ローカル管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.2
スタンドアロンContent Engine での AAA アカウンティングの設定
スタンドアロンContent Engine での AAA アカウンティングの設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

スタンドアロンContent Engine での AAA アカウンティングの設定

AAA アカウンティングについて

システム アカウンティングについて

EXEC シェル アカウンティングについて

AAA コマンド アカウンティングについて

スタンドアロンContent Engine での AAA アカウンティングの設定

スタンドアロンContent Engine の AAA アカウンティング設定の表示

スタンドアロンContent Engine に関する AAA アカウンティング統計情報の表示と消去

スタンドアロンContent Engine での AAA アカウンティングの設定

認証(authentication)、許可(authorization)、アカウンティング(accounting)を総称して AAA と呼ぶことがあります。 AAAアカウンティング は、システムの課金処理を目的として管理ユーザ活動を追跡記録するアクションです。

この章では、ACNS ソフトウェア リリース 5.2 以上を実行しているスタンドアロンContent Engine のための AAA アカウンティングを設定する方法について説明します。この章の構成は、次のとおりです。

「AAA アカウンティングについて」

「スタンドアロンContent Engine での AAA アカウンティングの設定」

「スタンドアロンContent Engine の AAA アカウンティング設定の表示」

「スタンドアロンContent Engine に関する AAA アカウンティング統計情報の表示と消去」


) トランザクション監視(エンド ユーザのコンテンツ要求に関する記録情報)は、ACNS ソフトウェア トランザクション ログで追跡記録されます。トランザクション監視は、管理ユーザ活動を追跡する AAA アカウンティングとは無関係です。トランザクション監視の詳細については、「スタンドアロンContent Engine でのトランザクションのモニタリング」を参照してください。

この章に記述されている CLI コマンドの構文と使用方法については、『Cisco ACNS Software Command Reference, Release 5.2』を参照してください。Content Distribution Manager に登録されている Content Engine のための AAA アカウンティングの設定方法については、『中央管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.2』を参照してください。


AAA アカウンティングについて

AAA アカウンティング は、管理ユーザの活動を追跡し、システムの課金を目的として(たとえば、監査証跡、接続時間や使用されたリソース [送信バイト数] に対する課金の基本情報、レポート作成、セキュリティなどの目的で)使用できます。ACNS 5.2 ソフトウェアでは、AAA アカウンティングのサポートが追加されました。ACNS 5.2 ソフトウェアは、TACACS+ での AAA アカウンティングをサポートします。RADIUS は現時点ではサポートされていません。

TACACS+ プロトコルにより、Content Engine と中央のサーバ間の効果的な AAA 情報通信が可能になります。このプロトコルは、TCP を使用してクライアントとサーバ間の接続の信頼性を高めます。Content Engine は、認証および許可要求のほか、アカウンティング情報を指定の TACACS+ サーバに送信します。TACACS+ に AAA アカウンティングを設定することで、この AAA 情報を中央のデータベースに保存することができます。

4 種類のイベントに対して AAA アカウンティングをアクティブにできます。 表 17-1 を参照してください。

 

表 17-1 AAA アカウンティングでサポートされるイベントのタイプ

イベントのタイプ
説明と参照先
対応する Content Engine CLI コマンド

システム イベント

リロードなど、管理者とは関係のないすべてのシステム レベル イベントに対するシステム アカウンティング。「システム アカウンティングについて」を参照してください。

aaa accounting system default { start-stop |
stop-only } tacacs

Exec シェルおよび
ログイン/ログアウト イベント

EXEC プロセスに対する EXEC シェル アカウンティング。詳細については、「EXEC シェル アカウンティングについて」を参照してください。

aaa accounting exec default { start-stop |
stop-only | wait-start } tacacs

通常(非スーパーユーザ)
管理 CLI
コマンド

通常の特権を持つ管理者が Content Engine 上で実行するすべての CLI コマンドに対するコマンド アカウンティング。詳細については、「AAA コマンド アカウンティングについて」を参照してください。

aaa accounting commands 0 default
{ start-stop | stop-only | wait-start } tacacs

スーパーユーザ
管理 CLI
コマンド

スーパーユーザが Content Engine 上で実行するすべての CLI コマンドに対するコマンド アカウンティング。詳細については、「AAA コマンド アカウンティングについて」を参照してください。

aaa accounting commands 15 default
{ start-stop | stop-only | wait-start } tacacs

