Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
CSUtil データベース ユーティ リティ
CSUtil データベース ユーティリティ
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

CSUtil データベース ユーティリティ

CSUtil.exe の格納場所と関連ファイル

CSUtil.exe の構文

CSUtil.exe オプション

コマンドラインの構文の表示

CSUtil.exe を使用した Cisco Secure ACS のバックアップ

CSUtil.exe を使用した Cisco Secure ACS の復元

CiscoSecure ユーザ データベースの作成

Cisco Secure ACS データベース ダンプ ファイルの作成

Cisco Secure ACS データベースのダンプ ファイルからのロード

CiscoSecure ユーザ データベースの圧縮

ユーザおよび AAA クライアントのインポート オプション

ユーザ情報および AAA クライアント情報のインポート

ユーザおよび AAA クライアントのインポート ファイル フォーマット

ユーザおよび AAA クライアントのインポート ファイル フォーマットについて

ONLINE 文または OFFLINE 文

ADD 文

UPDATE 文

DELETE 文

ADD_NAS 文

DEL_NAS 文

インポート ファイルの例

ユーザ リストのテキスト ファイルへのエクスポート

テキスト ファイルへのグループ情報のエクスポート

テキスト ファイルへのレジストリ情報のエクスポート

エラー番号のデコード

CRC 値の再計算

ユーザ定義済みの RADIUS ベンダーと VSA セット

ユーザ定義済みの RADIUS ベンダーと VSA セットについて

カスタム RADIUS ベンダーと VSA セットの追加

カスタム RADIUS ベンダーと VSA セットの削除

カスタム RADIUS ベンダーの一覧表示

カスタム RADIUS ベンダーと VSA セットのエクスポート

RADIUS Vendor/VSA インポート ファイル

RADIUS Vendor/VSA インポート ファイルについて

ベンダーと VSA セットの定義

アトリビュートの定義

列挙の定義

RADIUS Vendor/VSA インポート ファイルの例

PAC ファイルの生成

PAC ファイルのオプションおよび例

PAC ファイルの生成

ポスチャ確認アトリビュート

ポスチャ確認アトリビュート定義ファイル

ポスチャ確認アトリビュート定義のエクスポート

ポスチャ確認アトリビュート定義のインポート

ポスチャ確認アトリビュート定義の削除

デフォルトのポスチャ確認アトリビュート定義ファイル

CSUtil データベース ユーティリティ

この付録では、Cisco Secure Access Control Server (ACS) for Windows Server コマンドライン ユーティリティの CSUtil.exe について詳細に説明します。CSUtil.exe には各種の機能が用意されており、コロン区切りのテキスト ファイルに基づいてユーザを追加、変更、および削除できます。また、このユーティリティを使用して AAA クライアント設定の追加および削除もできます。


) これと同様の作業は、ACS System Backup、ACS System Restore、Database Replication、および RDBMS Synchronization の機能を使用して実行できます。この機能の詳細については、第9章「システム設定:高度」を参照してください。


この付録は、次の項で構成されています。

「CSUtil.exe の格納場所と関連ファイル」

「CSUtil.exe の構文」

「CSUtil.exe オプション」

「コマンドラインの構文の表示」

「CSUtil.exe を使用した Cisco Secure ACS のバックアップ」

「CSUtil.exe を使用した Cisco Secure ACS の復元」

「CiscoSecure ユーザ データベースの作成」

「Cisco Secure ACS データベース ダンプ ファイルの作成」

「Cisco Secure ACS データベースのダンプ ファイルからのロード」

「CiscoSecure ユーザ データベースの圧縮」

「ユーザおよび AAA クライアントのインポート オプション」

「ユーザ リストのテキスト ファイルへのエクスポート」

「テキスト ファイルへのグループ情報のエクスポート」

「テキスト ファイルへのレジストリ情報のエクスポート」

「エラー番号のデコード」

「CRC 値の再計算」

「ユーザ定義済みの RADIUS ベンダーと VSA セット」

「PAC ファイルの生成」

「ポスチャ確認アトリビュート」

CSUtil.exe の格納場所と関連ファイル

Cisco Secure ACS をデフォルトの場所にインストールした場合、CSUtil.exe は次のディレクトリにあります。

C:\Program Files\CiscoSecure ACS vX.X\Utils

この X . X は、使用する Cisco Secure ACS ソフトウェアのバージョンです。CSUtil.exe は、Cisco Secure ACS をインストールする場所に関係なく、 Utils ディレクトリに配置されます。

CSUtil.exe によって生成またはアクセスされたファイルも、 Utils ディレクトリに配置されます。

CSUtil.exe の構文

CSUtil.exe コマンドの構文は、次のとおりです。

CSUtil.exe [-q] [-c] [-d] [-g] [-i filename] [[-p] -l filename] [-e -number]
[-b filename] [-r filename] [-f] [-n] [-u] [-x] [-y] [-listUDV] [-addUDV slot filename]
[-delUDV slot] [-t -filepath full filepath] [-passwd password] {-a | -g group number |
-u username | -f user list filepath}] [-addAVP filename]
[-delAVP vendor-ID application-ID attribute-ID] [-dumpAVP filename]

 


) 多くの場合、CSUtil.exe オプションを使用するには CSAuth サービスを停止する必要があります。CSAuth サービスを停止している間、Cisco Secure ACS ではユーザ認証が行われません。CSAuth を停止する必要があるオプションかどうかを判断するには、そのオプションに関して詳細に説明しているトピックを参照してください。オプションのリストと、各オプションに関して詳細に説明しているトピックへの参照については、「CSUtil.exe オプション」を参照してください。


CSUtil.exe では、多数のオプションを組み合せて一度に使用できます。CSUtil.exe を初めて使用する場合には、一度に 1 つのオプションだけを実行することを推奨します。ただし例外として、-p オプションのように、ほかのオプションと同時に使用する必要のあるオプションもあります。

経験を積んだ CSUtil.exe ユーザは、たとえば、次に示す例のように、AAA クライアント設定をインポートした後で、すべての Cisco Secure ACS 内部データについてダンプを生成する場合に、CSUtil.exe オプションを組み合せて使用する便利さを実感できます。

CSUtil.exe -i newnases.txt -d

CSUtil.exe オプション

CSUtil.exe を使用して、いくつかのアクションを実行できます。次にアルファベット順で示されたオプションの詳細については、この章の以降の項で説明します。

-b :指定された名前のファイルにシステムをバックアップします。このオプションの詳細については、「CSUtil.exe を使用した Cisco Secure ACS のバックアップ」を参照してください。

-c :データベースの CRC(巡回冗長性検査)値を再計算します。このオプションの詳細については、「CRC 値の再計算」を参照してください。

-d :すべての Cisco Secure ACS 内部データを dump.txt という名前のファイルにエクスポートします。このオプションを使用する場合は、CSAuth サービスを停止する必要があります。このオプションの詳細については、「Cisco Secure ACS データベース ダンプ ファイルの作成」を参照してください。

-e :Cisco Secure ACS 内部のエラー番号を ASCII メッセージにデコードします。このオプションの詳細については、「エラー番号のデコード」を参照してください。

-g :グループ情報を groups.txt という名前のファイルにエクスポートします。このオプションを使用する場合は、CSAuth サービスを停止する必要があります。このオプションの詳細については、「テキスト ファイルへのグループ情報のエクスポート」を参照してください。

-i import.txt という名前のファイルまたは指定したファイルから、ユーザまたは AAA クライアントの情報をインポートします。このオプションの詳細については、「ユーザ情報および AAA クライアント情報のインポート」を参照してください。

-l dump.txt という名前のファイルまたは指定のファイルから Cisco Secure ACS 内部データをすべてロードします。このオプションを使用する場合は、CSAuth サービスを停止する必要があります。このオプションの詳細については、「Cisco Secure ACS データベースのダンプ ファイルからのロード」を参照してください。

-n :CiscoSecure ユーザ データベースとインデックスを作成します。このオプションを使用する場合は、CSAuth サービスを停止する必要があります。このオプションの詳細については、「CiscoSecure ユーザ データベースの作成」を参照してください。

-p :パスワード エージング カウンタを、データベースのロード中にリセットします。これは -l オプションと同時に使用する場合にだけ指定できます。このオプションの詳細については、「Cisco Secure ACS データベースのダンプ ファイルからのロード」を参照してください。

-q :確認プロンプトを表示せずに CSUtil.exe を実行します。

-r :名前を指定したバックアップ ファイルからシステムを復元します。このオプションの詳細については、「CSUtil.exe を使用した Cisco Secure ACS の復元」を参照してください。

