Cisco Secure ACS インストレーション ガイド Windows 版 Version 4.0
Cisco Secure ACS のインストール
Cisco Secure ACS のインストール
発行日;2012/01/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 435KB) | フィードバック

目次

Cisco Secure ACS のインストール

ACS のインストールまたはアップグレードの準備

ACS システムについて

システム要件

ACS のアップグレード要件

サーバ、Web クライアント、およびエージェントの要件

サードパーティ製ソフトウェアの要件

ネットワークとポートの要件

バックアップ データ

インストールに必要な情報の入手

作業の種類

ACS インストールの作成

ACS の再インストールまたはアップグレード

既存の設定の再インストールまたはアップグレード

データを保持しない ACS の再インストールまたはアップグレード

Cisco Secure ACS のインストール

この章では、Cisco Secure Access Control Server(ACS)Release 4.0 for Windows のインストール、再インストール、およびアップグレードについて説明します。

この章は、次の項で構成されています。

「ACS のインストールまたはアップグレードの準備」

「作業の種類」

「ACS インストールの作成」

「ACS の再インストールまたはアップグレード」

ACS のインストールまたはアップグレードの準備

インストールまたはアップグレードを実行する前に、この項を読み、推奨処置を行ってください。

この項では、次のトピックについて取り上げます。

「ACS システムについて」

「システム要件」

「ネットワークとポートの要件」

「バックアップ データ」

「インストールに必要な情報の入手」


) 同じマシンに Sybase サーバがインストールされている場合、ACS は正常にインストールされません。


ACS システムについて

ACS ネットワーク セキュリティ ソフトウェアを使用すると、AAA クライアントへのアクセスを制御することでユーザを認証できます。AAA クライアントは、AAA サーバにアクセスするネットワーク ユーザの認証および認可を保留するように設定されている、多くのネットワーク デバイスの 1 つです。ACS は、ネットワークにアクセスするユーザの認証、認可、アカウンティングを制御する Windows サービスのセットとして動作します。

ACS は、Windows 2000 Server および Windows Server 2003 上で動作します。また、ドメイン コントローラまたはメンバー サーバ上で実行できます。サポートされているオペレーティング システムの詳細については、「サーバ、Web クライアント、およびエージェントの要件」または最新バージョンのリリース ノートを参照してください。リリース ノートは次の URL から入手できます。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html


) Windows Security Account Manager ユーザ データベースまたは Active Directory ユーザ データベースでユーザ認証を行う場合は、ACS をインストールした後にさらに Windows を設定する必要があります。詳細については、「Windows 認証の設定」を参照してください。


ACS の詳細については、『 User Guide for Cisco Secure ACS for Windows 4.0』を参照してください。

システム要件

ACS サーバは、ハードウェア、オペレーティング システム、およびサードパーティ製ソフトウェアの特定の最小要件を満たす必要があります。さらに、旧バージョンの ACS からアップグレードする場合は、「ACS のアップグレード要件」を参照してください。

ここでは、次のトピックについて説明します。

「ACS のアップグレード要件」

「サーバ、Web クライアント、およびエージェントの要件」

ACS のアップグレード要件

セットアップ プログラムは、旧バージョンの ACS からのアップグレードに対応しています。アップグレード プロセスのテストを行った ACS のバージョンについては、リリース ノートを参照してください。最新バージョンのリリース ノートは Cisco.com で入手できます。URL は次のとおりです。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html

サーバ、Web クライアント、およびエージェントの要件

ここでは、サーバ、Web クライアント、およびエージェントの要件について説明します。

ACS for Windows サーバの要件 表1-1

ACS for Windows Web クライアントの要件 表1-2

ACS for Windows サーバの UCP 要件 表1-3


) ACS for Windows は、サポート対象のオペレーティング システムのマルチプロセッサ機能を使用するように設計されていませんが、シスコでは、デュアルプロセッサ コンピュータを使用して ACS をテスト済みです。


Windows 2000 Datacenter Server は、サポート対象のオペレーティング システムではありません。

Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。ACS のインストール前に必要なサービスパックをインストールしていない場合は、ACS インストール プログラムにより、必要なサービスパックがサーバ上にないことを示す警告メッセージが表示される場合があります。サービスパックに関するエラー メッセージが表示された場合は、インストールを続行し、ACS によるユーザ認証を開始する前に必要なサービスパックをインストールしてください。

