Cisco Trust Agent アドミニストレータ ガイド
Cisco Trust Agent の設定ファ イルのリファレンス
Cisco Trust Agent の設定ファイルのリファレンス
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Trust Agent の設定ファイルのリファレンス

設定ファイルの作成と編集

ctad.ini 設定ファイル

ctad.ini のサンプル

ctad.ini の設定

DN 照合規則の構文

ctalogd.ini 設定ファイル

ctalogd.ini のサンプル

ctalogd.ini の設定

Cisco Trust Agent の設定ファイルのリファレンス

Cisco Trust Agent の設定には 2 つの .ini ファイルが使用されます。 これらの設定ファイルが存在しない場合、Cisco Trust Agent は欠測値に対してデフォルトの設定を使用します。

この章は、次の項で構成されています。

「設定ファイルの作成と編集」

「ctad.ini 設定ファイル」

「ctalogd.ini 設定ファイル」

設定ファイルの作成と編集

設定ファイルを作成する最も簡単な方法は、この項に示されている例をコピーし、テキスト エディタに貼り付けることです。 次に、変更する設定の値を編集し、その他の値を削除します。 各設定ファイルの説明に示されている場所にファイルを保存します。

既存の設定を編集するには、ターゲット システムでファイルを探し、テキスト エディタで開きます。 必要な変更を加え、ファイルを保存します。 設定ファイルに加えた変更は、次のようなタイミングで有効になります。

ctalogd.ini ファイルに加えた変更は、次のログ イベントが発生したときに実装されます。

ctad.ini ファイルの [EAPoUDP] セクションに加えた変更は、Cisco Trust Agent サービスが再起動したときに実装されます。

ctad.ini ファイルの [UserNotifies] セクションに加えた変更は、次の通知メッセージが受信されたときに実装されます。

ctad.ini ファイルの [ServerCertDNVerification] セクションに加えた変更は、次の DN 照合が実行されたときに実装されます。

設定ファイルにはコメントを挿入することができます。 コメントを挿入するには、その行がコメントであり、設定の一部ではないことを示すために行の先頭にセミコロン(;)を使用します。

ctad.ini 設定ファイル

ctad.ini 設定ファイルには、Cisco Trust Agent の通信設定、ユーザ通知、および証明書フィルタリング規則に使用される各パラメータが含まれています。

ctad.ini 設定ファイルは、 install_path\Cisco Systems\CiscoTrustAgent\ ディレクトリにあります。 install_path は、Cisco Trust Agent がインストールされているドライブとディレクトリです。

この項では、次のトピックについて取り上げます。

「ctad.ini のサンプル」

「ctad.ini の設定」

ctad.ini のサンプル

次の例は、各パラメータにデフォルト値が設定された ctad.ini ファイルを示しています。


) [ServerCertDNVerification] セクションについては、デフォルトの設定はありません。 したがって、サンプル ファイル内のこのセクションに記載されている情報は 1 つの例にすぎません。 このサンプル ファイルを実際の ctad.ini ファイルに使用する場合は、[ServerCertDNVerification] セクションを変更または削除してから、ターゲット システムに保存してください。


; ctad.ini sample
; use a semicolon at the beginning
; of a line to insert a comment
[EAPoUDP]
LocalPort=21862
MaxSession=8
SessionIdleTimeout=600

[UserNotifies]
SysModal=1
EnableNotifies=1
MsgTimeout=300
EnableLogonNotifies=0
LogonMsgTimeout=0

[ServerCertDNVerification]
TotalRules=2
Rule1=CN*"server", ISSUER-CN*"Finance"
Rule2=CN="Finance posture Cert", OU*"Finance", ISSUER-CN*"ACME"

ctad.ini の設定

表 A-1 は、ctad.ini ファイルで使用されるセクションとパラメータについて説明しています。

 

表 A-1 ctad.ini のパラメータの設定

キーワード
説明

[EAPoUDP]