-t :EAP-FAST エンドユーザ クライアント用の PAC ファイルを生成します。このオプションの詳細については、「PAC ファイルの生成」を参照してください。

-u :ユーザ情報を、グループ メンバーシップでソートして users.txt という名前のファイルにエクスポートします。このオプションを使用する場合は、CSAuth サービスを停止する必要があります。このオプションの詳細については、「ユーザ リストのテキスト ファイルへのエクスポート」を参照してください。

-x :コマンドラインの構文を表示します。このオプションの詳細については、「コマンドラインの構文の表示」を参照してください。

-y :Windows レジストリ設定情報を setup.txt という名前のファイルにダンプします。このオプションの詳細については、「テキスト ファイルへのレジストリ情報のエクスポート」を参照してください。

-addUDV :ユーザ定義 RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を追加します。このオプションの詳細については、「カスタム RADIUS ベンダーと VSA セットの追加」を参照してください。

-delUDV :ユーザ定義 RADIUS VSA を削除します。このオプションの詳細については、「カスタム RADIUS ベンダーと VSA セットの削除」を参照してください。

-listUDV :Cisco Secure ACS に現在定義されているユーザ定義 RADIUS VSA をすべて一覧表示します。このオプションの詳細については、「カスタム RADIUS ベンダーの一覧表示」を参照してください。

-addAVP :ポスチャ確認アトリビュートを追加または修正します。このオプションの詳細については、「ポスチャ確認アトリビュート定義のインポート」を参照してください。

-delAVP :ポスチャ確認アトリビュートを削除します。このオプションの詳細については、「ポスチャ確認アトリビュート定義の削除」を参照してください。

-dumpAVP :ポスチャ確認アトリビュートをすべてエクスポートします。このオプションの詳細については、「ポスチャ確認アトリビュート定義のエクスポート」を参照してください。

コマンドラインの構文の表示

CSUtil.exe は、次のいずれかの理由で、コマンドラインの構文を表示します。

CSUtil.exe コマンドに -x オプションが含まれている。

CSUtil.exe コマンドにオプションが何も含まれていない。

CSUtil.exe コマンドで使用されている構文が正しくない。

CSUtil.exe の構文の詳細については、「CSUtil.exe の構文」を参照してください。

CSUtil.exe のコマンドラインの構文を表示するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -x
 

Enter キーを押します。

CSUtil.exe によってコマンドラインの構文が表示されます。


 

CSUtil.exe を使用した Cisco Secure ACS のバックアップ

-b オプションを使用すると、すべての Cisco Secure ACS 内部データのシステム バックアップを作成できます。作成されるバックアップ ファイルの内容は、HTML インターフェイスの ACS Backup 機能で作成されるバックアップ ファイルと同一です。ACS Backup 機能の詳細については、「Cisco Secure ACS のバックアップ」を参照してください。


) バックアップの作業中は、すべてのサービスが自動的に停止し、再起動します。バックアップの作業中は、ユーザ認証は行われません。


CSUtil.exe を使用して Cisco Secure ACS をバックアップするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -b filename
 

filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe によって確認プロンプトが表示されます。

ステップ 3 バックアップを実行すること、およびバックアップ作業中にすべての Cisco Secure ACS サービスを停止することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって、ユーザ アカウントやシステム設定など Cisco Secure ACS 内部データすべての完全バックアップが生成されます。このプロセスは数分かかる場合があります。


) 空の Cisco Secure ACS コンポーネントをバックアップしようとした場合、たとえば管理者アカウントが存在しない場合は、CSUtil.exe によって「Backup Failed」というエラー メッセージが表示されます。このメッセージは、コンポーネントが空の場合にだけ表示され、バックアップ作業全体の成功または失敗に対しては表示されません。



 

CSUtil.exe を使用した Cisco Secure ACS の復元

-r オプションを使用すると、すべての Cisco Secure ACS 内部データを復元できます。Cisco Secure ACS を復元する元になるバックアップ ファイルは、CSUtil.exe の -b オプションまたは HTML インターフェイスの ACS Backup 機能によって生成できます。

Cisco Secure ACS のバックアップ ファイルには、次の 2 つのタイプのデータが含まれます。

ユーザおよびグループのデータ

システム設定

ユーザおよびグループのデータ、システム設定、またはその両方のどれかを復元できます。ACS Backup 機能の詳細については、「Cisco Secure ACS のバックアップ」を参照してください。


) 復元の作業中は、すべてのサービスが自動的に停止し、再起動します。復元作業の実行中は、ユーザ認証は行われません。


CSUtil.exe を使用して Cisco Secure ACS を復元するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のいずれか 1 つを実行します。

すべてのデータ(ユーザおよびグループのデータと、システム設定)を復元するには、次を入力します。

CSUtil.exe -r all filename

filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。

ユーザおよびグループのデータだけを復元するには、次を入力します。

CSUtil.exe -r users filename

filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。

システム設定だけを復元するには、次を入力します。

CSUtil.exe -r config filename

filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe によって確認プロンプトが表示されます。

ステップ 3 復元を実行すること、および復元作業中にすべての Cisco Secure ACS サービスを停止することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって、Cisco Secure ACS データの指定した部分が復元されます。このプロセスは数分かかる場合があります。


) バックアップ ファイルにデータベース コンポーネントがない場合、CSUtil.exe によってエラー メッセージが表示されます。このようなエラー メッセージは、見当たらないコンポーネントを復元する場合にだけ表示されます。バックアップ ファイルにおけるデータベース コンポーネントの欠落は、通常、意図的なものであり、バックアップの作成時に Cisco Secure ACS でコンポーネントが空だったことを示しています。



 

CiscoSecure ユーザ データベースの作成

-n オプションを使用すると、CiscoSecure ユーザ データベースを作成できます。


) -n オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。



注意 -n オプションを使用すると、CiscoSecure ユーザ データベースにあるすべてのユーザ情報が消去されます。CiscoSecure ユーザ データベースの現在のバックアップまたはダンプをとらない限り、このオプションを使用するとすべてのユーザ アカウントが失われます。

CiscoSecure ユーザ データベースを作成するには、次の手順を実行します。


ステップ 1 CiscoSecure ユーザ データベースのバックアップまたはダンプを実行していない場合には、次の手順に進む前に、ここで実行してください。データベースのバックアップ方法の詳細については、「CSUtil.exe を使用した Cisco Secure ACS のバックアップ」を参照してください。データベースのダンプ実行の詳細については、「Cisco Secure ACS データベース ダンプ ファイルの作成」を参照してください。

ステップ 2 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 3 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 4 次のように入力します。

CSUtil.exe -n

Enter キーを押します。

CSUtil.exe によって確認プロンプトが表示されます。

ステップ 5 CiscoSecure ユーザ データベースを初期化することを確認するには、 Y を入力し、 Enter キーを押します。

CiscoSecure ユーザ データベースが初期化されます。このプロセスは数分かかる場合があります。

ステップ 6 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

Cisco Secure ACS データベース ダンプ ファイルの作成

-d オプションを使用すると、CiscoSecure ユーザ データベースの内容をすべてテキスト ファイルにダンプできます。Cisco Secure ACS 内部データのすべてを対象に、目視確認できる完全な圧縮バックアップが作成されることに加え、Cisco Technical Assistance Center(TAC)によるトラブルシューティングの際にもデータベース ダンプが役立ちます。

-l オプションを使用すると、Cisco Secure ACS 内部データを -d オプションで作成したダンプ ファイルからリロードできます。-l オプションの詳細については、「Cisco Secure ACS データベースのダンプ ファイルからのロード」を参照してください。


) -d オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。


Cisco Secure ACS 内部データをすべてテキスト ファイルにダンプするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -d

Enter キーを押します。

CSUtil.exe によって確認プロンプトが表示されます。

ステップ 4 Cisco Secure ACS 内部データをすべて dump.txt にダンプすることを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって dump.txt ファイルが作成されます。このプロセスは数分かかる場合があります。

ステップ 5 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

Cisco Secure ACS データベースのダンプ ファイルからのロード

-l オプションを使用すると、すべての Cisco Secure ACS 内部データを、ダンプ テキスト ファイルから上書きできます。このオプションによって、既存の Cisco Secure ACS 内部データは、すべてダンプ テキスト ファイルにあるデータで置き換えられます。実際には、-l オプションによって、ダンプ テキスト ファイルからデータがロードされる前に、すべての Cisco Secure ACS 内部データが初期化されます。ダンプ テキスト ファイルは -d オプションを使用して作成されます。-d オプションでは dump.txt という名前のダンプ テキスト ファイルだけを作成しますが、-l オプションではリネームされたダンプ ファイルをロードできます。ダンプ テキスト ファイル作成の詳細については、「Cisco Secure ACS データベース ダンプ ファイルの作成」を参照してください。