 

表1-1 ACS for Windows サーバの要件

コンポーネント
最小要件

ハードウェア

IBM PC 互換機、1.8 GHz 以上の Pentium IV プロセッサを搭載

グラフィックスの最小解像度が 800 × 600 で 256 色以上のカラー モニタ

CD-ROM ドライブ

100BaseT 以上の接続

オペレーティング システム

Windows 2000 Server

Windows 2000 Advanced Server Service Pack 4(Windows 2000 Advanced Server に固有の機能がイネーブルになっていない、または Microsoft クラスタ サービスがインストールされていないもの)

Windows Server 2003 Enterprise Edition または Standard Edition(Service Pack 1)

ファイル システム

NTFS

メモリ

1 ギガバイト(最小)

仮想メモリ

1 ギガバイト(最小)

ハード ドライブ容量

1 GB 以上の空きハード ドライブ容量(最小)


) 実際に必要となるハード ドライブ容量は、ログ ファイルの増加、複製またはバックアップを目的とした場合など、複数の要因によって異なります。


 

表1-2 ACS for Windows Web クライアントの要件

コンポーネント
最小要件

ハードウェアおよびソフトウェア

Pentium IV プロセッサ搭載の IBM PC 互換コンピュータで、次のシステムが動作しているもの

Microsoft Windows 2000 Server または Microsoft Windows 2000 Advanced Server(Service Pack 4)

Microsoft Windows 2000(Service Pack 4)

Microsoft Windows XP(Service Pack 2)

Microsoft Windows 2003(Service Pack 1)(Enterprise Edition または Standard Edition)

ハード ドライブ容量

400 MB 仮想メモリ

メモリ

256 MB(最小)

ブラウザ

次のいずれかの HTML ブラウザもインストールする必要があります。

Microsoft Internet Explorer 6 Service Pack 1 および Microsoft Internet Explorer 5.5(英語および日本語バージョンの Windows 用)

Netscape Web Browser 7.0、7.1、および 7.2(英語および日本語バージョンの Windows 用)1

Java Run-time Environment(JRE; Java ランタイム環境)

Sun JRE 1.4.2_04 または Microsoft Java Virtual Machine(JVM; Java 仮想マシン)


) Microsoft Windows Server 2003 には JVM が組み込まれていません。JVM の代わりに、前述の Sun Java プラグインを使用してください。JVM に関する Microsoft の意向については、
http://www.microsoft.com/mscorp/java/ を参照してください。


1.ACS での Netscape Communicator の使用に関しては、既知の問題がいくつか存在します。詳細については、Cisco.com で『Release Notes for Cisco Secure ACS for Windows』を参照してください。

 

表1-3 ACS for Windows サーバの UCP 要件

コンポーネント
最小要件

User Changeable Password(UCP)Web サーバ

Microsoft IIS 6.0

Apache 1.3 Web サーバ

サードパーティ製ソフトウェアの要件

リリース ノートには、ACS についてテスト済みの、サポート対象のサードパーティ製ソフトウェア製品に関する情報が記載されています。たとえば、次に挙げるアプリケーションの情報があります。

Web ブラウザおよび Java 仮想マシン

Novell Directory Server(NDS)クライアント

トークンカード クライアント

リリース ノートに記載されていないソフトウェア製品は、同一コンピュータ上で ACS と一緒に使用する場合の相互運用性をテストしていません。リリース ノートに記載されている製品のみ、ソフトウェア製品の相互運用性に関する問題のサポート対象となります。

最新バージョンのリリース ノートは Cisco.com で入手できます。URL は次のとおりです。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html

ネットワークとポートの要件

ACS を展開する前に、次のネットワーク要件を満たす必要があります。

Cisco IOS デバイスで TACACS+ および RADIUS が完全にサポートされるように、AAA クライアントは Cisco IOS リリース 11.1 以降を実行している必要があります。

Cisco IOS を実行していない AAA クライアントは、TACACS+ か RADIUS、またはその両方を使用して設定されている必要があります。

ダイヤルイン クライアント、VPN クライアント、またはワイヤレス クライアントは、該当する AAA クライアントに接続可能である必要があります。

ACS を実行するコンピュータは、すべての AAA クライアントに PING 可能であることが必要です。

ACS と他のネットワーク デバイスとの間のゲートウェイ デバイスでは、ポートを介した通信を許可する必要があります。これらのポートは、適用可能な機能やプロトコルをサポートするために必要です。ACS で受信に使用されるポートについては、 表1-4 を参照してください。

