Cisco Secure ACS インストレーション ガイド Windows 版 Version 4.1
Cisco Secure ACS for Windows の インストール
Cisco Secure ACS for Windows のインストール
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 425KB) | フィードバック

目次

Cisco Secure ACS for Windows のインストール

ACS システムについて

ACS のインストールまたはアップグレードの準備

システム要件

ACS のアップグレード要件

サードパーティ製ソフトウェアの要件

ネットワークとポートの要件

インストール前のデータのバックアップ

インストールに必要な情報の入手

インストールとアップグレードのシナリオ

ACS の新規インストール

ACS の再インストールまたはアップグレード

既存の設定の再インストールまたはアップグレード

データを保持しない ACS の再インストールまたはアップグレード

Cisco Secure ACS for Windows のインストール

この章では、Cisco Secure Access Control Server Release 4.1 for Windows のインストール、再インストール、およびアップグレードについて説明します。

この章は、次の項で構成されています。

「ACS システムについて」

「ACS のインストールまたはアップグレードの準備」

「インストールとアップグレードのシナリオ」

「ACS の新規インストール」

「ACS の再インストールまたはアップグレード」

ACS システムについて

ACS ネットワーク セキュリティ ソフトウェアを使用すると、AAA クライアントへのアクセスを制御することでユーザを認証できます。AAA クライアントは、AAA サーバにアクセスするネットワーク ユーザの認証および認可を保留するように設定されている、多くのネットワーク デバイスの 1 つです。ACS は、ネットワークにアクセスするユーザの認証、認可、アカウンティングを制御する Windows サービスのセットとして動作します。

ACS は、Windows 2000 Server および Windows Server 2003 上で動作します。また、ドメイン コントローラまたはメンバー サーバ上で実行できます。サポートされているオペレーティング システムの詳細については、「システム要件」または最新バージョンのリリース ノートを参照してください。リリース ノートは次の URL から入手できます。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html


) Windows Security Account Manager ユーザ データベースまたは Active Directory ユーザ データベースでユーザ認証を行う場合は、ACS をインストールした後にさらに Windows を設定する必要があります。詳細については、「Windows 認証の設定」を参照してください。


ACS の詳細については、『 User Guide for Cisco Secure Access Control Server 』を参照してください。

ACS のインストールまたはアップグレードの準備

次のトピックでは、ACS のインストールまたはアップグレードの前に実行する必要がある推奨処置について説明します。

「システム要件」

「ACS のアップグレード要件」

「サードパーティ製ソフトウェアの要件」

「ネットワークとポートの要件」

「インストール前のデータのバックアップ」

「インストールに必要な情報の入手」


) 同じマシンに Sybase サーバがインストールされている場合、ACS は正常にインストールされません。


システム要件

ACS サーバは、ハードウェアおよびオペレーティング システムの特定の最小要件を満たす必要があります。

次の表で、これらの要件の詳細を示します。

ACS for Windows サーバの要件 , 表1-1

ACS for Windows Web クライアントの要件 , 表1-2

ACS for Windows サーバの UCP 要件 , 表1-3


) ACS for Windows は、サポート対象のオペレーティング システムのマルチプロセッサ機能を使用するように設計されていませんが、シスコでは、デュアルプロセッサ コンピュータで ACS をテスト済みです。


Windows 2000 Datacenter Server は、サポート対象のオペレーティング システムではありません。

Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。ACS のインストール前に必要なサービスパックをインストールしていない場合は、ACS インストール プログラムにより、必要なサービスパックがサーバ上にないことを示す警告メッセージが表示される場合があります。サービスパックに関するエラー メッセージが表示された場合は、インストールを続行し、ACS によるユーザ認証を開始する前に必要なサービスパックをインストールしてください。

 

表1-1 ACS for Windows サーバの要件

コンポーネント
最小要件

ハードウェア

IBM PC 互換機、1.8 GHz 以上の Pentium IV プロセッサを搭載

グラフィックスの最小解像度が 800 × 600 で 256 色以上のカラー モニタ

CD-ROM ドライブ

100BaseT 以上の接続

オペレーティング システム

Windows 2000 Server(英語バージョンのみ)

Windows 2000 Advanced Server Service Pack 4(Windows 2000 Advanced Server に固有の機能がイネーブルになっていない、または Microsoft クラスタ サービスがインストールされていないもの、英語バージョンのみ)

Windows Server 2003 Enterprise Edition または Standard Edition(Service Pack 1)