-p オプションを -l オプションと同時に使用すると、パスワード エージング カウンタをリセットできます。


) -l オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。


テキスト ファイルからすべての Cisco Secure ACS 内部データをロードするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -l filename

filename には、CSUtil.exe で Cisco Secure ACS 内部データのロードに使用するダンプ ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe によって、すべての Cisco Secure ACS 内部データをダンプ テキスト ファイルにあるデータで上書きすることを確認するプロンプトが表示されます。


) データベースの上書きでは、データがいっさい保存されませんが、上書き後のデータベースにはダンプ テキスト ファイルで指定された内容だけが含まれます。


ステップ 4 Cisco Secure ACS 内部データをすべて置換することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって、すべての Cisco Secure ACS 内部データが初期化され、指定されたダンプ ファイルの情報が Cisco Secure ACS にロードされます。このプロセスは数分かかる場合があります。

ステップ 5 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

CiscoSecure ユーザ データベースの圧縮

多くのリレーショナル データベースと同様に、CiscoSecure ユーザ データベースでのレコード削除処理では、レコードに削除済みのマークを付け、データベースからは削除しません。時間の経過とともに、CiscoSecure ユーザ データベースは、含まれるユーザ数に必要な容量よりも実質的に大きくなることがあります。CiscoSecure ユーザ データベースのサイズを縮小するために、データベースを定期的に圧縮できます。

CiscoSecure ユーザ データベースの圧縮では、次の 3 つの CSUtil.exe オプションを組み合せて使用します。

-d :すべての Cisco Secure ACS 内部データを dump.txt という名前のテキスト ファイルにエクスポートします。

-n :CiscoSecure ユーザ データベースとインデックスを作成します。

-l :すべての Cisco Secure ACS 内部データをテキスト ファイルからロードします。ファイル名を指定しない場合は、CSUtil.exe によってデフォルトのファイル名 dump.txt が使用されます。

さらにこのプロセスを自動化するには、-q オプションを使用して、CSUtil.exe による -n オプションと -l オプションの実行前に表示される確認プロンプトを非表示にすることを考慮してください。


) CiscoSecure ユーザ データベースを圧縮する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。


CiscoSecure ユーザ データベースを圧縮するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -d -n -l

Enter キーを押します。


ヒント コマンドで -q オプションを指定した場合、データベースの初期化およびロードを確認するプロンプトが CSUtil.exe によって表示されることはありません。


-q オプションを使用しない場合は、CSUtil.exe によって、まずデータベースの初期化について、次にデータベースのロードについての確認プロンプトが表示されます。-n オプションの使用結果の詳細については、「CiscoSecure ユーザ データベースの作成」を参照してください。-l オプションを使用する効果の詳細については、「Cisco Secure ACS データベースのダンプ ファイルからのロード」を参照してください。

ステップ 4 確認プロンプトが表示されるたびに、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって、すべての Cisco Secure ACS 内部データが dump.txt にダンプされ、CiscoSecure ユーザ データベースが初期化された後、すべての Cisco Secure ACS 内部データが dump.txt からリロードされます。このプロセスは数分かかる場合があります。

ステップ 5 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

ユーザおよび AAA クライアントのインポート オプション

-i オプションを使用すると、コロン区切りのテキスト ファイルにあるデータで Cisco Secure ACS をアップデートできます。また、AAA クライアント定義もアップデートできます。

ユーザ アカウントについては、ユーザの追加、パスワードなどのユーザ情報の変更、またはユーザの削除ができます。AAA クライアント定義については、AAA クライアントの追加または削除ができます。

この項では、次のトピックについて取り上げます。

「ユーザ情報および AAA クライアント情報のインポート」

「ユーザおよび AAA クライアントのインポート ファイル フォーマット」

「ユーザおよび AAA クライアントのインポート ファイル フォーマットについて」

「ONLINE 文または OFFLINE 文」

「ADD 文」

「UPDATE 文」

「DELETE 文」

「ADD_NAS 文」

「DEL_NAS 文」

「インポート ファイルの例」

ユーザ情報および AAA クライアント情報のインポート

ユーザまたは AAA クライアントの情報をインポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS のバックアップまたはダンプを実行していない場合には、次の手順に進む前に、ここで実行してください。データベースのバックアップ方法の詳細については、「CSUtil.exe を使用した Cisco Secure ACS のバックアップ」を参照してください。

ステップ 2 インポート テキスト ファイルを作成します。インポート テキスト ファイルで保有できる内容、または必須となる内容の詳細については、「ユーザおよび AAA クライアントのインポート ファイル フォーマット」を参照してください。

ステップ 3 インポート テキスト ファイルを CSUtil.exe と同じディレクトリにコピーまたは移動します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 4 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。

ステップ 5 次のように入力します。

CSUtil.exe -i filename

filename には、CSUtil.exe で Cisco Secure ACS のアップデートに使用するインポート テキスト ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe によって、データベースのアップデートを確認するプロンプトが表示されます。

ステップ 6 指定したインポート テキスト ファイルの情報を使用して Cisco Secure ACS をアップデートすることを確認するには、 Y を入力し、 Enter キーを押します。

Cisco Secure ACS は、指定されたインポート テキスト ファイルの情報を使用してアップデートされます。このプロセスは数分かかる場合があります。

インポート テキスト ファイルに AAA クライアントの設定データが含まれていた場合は、CSUtil.exe によって、変更内容を有効にするために CSTacacs と CSRadius の再起動が必要であるという警告が表示されます。

ステップ 7 CSRadius を再起動するには、次の手順を実行します。

a. 次のように入力します。

net stop csradius

Enter キーを押します。

CSRadius サービスが停止します。

b. CSRadius を起動するには、次を入力します。

net start csradius

Enter キーを押します。

ステップ 8 CSTacacs を再起動するには、次の手順を実行します。

a. 次のように入力します。

net stop cstacacs

Enter キーを押します。

CSTacacs サービスが停止します。

b. CSTacacs を起動するには、次を入力します。

net start cstacacs

Enter キーを押します。


 

ユーザおよび AAA クライアントのインポート ファイル フォーマット

この項では、次のトピックについて取り上げます。

「ユーザおよび AAA クライアントのインポート ファイル フォーマットについて」

「ONLINE 文または OFFLINE 文」

「ADD 文」

「UPDATE 文」

「DELETE 文」

「ADD_NAS 文」

「DEL_NAS 文」

「インポート ファイルの例」

ユーザおよび AAA クライアントのインポート ファイル フォーマットについて

インポート ファイルには、以降の各トピックで説明するように、6 つの異なるライン タイプを含めることができます。インポート ファイルの最初のラインは、 表 D-1 に定義されたトークンのいずれか 1 つであることが必要です。

CSUtil.exe インポート ファイルの各ラインは、一連のコロン区切りのトークンです。値が後続するトークンもあります。トークンと同様に、値もコロンで区切られています。値が必要なトークンの場合、CSUtil.exe ではトークン直後のコロンで区切られたフィールドにトークンの値を入力する必要があります。

ONLINE 文または OFFLINE 文

CSUtil.exe では、インポート テキスト ファイルに ONLINE トークンまたは OFFLINE トークンが必要です。ファイルは、ONLINE トークンか OFFLINE トークンだけを含むラインで始まる必要があります。ONLINE および OFFLINE のトークンについては、 表 D-1 で説明します。

 

表 D-1 ONLINE/OFFLINE 文のトークン

トークン
必須
必須の値
説明

ONLINE

ONLINE か OFFLINE のいずれかを指定

--

CSUtil.exe によってテキスト ファイルがインポートされている間も、CSAuth サービスはアクティブです。このモードで実行すると、CSUtil.exe のパフォーマンスは遅くなりますが、Cisco Secure ACS ではインポート中もユーザ認証を継続します。

OFFLINE

ONLINE か OFFLINE のいずれかを指定

--

CSUtil.exe によってテキスト ファイルがインポートされている間、CSAuth サービスは停止します。このモードでは、CSUtil.exe のパフォーマンスは最速になりますが、インポート中はユーザ認証が行われません。

大量のユーザ情報を迅速にインポートする必要がある場合には、OFFLINE トークンの使用を検討してください。OFFLINE モードでインポートを実行するとインポート中の認証は停止するため、インポートが大幅に高速化されます。たとえば、100,000 人のユーザを OFFLINE モードでインポートするための所要時間は 1 分以内です。

ADD 文

ADD 文はオプションです。ユーザを Cisco Secure ACS に追加するには、ADD トークンとその値だけが必要です。ADD 文で有効なトークンを 表 D-2 に示します。