AAA アカウンティングとトランザクション監視に相関関係はありません。

管理ログイン要求があると、管理者は、設定、監視、トラブルシューティングを目的に Content Engine にログインします。管理者は、定義済みのスーパーユーザ管理アカウントまたは Content Engine で作成済みの別の管理アカウントを使用することになります。Content Engine は、次の 1 つまたは複数のログイン認証方式を使用して、管理ログイン要求を処理します。それは、ローカル データベース、外部 RADIUS サーバ、または外部 TACACS+ サーバです。この章では、管理ログイン要求および活動に対する AAA アカウンティングの設定方法について説明します。AAA 認証および許可(Content Engine に対する管理ログイン認証および許可)の設定方法については、「スタンドアロンContent Engine での管理ログイン認証と許可の設定」を参照してください。

コンテンツ要求の場合は、エンド ユーザ(Web クライアント)は、デスクトップで各自のブラウザまたはメディア プレーヤを使用して、Content Engine で処理されるコンテンツを要求します。Content Engine は、Content Engine で処理されるコンテンツへのエンド ユーザ アクセスを追跡し、それらのコンテンツ要求に関する情報(たとえば、どのユーザがどのコンテンツにどれだけの時間アクセスするかなど)を記録します。コンテンツ認証および許可の設定方法については、「スタンドアロンContent Engine のコンテンツ認証および許可の設定」を参照してください。ACNS ソフトウェア トランザクション ログの詳細については、「スタンドアロンContent Engine でのトランザクションのモニタリング」を参照してください。

システム アカウンティングについて

システム アカウンティングによって、システム レベル イベント(たとえば、システム リブート)に関する情報が得られます。TACACS+ サーバのアカウント ログ ファイルを通して、システム アカウンティング情報にアクセスできます。このログ ファイルでは、この種のアカウンティング情報用に次のレポート フォーマットが使用されます。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#SystemService#SystemAccountingEvent#EventReason
 

次に、TACACS+ サーバで使用可能なシステム アカウンティング レポートの例をいくつか示します。

Wed Apr 14 08:37:14 2004 172.16.0.0 unknown unknown 0.0.0.0 start start_time=1081909831
task_id=2725 timezone=PST service=system event=sys_acct reason=reload
Wed Apr 14 10:19:18 2004 172.16.0.0 admin ttyS0 0.0.0.0 stop stop_time=1081915955
task_id=5358 timezone=PST service=system event=sys_acct reason=shutdown

EXEC シェル アカウンティングについて

EXEC シェル アカウンティングは、Telnet、FTP、SSH(SSH Version 1 または Version 2)を通した EXEC シェルの管理者ログインとログアウトのイベントを報告するために使用します。このタイプのアカウンティングによって、ユーザ名、日付、開始/終了時刻、アクセス先サーバの IP アドレス(たとえば、FTP サーバの IP アドレス)などを含む、EXEC 端末セッション(ユーザ シェル)イベントに関する情報が得られます。

EXEC シェル アカウンティング情報は、TACACS+ サーバのアカウント ログ ファイルを通してアクセスできます。このログ ファイルでは、この種のアカウンティング情報用に次のレポート フォーマットが使用されます。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#Service
 

次に、TACACS+ サーバで使用可能な EXEC シェル アカウンティング レポートの例をいくつか示します。

Wed Apr 14 11:19:19 2004 172.16.0.0 super10 pts/0 172.31.0.0 start
start_time=1081919558 task_id=3028 timezone=PST service=shell
Wed Apr 14 11:19:23 2004 172.16.0.0 super10 pts/0 172.31.0.0
stop stop_time=1081919562 task_id=3028 timezone=PST service=shell
Wed Apr 14 11:22:13 2004 172.16.0.0 normal20 pts/0 via5.abc.com start
start_time=1081919732 task_id=3048 timezone=PST service=shell
Wed Apr 14 11:22:16 2004 172.16.0.0 normal20 pts/0 via5.abc.com stop
stop_time=1081919735 task_id=3048 timezone=PST service=shell
Wed Apr 14 11:25:29 2004 172.16.0.0 admin ftp via5.abc.com start start_time=1081919928
task_id=3069 timezone=PST service=shell
Wed Apr 14 11:25:33 2004 172.16.0.0 admin ftp via5.abc.com stop stop_time=1081919931
task_id=3069 timezone=PST service=shell

