Cisco Secure ACS コンフィギュレーション ガイド 4.2
RDBMS 同期化の使用による dACL の 作成およびネットワーク設定の指定
RDBMS 同期化の使用による dACL の作成およびネットワーク設定の指定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

RDBMS 同期化の使用による dACL の作成およびネットワーク設定の指定

ACS Release 4.2 の新しい RDBMS 同期化機能

RDBMS 同期化の使用による dACL の設定

ステップ 1:dACL の有効化

ステップ 2:dACL を定義するテキスト ファイルの作成

ステップ 3:accountActions ファイルのコーディングによる dACL の作成および dACL へのユーザまたはグループの関連付け

CSV 形式の accountActions ファイルのサンプル

ステップ 4:ローカルの CSV ファイルを使用するための RDBMS 同期化の設定

ステップ 5:RDBMS 同期化の実行

ACS GUI での RDBMS 同期化の実行

CSDBSync の手動実行による dACL の作成

スクリプトの使用による RDBM 同期化の実行

ステップ 6:dACL の表示

エラー メッセージ

dACL の読み取り、更新、および削除

dACL とユーザまたはグループとの関連付けの更新または削除

RDBMS 同期化の使用によるネットワーク設定の指定

AAA クライアントの作成、読み取り、更新、および削除

RDBMS 同期化の使用による dACL の作成およびネットワーク設定の指定

この章では、ACS 4.2 で導入された新しい RDBMS 同期化機能を使用するための ACS 4.2 の設定方法について説明します。

RDBMS 同期化の詳細については、『 User Guide for Cisco Secure ACS, 4.2 』の第 8 章「System Configuration: Advanced」の「RDBMS Synchronization」を参照してください。

RDBMS 同期化で使用する accountActions コードの詳細については、『 User Guide for Cisco Secure ACS, 4.2 』の付録 E「RDBMS Synchronization Import Definitions」を参照してください。

この章は、次の項で構成されています。

「ACS Release 4.2 の新しい RDBMS 同期化機能」

「RDBMS 同期化の使用による dACL の設定」

「dACL の読み取り、更新、および削除」

「dACL とユーザまたはグループとの関連付けの更新または削除」

「RDBMS 同期化の使用によるネットワーク設定の指定」

ACS Release 4.2 の新しい RDBMS 同期化機能

ACS 4.2 では、RDBMS 同期化に対するサポートが次のように強化されています。

指定したユーザおよびグループの Downloadable ACL(dACL; ダウンロード可能 ACL)の設定 :カンマ区切り形式(CSV)の accountActions ファイルに permit ip コマンドおよび deny ip コマンドを入力して、dACL を指定できます。 accountActions ファイルに含めた新しいアカウント アクション コードを使用して、このテキスト ファイルで指定されているコマンドが含まれた dACL を作成できます。

ACS for Windows では、ACS GUI の RDBMS Synchronization ページを使用するか、 CSDBSync コマンドを実行して、dACL の設定を実行できます。

ACS SE で dACL の設定を実行するには、ACS SE GUI の RDBMS Synchronization ページを使用します。または、SSH クライアントにより ACS SE に接続してから、SSH シェルで csdbsync -syncnow コマンドを実行します。

RDBMS 同期化による 1 つまたは複数の AAA クライアントの作成、読み取り、更新、および削除のサポート :AAA クライアント データを読み取る機能を使用して、特定の NDG の AAA クライアント リスト、指定した IP 範囲の AAA クライアント リスト、またはすべての AAA クライアントのリストをエクスポートできます。

ACS Solution Engine 上の CSDBSync サービスのリモート呼び出し :ACS 4.2 では、SSH 接続を使用して、リモートの ACS SE 上で CSDBSync サービスを実行できます。