サポートされているブラウザが、ACS を実行するコンピュータにインストールされている必要があります。テスト済みブラウザの最新情報については、リリース ノートを参照してください。リリース ノートは Cisco.com
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html)で入手可能です。

ACS を実行するコンピュータで、すべてのネットワーク カードが使用可能である必要があります。ACS を実行するコンピュータで使用できないネットワーク カードがある場合は、Microsoft CryptoAPI によって遅延が生じるため、ACS のインストールに時間がかかる可能性があります。


) ACS のテストは、ネットワーク インターフェイス カードを 1 枚だけ搭載するコンピュータ上で行っています。


ネットワーク ユーザを認可する際に、ACS が Windows で Grant Dial-in Permission to User 機能を使用するように設定するには、Windows User Manager または Active Directory Users and Computers で、該当するユーザ アカウントに対してこの機能のオプションを選択する必要があります。

表1-4 は、AAA クライアント、その他の ACS マシンやアプリケーション、およびブラウザと通信する際に、ACS が受信するポートの一覧です。ACS では、外部ユーザ データベースとの通信には他のポートが使用されます。ただし、特定のポートで受信するというより、通信を開始するだけです。たとえば、ACS が LDAP または RADIUS のトークン サーバ データベースとの通信を開始する場合に、これらの宛先ポートを ACS に設定できます。特定の外部ユーザ データベースを受信するポートの詳細については、該当するデータベースのマニュアルを参照してください。

 

表1-4 ACS が受信に使用するポート

機能/プロトコル
UDP/TCP
ポート

RADIUS 認証および認可

UDP

1645、1812

RADIUS アカウンティング

UDP

1646、1813

TACACS+

TCP

49

Cisco Secure Database Replication

TCP

2000

同期パートナーとの RDBMS Synchronization

TCP

2000

User-Changeable Password Web アプリケーション

TCP

2000

ロギング

TCP

2001

新規セッション用の管理 HTTP ポート

TCP

2002

管理 HTTP のポート範囲

TCP

設定可能。デフォルトは 1024 ~ 65535

バックアップ データ

ACS のインストールまたはアップグレード作業の前に、任意の Windows バックアップ ユーティリティを使用して、ACS をインストールするコンピュータのバックアップをとっておくことを強く推奨します。Windows Registry もバックアップ対象としてください。

ACS をアップグレードまたは再インストールする場合は、ACS Backup 機能を使用して、ACS の設定とデータベースをバックアップします。次に、ACS を実行するコンピュータのローカル以外のドライブに、バックアップ ファイルをコピーします。


注意 ACS の再インストールではなく、アップグレードを行う場合は、アップグレードが正常に行われた後は作成したバックアップを使用できません。バックアップは、ACS の以前のインストールを復元する必要が生じた場合に備えるものです。

ACS のバックアップの詳細については、『 User Guide for Cisco Secure ACS for Windows 』を参照してください。

インストールに必要な情報の入手

新規インストール、または既存の設定を保持しないアップグレードおよび再インストールを行う場合、インストールには、ACS をインストールするコンピュータに関する情報が必要です。インストールをスムーズに進めるために、インストールを始める前に適切な情報を収集しておきます。


) ACS のアップグレードあるいは再インストールで、既存の設定とデータベースを再利用する場合は、この手順を行う必要はありません。この手順で得られる情報は、前回の ACS のインストールで、すでに記録されています。


ACS のインストール時に必要な情報を収集するには、次の手順を実行します。


ステップ 1 ACS をインストールするコンピュータがドメイン コントローラであるか、メンバー サーバであるかを確認します。Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

ステップ 2 次の項目を確認します。

エンド ユーザ クライアントが AAA クライアントに正常に接続できる。

この Windows Server が AAA クライアントに PING 可能である。

すべての Cisco IOS クライアントが Cisco IOS リリース 11.1 以降を実行している。

Microsoft Internet Explorer 6.0 Service Pack 1 または Netscape 7.02 がインストールされている。

ステップ 3 データベース アクセス用のパスワードを作成します。このパスワードは、データベース情報を管理するために必要になります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。


 

作業の種類

このマニュアルでは、ACS のインストール、再インストール、およびアップグレードの詳細な手順について説明します。状況に応じて適切な手順を選択する必要があります。

表1-5 に、考えられるインストールとアップグレードのシナリオを 5 つ示します。 表1-5 を参考にして、状況に適した手順を判断してください。


) インストールまたはアップグレードの手順を開始する前に、「ACS のインストールまたはアップグレードの準備」を読み、そこで説明されている該当作業を行ってください。


 

表1-5 インストールとアップグレードのシナリオ

シナリオ
参照先 . .