Windows Server 2003 Service Pack 1(日本語バージョン)

ファイル システム

New Technology File System(NTFS)

メモリ

1 ギガバイト(最小)

仮想メモリ

1 ギガバイト(最小)

ハード ドライブ容量

1 GB 以上の空きハード ドライブ容量(最小)


) 実際に必要となるハード ドライブ容量は、ログ ファイルの増加、複製またはバックアップを目的とした場合など、複数の要因によって異なります。


ACS 4.1 は、次の VMWare プラットフォームでもテスト済みです。

VMWare ESX サーバ 3.0.0

RAM:16.0 GB

プロセッサ:AMD Opteron Dual Core

HDD:300 GB

仮想マシンの数:4

ゲスト オペレーティング システム:Windows 2003 Standard Edition

各ゲスト オペレーティング システムの RAM:3 GB

 

表1-2 ACS for Windows Web クライアントの要件

コンポーネント
最小要件

ハードウェアおよびソフトウェア

Pentium IV プロセッサ搭載の IBM PC 互換コンピュータで、次のシステムが動作しているもの

Microsoft Windows 2000 Server または Microsoft Windows 2000 Advanced Server(Service Pack 4)

Microsoft Windows 2000(Service Pack 4)

Microsoft Windows XP(Service Pack 2)

Microsoft Windows 2003(Service Pack 1)(Enterprise Edition または Standard Edition)

ハード ドライブ容量

400 MB 仮想メモリ

メモリ

256 MB(最小)

ブラウザ

次のいずれかの HTML ブラウザもインストールする必要があります。

Microsoft Internet Explorer 6 Service Pack 1 および Microsoft Internet Explorer 5.5(英語および日本語バージョンの Windows 用)

Netscape Web Browser 7.0、7.1、および 7.2(英語および日本語バージョンの Windows 用) 1

Java Run-time Environment(JRE; Java ランタイム環境)

Sun JRE 1.4.2_04

1.ACS での Netscape Communicator の使用に関しては、既知の問題がいくつか存在します。詳細については、Cisco.com で『Release Notes for Cisco Secure ACS for Windows』を参照してください。

 

表1-3 ACS for Windows サーバの UCP 要件

コンポーネント
最小要件
User Changeable Password(UCP)Web サーバ

Microsoft IIS 5.0

Apache 1.3 Web サーバ

ACS のアップグレード要件

ACS は、次のアップグレード パスをサポートしています。これらのパスは、テスト済みでサポート対象になります。

Cisco Secure ACS for Windows、リリース 3.3.3 から ACS 4.1

Cisco Secure ACS for Windows、リリース 4.0 から ACS 4.1

ACS 3.3.3 より前の ACS リリースの場合は、まず ACS 3.3.3 にアップグレードしてから、ACS 4.1 にアップグレードする必要があります。

旧バージョンの ACS からのアップグレードについては、「ACS の再インストールまたはアップグレード」を参照してください。

サードパーティ製ソフトウェアの要件

リリース ノートには、ACS についてテスト済みの、サポート対象のサードパーティ製ソフトウェア製品に関する情報が記載されています。たとえば、次に挙げるアプリケーションの情報があります。

Web ブラウザおよび Java 仮想マシン

Novell Directory Server(NDS)クライアント

トークンカード クライアント

リリース ノートに記載されていないソフトウェア製品は、同一コンピュータ上で ACS と一緒に使用する場合の相互運用性をテストしていません。リリース ノートに記載されている製品のみ、ソフトウェア製品の相互運用性に関する問題のサポート対象となります。

最新バージョンのリリース ノートは Cisco.com で入手できます。URL は次のとおりです。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html

ネットワークとポートの要件

ACS を展開する前に、次のネットワーク要件を満たす必要があります。

Cisco IOS デバイスで TACACS+ および RADIUS が完全にサポートされるように、AAA クライアントは Cisco IOS リリース 11.1 以降を実行している必要があります。

Cisco IOS を実行していない AAA クライアントは、TACACS+ か RADIUS、またはその両方を使用して設定されている必要があります。

ダイヤルイン クライアント、VPN クライアント、またはワイヤレス クライアントは、該当する AAA クライアントに接続可能である必要があります。

ACS を実行するコンピュータは、すべての AAA クライアントに PING 可能であることが必要です。

ACS と他のネットワーク デバイスとの間のゲートウェイ デバイスでは、ポートを介した通信を許可する必要があります。これらのポートは、適用可能な機能やプロトコルをサポートするために必要です。ACS で受信に使用されるポートについては、 表1-4 を参照してください。

