて理解している必要があります。

  • 少なくとも 2 台の Cisco Secure ACS for Windows サーバの所有
  • ACS の設定

ハードウェアとソフトウェアのバージョン

この設定は、次のバージョンのソフトウェアを使用して開発およびテストされています。

  • ACS version 3.0(1) Build 40

実装に関する重要な注意事項

Cisco Secure データベース レプリケーション機能を実装する際は、次の点について注意してください。

  • ACS は他の ACS サーバへのデータベース レプリケーションしかサポートしていません。Cisco Secure データベース レプリケーションに参加する ACS サーバはすべて、同じバージョンおよびパッチ レベルの ACS で稼動している必要があります。
  • プライマリ サーバは、自身のデータベース コンポーネントのコピーを圧縮および暗号化してセカンダリ サーバに送信します。この送信はポート 2000 を使用して TCP 接続経由で実行されます。TCP セッションでは暗号化されたシスコ専用プロトコルが使用されます。
  • セカンダリ サーバにできるのは、適切に設定された有効な ACS ホストだけです。セカンダリ サーバを追加するには、「ネットワーク設定」セクションの AAA Servers テーブル内でセカンダリ サーバを設定します。AAA Servers テーブルに追加されたサーバは、Cisco Secure データベース レプリケーション ページの Replication Partners の下にある AAA Servers リストにセカンダリ サーバとして表示され、選択できます。
  • セカンダリ サーバへのレプリケーションは、Cisco Secure データベース レプリケーション ページの Replication Partners の下にある Replication リストに列挙されている順に実行されます。
  • レプリケート用のコンポーネントを受信するセカンダリ サーバは、プライマリ サーバからのデータベース レプリケーションを受け入れるように設定する必要があります。データベース レプリケーション用のセカンダリ サーバを設定するには、「Cisco Secure ACS セカンダリ サーバの設定」を参照してください。
  • ACS は双方向のデータベース レプリケーションをサポートしていません。レプリケートされたコンポーネントを受信するセカンダリ サーバは、プライマリ サーバが自身の Replication リストに列挙されていないことを確認します。列挙されていない場合、セカンダリ サーバはレプリケートされたコンポーネントを受け入れます。列挙されている場合は、コンポーネントの受け入れを拒否します。
  • ユーザ定義の RADIUS ベンダーおよび Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)の設定を正常にレプリケートするためには、レプリケートすべきそれらの定義がプライマリ サーバとセカンダリ サーバとでまったく同じである必要があります。これには、ユーザ定義の RADIUS ベンダーが占有している RADIUS ベンダー スロットが含まれます。ユーザ定義の RADIUS ベンダーおよび VSA の詳細については、「ユーザ定義の RADIUS ベンダーおよび VSA セット」を参照してください。

ネットワーク ダイアグラム

Hostname -- Arnie Primary ACS Server Microsoft Windows 2000 Domain Controller
Hostname -- Hanky Secondary ACS Server Microsoft Windows 2000 Domain Controller

プライマリ ACS サーバの設定

プライマリ サーバでは、次の手順を実行します。

  1. プライマリ ACS サーバの HTML インターフェイスにログインします。
  2. Network Configuration セクションで、個々のセカンダリ サーバを AAA Servers テーブルに追加します。
  3. 注:この機能が表示されない場合は、Interface Configuration > Advanced Options の順にクリックし、Cisco Secure ACS Database Replication チェックボックスを選択します。また、Distributed System Settings チェックボックスが選択されていることを確かめます。

  4. ナビゲーション バーで System Configuration をクリックします。
  5. Cisco Secure Database Replication をクリックします。
  6. 結果:Database Replication Setup ページが表示されます。

  7. セカンダリ サーバに送信する各データベース コンポーネントの Send チェックボックスを選択します。
  8. Replication Partners の下で、セカンダリ ACS サーバを Replication Partner カラムに追加します。
  9. Submit をクリックします。
    結果:レプリケーション設定と、指定した頻度または回数が保存されます。指定した他の ACS サーバへのコンポーネントの送信が始まります。

セカンダリ ACS サーバの設定

セカンダリ サーバでは、次の手順を実行します。

  1. セカンダリ サーバの HTML インターフェイスにログインします。
  2. Network Configuration セクションで、プライマリ サーバを AAA Servers テーブルに追加します(プライマリ ACS での場合と方法は同じ)。
  3. 注:この機能が表示されない場合は、Interface Configuration > Advanced Options の順にクリックし、Cisco Secure ACS Database Replication チェックボックスを選択します。また、Distributed System Settings チェックボックスが選択されていることを確かめます。

  4. ナビゲーション バーで System Configuration をクリックします。
  5. Cisco Secure Database Replication をクリックします。
  6. 結果:Database Replication Setup ページが表示されます。