新規インストール

「ACS インストールの作成」

再インストール(ACS 内部データベースおよび ACS の設定を 保持する

「既存の設定の再インストールまたはアップグレード」

再インストール(ACS 内部データベースおよび ACS の設定を 上書きする

「データを保持しない ACS の再インストールまたはアップグレード」

アップグレード(ACS 内部データベースおよび ACS の設定を 保持する

「既存の設定の再インストールまたはアップグレード」

アップグレード(ACS 内部データベースおよび ACS の設定を 上書きする

「データを保持しない ACS の再インストールまたはアップグレード」

ACS インストールの作成

この項では、ACS を新規にインストールする方法について説明します。


) 既存の ACS インストールのアップグレードまたは再インストールについては、表1-5 を参照してください。


始める前に

ACS のインストールの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

ACS をインストールするには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。


) Windows Terminal Services を使用して実行するリモート インストールは、テストおよびサポートの対象外となっています。インストールまたはアップグレードを実行するときは、Terminal Services をディセーブルにすることを推奨します。Virtual Network Computing(VNC)についてはテスト済みです。


ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、ACS for Windows ダイアログボックスが表示されます。


) コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後のどちらでも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。


ステップ 3 次の操作のどちらかを行います。

a. Cisco Secure ACS for Windows ダイアログボックスが表示された場合は、 Install をクリックします。

b. Cisco Secure ACS for Windows ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。


) コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックをインストールせずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックをインストールする必要があります。インストールしない場合、ACS が正しく動作しない可能性があります。


Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 4 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 5 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Before You Begin ダイアログボックスに、インストールを続行するために必要な項目が表示されます。これは、「インストールに必要な情報の入手」で説明している項目と同じです。

ステップ 6 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応するチェックボックスをオンにして、 Next をクリックします。


) Before You Begin ダイアログボックスの項目をすべて完了していない場合は、Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。


Choose Destination Location ダイアログボックスが表示されます。Destination Folder の下にインストール先が表示されます。これは、セットアップ プログラムが ACS をインストールするドライブとパスです。

ステップ 7 インストール先を変更する場合は、次の手順を実行します。

a. Browse をクリックします。

Choose Folder ダイアログボックスが表示されます。Path ボックスにインストール先が表示されています。

b. インストール先を変更します。Path ボックスに新しい場所を入力するか、Drives and Directories リストを使用して新しいドライブとディレクトリを選択します。インストール先は、コンピュータのローカル ドライブ上である必要があります。


) パーセント記号(%)を含むパスを指定しないでください。パーセント記号を含むパスを指定した場合、インストールは正常に続行されるように見えても、終了せずに失敗します。


c. OK をクリックします。


) 存在しないフォルダを指定すると、フォルダを作成するかどうかを確認するダイアログボックスが表示されます。続行するには、Yes をクリックします。


Choose Destination Location ダイアログボックスで、Destination Folder の下に新しいインストール先が表示されます。

ステップ 8 Next をクリックします。

Authentication Database Configuration ダイアログボックスに、ユーザ認証のオプションが表示されます。認証は、ACS 内部データベースのみを使用するか、または Windows ユーザ データベースを併用して行います。


) ACS のインストール後は、Windows ユーザ データベースだけでなく、あらゆる外部ユーザ データベースに対して認証サポートを設定できます。


ステップ 9 ACS 内部データベースのみを使用してユーザ認証を行う場合は、 Check the Cisco Secure ACS database only をクリックします。