サポートされているブラウザが、ACS を実行するコンピュータにインストールされている必要があります。テスト済みブラウザの最新情報については、リリース ノートを参照してください。リリース ノートは Cisco.com
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_release_notes_list.html)で入手可能です。

ACS を実行するコンピュータで、すべてのネットワーク カードが使用可能である必要があります。ネットワーク カードがディセーブルの場合は、間違った IP が選択され、Microsoft CryptoAPI によって遅延が生じるために ACS のインストールに時間がかかる可能性があります。


) ACS のテストは、ネットワーク インターフェイス カードを 1 枚だけ搭載するコンピュータ上で行っています。


ネットワーク ユーザを認可する際に、ACS が Windows で Grant Dial-in Permission to User 機能を使用するように設定するには、Windows User Manager または Active Directory Users and Computers で、該当するユーザ アカウントに対してこの機能のオプションを選択する必要があります。

表1-4 は、AAA クライアント、その他の ACS マシンやアプリケーション、およびブラウザと通信する際に、ACS が受信するポートの一覧です。ACS では、外部ユーザ データベースとの通信には他のポートが使用されます。ただし、特定のポートで受信するというより、通信を開始するだけです。たとえば、ACS が LDAP または RADIUS のトークン サーバ データベースとの通信を開始する場合に、これらの宛先ポートを ACS に設定できます。特定の外部ユーザ データベースを受信するポートの詳細については、該当するデータベースのマニュアルを参照してください。

 

表1-4 ACS が受信に使用するポート

機能/プロトコル
UDP/TCP
ポート

RADIUS 認証および認可

UDP

1645, 1812

RADIUS アカウンティング

UDP

1646, 1813

TACACS+

TCP

49

Cisco Secure Database Replication

TCP

2000

同期パートナーとの RDBMS Synchronization

TCP

2000

User-Changeable Password Web アプリケーション

TCP

2000

ロギング

TCP

2001

新規セッション用の管理 HTTP ポート

TCP

2002

管理 HTTP のポート範囲

TCP

設定可能。デフォルトは 1024 ~ 65535

インストール前のデータのバックアップ

ACS のインストールまたはアップグレード作業の前に、任意の Windows バックアップ ユーティリティを使用して、ACS をインストールするコンピュータのバックアップをとっておくことを強く推奨します。Windows Registry もバックアップ対象としてください。

ACS をアップグレードまたは再インストールする場合は、ACS Backup 機能を使用して、ACS の設定とデータベースをバックアップします。次に、ACS を実行しているコンピュータのローカル以外のドライブに、バックアップ ファイルをコピーします。ACS のバックアップの詳細については、『 User Guide for Cisco Secure ACS 』を参照してください。


) ACS の再インストールではなく、アップグレードを行う場合は、作成したバックアップをアップグレードしたインストールに使用できません。バックアップは、ACS の以前のインストールを復元する必要が生じた場合に備えるものです。


インストールに必要な情報の入手

新規インストール、または既存の設定を保持しないアップグレードおよび再インストールを行う場合、インストールには、ACS をインストールするコンピュータに関する情報が必要です。インストールをスムーズに進めるために、インストールを始める前に適切な情報を収集しておきます。


) ACS のアップグレードあるいは再インストールで、既存の設定とデータベースを再利用する場合は、この手順を行う必要はありません。この手順で得られる情報は、前回の ACS のインストールで、すでに記録されています。


ACS のインストール時に必要な情報を収集するには、次の手順を実行します。


ステップ 1 ACS をインストールするコンピュータがドメイン コントローラであるか、メンバー サーバであるかを確認します。Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

ステップ 2 次の項目を確認します。

エンド ユーザ クライアントが AAA クライアントに正常に接続できる。

この Windows Server が AAA クライアントに PING 可能である。

すべての Cisco IOS クライアントが Cisco IOS リリース 11.1 以降を実行している。

Microsoft Internet Explorer 6.0 Service Pack 1 または Netscape 7.02 がインストールされている。

ステップ 3 データベース アクセス用のパスワードを作成します。このパスワードは、データベース情報を管理するために必要になります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。


 

インストールとアップグレードのシナリオ

このインストレーション ガイドでは、ACS のインストール、再インストール、およびアップグレードの詳細な手順について説明します。状況に応じて適切な手順を選択する必要があります。