) CSUtil.exe には、外部ユーザ データベース タイプの特定のインスタンスを指定する手段が用意されていません。ユーザを外部ユーザ データベースによって認証する必要があり、Cisco Secure ACS に指定されたデータベース タイプのインスタンスが複数ある場合、CSUtil.exe ではそのデータベース タイプの最初のインスタンスにユーザを割り当てます。たとえば、Cisco Secure ACS に 2 つの LDAP 外部ユーザ データベースが設定されている場合、CSUtil.exe ではユーザ レコードを作成し、そのユーザを Cisco Secure ACS に最初に追加された LDAP データベースに割り当てます。


 

表 D-2 ADD 文のトークン

トークン
必須
必須の値
説明

ADD

Yes

ユーザ名

ユーザ情報を Cisco Secure ACS に追加します。ユーザ名がすでにある場合、情報は変更されません。

PROFILE

No

グループ番号

ユーザに割り当てるグループ番号です。名前ではなく、0 ~ 499 の範囲の番号を指定する必要があります。PROFILE トークンを使用しない場合、またはグループ番号の指定に失敗した場合、ユーザはデフォルト グループに追加されます。

CHAP

No

CHAP パスワード

認証には CHAP パスワードが必要です。

CSDB

No

パスワード

CiscoSecure ユーザ データベースを使用してユーザ名を認証します。

CSDB_UNIX

No

UNIX で暗号化されたパスワード

UNIX パスワード形式を使用して、CiscoSecure ユーザ データベースでユーザ名を認証します。

EXT_NT

No

--

Windows 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_NDS

No

--

Novell NDS 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_SDI

No

--

RSA 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_ODBC

No

--

ODBC 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_LDAP

No

--

汎用 LDAP 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_LEAP

No

--

LEAP プロキシ RADIUS サーバの外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_RADIUS

No

--

RADIUS トークン サーバの外部ユーザ データベースを使用して、ユーザ名を認証します。

たとえば、次の ADD 文は、「John」というユーザ名のアカウントを作成して Group 3 に割り当て、John の認証を「closedmondays」というパスワードを使用して CiscoSecure ユーザ データベースで行う必要があることを指定します。

ADD:John:PROFILE:3:CSDB:closedmondays

UPDATE 文

UPDATE 文はオプションです。この文によって、既存のユーザ アカウントに変更を加えます。CSUtil.exe では、UPDATE トークンとその値だけが必須となりますが、ほかのトークンが指定されていない場合には、ユーザ アカウントへの変更は行われません。UPDATE 文を使用して、ユーザの割り当てられているグループをアップデートすることも、Cisco Secure ACS がユーザの認証に使用するデータベースをアップデートすることもできます。UPDATE 文で有効なトークンを 表 D-3 に示します。

 

表 D-3 UPDATE 文のトークン

トークン
必須
必須の値
説明

UPDATE

Yes

ユーザ名

Cisco Secure ACS に対してユーザ情報をアップデートします。

PROFILE

No

グループ番号

ユーザに割り当てるグループ番号です。名前ではなく、0 ~ 499 の範囲の番号を指定する必要があります。


) CSDB または EXT_NT のようなデータベース トークンを指定しない場合、グループの割り当てをアップデートするとユーザのパスワードが消去されることがあります。


CHAP

No

CHAP パスワード

認証には CHAP パスワードが必要です。

CSDB

No

パスワード

CiscoSecure ユーザ データベースを使用してユーザ名を認証します。

CSDB_UNIX

No

UNIX で
暗号化されたパスワード

UNIX パスワード形式を使用して、CiscoSecure ユーザ データベースでユーザ名を認証します。

EXT_NT

No

--

Windows 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_NDS

No

--

Novell NDS 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_ODBC

No

--

ODBC 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_LDAP

No

--

汎用 LDAP 外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_LEAP

No

--

LEAP プロキシ RADIUS サーバの外部ユーザ データベースを使用して、ユーザ名を認証します。

EXT_RADIUS

No

--

RADIUS トークン サーバの外部ユーザ データベースを使用して、ユーザ名を認証します。

たとえば、次の UPDATE 文では、CSUtil.exe によって、「John」というユーザ名を持つアカウントをアップデートして Group 50 に割り当て、UNIX で暗号化されたパスワードに「goodoldchap」という別の CHAP パスワードを併用して John の認証を行う必要があることを指定します。

UPDATE:John:PROFILE:50:CSDB_UNIX:3Al3qf9:CHAP:goodoldchap

DELETE 文

DELETE 文はオプションです。ユーザ アカウントを Cisco Secure ACS から削除するには、DELETE トークンとその値が必要です。DELETE 文にあるトークンは、DELETE トークンだけです。このトークンの詳細を、 表 D-4 に示します。

 

表 D-4 DELETE 文のトークン

トークン
必須
必須の値
説明

DELETE

Yes

ユーザ名

削除するユーザ アカウントの名前。

たとえば、次の DELETE 文では、CSUtil.exe によって「John」というユーザ名を持つアカウントを CiscoSecure ユーザ データベースから完全に削除します。

DELETE:John

ADD_NAS 文

ADD_NAS 文はオプションです。AAA クライアント定義を Cisco Secure ACS に追加するには、ADD_NAS、IP、KEY、および VENDOR の各トークンとそれぞれの値が必要です。ADD_NAS 文で有効なトークンを 表 D-5 に示します。

 

表 D-5 ADD_NAS 文のトークン

トークン
必須
必須の値
説明

ADD_NAS

Yes

AAA クライアントの名前

追加する AAA クライアントの名前。

IP

Yes

IP アドレス

追加する AAA クライアントの IP アドレス。

KEY

Yes

共有秘密情報

AAA クライアントの共有秘密情報。

VENDOR

Yes

説明を参照

AAA クライアントが使用する認証プロトコル。RADIUS の場合、これには VSA が含まれます。


) 有効な値は次のとおりです。プロトコル名の中にスペースがあるため、引用符が必要です。


“TACACS+ (Cisco IOS)”

“RADIUS (Cisco Aironet)”

“RADIUS (Cisco BBSM)”

“RADIUS (Cisco IOS/PIX)”

“RADIUS (Cisco VPN 3000)”

“RADIUS (Cisco VPN 5000)”

“RADIUS (IETF)”

“RADIUS (Ascend)”

“RADIUS (Juniper)”

“RADIUS (Nortel)”

“RADIUS (iPass)”

NDG

No

ネットワーク デバイス グループ(NDG)名

AAA クライアントを追加する必要のある Network Device Group(NDG; ネットワーク デバイス グループ)の名前。

SINGLE_CON

No

Y または N

TACACS+ を使用している AAA クライアントの場合だけ、このトークンの値設定で Single Connect TACACS+ AAA Client オプションがイネーブルかどうかを指定します。詳細については、「AAA クライアントの追加」を参照してください。

KEEPALIVE

No

Y または N

TACACS+ を使用している AAA クライアントの場合だけ、このトークンの値設定で Log Update/Watchdog Packets from this Access Server オプションがイネーブルかどうかを指定します。詳細については、「AAA クライアントの追加」を参照してください。

たとえば、次の ADD_NAS 文では、CSUtil.exe によって、単一接続オプションおよびキープアライブ パケット オプションをイネーブルにして TACACS+ を使用し、AAA クライアント「SVR2-T+」を追加します。

ADD_NAS:SVR2-T+:IP:IP address:KEY:shared secret:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast":SINGLE_CON:Y:KEEPALIVE:Y

DEL_NAS 文

DEL_NAS 文はオプションです。DEL_NAS 文にあるトークンは、DEL_NAS トークンだけです。このトークンの詳細は、 表 D-6 に示します。DEL_NAS 文によって、Cisco Secure ACS から AAA クライアント定義が削除されます。

 

表 D-6 DEL_NAS 文のトークン

トークン
必須
必須の値
説明

DEL_NAS

Yes

AAA クライアントの名前

削除する AAA クライアントの名前。

たとえば、次の DEL_NAS 文では、CSUtil.exe によって AAA クライアント「SVR2-T+」を削除します。

DEL_NAS:SVR2-T+

インポート ファイルの例

インポート テキスト ファイルの例を次に示します。

OFFLINE
ADD:user01:CSDB:userpassword:PROFILE:1
ADD:user02:EXT_NT:PROFILE:2
ADD:chapuser:CSDB:hello:CHAP:chappw:PROFILE:3
ADD:mary:EXT_NT:CHAP:achappassword
ADD:joe:EXT_SDI
ADD:vanessa:CSDB:vanessaspassword
ADD:juan:CSDB_UNIX:unixpassword
UPDATE:foobar:PROFILE:10
DELETE:paul
ADD_NAS:SVR2-T+:IP:209.165.202.136:KEY:A87il032bzg:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast"
DEL_NAS:SVR16-RAD