ステップ 10 ACS 内部データベースに加えて、Windows Security Access Manager(SAM)ユーザ データベースまたは Active Directory ユーザ データベースを使用してユーザ認証を行う場合は、次の手順を実行します。

a. Also check the Windows User Database をクリックします。

Yes, refer to "Grant dial-in permission to user" setting チェックボックスが使用可能になります。


Yes, refer to "Grant dial-in permission to user" setting チェックボックスは、ダイヤルイン アクセスだけではなく、ACS で制御されるすべての形態のアクセスに適用されます。たとえば、VPN トンネルを通じてネットワークにアクセスしているユーザは、ネットワーク アクセス サーバにダイヤルインしていません。しかし、Yes, refer to "Grant dial-in permission to user" setting チェックボックスがオンになっていると、ACS は Windows ユーザのダイヤルイン許可を適用して、ネットワークへのユーザ アクセスを許可するかどうかを判断します。


b. Windows アカウントにダイヤルイン許可があり、Windows ドメイン ユーザ データベースのみで認証されているユーザに対して、アクセスを許可する場合は、 Yes, refer to "Grant dial-in permission to user" setting をクリックします。

ステップ 11 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Advanced Options ダイアログボックスに、デフォルトではイネーブルになっていない ACS の機能がいくつか表示されます。これらの機能の詳細については、『 User Guide for Cisco Secure ACS for Windows 4.0』を参照してください。


) 機能は、イネーブルに設定してある場合に限り、ACS HTML インターフェイスに表示されます。インストール後は、Interface Configuration > Advanced Options でイネーブルまたはディセーブルにできます。


ステップ 12 イネーブルにする機能に対応するチェックボックスをオンにします。

ステップ 13 Next をクリックします。

Active Service Monitoring ダイアログボックスが表示されます。


) インストール後は、System Configuration セクションの Active Service Management ページでアクティブ サービス モニタリング機能を設定します。


ステップ 14 ACS でユーザ認証サービスを監視する場合は、 Enable Log-in Monitoring をクリックします。 Script to execute リストで、認証サービス障害が発生した場合に適用するオプションを選択します。

No Remedial Action :ACS はスクリプトを実行しません。


) このオプションは、イベント E メール通知を利用する場合に便利です。


Reboot :ACS は、ACS を実行するコンピュータをリブートするスクリプトを実行します。

Restart All :ACS は、すべての ACS サービスを再起動します。

Restart RADIUS/TACACS+ :ACS は RADIUS サービスおよび TACACS+ サービスだけを再起動します。

ステップ 15 サービス モニタリングがイベントを検出すると ACS が E メール メッセージを送信するように設定する場合は、 Mail Notification をクリックします。

ステップ 16 Next をクリックします。

Database Encryption Password ダイアログボックスが表示されます。


) データベース暗号化パスワードは暗号化され、ACS レジストリに保存されます。重大な問題が発生し、手動でデータベースにアクセスする必要があるときに、このパスワードを再び使用する場合があります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。


ステップ 17 データベース暗号化用のパスワードを入力します。パスワードは 8 文字以上で、文字と数字を含める必要があります。無効な文字はありません。Next をクリックします。

セットアップ プログラムが終了し、Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

ステップ 18 各オプションについて、対応するチェックボックスをオンにします。オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションを選択しない場合、コンピュータをリブートするか CSAdmin サービスを開始しない限り、ACS HTML インターフェイスを使用できません。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 19 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 20 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 18 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

ACS を実行するコンピュータの ACS Admin デスクトップ アイコンを使用して、ACS HTML インターフェイスにアクセスできます。また、サポート対象のブラウザで次の URL からアクセスすることもできます。

http://127.0.0.1:2002

) ACS HTML インターフェイスを使用できるのは、ステップ 18 で ACS サービスを開始するように選択した場合だけです。選択しなかった場合は、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力すると、HTML インターフェイスを使用できます。


ステップ 21 Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、追加の Windows 設定を行う必要があります。手順については、「Windows 認証の設定」を参照してください。


 

ACS の再インストールまたはアップグレード

ACS ソフトウェアをアップグレードまたは再インストールする場合、次の 2 つの選択肢があります。

「既存の設定の再インストールまたはアップグレード」

「データを保持しない ACS の再インストールまたはアップグレード」

ACS を新規にインストールする場合は、「ACS インストールの作成」を参照してください。

既存の設定の再インストールまたはアップグレード

既存の設定とデータベース情報をすべて保持する場合は、次の手順を実行して ACS の再インストールまたはアップグレードを行います。


) ACS の新規インストールについては、表1-5 を参照してください。


始める前に

ACS の再インストールまたはアップグレードの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。

ACS ディレクトリ内のディレクトリにアクセスしているアプリケーションやコマンド ウィンドウをすべて閉じます。他のプロセスが ACS ディレクトリやそのサブディレクトリを使用していると、インストールは成功しません。たとえば、Windows Explorer が ACS ディレクトリの内容を表示していると、インストールは失敗します。