RDBMS 同期化の使用による dACL の設定

ACS 4.2 では、RDBMS 同期化を使用して、ダウンロード可能な dACL を設定し、特定のユーザまたはグループに dACL を関連付けることができます。

RDBMS 同期化を使用して dACL を設定するには、次の手順を実行します。


ステップ 1 RDBMS 同期化と dACL を有効にします。

ステップ 2 dACL を定義するテキスト ファイルを作成します。

ステップ 3 CSV 形式の accountActions ファイルをコーディングして dACL を作成し、ユーザまたはグループと dACL を関連付けます。

ステップ 4 ローカルの CSV ファイルを使用するように RDBMS 同期化を設定します。

ステップ 5 次の 2 つの方法のいずれかで、RDBMS 同期化を実行します。

ACS GUI を使用する。

Windows コマンド シェルから、またはリモート ACS SE との SSH 接続で、 csdbsync -syncnow コマンドを実行する。

ステップ 6 dACL を表示します。


 

ステップ 1:dACL の有効化

dACL を有効にするには、次の手順を実行します。


ステップ 1 ナビゲーション バー Interface Configuration をクリックします。

ステップ 2 Advanced Options をクリックします。

Advanced Options ページが開きます。

ステップ 3 User-Level Downloadable ACLs チェックボックスをオンにします。

ステップ 4 Group-Level Downloadable ACLs チェックボックスをオンにします。

グループ名への dACL の割り当てが可能になります。

ステップ 5 RDBMS Synchronization チェックボックスをオンにします。

ステップ 6 Submit をクリックします。


 

ステップ 2:dACL を定義するテキスト ファイルの作成

dACL を定義するテキスト ファイルを作成するには、次の手順を実行します。


ステップ 1 任意のテキスト エディタ(メモ帳など)を使用して、テキスト ファイルを作成します。

例4-1 に、テキスト ファイルのサンプルを示します。

例4-1 dACL を作成するためのテキスト ファイルのサンプル

[DACL#1]
Name = DACL_For_Troy
Description = Test_DACL_For_ACS_42
Content#1= content1
Definition#1#1= permit ip any host 192.168.1.152
Definition#1#2= permit ip any host 192.168.5.152
Definition#1#3= permit ip any host 192.168.29.33
Definition#1#4= permit ip any host 192.168.29.34
Definition#1#5= permit ip any host 192.168.9.50
Definition#1#6= permit ip any host 192.168.9.20
Definition#1#7= permit ip any host 192.168.7.20
Definition#1#8= permit ip any host 192.168.128.1
Definition#1#9= permit ip any 192.168.24.0 0.0.0.255
Definition#1#10= permit ip any 192.168.0 0.0.0.255
Definition#1#11= permit ip any 192.0.0.0 0.255.255.255
Definition#1#12= deny ip any 192.168.0.0 0.3.255.255
Definition#1#13= deny ip any 192.168.0.0 0.1.255.255
Definition#1#14= permit ip any any
 

ステップ 2 表4-1 の説明に従って、ファイルに情報をコーディングします。

 

表4-1 テキスト ファイルをコーディングして dACL を作成するためのキーワード

キーワード

DACL#

テキスト ファイルの 1 行目では、dACL 番号を角カッコで囲んで指定する必要があります(例: [DACL# n ] n は dACL の番号です)。例4-1 では、このファイルが指定する dACL は 1 つだけなので、1 行目で DACL#1 と指定しています。

Name

CSDBSync を実行したときに作成される dACL の名前を指定します。

Description

dACL の簡単な説明を指定します。

Content

dACL に関連付けられたアクセス特権の定義で構成されるコンテンツ ブロックの番号を指定します。このキーワードは、 Content# n という形式をとります。 n は、コンテンツ ブロックの番号です。例4-1 で示されているファイルにあるコンテンツ ブロックは 1 つだけです。

Definition

dACL を関連付けたユーザまたはグループに ACS が適用する一連の permit IP コマンドまたは deny ip コマンドを指定します。各 Definition キーワードは、 Definition # n # n1 という形式をとります。 n は、複数の Definition キーワードから成るコンテンツ ブロックの番号で、 n1 は、各定義の番号です。

ステップ 3 次のようにしてファイルを保存します。

ACS for Windows :ACS を実行している Windows マシンのディレクトリにファイルを保存します。

ACS SE :ACS SE とともに使用している FTP サーバのディレクトリにファイルを保存します。


 