表1-5 に、考えられるインストールとアップグレードのシナリオを示します。状況に適した手順を判断してください。


) インストールまたはアップグレードの手順を開始する前に、「ACS のインストールまたはアップグレードの準備」を読み、そこで説明されている該当作業を行ってください。


 

表1-5 インストールとアップグレードのシナリオ

シナリオ
参照先

新規インストール

「ACS の新規インストール」

再インストール(ACS 内部データベースおよび ACS の設定を 保持する

「既存の設定の再インストールまたはアップグレード」

再インストール(ACS 内部データベースおよび ACS の設定を 上書きする

「データを保持しない ACS の再インストールまたはアップグレード」

アップグレード(ACS 内部データベースおよび ACS の設定を 保持する

「既存の設定の再インストールまたはアップグレード」

アップグレード(ACS 内部データベースおよび ACS の設定を 上書きする

「データを保持しない ACS の再インストールまたはアップグレード」

ACS の新規インストール

この項では、ACS を新規にインストールする方法について説明します。


) 既存の ACS インストールのアップグレードまたは再インストールについては、表1-5 を参照してください。


始める前に

ACS のインストールの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。


) Windows Terminal Services または Remote Desktop(RDP)を使用して実行するリモート インストールは、テストおよびサポートの対象外となっています。Terminal Services または RDP を使用した、リモート接続でのインストールまたはアップグレードを実行しないでください。インストールまたはアップグレードを実行するときは、Terminal Services と RDP をディセーブルにすることを推奨します。Virtual Network Computing(VNC)についてはテスト済みです。


ACS をインストールするには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。

ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後でも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、ACS for Windows ダイアログボックスが表示されます。ACS for Windows ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。

ステップ 3 Cisco Secure ACS for Windows ダイアログボックスで、 Install をクリックします。

コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックをインストールせずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックをインストールする必要があります。インストールしない場合、ACS が正しく動作しない可能性があります。

Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 4 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 5 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Before You Begin ダイアログボックスが表示されます。

ステップ 6 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応するチェックボックスをオンにして、 Next をクリックします。これらの項目の詳細については、「インストールに必要な情報の入手」を参照してください。

Before You Begin ダイアログボックスの項目をすべて完了していない場合は、 Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。

Next をクリックすると、Choose Destination Location ダイアログボックスが表示されます。

ステップ 7 インストール先を変更するには、新しいパス名を入力するか、Browse ボタンをクリックして、セットアップ プログラムで ACS をインストールするドライブとパスを選択します。

インストール先は、コンピュータのローカル ドライブ上である必要があります。存在しないフォルダを指定した場合は、 Yes をクリックして、フォルダの作成を承認します。


) パーセント記号(%)だけを含むフォルダを使用したパスを指定しないでください。パーセント記号を含むパスを指定した場合、インストールは正常に続行されるように見えても、終了せずに失敗します。


ステップ 8 Next をクリックします。

Authentication Database Configuration ダイアログボックスが表示されます。

ステップ 9 ユーザ認証のオプションを選択します。

ACS 内部データベースのみを使用してユーザ認証を行う場合は、 Check the Cisco Secure ACS database only をオンにします。

ACS 内部データベースに加えて、Windows Security Access Manager(SAM)ユーザ データベースまたは Active Directory ユーザ データベースを使用してユーザ認証を行う場合は、 Also check the Windows User Database をオンにします。

Yes, refer to "Grant dial-in permission to user" setting チェックボックスが使用可能になります。このオプションは、ダイヤルイン アクセスだけでなく、ACS で制御されるすべての形態のアクセスに適用されます。たとえば、VPN トンネルを通じてネットワークにアクセスしているユーザは、ネットワーク アクセス サーバにダイヤルインしていません。しかし、 Yes, refer to "Grant dial-in permission to user" setting をオンにすると、ACS は Windows ユーザのダイヤルイン許可を適用して、ネットワークへのユーザ アクセスを許可するかどうかを判断します。

Windows アカウントにダイヤルイン許可があり、Windows ドメイン ユーザ データベースのみで認証されているユーザに対して、アクセスを許可する場合は、 Yes, refer to "Grant dial-in permission to user" setting をオンにします。


) ACS のインストール後は、Windows ユーザ データベースだけでなく、あらゆる外部ユーザ データベースに対して認証サポートを設定できます。


ステップ 10 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Advanced Options ダイアログボックスが表示されます。