ユーザ リストのテキスト ファイルへのエクスポート

-u オプションを使用すると、CiscoSecure ユーザ データベースにあるすべてのユーザのリストを users.txt という名前のテキスト ファイルにエクスポートできます。 users.txt ファイルは、ユーザをグループ別に配列しています。各グループの中で、ユーザは CiscoSecure ユーザ データベースにおいてユーザ アカウントが作成された順序で列挙されます。たとえば、Pat、Dana、Lloyd のアカウントがこの順序で作成された場合、 users.txt のユーザはアルファベット順ではなく、この順序で表示されます。


) -u オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。


CiscoSecure ユーザ データベースからユーザ情報をテキスト ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -u

Enter キーを押します。

CSUtil.exe によって、CiscoSecure ユーザ データベースにあるすべてのユーザの情報が users.txt ファイルにエクスポートされます。

ステップ 4 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

テキスト ファイルへのグループ情報のエクスポート

-g オプションを使用すると、デバイス コマンド セットなどのグループ設定データを CiscoSecure ユーザ データベースから groups.txt という名前のテキスト ファイルにエクスポートできます。 groups.txt ファイルは、TAC と連携してデバックなどを行う際に役立ちます。


) -g オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth が停止している間、ユーザ認証は行われません。


CiscoSecure ユーザ データベースからグループ情報をテキスト ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 CSAuth サービスが実行中の場合は、次を入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -g

Enter キーを押します。

CSUtil.exe によって、CiscoSecure ユーザ データベースにあるすべてのグループの情報が groups.txt ファイルにエクスポートされます。

ステップ 4 ユーザ認証を再開するには、次を入力します。

net start csauth

Enter キーを押します。


 

テキスト ファイルへのレジストリ情報のエクスポート

-y オプションを使用すると、Cisco Secure ACS の Windows レジストリ情報をエクスポートできます。レジストリ情報は CSUtil.exe によって setup.txt という名前のファイルにエクスポートされます。 setup.txt ファイルは、TAC と連携してデバッグなどを行う際に役立ちます。

レジストリ情報を Cisco Secure ACS からテキスト ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -y

Enter キーを押します。

CSUtil.exe によって、Cisco Secure ACS の Windows レジストリ情報が setup.txt ファイルにエクスポートされます。


 

エラー番号のデコード

-e オプションを使用すると、Cisco Secure ACS サービス ログで検出されるエラー番号をデコードできます。これらは、Cisco Secure ACS 内部のエラー コードです。たとえば CSRadius ログには、次のメッセージに類似したメッセージが含まれていることがあります。

CSRadius/Logs/RDS.log:RDS 05/22/2001 10:09:02 E 2152 4756 Error -1087 authenticating geddy - no NAS response sent

この例では、CSUtil.exe を使用してデコードできるエラー コード番号は「-1087」です。

C:\Program Files\CiscoSecure ACS vx.x\Utils: CSUtil.exe -e -1087
CSUtil v3.0(1.14), Copyright 1997-2001, Cisco Systems Inc
Code -1087 : External database reported error during authentication

) -e オプションを適用できるのは Cisco Secure ACS の内部エラー コードだけであり、Windows 認証の失敗時など、Cisco Secure ACS ログで検出されることがある Windows エラー コードには適用できません。


Cisco Secure ACS サービス ログの詳細については、「サービス ログ」を参照してください。

Cisco Secure ACS サービス ログからエラー番号をデコードするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -e -number

number には、Cisco Secure ACS サービス ログで検出されたエラー番号を入力します。 Enter キーを押します。


number の前にはハイフン(-)が必要です。


CSUtil.exe によって、指定されたエラー番号に対応するテキスト メッセージが表示されます。


 

CRC 値の再計算

-c オプションは TAC が使用するためのオプションです。これは、Cisco Secure ACS ディレクトリに手動でコピーしたファイルと、Windows レジストリに記録された値との間で発生する CRC 値の矛盾を解決するためのものです。


) -c オプションは、シスコ担当者による依頼がない限り、使用しないでください。


ユーザ定義済みの RADIUS ベンダーと VSA セット

この項では、ユーザ定義済みの RADIUS ベンダーと VSA に関する情報および手順について説明します。

この項では、次のトピックについて取り上げます。

「ユーザ定義済みの RADIUS ベンダーと VSA セットについて」

「カスタム RADIUS ベンダーと VSA セットの追加」

「カスタム RADIUS ベンダーと VSA セットの削除」

「カスタム RADIUS ベンダーの一覧表示」

「カスタム RADIUS ベンダーと VSA セットのエクスポート」

「RADIUS Vendor/VSA インポート ファイル」

ユーザ定義済みの RADIUS ベンダーと VSA セットについて

事前定義済みの RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)のセットに加えて、Cisco Secure ACS はユーザが定義する RADIUS ベンダーと VSA もサポートします。RDBMS 同期化機能を使用してカスタム RADIUS ベンダーの追加と設定を行うことを推奨します。しかし、CSUtil.exe を使用しても、RDBMS 同期化機能を使用した場合と同じカスタム RADIUS ベンダーと VSA 設定を行うことができます。この「RDBMS 同期化機能または CSUtil.exe」という 2 つの機能のいずれか一方を使用して作成されたカスタム RADIUS ベンダーと VSA 設定は、もう一方の機能を使用して変更できます。カスタム RADIUS ベンダーと VSA の設定に一方の機能を選択することで、もう一方の機能が使用できなくなることはありません。RDMBS 同期化機能の詳細については、「RDBMS 同期化」を参照してください。

ユーザが追加するベンダーは IETF に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートにする必要があります。カスタムの RADIUS ベンダーは、0(ゼロ)~ 9 までの番号を使用して、10 個まで定義できます。CSUtil.exe では、どのベンダーについてもインスタンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含めて、プライマリおよびセカンダリの Cisco Secure ACS 上において同一である必要があります。データベース複製の詳細については、「CiscoSecure データベース複製」を参照してください。


カスタム RADIUS ベンダーと VSA セットの追加

-addUDV オプションを使用すると、最大 10 個のカスタム RADIUS ベンダーと VSA セットを Cisco Secure ACS に追加できます。RADIUS ベンダーと VSA の各セットは、10 個のユーザ定義済みの RADIUS ベンダー スロットのうち、使用可能なスロットの 1 つに追加されます。


) CSUtil.exe によってカスタム RADIUS ベンダーと VSA セットが Cisco Secure ACS に追加される間、すべての Cisco Secure ACS サービスは自動的に停止し、再起動します。このプロセスの実行中は、ユーザ認証が行われません。


始める前に

カスタム RADIUS ベンダーと VSA セットを RADIUS vendor/VSA インポート ファイルで定義します。詳細については、「RADIUS Vendor/VSA インポート ファイル」を参照してください。

新規の RADIUS ベンダーと VSA を追加する RADIUS ベンダー スロットを決定します。詳細については、「カスタム RADIUS ベンダーの一覧表示」を参照してください。

regedit が実行中でないことを確認します。regedit が Cisco Secure ACS Windows サーバ上で実行中の場合、カスタム RADIUS ベンダーと VSA セットを追加するために必要なレジストリのアップデートが妨げられる可能性があります。

Cisco Secure ACS にカスタム RADIUS VSA を追加するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -addUDV slot-number
filename

slot-number には未使用の Cisco Secure ACS RADIUS ベンダー スロットを、 filename には RADIUS Vendor/VSA インポート ファイルの名前を入力します。 filename には、RADIUS Vendor/VSA インポート ファイルへの相対パスか絶対パスを含めます。 Enter キーを押します。

たとえば、 d:\acs\myvsa.ini で定義された RADIUS ベンダーをスロット 5 に追加する場合、コマンドは次のようになります。

CSUtil.exe -addUDV 5 d:\acs\myvsa.ini

CSUtil.exe によって確認プロンプトが表示されます。

ステップ 3 RADIUS ベンダーを追加すること、およびプロセス中にすべての Cisco Secure ACS サービスを停止することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって Cisco Secure ACS サービスが停止し、ベンダーおよび VSA の入力ファイルが分析され、新規 RADIUS ベンダーと VSA が Cisco Secure ACS に追加されます。このプロセスは数分かかる場合があります。プロセスが完了すると、Cisco Secure ACS サービスは CSUtil.exe によって再起動されます。