ステップ 3:accountActions ファイルのコーディングによる dACL の作成および dACL へのユーザまたはグループの関連付け

CSV 形式の accountActions ファイルを作成して dACL を作成し、ユーザまたはグループに dACL を割り当てるには、次の手順を実行します。


ステップ 1 任意のテキスト エディタ(メモ帳など)を使用して、テキスト ファイルを作成します。

ステップ 2 ユーザまたはグループを作成するためのステートメントをコーディングします。たとえば、 Group というグループに属し、初期パスワード ipassword を持つ Troy というユーザを作成するには、次のステートメントをコーディングします。

1,1,Troy,Group 5,100,ipassword,7/8/2008 15:00,0,,,0
 

ステップ 3 dACL を作成するためのステートメントをコーディングします。たとえば、 dACL_create.txt というテキスト ファイルで指定されている DACL_for_Troy という dACL を作成するには、次のステートメントをコーディングします。

2,1,,,385,C:\dACL_folder\dACL_create.txt,7/8/2008 15:00,0,,,0
 

アクション コード 385 により、dACL が作成されます。このアクション コードの直後の値では、dACL を指定するテキスト ファイルのディレクトリ パスとファイル名を指定します。例4-1 および例4-2 で示されているサンプル コードでは、 dACL_create.txt ファイルがそのテキスト ファイルです。

ディレクトリ パスとファイル名の後の値では、ファイルのタイムスタンプを指定する必要があります。たとえば、7/8/2008 15:00 と指定します。

ステップ 4 指定したユーザに dACL を関連付けるためのステートメントをコーディングします。たとえば、dACL DACL_for_Troy をユーザ Troy に関連付けるには、次のようにコーディングします。

3,1,Troy,,380,DACL_For_Troy,7/8/2008 15:00,0,,,0
 

このステートメントの 3 つ目の値では、dACL を関連付けるユーザ( Troy )を指定します。アクション コード 380 により、dACL がユーザに関連付けられます。アクション コードの直後の値では、dACL 名( dACL_for_Troy )を指定します。

dACL 名の後の値では、アクションのタイムスタンプを指定する必要があります。たとえば、7/8/2008 15:00 と指定します。

ステップ 5 次のようにしてファイルを保存します。

ACS for Windows :ACS を実行している Windows マシンのディレクトリにファイルを保存します。

ACS SE :ACS SE とともに使用している FTP サーバのディレクトリにファイルを保存します。


 

CSV 形式の accountActions ファイルのサンプル

例4-2 に、CSV 形式の accountActions ファイルのサンプルを示します。


) CSV ファイルのデフォルトのファイル名は、accountactions.csv です。ただし、ファイル名は変更できます。


例4-2 CSV 形式の accountActions ファイルのサンプル

SequenceId,Priority,UserName,GroupName,Action,ValueName,DateTime,MessageNo,ComputerNames,AppId,Status
1,1,Troy,Group 5,100,ipassword,7/8/2008 15:00,0,,,0
2,1,,,385,C:\dACL_folder\dACL_create.txt,7/8/2008 15:00,0,,,0
3,1,Troy,,380,DACL_For_Troy,7/8/2008 15:00,0,,,0
 

表4-2 に、例4-2 で使用されている accountActions コードを示します。これらのコードにより、ユーザの追加、dACL の作成、および指定したユーザまたはグループへの dACL の関連付けが実行されます。

 

表4-2 dACL を作成する場合および指定したユーザまたはグループに dACL を割り当てる場合に使用するアカウント アクション コード

アクション コード
名前
必須指定の
変数
説明

100

ADD_USER

UN|GN、V1

ユーザを作成します(最大 32 文字)。変数 V1 は、初期パスワードとして使用されます。必要に応じて、ユーザをグループに割り当てることができます。

385

CREATE_DACL

VN

このアクション コードは、dACL を作成する場合に使用します。

VN = < input_file_name >

input_file_name は、dACL の定義が記述されているテキスト ファイルです。

ACS for Windows では、このファイルは ACS を実行している Windows マシンのディレクトリにあります。

ACS SE では、このファイルは ACS SE とともに使用している FTP サーバにあります。

ファイルの絶対パスを指定できます。たとえば、ACS for Windows の場合、 C:\DACL\create_DACL_for_User_1.txt と指定できます。

dACL 定義は、すでに存在している場合や、含まれている定義、コンテンツ名、コンテンツ定義、または NAF 名が無効な場合は無視されます。

380

CREATE_USER_DACL

UN|GN、VN

このアクション コードは、指定した dACL をユーザまたはグループに関連付けます。指定する dACL 名は、有効かつ ACS 内に存在するものである必要があります。コードは次のとおりです。