ステップ 11 イネーブルにする機能を選択します。

これらの機能は、デフォルトでイネーブルにされていません。イネーブルに設定してある場合に限り、ACS HTML インターフェイスに表示されます。これらの機能の詳細については、『 User Guide for Cisco Secure ACS 』を参照してください。


) インストール後は、Interface Configuration セクションの Advanced Options ページで拡張機能をイネーブルまたはディセーブルにできます。


ステップ 12 Next をクリックします。

Active Service Monitoring ダイアログボックスが表示されます。

ステップ 13 サービス モニタリング機能を選択します。

ACS でユーザ認証サービスを監視する場合は、 Enable Log-in Monitoring をオンにします。 Script to execute リストで、認証サービス障害が発生した場合に適用するオプションを選択します。

No Remedial Action :ACS はスクリプトを実行しません。このオプションは、イベント E メール通知を利用する場合に便利です。

Reboot :ACS は、ACS を実行するコンピュータをリブートするスクリプトを実行します。

Restart All :ACS は、すべての ACS サービスを再起動します。

Restart RADIUS/TACACS+ :ACS は RADIUS サービスおよび TACACS+ サービスだけを再起動します。

サービス モニタリングがイベントを検出すると ACS が E メール メッセージを送信するように設定する場合は、 Mail Notification をオンにします。


) インストール後は、System Configuration セクションの Active Service Management ページでアクティブ サービス モニタリング機能を設定します。


ステップ 14 Next をクリックします。

Database Encryption Password ダイアログボックスが表示されます。

ステップ 15 データベース暗号化用のパスワードを入力します。パスワードは 8 文字以上で、文字と番号を含める必要があります。無効な文字はありません。

データベース暗号化パスワードは暗号化され、ACS レジストリに保存されます。重大な問題が発生し、手動でデータベースにアクセスする必要があるときに、このパスワードを再利用する場合があります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。

ステップ 16 Next をクリックします。

セットアップ プログラムが終了し、Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

ステップ 17 各オプションについて、対応するチェックボックスをオンにします。オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションを選択しない場合、コンピュータをリブートするか CSAdmin サービスを開始しない限り、ACS HTML インターフェイスを使用できません。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 18 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 19 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 17 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

ステップ 20 ステップ 17 でオプションを選択しなかった場合、次の内容を実行します。

ACS サービスを開始するには、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力します。

ACS HTML インターフェイスにアクセスするには、ACS Admin デスクトップ アイコンを使用するか、サポート対象のブラウザで次の URL を使用します。

http://127.0.0.1:2002


 


) インストール時に、acssetup.log セットアップ ログ テキスト ファイルが C: ドライブに作成されます。このログは完了したインストール プロセスを段階別に記録するので、トラブルシューティングに使用できます。


次の作業

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

ACS の再インストールまたはアップグレード

すでにインストールされている同じバージョンの ACS 上に ACS を再インストールできます。このプロシージャは、ACS のオーバーインストールとも呼ばれています。旧バージョンの ACS から ACS 4.1 にアップグレードすることもできます。アップグレード パスの詳細については、「ACS のアップグレード要件」を参照してください。

既存の設定とデータベース情報を使用して ACS のアップグレードと再インストールを行うことができますが、既存のインストールのデータを再利用しないで行うこともできます。

ACS 4.1 へのアップグレード プロセスでは、ACS 4.1 のデータ構造と値に適合させるために ACS 4.0 のデータが変換されます。新しい ACS 4.1 アトリビュートがデフォルト値に設定されます。これによって影響を受ける既存の設定は、次のとおりです。

管理者パスワードのタイムスタンプが、アップグレードの時間にリセットされる。

ACS 内部データベースに保存された MAC アドレスが、1 つの 16 進表記に変換される。データベースに同一の MAC アドレスが複数存在する場合、変換時に作成された冗長 MAC アドレスが削除されます。


) Windows Terminal Services または RDP を使用して実行するリモート インストールは、テストおよびサポートの対象外となっています。Terminal Services または RDP を使用した、リモート接続でのインストールまたはアップグレードを実行しないでください。インストールまたはアップグレードを実行するときは、Terminal Services と RDP をディセーブルにすることを推奨します。VNC についてはテスト済みです。