AAA コマンド アカウンティングについて

Content Engine は、Content Engine で実行された各 CLI コマンド(EXEC モードと設定モード)に関する情報を記録します。各コマンドのアカウンティング レポートには次の情報が含まれます。

実行されたコマンドの構文

特定の CLI コマンドを実行した管理者のユーザ名

管理者の特権レベル(Content Engine への制限付きアクセスを許可する通常の特権 [特権レベル 0])、または特定の CLI コマンドを実行したスーパーユーザの特権(監視、設定、トラブルシューティングの目的で Content Engine への無制限アクセスを許可する特権レベル 15)。 コマンド アカウントは、特定の管理者が実行するすべての設定および EXEC モード CLI コマンドに対して同じ特権レベルを報告します。

記録される CLI コマンドの特権レベルは、ログイン ユーザの特権レベルと同じです。

スーパーユーザの特権を持つ管理者に関しては、アカウンティング レポートの中に特権レベル 15 が記録されます。

通常の特権を持つ管理者に関しては、アカウンティング レポートの中に特権レベル 0 が記録されます。

各 CLI コマンドが実行された日付と時刻

コマンド アカウンティング情報は、TACACS+ サーバのアカウント ログ ファイルを通してアクセスできます。このログ ファイルでは、この種のアカウンティング情報用に次のレポート フォーマットが使用されます。

WeekDay#Month#Day#Time#Year#CEaddress#username#terminal#RemoteHost#Event#
EventTime#TaskId#Timezone#Service#PrivilegeLevel#CLICommand
 

次に、TACACS+ サーバで使用可能なコマンド アカウンティング レポートの例をいくつか示します。

Wed Apr 14 12:35:38 2004 172.16.0.0 admin ttyS0 0.0.0.0 start start_time=1081924137
task_id=3511 timezone=PST service=shell -lvl=0 cmd=logging console enable
Wed Apr 14 12:35:39 2004 172.16.0.0 admin ttyS0 0.0.0.0 stop stop_time=1081924137
task_id=3511 timezone=PST service=shell priv-lvl=0 cmd=logging console enable
 

コマンド アカウンティングのほかにも、Content Engine は、実行されたすべての CLI コマンドをシステム ログ(syslog)に記録します。メッセージのフォーマットは次のとおりです。

ce_syslog(LOG_INFO, CESM_PARSER, PARSER_ALL, CESM_350232,
"CLI_LOG %s: %s \n", __FUNCTION__, pd->command_line);

スタンドアロンContent Engine での AAA アカウンティングの設定

スタンドアロンContent Engine に AAA アカウンティングを設定するときには、次の点に注意してください。

Content Engine は、AAA アカウンティング情報を TACACS+ サーバにのみ送信し、コンソールや他のデバイスには送信しません。

RADIUS を通した AAA アカウンティングは現時点ではサポートされていません。

デフォルトでは、AAA アカウンティングは Content Engine 上で無効になります。スタンドアロンContent Engine で AAA アカウンティングを有効にし、設定するには、Content Engine CLI を使用する必要があります(現時点では、Content Engine GUI を通してこの機能を設定することはできません)。

AAA アカウンティングをアクティブにするときには、 stop-only、start-only、および wait-start の 3 つのオプションを使用して、TACACS+ アカウンティングをいつ発生させるかを指定します。


警告 wait-start オプションを設定していると、ANCS ソフトウェアが次の警告メッセージを表示します。
Warning: The device may become non-responsive if it
cannot contact a configured TACACS+ server.

管理者は次のプロンプトに「Yes」と入力するまで無限定ループの設定を確認するように求められます。

Are you sure you want to proceed? [yes]


表 17-2 は、stop-only、 start-only、wait-start オプションの説明です。

 

表 17-2 AAA アカウンティング CLI コマンドの Stop-only、Start-only、Wait-start パラメータ

パラメータ
説明
Content Engine CLI コマンド

start-stop

Content Engine は、プロセスの開始時の開始レコード アカウンティング通知とプロセスの終了時の終了レポートを TACACS+ アカウンティング サーバに送信します。