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、追加の Windows 設定を行う必要があります。適切な手順については、「Windows 認証の設定」を参照してください。

ACS を再インストールまたはアップグレードし、かつ既存の設定と ACS 内部データベースを保持するには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。


Windows Terminal Services を使用して実行するリモート インストールは、テストおよびサポートの対象外となっています。インストールまたはアップグレードを実行するときは、Terminal Services をディセーブルにすることを推奨します。VNC についてはテスト済みです。


ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、Cisco Secure ACS for Windows ダイアログボックスが表示されます。


) コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後のどちらでも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。


ステップ 3 次の操作のどちらかを行います。

a. Cisco Secure ACS for Windows Server ダイアログボックスが表示された場合は、 Install をクリックします。

b. Cisco Secure ACS for Windows Server ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。


) コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックを適用せずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックを適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。


情報ダイアログボックスに、Windows 認証の一部の情報が表示されます。OK をクリックします。

Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 4 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 5 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

使用中のマシンがユーザによるアクションなしで ACS を実行しない場合、ダイアログボックスに警告が表示されます。必要な修正措置を実行して、警告に対処します。インストール プログラムを終了しなくてもソフトウェアをインストールできますが、セットアップ プログラムを実行した後に、満たしていない最小システム要件に対処するよう求める注意が表示されます。Next をクリックします。

警告が表示されない場合は、Before You Begin ダイアログボックスに、インストールを続行するために必要な項目が表示されます。これは、「インストールに必要な情報の入手」で説明している項目と同じです。

ステップ 6 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応するチェックボックスをオンにして、 Next をクリックします。


) Before You Begin ダイアログボックスの項目をすべて完了していない場合は、Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。


Previous Installation ダイアログボックスが表示されます。

ステップ 7 Yes, keep the existing configuration をクリックします。


注意 Yes, import the existing configuration チェックボックスをオンにしていることを確認します。このチェックボックスをオフにしないでください。Yes, keep the existing configuration チェックボックスをオンにせずに続行すると、セットアップ プログラムは既存の AAA クライアント、ユーザ、およびグループの情報をすべて削除します。

設定を保持するかどうか不明確な場合は、Explain をクリックして、既存の設定の保持に関する詳細を参照してください。

ステップ 8 Next をクリックします。

Choose Destination Location ダイアログボックスが表示されます。Destination Folder の下にインストール先が表示されます。セットアップ プログラムは ACS をこのドライブとパスにインストールします。

ステップ 9 インストール先を変更する場合は、次の手順を実行します。

a. Browse をクリックします。

Choose Folder ダイアログボックスが表示されます。Path ボックスにインストール先が表示されています。

b. インストール先を変更します。Path ボックスに新しい場所を入力するか、Drives and Directories リストから新しいドライブとディレクトリを選択します。


) インストール先は、コンピュータのローカル ドライブ上である必要があります。


c. OK をクリックします。


) 存在しないフォルダを指定すると、フォルダを作成するかどうかを確認するダイアログボックスが表示されます。続行するには、Yes をクリックします。


Choose Destination Location ダイアログボックスで、Destination Folder の下に新しいインストール先が表示されます。

ステップ 10 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

データベース暗号化用のパスワードを入力して、Next をクリックします。


) データベース暗号化パスワードは暗号化され、ACS の設定に保存されます。重大な問題が発生し、手動でデータベースにアクセスする必要があるときに、このパスワードを再利用する場合があります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。


ステップ 11 インストールが終了しました。各オプションについて、対応するチェックボックスをオンにします。各オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションを選択しない場合、コンピュータをリブートするか CSAdmin サービスを開始しない限り、HTML インターフェイスを使用できません。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 12 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 13 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 11 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

ステップ 14 最小システム要件を満たしていない場合、問題を修正するように警告するメッセージが表示される場合があります。そのまま続行し、後で問題を解決するには、OK をクリックします。

ACS を実行するコンピュータの ACS Admin デスクトップ アイコンを使用して、ACS HTML インターフェイスにアクセスできます。また、サポート対象のブラウザで次の URL からアクセスすることもできます。

http://127.0.0.1:2002

) ACS HTML インターフェイスを使用できるのは、ステップ 11 で ACS サービスを開始するように選択した場合だけです。選択しなかった場合は、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力すると、HTML インターフェイスを使用できます。