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

VN = dACL 名(この dACL は、共有プロファイル コンポーネントで定義されている必要があります。)

ステップ 4:ローカルの CSV ファイルを使用するための RDBMS 同期化の設定

ローカルの CSV ファイルを使用するように RDBMS 同期化を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択し、RDBMS Synchronization チェックボックスをオンにします。


RDBMS Synchronization Setup ページが表示されます。

ステップ 3 ACS for Windows を使用している場合は、次の手順を実行します。

a. RDBMS Synchronization Setup ページ(図4-1)の必須フィールドに値を入力します。

図4-1 RDBMS Synchronization Setup ページ(ACS for Windows)

 

b. Use local CSV file チェックボックスをオンにします。

c. AccountActions file フィールドに、「ステップ 3:accountActions ファイルのコーディングによる dACL の作成および dACL へのユーザまたはグループの関連付け」で作成した CSV 形式の accountActions ファイルのファイル名を入力します。

d. Directory フィールドに、CSV 形式の accountActions ファイルへのディレクトリ パスを入力します。

accountActions テーブルへのアクセスに使用する情報は、ACS にあります。

ステップ 4 ACS SE を使用している場合は、次の手順を実行します。

a. RDBMS Synchronization Setup ページ(図4-2)の必須フィールドに値を入力します。

図4-2 RDBMS Synchronization Setup ページ(ACS SE)

 

b. 次の情報を入力します。

Actions File :accountActions ファイルの名前。デフォルトの名前は、 accountactions .csv です。入力したファイル名は、FTP サーバ上の accountActions ファイルの名前と一致する必要があります。

FTP Server :ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト名。ホスト名を指定する場合は、ネットワークで DNS が有効になっている必要があります。

Directory :FTP サーバのルート ディレクトリから accountActions ファイルがあるディレクトリへの相対パス。FTP ルート ディレクトリを指定するには、単一のドット(.)を入力します。

Username :ACS による FTP サーバへのアクセスを可能にする有効なユーザ名。

Password :Login ボックスに入力したユーザ名に対応するパスワード。

accountActions ファイルを FTP サーバから取得するために必要な情報は、ACS SE にあります。

ステップ 5 (ACS for Windows および ACS SE)必要に応じて、Synchronization Scheduling および Synchronization Partners のオプションを設定します。

図4-3 に、RDBMS Synchronization Setup ページの Synchronization Scheduling セクションおよび Synchronization Partners セクションを示します。

図4-3 Synchronization Scheduling および Synchronization Partners のオプション

 

ステップ 6 同期化のスケジュールについて、次の情報を指定します。

Manually :自動による RDBMS 同期化を無効にする場合は、 Manually オプション ボタンをオンにします。

Every X minutes :設定した頻度で ACS により同期化が実行されます。単位は分で、デフォルトの更新頻度は 60 分です。

At specific times :曜日と時間のグラフで指定したタイミングで ACS により同期化が実行されます。最小間隔は 1 時間です。同期化は、選択した時間の正時に実行されます。

ステップ 7 accountActions テーブルのデータによる更新の対象となる ACS を AAA Servers リストでクリックし、インターフェイスの右矢印ボタン( --> )をクリックします。

選択した ACS が Synchronize リストに表示されます。

ステップ 8 ACS を Synchronize リストから削除するには、Synchronize リストでその ACS をクリックし、左矢印ボタン( <-- )をクリックします。

選択した ACS が Synchronize リストから削除されます。

ステップ 9 ブラウザ ウィンドウの下部にある Synchronize Now をクリックします。

ACS がすぐに同期化イベントを開始します。同期化の状態を確認するには、Reports and Activity で RDBMS Synchronization レポートを表示します。


 