開始アカウンティング レポートはバックグラウンドで送信されます。要求されたユーザ プロセスは、開始アカウンティング レコードが TACACS+ アカウンティング サーバによって確認されたかどうかに関係なく開始されます。

aaa accounting { commands | exec |
system
} default start-stop tacacs

stop-only

Content Engine は、指定の活動またはイベントの終了時に終了レコード アカウンティング通知を TACACS+ アカウンティング サーバに送信します。

aaa accounting { commands | exec |
system
} default stop-only tacacs

wait-start

Content Engine は、開始と終了の両方のアカウンティング レコードを TACACS+ アカウンティング サーバに送信します。ただし、要求されたユーザ サービスは、TACACS+ アカウンティング サーバが開始アカウンティング レコードを確認したときに開始されます。終了アカウンティング レコードも送信されます。

aaa accounting { commands | exec }
default wait-start
tacacs

TACACS+ を使用して AAA アカウンティングをサポートするようにスタンドアロンContent Engine を設定する手順は、次のとおりです。


ステップ 1 スタンドアロンContent Engine 用に 1 台以上の TACACS+ サーバを設定しているか確認します。

スタンドアロンContent Engine に AAA アカウンティングを設定する前に、Content Engine 用に TACACS+ サーバを設定する必要があります。たとえば、TACACS+ キーのほかに、Content Engine による AAA 情報の送信先となる TACACS+ サーバのホストまたは IP アドレスを指定する必要があります。Content Engine には、定義済みの TACACS+ サーバ設定はありません。ただし、デフォルトのアカウント リストはサポートされます(認証、許可、アカウンティングで同じ TACACS+ サーバが使用されます)。

a. tacacs key グローバル設定コマンドを使用して、Content Engine にTACACS+ キーを指定します。

ContentEngine(config)# tacacs key key
 

この場合の key は、Content Engine が TACACS+ サーバとの通信に使用する秘密キーです。デフォルトはありません。同一の TACACS+ キーが TACACS+ サーバに設定されていることを確認してください。たとえば、キーとして「abc」を指定するには、次のように入力します。

ContentEngine(config)# tacacs key abc
 

b. tacacs host グローバル設定コマンドを使用して、アカウンティング サーバとして特定の TACACS+ サーバを指定します。

プライマリ TACACS+ サーバを明示的に指定します。明示的に指定しないと、Content Engine が独自の判断を行います。プライマリ TACACS+ サーバ 1 台とバックアップ TACACS+ サーバ 2 台を設定できます。TACACS+ は、サービスの仕様に基づいて、通信用として標準ポート(ポート 49)を使用します。 tacacs server グローバル設定コマンドを使用して、1 台または複数の TACACS+ サーバを指定します。

ContentEngine(config)# tacacs server ip_addr [primary]
 

次の例では、プライマリ サーバとして、特定の TACACS+ サーバ(172.16.50.1 のIP アドレスを持つ TACACS+ サーバ)を指定しています。 primary キーワードを指定しているため、このサーバをプライマリ サーバとして明示的に指定していることに注目してください。

ContentEngine(config)# tacacs server 172.16.50.1 primary
 

次の例では、バックアップ サーバとして、もう 1 台の TACACS+ サーバ(172.16.50.2 のIP アドレスを持つ TACACS+ サーバ)を指定しています。 primary キーワードを指定していないため、このサーバをバックアップ サーバとして指定していることに注目してください。

ContentEngine(config)# tacacs server 172.16.50.2
 

スタンドアロンContent Engine でのTACACS+ サーバの設定に関する詳細は、「スタンドアロンContent Engine のための TACACS+ 認証設定の指定」を参照してください。

ステップ 2 システム イベントに対するアカウンティングをアクティブにするには、aaa accounting system default tacacs グローバル設定コマンドを使用して、アカウンティングを発生させる時期を指定します。

aaa accounting system default { start-stop | stop-only | wait-start } tacacs


) aaa accounting グローバル設定コマンドの start-stop、stop-only、wait-start オプションについては、表 17-2 を参照してください。


次の例では、すべてのシステム活動を記録するように Content Engine を設定しています。さらにこのコマンドでは、指定の活動またはイベントの終了時に終了レコード アカウンティング通知を TACACS+ サーバに送信するように Content Engine を設定しています。