ACS のアップグレードまたは再インストールについては、次の内容を参照してください。

「既存の設定の再インストールまたはアップグレード」

「データを保持しない ACS の再インストールまたはアップグレード」

ACS を新規にインストールする場合は、「ACS の新規インストール」を参照してください。

既存の設定の再インストールまたはアップグレード

既存の設定とデータベース情報をすべて保持する場合は、次の手順を実行して ACS の再インストールまたはアップグレードを行います。

始める前に

ACS の再インストールまたはアップグレードの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。

ACS ディレクトリ内のディレクトリにアクセスしているアプリケーションやコマンド ウィンドウをすべて閉じます。他のプロセスが ACS ディレクトリやそのサブディレクトリを使用していると、インストールは成功しません。たとえば、Windows Explorer が ACS ディレクトリの内容を表示していると、インストールは失敗します。

ACS を再インストールまたはアップグレードし、かつ既存の設定と ACS 内部データベースを保持するには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。

ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後でも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、Cisco Secure ACS for Windows ダイアログボックスが表示されます。Cisco Secure ACS for Windows ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。

ステップ 3 Cisco Secure ACS for Windows Server ダイアログボックスで、 Install をクリックします。

コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックを適用せずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックを適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。

情報ダイアログボックスに、Windows 認証の一部の情報が表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 5 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 6 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Before You Begin ダイアログボックスが表示されます。

ステップ 7 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応する
チェックボックスをオンにして、 Next をクリックします。これらの項目の詳細については、「インストールに必要な情報の入手」を参照してください。

Before You Begin ダイアログボックスの項目をすべて完了していない場合は、 Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。

Next をクリックすると、Previous Installation Location ダイアログボックスが表示されます。

ステップ 8 Yes, keep the existing configuration をオンにします。


注意 Yes, keep the existing configuration チェックボックスをオンにせずに続行すると、セットアップ プログラムは既存の AAA クライアント、ユーザ、およびグループの情報をすべて削除します。

設定を保持するかどうか不明確な場合は、Explain をクリックして、既存の設定の保持に関する詳細を参照してください。

ステップ 9 Next をクリックします。

Choose Destination Location ダイアログボックスが表示されます。

ステップ 10 インストール先を変更するには、新しいパス名を入力するか、Browse ボタンをクリックして、セットアップ プログラムで ACS をインストールするドライブとパスを選択します。

インストール先は、コンピュータのローカル ドライブ上である必要があります。存在しないフォルダを指定した場合は、 Yes をクリックして、フォルダの作成を承認します。


) パーセント記号(%)を含むパスを指定しないでください。パーセント記号を含むパスを指定した場合、インストールは正常に続行されるように見えても、終了せずに失敗します。


ステップ 11 Next をクリックします。

Database Encryption Password ダイアログボックスが表示されます。

ステップ 12 データベース暗号化用のパスワードを入力します。

データベース暗号化パスワードは暗号化され、ACS の設定に保存されます。重大な問題が発生し、手動でデータベースにアクセスする必要があるときに、このパスワードを再利用する場合があります。テクニカル サポートがこのデータベースにアクセスできるように、このパスワードを安全で、アクセス可能な場所に保管してください。

ステップ 13 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

ステップ 14 各オプションについて、対応するチェックボックスをオンにします。各オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションをオンにしないと、HTML インターフェイスを使用できません。後で、ACS サービスを開始できます。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 15 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 16 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 14 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

最小システム要件を満たしていない場合、問題を修正するように警告するメッセージが表示される場合があります。そのまま続行し、後で問題を解決するには、OK をクリックします。

ステップ 17 ステップ 14 でオプションを選択しなかった場合、次の内容を実行します。

ACS サービスを開始するには、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力します。

ACS HTML インターフェイスにアクセスするには、ACS Admin デスクトップ アイコンを使用するか、サポート対象のブラウザで次の URL を使用します。

http://127.0.0.1:2002

) 以前のインストールで、ACS サービスを固有のユーザ名を使用して実行するように設定した場合、その設定は再インストール中に失われます。



 

次の作業

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。

データを保持しない ACS の再インストールまたはアップグレード

既存の設定を再利用しない場合は、この項の手順を実行して ACS の再インストールまたはアップグレードを行います。


注意 この手順を実行すると、AAA クライアント、ユーザ、およびグループのすべての情報を含む ACS の既存設定が削除されます。ACS データと Windows Registry のバックアップをとってある場合を除き、以前の設定とデータベースを復元することはできません。