ステップ 15 Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、追加の Windows 設定を行う必要があります。適切な手順については、「Windows 認証の設定」を参照してください。


) 以前のインストールで、ACS サービスを固有のユーザ名を使用して実行するように設定した場合、その設定は再インストール中に失われます。



 

データを保持しない ACS の再インストールまたはアップグレード

既存の設定とデータベース情報を再利用しない場合は、この項の手順を実行して ACS の再インストールまたはアップグレードを行います。


注意 この手順を実行すると、AAA クライアント、ユーザ、およびグループのすべての情報を含む ACS の既存設定が削除されます。ACS データと Windows Registry のバックアップをとってある場合を除き、以前の設定とデータベースを復元することはできません。

始める前に

ACS の再インストールまたはアップグレードの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。

ACS ディレクトリ内のディレクトリにアクセスしているアプリケーションやコマンド ウィンドウをすべて閉じます。他のプロセスが ACS ディレクトリやそのサブディレクトリを使用していると、インストールは成功しません。たとえば、Windows Explorer が ACS ディレクトリの内容を表示していると、インストールは失敗します。

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

既存の設定と ACS 内部データベースを保持せずに ACS を再インストールまたはアップグレードするには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。


) Windows Terminal Services を使用して実行するリモート インストールは、テストおよびサポートの対象外となっています。インストールまたはアップグレードを実行するときは、Terminal Services をディセーブルにすることを推奨します。VNC についてはテスト済みです。


ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、ACS for Windows ダイアログボックスが表示されます。


) コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後でも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。


ステップ 3 次の操作のどちらかを行います。

a. Cisco Secure ACS for Windows ダイアログボックスが表示された場合は、 Install をクリックします。

b. Cisco Secure ACS for Windows ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。


) コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックを適用せずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックを適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。


Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 4 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 5 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Before You Begin ダイアログボックスに、インストールを続行するために必要な項目が表示されます。これは、「インストールに必要な情報の入手」で説明している項目と同じです。

ステップ 6 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応するチェックボックスをオンにして、 Next をクリックします。


) Before You Begin ダイアログボックスの項目をすべて完了していない場合は、Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。


Existing Installation of Cisco Secure ACS v x . x ダイアログボックスが表示されます。

ステップ 7 Next をクリックします。

ACS の以前のインストールが削除されます。

ACS サービスが実行中の場合は、Cisco Secure ACS Uninstall ダイアログボックスが表示されます。

ステップ 8 Cisco Secure ACS Uninstall ダイアログボックスが表示されたら、 Continue をクリックします。

セットアップ プログラムが終了し、ACS の以前のインストールが削除されます。

Choose Destination Location ダイアログボックスが表示されます。Destination Folder の下にインストール先が表示されます。セットアップ プログラムは ACS をこのドライブとパスにインストールします。

ステップ 9 インストール先を変更する場合は、次の手順を実行します。

a. Browse をクリックします。

Choose Folder ダイアログボックスが表示されます。Path ボックスにインストール先が表示されています。

b. インストール先を変更します。Path ボックスに新しい場所を入力するか、Drives and Directories リストを使用して新しいドライブとディレクトリを選択します。インストール先は、コンピュータのローカル ドライブ上である必要があります。


) パーセント記号(%)を含むパスを指定しないでください。パーセント記号を含むパスを指定した場合、インストールは正常に続行されるように見えても、終了せずに失敗します。


c. OK をクリックします。


) 存在しないフォルダを指定すると、フォルダを作成するかどうかを確認するダイアログボックスが表示されます。続行するには、Yes をクリックします。


Choose Destination Location ダイアログボックスで、Destination Folder の下に新しいインストール先が表示されます。

ステップ 10 インストール時に、ACS はアプリケーションの以前のインスタンスをチェックします。以前のアンインストールを検出すると、ダイアログボックスに次のメッセージが表示されます。

Setup has detected an existing ACS internal database. You may keep the existing ACS internal database if you wish.
 