ContentEngine(config)# aaa accounting system default stop-only tacacs
 

ステップ 3 EXEC モード プロセスに対するアカウンティングをアクティブにするには、aaa accounting exec default tacacs グローバル設定コマンドを使用して、アカウンティングを発生させる時期を指定します。

aaa accounting exec default { start-stop | stop-only | wait-start } tacacs

次の例では、すべてのユーザ EXEC セッションを記録するように Content Engine を設定しています。さらにこのコマンドでは、プロセスの開始時の開始レコード アカウンティング通知とプロセスの終了時の終了レポートを TACACS+ サーバに送信するように Content Engine を設定しています。

ContentEngine(config)# aaa accounting exec default start-stop tacacs
 

ステップ 4 通常の特権レベル(特権レベル 0)のすべての CLI コマンドに対するアカウンティングをアクティブにするには、aaa accounting commands 0 default tacacs グローバル設定コマンドを使用して、アカウンティングを発生させる時期を指定します。

aaa accounting commands 0 default { start-stop | stop-only | wait-start } tacacs

次の例では、通常の特権(特権レベル 0)を持つアカウントを使用して Content Engine にログインした管理者が実行するすべての CLI コマンドを記録するように Content Engine を設定しています。このコマンドでは、プロセスの開始時の開始レコード アカウンティング通知とプロセスの終了時の終了レコードを TACACS+ サーバに送信するように Content Engine を設定しています(この場合のプロセスは、制限付き特権(特権レベル 0)を持つ管理者が実行する個々の CLI コマンドです)。

ContentEngine(config)# aaa accounting commands 0 default start-stop tacacs
 

ステップ 5 スーパーユーザ特権レベルのすべてのコマンドに対するアカウンティングをアクティブにするには、aaa accounting commands 15 default tacacs グローバル設定コマンドを使用して、アカウンティングを発生させる時期を指定します。

aaa accounting commands 15 default { start-stop | stop-only | wait-start } tacacs

次の例では、スーパーユーザが実行するすべての CLI コマンドを記録するように Content Engine を設定します。このコマンドでは、プロセスの開始時の開始レコード アカウンティング通知とプロセスの終了時の終了レコードを TACACS+ サーバに送信するように Content Engine を設定しています(この場合のプロセスは、スーパーユーザ(特権レベル 15)が実行する個々の CLI コマンドです)。

ContentEngine(config)# aaa accounting commands 15 default start-stop tacacs
 

ステップ 6 Content Engine で AAA アカウンティングを設定したら、設定内容を確認します。show aaa accounting EXEC コマンドを使用して、Content Engine の現在のアカウンティング設定を表示します。

ContentEngine# show aaa accounting
Accounting Type Record event(s) Protocol ------------------------------------------------------------------ Exec shell start-stop TACACS+
Command level 0 start-stop TACACS+
Command level 15 start-stop TACACS+
System stop-only TACACS+
 


 

スタンドアロンContent Engine の AAA アカウンティング設定の表示

スタンドアロンContent Engine の現在の AAA 設定を表示するには、 show aaa accounting EXEC コマンドを使用します。

ContentEngine# show aaa accounting
Accounting Type Record event(s) Protocol
----------------------------------------------------
Exec shell unknown unknown
Command level 0 unknown unknown
Command level 15 unknown unknown
System start-stop TACACS+
 

出力例が示すように、このコマンドは次のアカウンティング タイプの AAA アカウンティング設定を表示します。

EXEC シェル(EXEC プロセス [ユーザ シェル] に対するアカウンティング)

通常の特権(特権レベル 0)を持つ管理者のためのコマンド レベル

スーパーユーザ特権(特権レベル 15)を持つ管理者のためのコマンド レベル

システム(リロードなど、管理者とは無関係のすべてのシステム レベル イベントに対するアカウンティング)

スタンドアロンContent Engine に関する AAA アカウンティング統計情報の表示と消去

スタンドアロンContent Engine に関する AAA アカウンティング統計情報を表示するには、show statistics tacacs EXEC コマンドを使用します。

 
ContentEngine# show statistics tacacs
TACACS+ Statistics
-----------------------------------------------
Authentication:
Number of access requests: 0
Number of access deny responses: 0
Number of access allow responses: 0
 
Authorization:
Number of authorization requests: 0
Number of authorization failure responses: 0
Number of authorization success responses: 0
 
Accounting:
Number of accounting requests: 0
Number of accounting failure responses: 0
Number of accounting success responses: 15
 

Content Engine に関する TACACS+ アカウンティング統計情報を消去するには、clear statistics tacacs EXEC コマンドを使用します。