  7. プライマリ サーバから受信する各データベース コンポーネントの Receive チェックボックスを選択します。
  8. セカンダリ サーバで 1 台のプライマリ サーバからのみレプリケーション コンポーネントを受信する場合は、Accept レプリケーション リストから送信側の Cisco Secure ACS サーバ名を選択します。
  9. セカンダリ サーバで複数台のプライマリ サーバからレプリケーション コンポーネントを受信する場合は、Accept レプリケーション リストから Any Known Cisco Secure ACS for Windows 2000/NT Server を選択します。Any Known Cisco Secure ACS for Windows 2000/NT Server オプションは、Network Configuration セクションの AAA Servers テーブルに列挙されているサーバに限定されます。
  10. Replication Partners の下の Replication Partner カラムにはプライマリ サーバを追加することはしません。レプリケーション パートナーは空欄のままにしておきます。
  11. Submit をクリックします。
    結果:レプリケーション設定と、指定した頻度または回数が保存されます。指定した他のサーバからのレプリケートされたコンポーネントの受け入れが始まります。

スケジューリング オプション

Cisco Secure データベース レプリケーションをいつ実行するのかを指定できます。これはセカンダリ サーバではなくプライマリ サーバで設定します。レプリケーションを実行するタイミングは次のオプションによって制御されます。これらのオプションは、Cisco Secure データベース レプリケーション ページの Replication Scheduling テーブルに表示されます。

    Manually -- データベースのレプリケーションは自動的に実行されません。
    Automatically Triggered Cascade -- プライマリ サーバからのデータベース レプリケーションが完了したときに、設定リストに挙げられているセカンダリ サーバへのデータベース レプリケーションが実行されます。これにより、サーバの伝搬階層を作成でき、レプリケート用のコンポーネントを他のサーバに伝搬するというプライマリ サーバの負担を軽減します。
    Every X minutes -- 設定された頻度で、設定リストの順にセカンダリ サーバへのデータベース レプリケーションが実行されます。頻度は分単位で設定します。デフォルトの更新頻度は 60 分です。
    At specific times -- 日付および時刻のグラフで指定した日時に、設定リストの順序でセカンダリ サーバへのデータベース レプリケーションが実行されます。最小の設定単位は 1 時間で、レプリケーションは選択した時刻に実行されます。

テストと検証

新規のユーザまたはグループをプライマリ サーバに追加するか、または現在のユーザまたはグループの設定を変更します。そして、System Configuration の下の Database Replication 設定セクションから Replicate Now をクリックします。セカンダリ サーバでユーザまたはグループをチェックし、変更が反映されていることを確認します。

レポート

Reports and Activity に移動し、Database Replication を選択して、アクティブな Database Replication.csv ログをチェックします。レプリケーションが成功していれば次のログが表示されます。

プライマリ ACS の Database Replication.csv

日付
時刻
ステータス
メッセージ
06/12/2002
14:14:26
INFO
Outbound replication cycle completed.(レプリケーション発信サイクルが完了しました)
06/12/2002
14:14:26
ERROR
Replication to ACS "Hanky" was successful.(ACS「Hanky」へのレプリケーションが成功しました)
06/12/2002
14:14:00
INFO
Outbound replication cycle starting . . .(レプリケーション発信サイクルが始まりました)

セカンダリ ACS の Database Replication.csv

日付
時刻
ステータス
メッセージ
06/12/2002
16:32:02
INFO
Inbound database replication from ACS "Arnie" completed.(ACS「Arnie」からのデータベース レプリケーション受信が完了しました)
06/12/2002
16:31:41
INFO
Inbound database replication from ACS "Arnie" started.(ACS「Arnie」からのデータベース レプリケーション受信が開始されました)

注:上のプライマリ サーバのログ メッセージでは、メッセージ タイプが ERROR を示しています。詳細については、Bug Toolkit で CSCdw51174 を参照してください。レプリケーションは ERROR キーワードに関係なく正常に完了します。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

Workaround: Ignore the ERROR status.

レプリケーションが成功しなかった場合は次のログが表示されます。次のような原因が考えられます。

  • (1 つまたは複数の)リモート エンドの AAA サーバ テーブルで共有秘密鍵が一致していない。
  • リモート サーバが応答しない。
日付
時刻
ステータス
メッセージ
06/14/2002
10:02:30
INFO
Outbound replication cycle completed.(レプリケーション発信サイクルが完了しました)
06/14/2002
10:02:30
WARNING
Cannot replicate to "Hanky" - server not responding.(「Hanky」にレプリケートできません - サーバが応答しません)
06/14/2002
10:02:23
INFO
Outbound replication cycle starting . . .(レプリケーション発信サイクルが始まりました)


ツール情報

その他のリソースについては、シスコの「セキュリティ テクノロジー用の TAC ツール」を参照してください。


関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 23120