Cisco Trust Agent の通信設定用のセクション ヘッダーです。

LocalPort

Cisco Trust Agent のリスニング ポートを指定します。 有効な値の範囲は 1 ~ 65550 です。 デフォルト値は 21862 です。

MaxSession

Cisco Trust Agent によってサポートされる最大セッション数を指定します。 Cisco Trust Agent は、各ネットワーク アクセス デバイスに対して 1 つのセッションしか確立できませんが、複数の異なるネットワーク アクセス デバイスからのセッションを同時にサポートできます。

有効な値の範囲は 1 ~ 256 です。 デフォルト値は 8 です。

SessionIdleTimeout

アイドル状態の EAPoUDP セッションがタイムアウトになるまでの時間を秒数で指定します。

有効な値の範囲は 60 秒~ 2 日です。 デフォルト値は 60 分です。

[UserNotifies]

ユーザ通知パラメータ用のセクション ヘッダーです。

SysModal

ユーザ通知のダイアログボックスをモーダルにするかどうかを指定します。 モーダルにした場合は、最後に受信された通知だけが表示されます。 この場合、ユーザは通知を閉じなければ、デスクトップで他の作業を実行することができません。

このパラメータは、ログインしているユーザだけに適用されます。 ログイン デスクトップに表示される可能性のある通知には適用されません。

0 = モーダル ダイアログボックスがディセーブルになります。

1 = モーダル ダイアログボックスがイネーブルになります(デフォルト)。

EnableNotifies

ユーザ通知をイネーブルまたはディセーブルにします。 このパラメータは、ログインしているユーザに適用されます。

0 = ユーザ通知がディセーブルになります。

1 = ユーザ通知がイネーブルになります(デフォルト)。

MsgTimeout

ユーザ通知のダイアログボックスが表示されている時間を秒数で指定します。

有効な値の範囲は 30 ~ 4294967 秒です。 値 0 を指定すると、タイムアウトがディセーブルになります。 この設定のデフォルト値は 30 です。

EnableLogonNotifies

ユーザ通知をイネーブルまたはディセーブルにします。 このパラメータは、ログイン画面の通知に適用されます。

0 = ログイン画面のユーザ通知がディセーブルになります(デフォルト)。

1 = ログイン画面のユーザ通知がイネーブルになります。

LogonMsgTimeout

ログイン画面のユーザ通知のダイアログボックスが表示されている時間を秒数で指定します。

有効な値の範囲は 30 ~ 4294967 秒です。 値 0 を指定すると、タイムアウトがディセーブルになります。 この設定のデフォルト値は 30 です。

[ServerCertDNVerification]

証明書の認定者名(DN)照合用のセクション ヘッダーです。

TotalRules

DN 照合規則の数です。 有効な値の範囲は 0 ~ 64 です。 TotalRules が 0 の場合、DN 照合がディセーブルになります。

TotalRules が 2 以上の場合、この後に指定する複数の規則は OR 条件で処理されます。 したがって、1 つの規則が証明書を承認すれば、その接続は承認されます。

Rule x

DN 照合規則です。 x は規則のインデックス番号です。 たとえば、最初の規則は Rule1、2 番目の規則は Rule2 というようになります。

DN 照合規則の記述方法については、「DN 照合規則の構文」を参照してください。

DN 照合規則の構文

各規則には、複数の下位規則をカンマで区切って指定することができます。 規則内の下位規則が 1 つでも照合に一致しなければ、その規則全体が一致しないことになります。 1 つの規則の最大長は 255 文字です。

規則の一般的な形式を次に示します。

Rule1=subrule, subrule, subrule, ...