ステップ 5:RDBMS 同期化の実行

RDBMS 同期化を実行し、dACL を作成する方法は 2 つあります。次のいずれかを実行します。

ACS GUI で RDBMS 同期化を実行する。

CSDBSync を手動で実行して dACL を作成する。

ACS GUI での RDBMS 同期化の実行

ACS for Windows または ACS SE の RDBMS Synchronization ページにある Synchronize Now をクリックすると、ACS で同期化イベントが開始され、CSV 形式の accountActions ファイルで指定されている dACL が作成されます。

CSDBSync の手動実行による dACL の作成

CSDBSync を手動で実行して dACL を作成できます。

ACS for Windows の場合:

Windows で、コマンドライン インターフェイスを使用して csdbsync -run コマンドを起動します。

CSV 形式の accountActions ファイルから各ステートメントを CSDBSync サービスが読み取り、ファイル内のアクション コードで指定されているとおりに ACS 内部データベースを更新します。分散環境では、シニア同期化パートナーと呼ばれる 1 つの ACS が accountActions テーブルにアクセスし、同期化コマンドを同期化パートナーに送信します。


ステップ 1 コマンド プロンプト ウィンドウを開きます。

ステップ 2 次のコマンドを入力します。

a. CSDBSync サービスを停止するには、 net stop csdbsync と入力します。

b. net start csdbsync と入力します。

c. 次のいずれかのコマンドを入力します。

csdbsync -run

csdbsync -syncnow

ACS がデータベースから CSV ファイルを取得し、ファイル内のアクション コードを読み取り、ファイルで指定されている RDBMS 同期化操作を実行します。


 

ACS SE の場合:

ACS SE では、 csdbsync -syncnow コマンドを実行して RDBMS 同期化を起動できます。

ACS SE で CSDBSync を手動で実行するには、次の手順を実行します。


ステップ 1 ACS SE と FTP サーバの接続を確認します。また、FTP サーバのディレクトリに対する書き込み権限があることも確認します。

ステップ 2 SSH コマンド シェルを起動します。

ステップ 3 次のコマンドを入力します。

a. CSDBSync サービスを停止するには、 net stop csdbsync と入力します。

b. net start csdbsync と入力します。

c. 次のいずれかのコマンドを入力します。

csdbsync -run

csdbsync -syncnow

ACS SE がデータベースから CSV ファイルを取得し、ファイル内のアクション コードを読み取り、ファイルで指定されている RDBMS 同期化操作を実行します。


 

スクリプトの使用による RDBM 同期化の実行

ACS SE では、SSH サポートを含む RDBMS 同期化用コマンドライン ユーティリティを使用して、リモート システムから ACS 設定を変更できます。SSH サーバを起動して管理者特権を追加し、 csdbsync -syncnow コマンドを起動する方法を使用できます。 csdbsync -syncnow コマンドと csdbsync -run コマンドは同じように機能します。どちらも、 CSDBSync サービスを停止または起動することはありません。

指定したリモートの ACS SE で実行するスクリプトにこれらのコマンドを含めることにより、これらのアクションを実行できます。

ステップ 6:dACL の表示

RDBMS 同期化を実行して dACL を作成したら、正しく作成されていることを確認するために、dACL を表示します。

dACL を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バー Shared Profile Components をクリックします。

ステップ 2 Downloadable IP ACLs をクリックします。

Downloadable IP ACLs ページが開きます。

Downloadable IP ACLs テーブルの Name カラムに、「ステップ 2:dACL を定義するテキスト ファイルの作成」でコーディングしたテキスト ファイルで指定されている dACL が表示されます。

ステップ 3 dACL の名前をクリックします。

Downloadable IP ACLs ページには、選択した dACL が表示されます(図4-4 を参照)。

図4-4 サンプル dACL のエントリ

 

ACL Contents カラムには、「ステップ 2:dACL を定義するテキスト ファイルの作成」でテキスト ファイルにコーディングした Content#1 ブロックで指定されているコンテンツ名が表示されます。

ステップ 4 コンテンツ名をクリックします。

Downloadable IP ACL Content ページが表示されます。このページには、コンテンツ名と ACL 定義が表示されます(図4-5 を参照)。

図4-5 Downloadable IP ACL Content ページ

 

ステップ 5 dACL が正しく作成されなかった場合は、「RDBMS 同期化の使用による dACL の設定」の手順を再確認し、エラーがないか調べます。

エラー メッセージのリストについては、「エラー メッセージ」を参照してください。


 

エラー メッセージ

表4-3 に、 CSDBSync による dACL の作成に関連するエラー メッセージを示します。

 

表4-3 dACL 作成エラー

エラー メッセージ
説明

Failed to process DACL.DACL not defined.