始める前に

ACS の再インストールまたはアップグレードの前に行う必要がある作業については、「ACS のインストールまたはアップグレードの準備」を参照してください。

ACS ディレクトリ内のディレクトリにアクセスしているアプリケーションやコマンド ウィンドウをすべて閉じます。他のプロセスが ACS ディレクトリやそのサブディレクトリを使用していると、インストールは成功しません。たとえば、Windows Explorer が ACS ディレクトリの内容を表示していると、インストールは失敗します。

既存の設定と ACS 内部データベースを保持せずに ACS を再インストールまたはアップグレードするには、次の手順を実行します。


ステップ 1 ローカル管理者アカウントを使用して、ACS をインストールするコンピュータにログインします。

ステップ 2 ACS の CD をコンピュータの CD-ROM ドライブに挿入します。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、ACS for Windows ダイアログボックスが表示されます。

コンピュータが最小システム要件を満たしていない場合は、ダイアログボックスが表示されます。これらの要件は、ACS のインストール前およびインストール後でも適用可能です。最小要件を適用せずにインストールを続行した場合、インストール作業が完了したら最小要件を適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。

CD-ROM ドライブが Windows 自動実行機能をサポートしている場合は、Cisco Secure ACS for Windows ダイアログボックスが表示されます。Cisco Secure ACS for Windows ダイアログボックスが表示されない場合は、ACS の CD のルート ディレクトリにある setup.exe を実行します。

ステップ 3 Cisco Secure ACS for Windows Server ダイアログボックスで、 Install をクリックします。

コンピュータに必須のサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows のサービスパックは、ACS のインストール前およびインストール後のどちらでも適用可能です。サービスパックを適用せずにインストールを続行した場合、インストール作業が完了したら必須のサービスパックを適用する必要があります。適用しない場合、ACS が正しく動作しない可能性があります。

情報ダイアログボックスに、Windows 認証の一部の情報が表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア使用許諾契約が表示されます。

ステップ 5 ソフトウェア使用許諾契約を読みます。ソフトウェア使用許諾契約に合意する場合は、 ACCEPT をクリックします。

Welcome ダイアログボックスに、セットアップ プログラムに関する基本情報が表示されます。

ステップ 6 Welcome ダイアログボックスの内容を読み終えたら、 Next をクリックします。

Before You Begin ダイアログボックスが表示されます。

ステップ 7 Before You Begin ダイアログボックスの項目をすべて完了している場合は、各項目に対応する
チェックボックスをオンにして、 Next をクリックします。これらの項目の詳細については、「インストールに必要な情報の入手」を参照してください。

Before You Begin ダイアログボックスの項目をすべて完了していない場合は、 Cancel をクリックし、次に Exit Setup をクリックします。Before You Begin ダイアログボックスの項目をすべて完了した後で、インストールを再開します。詳細については、「ACS のインストールまたはアップグレードの準備」を参照してください。

Next をクリックすると、Previous Installation Location ダイアログボックスが表示されます。

ステップ 8 チェックボックスをオフにしたまま、 Next をクリックします。

ACS サービスが実行中の場合は、Cisco Secure ACS Uninstall ダイアログボックスが表示されます。 Continue をクリックします。

ACS の以前のインストールが削除されます。

Choose Destination Location ダイアログボックスが表示されます。

ステップ 9 インストール先を変更するには、新しいパス名を入力するか、Browse ボタンを使用して、セットアップ プログラムで ACS をインストールするドライブとパスを選択します。

インストール先は、コンピュータのローカル ドライブ上である必要があります。存在しないフォルダを指定した場合は、 Yes をクリックして、フォルダの作成を承認します。


) パーセント記号(%)を含むパスを指定しないでください。パーセント記号を含むパスを指定した場合、インストールは正常に続行されるように見えても、終了せずに失敗します。


ステップ 10 Next をクリックします。

Authentication Database Configuration ダイアログボックスが表示されます。

ステップ 11 ユーザ認証のオプションを選択します。

ACS 内部データベースのみを使用してユーザ認証を行う場合は、 Check the Cisco Secure ACS database only をオンにします。

ACS 内部データベースに加えて、Windows SAM ユーザ データベースまたは Active Directory ユーザ データベースを使用してユーザ認証を行う場合は、 Also check the Windows User Database をクリックします。