各下位規則は、証明書の対象アトリビュートとそれに続く値で構成されます。

attribute[operator]”value”

サポートされている演算子(operator)は次のとおりです。

=(完全一致) :下位規則に指定された値と完全に一致していなければなりません。

*(部分一致) :下位規則に指定された値が含まれていなければなりません。

サポートされている DN アトリビュート(attribute)は次のとおりです。

CN :Common Name(通常名)

SN :Surname(姓)

GN :Given Name(名)

N :Unstructured Name(非公式名)

I :Initials(イニシャル)

GENQ :Generation Qualifier(世代の修飾子)

C :Country(国)

L :Locality(地域)

SP :Province(地方)

ST :State(州)

O :Organization(組織)

OU :Organization Unit(組織ユニット)

T :Title(タイトル)

EA :E-mail Address(電子メール アドレス)


上記のアトリビュートに ISSUER プレフィックスを追加することにより、証明書発行者のアトリビュートを検査する下位規則を作成することもできます。 たとえば、証明書発行者の Common Name を検査するには、アトリビュート ISSUER-CN を使用します。


DN 照合規則の例については、「ctad.ini のサンプル」を参照してください。

ctalogd.ini 設定ファイル

ctalogd.ini ファイルは、Cisco Trust Agent のロギング機能を制御します。 デフォルトでは、ロギングはディセーブルになっています。 ロギングをイネーブルにするには、少なくとも [main] セクションで EnableLog パラメータを 1 に設定して ctalogd.ini ファイルを作成する必要があります。

ctalogd.ini 設定ファイルは、 all_users_profile \Application Data\Cisco Systems\CiscoTrustAgent\ ディレクトリにあります。 all_users_profile は、All Users ユーザ プロファイルがあるドライブとディレクトリです。

この項では、次のトピックについて取り上げます。

「ctalogd.ini のサンプル」

「ctalogd.ini の設定」

ctalogd.ini のサンプル

次の例は、各パラメータにデフォルト値が設定された ctalogd.ini ファイルを示しています。 ロギングはデフォルトでディセーブルになっていることに注意してください。

; ctalogd.ini sample
; use a semicolon at the beginning
; of a line to insert a comment
[main]
EnableLog=0
LogDir="c:\Documents and Settings\All Users\Application Data\
Cisco Systems\CiscoTrustAgent\logs"
MaxFileSize=4

[loglevel]
PADaemon=3
NetTrans=3
PAPlugin=3
CTAMsg=3
PEAP=3
EAPTLV=3
EAPSQ=3
PPMgr=3
Plugin=3

ctalogd.ini の設定

表 A-2 は、ctalogd.ini ファイルで使用されるセクションとパラメータについて説明しています。

 

表 A-2 ctalogd.ini のパラメータの設定

キーワード
説明

[main]

必須のセクション ヘッダーです。

EnableLog

ロギングをイネーブルまたはディセーブルにします。

0 = ロギングがディセーブルになります(デフォルト)。

1 = ロギングが永続的にイネーブルになります。

2 = ロギングが一時的にイネーブルになります。

LogDir

イベント ログ ファイルが作成されるディレクトリを指定します。 このディレクトリが存在しない場合は、ログ ファイルの作成が可能になるように、このディレクトリを事前に作成しておいてください。 Cisco Trust Agent はこのディレクトリを作成しません。

MaxFileSize

ログ ファイルの最大サイズをメガバイト単位で指定します。 このサイズに達したログ ファイルは閉じられ、新しいログ ファイルが作成されます。

有効な値の範囲は 0 ~ 4095 です。 0 を指定すると、ログ ファイルのサイズは無制限になります。 4 がデフォルト値です。

[loglevel]

ロギング レベル パラメータ用のセクション ヘッダーです。

PADaemon

Cisco Trust Agent サービスのロギング レベルです。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

NetTrans

ネットワーク転送固有のロギング レベルです。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

PAPlugin

Cisco Trust Agent のポスチャ プラグインのロギング レベルです。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

CTAMsg

Cisco Trust Agent のユーザ通知モジュールのロギング レベルを設定します。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

PEAP

Cisco Trust Agent の PEAP モジュールのロギング レベルを設定します。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

EAPTLV

Cisco Trust Agent の TLV モジュールのロギング レベルを設定します。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

EAPSQ

Cisco Trust Agent のクエリー ログのロギング レベルを設定します。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)

15 = すべて

Plugin

すべてのサードパーティ製プラグインのロギング レベルを設定します。

0 = ディセーブル

1 = 低レベル

2 = 中レベル

3 = 高レベル(デフォルト)