考えられる原因 dACL を定義するために使用したテキスト ファイルで、dACL が正しく指定されていませんでした。

推奨処置 dACL を指定するためにコーディングしたテキスト ファイルを見直して、構文が正しいことを確認します。

Failed to process DACL.Could not find NAF.

考えられる原因 dACL を定義するために指定したテキスト ファイルで、NAF が正しく定義されていませんでした。

推奨処置 dACL を指定するためにコーディングしたテキスト ファイルを見直して、構文が正しいことを確認します。

Failed to process DACL.Failed to get UserID.

考えられる原因 ACS SE の RDBMS 同期化設定で FTP サーバに対して指定したユーザ ID が正しくありませんでした。

推奨処置 指定したユーザ ID が、ACS SE とともに使用されている FTP サーバに存在することを確認します。

Failed to process DACL.DACL content not found.

考えられる原因 dACL を指定するために使用したテキスト ファイルで、dACL コンテンツが正しく指定されていませんでした。

推奨処置 テキスト ファイルを調べて、構文が正しいことを確認します。ファイルで定義されている ACL が正しいことを確認します。

Failed to upload file into FTP server.

考えられる原因 FTP が到達不能であったか、ネットワーク エラーが発生しました。

推奨処置 RDBMS 設定内の FTP サーバの IP アドレスが正しいこと、およびネットワークが正常に機能していることを確認します。

Failed to import DACL file.

考えられる原因 RDBMS 同期化設定で指定したユーザ ID に、ACS への書き込みアクセスが許可されていません。

推奨処置 指定したユーザに ACS への書き込みアクセスが許可されていることを確認します。

Failed to access Host DB.

考えられる原因 CSDBSync サービスが、ホスト ACS 上のデータベースにアクセスできませんでした。

推奨処置 ACS 上のデータベースが正しく設定されていて、正しく有効化されていることを ACS GUI で確認します。

dACL の読み取り、更新、および削除

表4-4 に、dACL の読み取り、更新、または削除に使用できるアカウント アクション コードを示します。

 

表4-4 dACL の作成、読み取り、更新、または削除に使用できるアカウント アクション コード

アクション コード
名前
必須指定の変数
説明

386

READ_DACL

VN、V1(オプション)

このアクション コードは、dACL アトリビュートを読み取って、後で使用するためにファイルに保存する場合に使用します。

VN = dACL 名。または、すべての dACL を意味するアスタリスク(*)を指定します。

V1 = < output_file_name >

output_file_name は、エクスポートされる dACL 定義です。

ACS SE では、 output_file_name には、ACS SE 用の FTP サーバにあるファイルを指定します。指定しない場合、デフォルトのファイル名である DumpDACL.txt が使用されます。

ACS for Windows では、ファイルの絶対パスを指定できます。たとえば、 C:\temp\DACL.txt と指定できます。ファイル パスとファイル名を指定しないと、 ACS\bin ディレクトリ内のファイルにデータが書き込まれます。

387

UPDATE_DACL

VN、V1(オプション)