Yes, refer to "Grant dial-in permission to user" setting チェックボックスがオフになります。このオプションは、ダイヤルイン アクセスだけでなく、ACS で制御されるすべての形態のアクセスに適用されます。たとえば、VPN トンネルを通じてネットワークにアクセスしているユーザは、ネットワーク アクセス サーバにダイヤルインしていません。しかし、 Yes, refer to "Grant dial-in permission to user" setting をオンにすると、ACS は Windows ユーザのダイヤルイン許可を適用して、ネットワークへのユーザ アクセスを許可するかどうかを判断します。

Windows アカウントにダイヤルイン許可があり、Windows ドメイン ユーザ データベースのみで認証されているユーザに対して、アクセスを許可する場合は、 Yes, refer to "Grant dial-in permission to user" setting をオンにします。


) ACS のインストール後は、Windows ユーザ データベースだけでなく、あらゆる外部ユーザ データベースに対して認証サポートを設定できます。


ステップ 12 Next をクリックします。

セットアップ プログラムは ACS をインストールして、設定を更新します。

Advanced Options ダイアログボックスに、デフォルトではイネーブルになっていない ACS の機能がいくつか表示されます。これらの機能の詳細については、『 User Guide for Cisco Secure ACS 』を参照してください。


) 機能は、イネーブルに設定してある場合に限り、ACS HTML インターフェイスに表示されます。インストール後は、Interface Configuration > Advanced Options を選択して、イネーブルまたはディセーブルにできます。


イネーブルにする機能に対応するチェックボックスをオンにします。

ステップ 13 Next をクリックします。

Active Service Monitoring ダイアログボックスが表示されます。

ステップ 14 サービス モニタリング機能を選択します。

ACS でユーザ認証サービスを監視する場合は、 Enable Log-in Monitoring をクリックします。 Script to execute リストで、認証サービス障害が発生した場合に適用するオプションを選択します。

No Remedial Action :ACS はスクリプトを実行しません。このオプションは、イベント E メール通知を利用する場合に便利です。

Reboot :ACS は、ACS を実行するコンピュータをリブートするスクリプトを実行します。

Restart All :ACS は、すべての ACS サービスを再起動します。

Restart RADIUS/TACACS+ :ACS は RADIUS サービスおよび TACACS+ サービスだけを再起動します。

サービス モニタリングがイベントを検出すると ACS が E メール メッセージを送信するように設定する場合は、 Mail Notification をクリックします。


) インストール後は、System Configuration セクションの Active Service Management ページでアクティブ サービス モニタリング機能を設定します。


ステップ 15 Next をクリックします。

Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。

ステップ 16 各オプションについて、対応するチェックボックスをオンにします。各オプションに関連付けられたアクションは、セットアップ プログラムの終了後に実行されます。

Yes, I want to start the Cisco Secure ACS Service now :ACS を構成する Windows サービスを開始します。このオプションを選択しない場合、コンピュータをリブートするか CSAdmin サービスを開始しない限り、ACS HTML インターフェイスを使用できません。

Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation :現在の Windows ユーザ アカウントのデフォルトのブラウザで、ACS HTML インターフェイスを開きます。

Yes, I want to view the Readme file :Windows Notepad で README.TXT を開きます。

ステップ 17 Next をクリックします。

ACS サービスを開始するよう選択した場合、ACS サービスが開始します。Setup Complete ダイアログボックスに ACS HTML インターフェイスに関する情報が表示されます。

ステップ 18 Finish をクリックします。

セットアップ プログラムが終了します。ステップ 16 で HTML インターフェイスまたは README.TXT ファイルを表示するオプションを選択した場合は、ここでそのオプションが実行されます。

ACS を実行するコンピュータの ACS Admin デスクトップ アイコンを使用して、ACS HTML インターフェイスにアクセスできます。また、サポート対象のブラウザで次の URL からアクセスすることもできます。

http://127.0.0.1:2002

) ACS HTML インターフェイスを使用できるのは、ステップ 16 で ACS サービスを開始するように選択した場合だけです。選択しなかった場合は、コンピュータをリブートするか、DOS プロンプトで net start csadmin と入力すると、HTML インターフェイスを使用できます。



) 以前のインストールで、ACS サービスを固有のユーザ名を使用して実行するように設定した場合、その設定は再インストール中に失われます。



 

次の作業

Windows ドメイン ユーザ データベースを使用して ACS でユーザ認証を行う場合は、ACS のインストール後に、「Windows 認証の設定」で説明している追加の Windows 設定を行う必要があります。