以前のアンインストールで保存されていた既存のダンプ ファイルをインストールするには、Yes をクリックします。No をクリックした場合、データベースのダンプ ファイルは保持されますが、インストールされません。

Yes をクリックした場合、以前のデータベースがインストールされます。No をクリックした場合、データベース ファイルをインストールせずに、以降のインストールが続行します。

Authentication Database Configuration ダイアログボックスに、ユーザ認証のオプションが表示されます。認証は、ACS 内部データベースのみを使用するか、または Windows ユーザ データベースを併用して行います。


) ACS のインストール後は、Windows ユーザ データベースだけでなく、あらゆる外部ユーザ データベースに対して認証サポートを設定できます。


ステップ 11 ACS 内部データベースのみを使用してユーザ認証を行う場合は、 Check the Cisco Secure ACS database only をクリックします。

ステップ 12 ACS 内部データベースに加えて、Windows SAM ユーザ データベースまたは Active Directory ユーザ データベースを使用してユーザ認証を行う場合は、次の手順を実行します。

a. Also check the Windows User Database をクリックします。

Yes, refer to "Grant dial-in permission to user" setting チェックボックスが使用可能になります。


Yes, refer to "Grant dial-in permission to user" setting チェックボックスは、ダイヤルイン アクセスだけではなく、ACS で制御されるすべての形態のアクセスに適用されます。たとえば、VPN トンネルを通じてネットワークにアクセスしているユーザは、ネットワーク アクセス サーバにダイヤルインしていません。しかし、Yes, refer to "Grant dial-in permission to user" setting チェックボックスがオンになっていると、ACS は Windows ユーザのダイヤルイン許可を適用して、ネットワークへのユーザ アクセスを許可するかどうかを判断します。


b. Windows アカウントにダイヤルイン許可があり、Windows ドメイン ユーザ データベースのみで認証されているユーザに対して、アクセスを許可する場合は、 Yes, refer to "Grant dial-in permission to user" setting をクリックにします。

ステップ 13 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Advanced Options ダイアログボックスに、デフォルトではイネーブルになっていない ACS の機能がいくつか表示されます。これらの機能の詳細については、『 User Guide for Cisco Secure ACS for Windows 4.0』を参照してください。


) 機能は、イネーブルに設定してある場合に限り、ACS HTML インターフェイスに表示されます。インストール後は、Interface Configuration > Advanced Options を選択して、イネーブルまたはディセーブルにできます。


ステップ 14 イネーブルにする機能に対応するチェックボックスをオンにします。 Next をクリックします。

Active Service Monitoring ダイアログボックスが表示されます。


) インストール後は、System Configuration セクションの Active Service Management ページでアクティブ サービス モニタリング機能を設定します。


ステップ 15 ACS でユーザ認証サービスを監視する場合は、 Enable Log-in Monitoring をクリックします。 Script to execute リストで、認証サービス障害が発生した場合に適用するオプションを選択します。

No Remedial Action :ACS はスクリプトを実行しません。


) このオプションは、イベント E メール通知を利用する場合に便利です。


Reboot :ACS は、ACS を実行するコンピュータをリブートするスクリプトを実行します。

Restart All :ACS は、すべての ACS サービスを再起動します。

Restart RADIUS/TACACS+ :ACS は RADIUS サービスおよび TACACS+ サービスだけを再起動します。

ステップ 16 サービス モニタリングがイベントを検出すると ACS が E メール メッセージを送信するように設定する場合は、 Mail Notification をクリックします。

データベースの以前のインスタンスを保存するように選択した場合、Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

ステップ 17 インストール手順で作成したパスワードを入力し、データベースを保存します。Next をクリックします。

ステップ 18 各オプションについて、対応するチェックボックスをオンにします。各オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションを選択しない場合、コンピュータをリブートするか CSAdmin サービスを開始しない限り、ACS HTML インターフェイスを使用できません。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 19 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 20 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 18 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

ACS を実行するコンピュータの ACS Admin デスクトップ アイコンを使用して、ACS HTML インターフェイスにアクセスできます。また、サポート対象のブラウザで次の URL からアクセスすることもできます。

http://127.0.0.1:2002

) ACS HTML インターフェイスを使用できるのは、ステップ 18 で ACS サービスを開始するように選択した場合だけです。選択しなかった場合は、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力すると、HTML インターフェイスを使用できます。


ステップ 21 Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、追加の Windows 設定を行う必要があります。適切な手順については、「Windows 認証の設定」を参照してください。


) 以前のインストールで、ACS サービスを固有のユーザ名を使用して実行するように設定した場合、その設定は再インストール中に失われます。