) RADIUS Vendor/VSA インポート ファイルは、保存しておくことをお勧めします。アップグレード作業中に、CSUtil.exe が格納されている Utils ディレクトリは、すべての内容が置換されます。RADIUS ベンダーおよび VSA インポート ファイルをバックアップしておくことによって、再インストールや後続リリースへのアップグレード後に、確実にカスタム RADIUS ベンダーと VSA を復旧できます。



 

カスタム RADIUS ベンダーと VSA セットの削除

-delUDV オプションを使用すると、カスタム RADIUS ベンダーを Cisco Secure ACS から削除できます。


) CSUtil.exe によってカスタム RADIUS ベンダーが Cisco Secure ACS から削除される間、すべての Cisco Secure ACS サービスは自動的に停止し、再起動します。このプロセスの実行中は、ユーザ認証が行われません。


始める前に

Cisco Secure ACS の HTML インターフェイスにある Network Configuration セクションで、対象の RADIUS ベンダーを使用している AAA クライアントがないことを確認します。AAA クライアントの設定の詳細については、「AAA クライアントの設定」を参照してください。

RADIUS Accounting ログに、削除する RADIUS ベンダーのアトリビュートが含まれていないことを確認します。RADIUS Accounting ログの設定の詳細については、「アカウンティング ログ」を参照してください。

Cisco Secure ACS から カスタム RADIUS ベンダーと VSA セットを削除するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -delUDV slot-number

slot-number には、削除する RADIUS ベンダーを含むスロットを入力します。 Enter キーを押します。


) 特定のスロットが保有する RADIUS ベンダーの判別に関する詳細については、「カスタム RADIUS ベンダーの一覧表示」を参照してください。


CSUtil.exe によって確認プロンプトが表示されます。

ステップ 3 カスタム RADIUS ベンダーと VSA の削除中に Cisco Secure ACS サービスをすべて停止することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって 2 番目の確認プロンプトが表示されます。

ステップ 4 RADIUS ベンダーを削除することを確認するには、 Y を入力し、 Enter キーを押します。

CSUtil.exe によって、Cisco Secure ACS サービスが停止し、指定した RADIUS ベンダーが Cisco Secure ACS から削除されます。このプロセスは数分かかる場合があります。プロセスが完了すると、Cisco Secure ACS サービスは CSUtil.exe によって再起動されます。


 

カスタム RADIUS ベンダーの一覧表示

-listUDV オプションを使用すると、Cisco Secure ACS に定義されているカスタム RADIUS ベンダーを確認できます。このオプションによって、使用可能な 10 個のカスタム RADIUS ベンダー スロットのうち、使用中のスロットや使用中の各スロットを占有する RADIUS ベンダーを確認できます。

Cisco Secure ACS に定義されたすべてのカスタム RADIUS ベンダーを一覧表示するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -listUDV

Enter キーを押します。

CSUtil.exe によって、各ユーザ定義 RADIUS ベンダー スロットがスロット番号順に一覧表示されます。CSUtil.exe では、カスタム RADIUS ベンダーを含まないスロットは「Unassigned」と表示されます。未指定のスロットは空です。「Unassigned」と表示されたスロットすべてに対して、カスタム RADIUS ベンダーを追加できます。


 

カスタム RADIUS ベンダーと VSA セットのエクスポート

すべてのカスタム RADIUS ベンダーと VSA セットをファイルにエクスポートできます。ベンダーと VSA セットはそれぞれ別のファイルに保存されます。このオプションで作成されたファイルは、RADIUS Vendor/VSA インポート ファイルと同じ形式になります。このオプションは、カスタム RADIUS ベンダーと VSA セットを変更する必要があり、そのセットのインポートに使用した元のファイルの格納場所が定かではない場合に、特に役立ちます。


) カスタム RADIUS ベンダーと VSA セットをエクスポートしても、そのベンダーと VSA セットは Cisco Secure ACS から削除されません。


Cisco Secure ACS は、エクスポートしたすべての Vendor/VSA ファイルを CSUtil.exe が格納されているディレクトリのサブディレクトリに入れます。サブディレクトリには System UDVs という名前が付けられます。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

エクスポートした Vendor/VSA ファイルにはそれぞれ、 UDV_ n .ini という名前が付けられます。 n は、カスタム RADIUS ベンダーと VSA セットに現在占有されているスロットの番号です。たとえば、ベンダー Widget がスロット 4 を占有している場合、CSUtil.exe に作成されたエクスポート ファイルは UDV_4.ini になります。

カスタム RADIUS ベンダーと VSA セットをファイルにエクスポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。CSUtil.exe が格納されている場所の詳細については、「CSUtil.exe の格納場所と関連ファイル」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -dumpUDV

Enter キーを押します。

現在 Cisco Secure ACS に設定されているカスタム RADIUS ベンダーと VSA セットそれぞれに対して、CSUtil.exe が System UDVs サブディレクトリにファイルを作成します。


 

RADIUS Vendor/VSA インポート ファイル

カスタム RADIUS ベンダーと VSA セットを Cisco Secure ACS にインポートするには、その RADIUS ベンダーと VSA セットをインポート ファイルに定義する必要があります。この項では、RADIUS VSA インポート ファイルの形式および内容について説明します。

RADIUS Vendor/VSA インポート ファイルは、保存しておくことをお勧めします。アップグレード時に、CSUtil.exe が格納されている Utils ディレクトリは、すべての内容が置換されます。RADIUS ベンダーおよび VSA インポート ファイルをバックアップしておくことによって、再インストールや後続リリースへのアップグレード後に、確実にカスタム RADIUS ベンダーと VSA を復旧できます。

この項では、次のトピックについて取り上げます。

「RADIUS Vendor/VSA インポート ファイルについて」

「ベンダーと VSA セットの定義」

「アトリビュートの定義」

「列挙の定義」

「RADIUS Vendor/VSA インポート ファイルの例」

RADIUS Vendor/VSA インポート ファイルについて

RADIUS Vendor/VSA インポート ファイルでは、Windows .ini ファイル形式を使用します。それぞれの RADIUS Vendor/VSA インポート ファイルは、 表 D-7 で説明する 3 つのセクションで構成されています。各セクションは、セクション ヘッダーと、キーおよび値のセットで構成されます。RADIUS Vendor/VSA インポート ファイルにおけるセクションの順序に規則性はありません。

 

表 D-7 RADIUS VSA インポート ファイルのセクション タイプ

セクション
必須
説明

Vendor and VSA set definition

Yes

1

RADIUS ベンダーと VSA セットを定義します。詳細については、「ベンダーと VSA セットの定義」を参照してください。

Attribute definition

Yes

1 ~ 255

VSA セットの単一アトリビュートを定義します。詳細については、「アトリビュートの定義」を参照してください。

Enumeration

No

0 ~ 255

整数のデータ型を使用して、アトリビュートの列挙方法を定義します。詳細については、「列挙の定義」を参照してください。

ベンダーと VSA セットの定義

RADIUS Vendor/VSA インポート ファイルごとに、ベンダーと VSA セットのセクションが 1 つ必要です。このセクション ヘッダーは、「[User Defined Vendor]」である必要があります。 表 D-8 に、ベンダーと VSA セットのセクションで有効なキーを示します。

 

表 D-8 ベンダーと VSA セットのキー

キー
必須
必須の値
説明

Name

Yes

ベンダー名

RADIUS ベンダーの名前。

IETF Code

Yes

整数

このベンダーに IETF が割り当てたベンダー番号。

VSA n n は VSA 番号)

Yes:1 ~ 255 個の VSA が定義可能

アトリビュート名

VSA の名前。各 VSA 名ごとに、対応するアトリビュート定義セクションがファイルに存在する必要があります。


) アトリビュート名は、RADIUS Vendor/VSA インポート ファイル内と、Cisco Secure ACS におけるすべての RADIUS アトリビュート セット内で、一意の名前にする必要があります。この作業を容易にするため、各アトリビュート名の先頭にベンダー名を付けることを推奨します。たとえば、ベンダー Widget の暗号化に関連するアトリビュートの場合は、「widget-encryption」という名前にします。これによって、アカウンティング ログも理解しやすくなります。


たとえば、次のベンダーと VSA セットのセクションでは、ベンダーが「Widget」で、その IETF 指定ベンダー番号が 9999 であることを定義します。ベンダー Widget には 4 つの VSA があります(したがって、アトリビュート定義セクションが 4 つ必要です)。

[User Defined Vendor]
Name=Widget
IETF Code=9999
VSA 1=widget-encryption
VSA 2=widget-admin-interface
VSA 3=widget-group
VSA 4=widget-admin-encryption