このアクション コードは、dACL アトリビュートを更新する場合に使用します。

VN = < input_file_name >

input_file_name は、更新する dACL の定義が記述されているファイルです。

ACS SE プラットフォームでは、 input_file_name には、ACS SE 用の FTP サーバに存在するファイル名を指定します。

ACS for Windows の場合は、ファイルの絶対パスを指定できます。たとえば、 C:\DACL\dump.txt と指定できます。

V1=DACL_REPLACE または DACL_APPEND

デフォルトのオプションは次のとおりです。

DACL_REPLACE

DACL_REPLACE オプションは、既存の dACL を新しい dACL と置き換えます。

DACL_APPEND は、新しい dACL コンテンツとその定義を既存の dACL の後に付加します。

dACL が定義されていない場合、新しい dACL は既存のリストに追加されます。

含まれている定義、コンテンツ名、コンテンツ定義、または NAF 名が無効な場合、dACL 定義は無視されます。

388

DELETE_DACL

VN

このアクション コードは、dACL を削除する場合に使用します。

VN = 削除する dACL の名前。すべての dACL を削除するには、アスタリスク(*)を使用します。

デフォルトでは、すべての dACL が削除されます。

dACL の削除後、その dACL に関連付けられているユーザおよびグループは、デリファレンスされるようになります。

dACL とユーザまたはグループとの関連付けの更新または削除

表4-5 に、ユーザまたはグループと dACL との関連付けの更新や削除に使用するアカウント アクション コードを示します。

 

表4-5 dACL とユーザまたはユーザ グループとの関連付けを作成または削除するアカウント アクション コード

アクション コード
名前
必須指定の変数
説明

381

UPDATE_USER_DACL

UN|GN、VN

このアクション コードは、指定したユーザまたはグループの dACL を更新します。指定する dACL 名は、有効かつ ACS 内に存在するものである必要があります。

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

VN = dACL 名(この dACL は、共有プロファイル コンポーネントで定義されている必要があります)

382

DELETE_USER_DACL

UN|GN

このアクション コードは、指定したユーザまたはグループと dACL の関連付けを解除します。

UN = 有効なユーザ名

GN = 有効なグループ名(オプション)

RDBMS 同期化の使用によるネットワーク設定の指定

RDBMS 同期化を使用して、次のようなネットワーク設定タスクを実行できます。

AAA クライアントを追加する。

AAA クライアントを削除する。

AAA クライアント設定の詳細を設定する。

AAA サーバを追加する。

AAA サーバを削除する。

AAA サーバ設定の詳細を設定する。

Proxy Distribution Table のエントリを追加および設定する。


) RDBMS 同期化で実行できるすべてのアクションに関する具体的な情報については、『User Guide for Cisco Secure ACS, 4.2』の付録E「RDBMS Synchronization Import Definitions」を参照してください。


AAA クライアントの作成、読み取り、更新、および削除

RDBMS 同期化機能を使用して、1 つまたは複数の AAA クライアントを作成および削除できます。また、accountActions コード 224 および 225 を使用すると、AAA クライアント情報の読み取りおよび更新を実行できます。この項では、1 つまたは複数の AAA クライアントに対して実行できる、さまざまな RDBMS 同期化タスクについて説明します。

表4-6 に、1 つまたは複数の AAA クライアントの読み取りおよび更新に使用するアカウント アクション コードを示します。

 

表4-6 AAA クライアントの作成、読み取り、更新、または削除に使用するアカウント アクション コード

アクション コード
名前
必須指定の
変数
説明

224

UPDATE_NAS

VN、V1、V2、V3

このアクション コードは、AAA クライアントを更新する場合に使用します。

VN = AAA クライアント名

V1 = IP アドレス

V2 = 共有秘密鍵

V3 = ベンダー

225

READ_NAS

VN、V1(オプション)

このアクション コードは、AAA クライアント リストを出力ファイルにエクスポートする場合に使用します。この出力ファイルは、AAA クライアント リストを特定の NDG のメンバーまたはすべての AAA クライアントに関連付けるのに使用できます。また、 CSUtil の入力情報として使用して、NAS にインポートすることもできます。

VN = < output_file_name >

output_file_name は、ACS SE とともに使用されている FTP サーバのファイル名です。指定しないと、デフォルトのファイル名である DumpNAS.txt が使用されます。

ACS for Windows プラットフォームの場合は、ファイルの絶対パスを指定できます。たとえば、 C:\MyNAS\dump.txt と指定できます。値を指定しない場合、AAA クライアント リストは
\ACS\bin\DumpNAS.txt
ファイルに書き込まれます。

V1 = NDG 名(オプション)

V1 には、有効な NDG 名を指定する必要があります。