アトリビュートの定義

各 RADIUS Vendor/VSA インポート ファイルには、ベンダーと VSA セットのセクションで定義したアトリビュートごとに、アトリビュート定義セクションが 1 つ必要です。各アトリビュート定義セクションのセクション ヘッダーは、ベンダーと VSA セットのセクションにある対象アトリビュートに定義されたアトリビュート名と一致している必要があります。 表 D-8 に、アトリビュート定義セクションで有効なキーを示します。

 

表 D-9 アトリビュート定義のキー

キー
必須
必須の値
説明

Type

Yes

説明を参照

アトリビュートのデータ型。次のいずれか 1 つであることが必要です。

STRING

INTEGER

IPADDR

アトリビュートが整数の場合、Enums キーが有効になります。

Profile

Yes

説明を参照

アトリビュート プロファイルによって、そのアトリビュートの使用目的が許可かアカウンティングか(またはその両方か)を定義します。次の 2 つの値のうち、少なくとも 1 つを Profile キー定義で指定する必要があります。

IN :アトリビュートはアカウンティングに使用されます。アトリビュートを Cisco Secure ACS に追加すると、RADIUS アカウンティング ログでその新規アトリビュートを記録するように設定できます。RADIUS アカウンティング ログの詳細については、「アカウンティング ログ」を参照してください。

OUT :アトリビュートは許可に使用されます。

さらに、値「MULTI」を使用すると、RADIUS メッセージ 1 つに複数インスタンスのアトリビュートを許可できます。

組み合せることもできます。例:

Profile=MULTI OUT

または

Profile=IN OUT

Enums

No(TYPE 値が INTEGER の場合だけ有効)

列挙
セクション名

列挙セクションの名前。


) 複数のアトリビュートで同じ列挙セクションを参照できます。詳細については、「列挙の定義」を参照してください。


たとえば、次のアトリビュート定義セクションでは、widget-encryption VSA を定義しています。この VSA は、許可に使用される整数で、Encryption-Types 列挙セクションに列挙方式が存在する場合のものです。

[widget-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

列挙の定義

列挙の定義によって、整数型アトリビュートの有効数値ごとにテキスト ベースの名前を関連付けることができます。定義するテキスト値は、Cisco Secure ACS HTML インターフェイスの Group Setup セクション と User Setup セクションで、列挙を使用するアトリビュートに関連付けられたリストに表示されます。列挙定義セクションは、アトリビュート定義セクションによって参照される場合にだけ必要です。整数型のアトリビュートだけが、列挙定義セクションを参照できます。

各列挙定義セクションのセクション ヘッダーは、参照する Enums キーの値と一致している必要があります。列挙定義セクションは、複数の Enums キーから参照できるため、共通する列挙定義を再利用できます。1 つの列挙定義セクションでは、キーを 1000 個まで指定できます。

表 D-10 に、列挙定義セクションで有効なキーを示します。

 

表 D-10 列挙定義セクションのキー

キー
必須
必須の値
説明

n

(説明を参照)

Yes

String

対応するアトリビュートの有効な整数値ごとに、列挙セクションにはキーが 1 つ必要です。

各キーでは、整数値と関連する文字列の値を定義します。Cisco Secure ACS では、これらの文字列の値を HTML インターフェイスで使用します。

たとえば、所定のアトリビュートの有効な整数値が 0 ~ 4 の場合、その列挙定義の内容は次のようになります。

0= value0
1= value1
2= value2
3= value3
4= value4

たとえば、次の列挙定義セクションでは Encryption-Types の列挙を定義しています。この場合、整数 0 に文字列値の 56-bit を、整数 1 に文字列値の 128-bit をそれぞれ関連付けています。

[Encryption-Types]
0=56-bit
1=128-bit

RADIUS Vendor/VSA インポート ファイルの例

次の RADIUS Vendor/VSA インポート ファイルの例では、ベンダーが Widget で、その IETF 番号が 9999 であることを定義しています。ベンダー Widget には 5 つの VSA があります。そのアトリビュートのうち、4 つは許可に使用され、1 つがアカウンティングに使用されます。1 つのアトリビュートだけが、1 つの RADIUS メッセージに複数のインスタンスを保有できます。2 つのアトリビュートには有効な整数値の列挙があり、同じ列挙定義セクションを共有しています。

[User Defined Vendor]
Name=Widget
IETF Code=9999
VSA 1=widget-encryption
VSA 2=widget-admin-interface
VSA 3=widget-group
VSA 4=widget-admin-encryption
VSA 5=widget-remote-address

[widget-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

[widget-admin-interface]
Type=IPADDR
Profile=OUT

[widget-group]
Type=STRING
Profile=MULTI OUT

[widget-admin-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

[widget-remote-address]
Type=STRING
Profile=IN

[Encryption-Types]
0=56-bit
1=128-bit
2=256-bit

PAC ファイルの生成

-t オプションを使用すると、EAP-FAST クライアントで使用する PAC ファイルを生成できます。PAC および EAP-FAST の詳細については、「EAP-FAST 認証」を参照してください。

この項では、次のトピックについて取り上げます。

「PAC ファイルのオプションおよび例」

「PAC ファイルの生成」

PAC ファイルのオプションおよび例

CSUtil.exe の -t オプションを使用して PAC ファイルを生成する場合、次の追加オプションがあります。

ユーザ指定オプション :使用するユーザ指定オプションを選択するときは、必ず 4 つのオプションのいずれかを選択して、PAC ファイルの対象ユーザを指定します。ユーザを指定しないと、未指定が原因のエラー メッセージが CSUtil.exe によって表示されます。次のユーザ指定オプションがあります。

-a :CSUtil.exe は CiscoSecure ユーザ データベースのユーザごとに PAC ファイルを生成します。たとえば、CiscoSecure ユーザ データベースに 3278 人のユーザがいるときに CSUtil.exe -t -a を実行すると、各ユーザに 1 つずつ、3278 個の PAC ファイルが CSUtil.exe によって生成されます。


) -a オプションを使用すると CSAuth サービスが再起動します。CSAuth が使用できない間は、ユーザ認証は行われません。


-g N :CSUtil.exe は番号( N )で指定されたユーザ グループ内のユーザごとに PAC ファイルを生成します。Cisco Secure ACS には 500 のグループがあり、0(ゼロ)~ 499 までの番号が付けられています。たとえば、グループ 7 に 43 人のユーザがいるときに CSUtil.exe -t -g 7 を実行すると、グループ 7 のメンバーであるユーザごとに 1 つずつ、43 個の PAC ファイルが CSUtil.exe によって生成されます。


) -g オプションを使用すると CSAuth サービスが再起動します。CSAuth が使用できない間は、ユーザ認証は行われません。


-u username :CSUtil.exe は名前( username )で指定されたユーザの PAC ファイルを生成します。たとえば、 CSUtil.exe -t -u seaniemop を実行すると、CSUtil.exe によって seaniemop.pac という名前の PAC ファイルが 1 つ生成されます。


ヒント また、DOMAIN\username の形式を使用して、ドメイン修飾されたユーザ名を指定することもできます。たとえば、ENIGINEERING\augustin を指定した場合、Cisco Secure ACS によって ENGINEERING_augustin.pac という PAC ファイルが生成されます。


-f list :CSUtil.exe は指定されたファイルに含まれるユーザ名ごとに PAC ファイルを生成します。 list には、ユーザ名リストのフルパスおよびファイル名を入力します。

ユーザ名リストには、スペースもその他の文字も入力せず、1 行につき 1 ユーザ名を含める必要があります。

たとえば、d:\temp\pacs にある list.txt に次のユーザ名が含まれているとします。

seaniemop
jwiedman
echamberlain

この場合に CSUtil.exe -t -f d:\temp\pacs\list.txt を実行すると、CSUtil.exe によって seaniemop.pac jwiedman.pac echamberlain.pac という 3 つの PAC ファイルが生成されます。


ヒント また、DOMAIN\username の形式を使用して、ドメイン修飾されたユーザ名を指定することもできます。たとえば、ENIGINEERING\augustin を指定した場合、Cisco Secure ACS によって ENGINEERING_augustin.pac という PAC ファイルが生成されます。


-passwd password :CSUtil.exe は、生成する PAC ファイルをデフォルトのパスワードでなく指定されたパスワードを使用して保護します。保護する PAC が EAP-FAST エンドユーザ クライアントにロードされるときに、指定したパスワードが必要になります。


) デフォルトのものではない独自のパスワードを作成して使用することを推奨します。


PAC パスワードは 4 ~ 128 文字の英数字で、大文字と小文字が区別されます。CSUtil.exe では強力なパスワード規則が適用されませんが、強力なパスワードの使用を推奨します。つまり、PAC パスワードは次のように作成する必要があります。

非常に長くする。

大文字と小文字を含める。

文字のほかに数字も含める。

一般的な用語や名前を含めない。

PAC ファイルの生成


) PAC ファイルの生成で -a オプションまたは -g オプションを使用すると、CSUtil.exe によって CSAuth サービスが再起動します。CSAuth が使用できない間は、ユーザ認証は行われません。


PAC の詳細については、「PAC について」を参照してください。

PAC ファイルを生成するには、次の手順を実行します。


ステップ 1 「PAC ファイルのオプションおよび例」の説明に従って、次の内容を決定します。

PAC ファイルを生成する対象ユーザ。ユーザ リストを使用する場合は、ここでリストを作成します。

生成する PAC ファイルの保護に使用するパスワード。必要に応じてパスワードを作成します。大文字と小文字、および数字を含む長いパスワードを作成することを推奨します。

PAC ファイルを作成するディレクトリへのフルパス。必要に応じて、ディレクトリを作成します。

ステップ 2 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。

ステップ 3 次のように入力します。

CSUtil.exe -t additional arguments

additional arguments には、PAC ファイルを生成する対象ユーザを指定するためのオプションを少なくとも 1 つ指定します。ファイルパスおよびパスワードを指定するオプションも使用できます。

Enter キーを押します。

CSUtil.exe により、指定したユーザの PAC ファイルが生成されます。PAC ファイルは、ユーザ名に「.pac」ファイル拡張子が付いた名前になります。たとえば、ユーザ名 seaniemop の PAC ファイルであれば、 seaniemop.pac となり、ドメイン修飾されたユーザ名 ENGINEERING\augustin の PAC ファイルであれば、 ENGINEERING_augustin.pac となります。

ファイルパスを指定した場合、PAC ファイルは指定した場所に保存されます。PAC ファイルは該当するエンドユーザ クライアントに配布できます。


 

ポスチャ確認アトリビュート

CSUtil.exe を使用すると、Network Admission Control(NAC; ネットワーク アドミッション コントロール)に不可欠なポスチャ確認アトリビュートをエクスポート、追加、および削除することができます。NAC の詳細については、 第14章「ネットワーク アドミッション コントロール」 を参照してください。

この項では、次のトピックについて取り上げます。

「ポスチャ確認アトリビュート定義ファイル」

「ポスチャ確認アトリビュート定義のエクスポート」

「ポスチャ確認アトリビュート定義のインポート」

「ポスチャ確認アトリビュート定義の削除」

「デフォルトのポスチャ確認アトリビュート定義ファイル」

ポスチャ確認アトリビュート定義ファイル

ポスチャ確認アトリビュート定義ファイルは、1 つ以上のポスチャ確認アトリビュート定義を含むテキスト ファイルです。各定義は、次に説明するように 1 つの定義ヘッダーと複数の値で構成されます。ポスチャ確認アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

アトリビュート定義ヘッダーを除く各アトリビュート定義の値は、次の形式にする必要があります。

name = value

次に示すリストで指定されているとおり、 name には値の名前を、 value には文字列または整数を入力します。


ヒント コメントである行を示すには、セミコロンを使用します。


例D-1 に、ポスチャ確認アトリビュート定義の例を示します。アトリビュート定義の後にはコメントがあります。

例D-1 アトリビュート定義の例

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

; attribute 1 is reserved for the APT

ポスチャ確認アトリビュートは、ベンダー ID、アプリケーション ID、アトリビュート ID の組み合せによって一意に定義されます。次のリストは、これらの値と、アトリビュート定義で必要な各行についての詳細な説明です。

[attr# n ] :アトリビュート定義ヘッダー。 n はゼロから始まる一意の連続する整数です。CSUtil.exe は定義ヘッダーによって新しいアトリビュート定義の開始を識別します。各アトリビュート定義は、定義ヘッダーを含む行で開始する必要があります。ファイルで最初のアトリビュート定義にはヘッダー [attr#0] が、ファイルで 2 番目のアトリビュート定義にはヘッダー [attr#1] が含まれるように指定する必要があります。番号付けが連続せずにとぎれた場合、CSUtil.exe はとぎれた部分以降のアトリビュート定義を無視します。たとえば、ファイルに 10 のアトリビュート定義があり、5 番目のアトリビュートを [attr#4] ではなく [attr#5] と定義した場合、CSUtil.exe は [attr#5] と定義されたアトリビュートとそれに続く残り 5 つのアトリビュートを無視します。


ヒント n の値は、アトリビュート定義ファイル内のどの ID 値とも関連がありません。たとえば、ファイル内の 28 番目の定義ではヘッダーに [attr#27] を指定する必要がありますが、このことは vendor-id、application-id、attribute-id の有効な値を制限するものでも、定義するものでもありません。また、Cisco Secure ACS でサポートするポスチャ確認アトリビュートの数は、制限も定義もされません。


vendor-id :符号なし整数。ベンダー番号は、ポスチャ確認アトリビュートに関連付けられたベンダーの番号です。ベンダー番号は、 IANA Assigned Numbers RFC でベンダーに割り当てられた番号であることが必要です。たとえば、ベンダー ID の 9 はシスコシステムズに対応しています。

ベンダー ID には、application-id 値で識別されるアプリケーションが 1 つ以上関連付けられています。

vendor-name :文字列。ベンダー名は Cisco Secure ACS HTML インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、アトリビュート定義のベンダー ID が 9 の場合、ベンダー名は「Cisco」となります。


) 同じベンダー ID を共有する各アトリビュートに、異なるベンダー名を指定することはできません。たとえば、vendor-id が 9 であるアトリビュートの vendor-name が「Cisco」ではない場合、そのアトリビュートは追加できません。


application-id :符号なし整数。アプリケーション ID は、ポスチャ確認アトリビュートに関連付けられたベンダーのアプリケーションを一意に識別します。たとえば、ベンダー ID が 9 でアプリケーション ID が 1 の場合、ポスチャ確認アトリビュートは ID が 1 の Cisco アプリケーションに関連付けられます。このアプリケーションは Cisco Trust Agent(CTA)で、Posture Agent(PA; ポスチャ エージェント)とも呼ばれます。

application-name :文字列。アプリケーション名は Cisco Secure ACS HTML インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、ベンダー ID が 9 でアプリケーション ID が 1 の場合、アプリケーション名は「PA」となります。これは、Posture Agent(ポスチャ エージェント)の省略形で、CTA の別の表現です。


) 同じベンダー ID とアプリケーション ID のペアを共有する各アトリビュートに、異なるベンダー名を指定することはできません。たとえば、vendor-id が 9 でアプリケーション ID が 1 であるアトリビュートの application-name が「PA」でない場合、そのアトリビュートは追加できません。


attribute-id :1 ~ 65535 の範囲の符号なし整数。アトリビュート ID は指定されたベンダー ID とアプリケーション ID について、ポスチャ確認アトリビュートを一意に識別します。


) 各アプリケーションのアトリビュート 1 および 2 は予約済みです。新しいアプリケーションを示すアトリビュートを追加すると、CSUtil.exe によって自動的にアトリビュート 1 が Application-Posture-Token として、アトリビュート 2 が System-Posture-Token として作成されます。


attribute-name :文字列。アトリビュート名は Cisco Secure ACS HTML インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、ベンダー ID が 9、アプリケーション ID が 1、アトリビュート ID が 1 の場合、アトリビュート名は「Application-Posture-Token」になります。

attribute-profile :文字列。アトリビュート プロファイルは、Cisco Secure ACS がポスチャ確認応答でアトリビュートを送信できるかどうか、ポスチャ確認要求でアトリビュートを受信できるかどうか、またはポスチャ確認時にアトリビュートの送信と受信の両方が可能かどうかを指定します。attribute-profile の有効な値は次のとおりです。

in :Cisco Secure ACS はポスチャ確認要求でアトリビュートを受け入れ、アトリビュートのログを記録できます。ユーザはアトリビュートをローカル ポリシー規則の定義で使用できます。attribute-profile が「in」のアトリビュートは受信アトリビュートとも呼ばれます。

out :アトリビュートは Cisco Secure ACS によりポスチャ確認応答で送信されますが、このアトリビュートはローカル ポリシー規則の定義では使用できません。attribute-profile が「out」のアトリビュートは送信アトリビュートとも呼ばれます。ログに記録されるように Cisco Secure ACS を設定できる唯一の送信アトリビュートは、Application Posture Token および System Posture Token のアトリビュートです。ただし、これらはユーザが修正できないシステム定義アトリビュートです。

in out :Cisco Secure ACS はポスチャ確認要求でアトリビュートを受け入れ、ポスチャ確認応答でアトリビュートを送信することができます。attribute-profile が「in out」のアトリビュートは送受信両対応アトリビュートとも呼ばれます。

attribute-type :文字列。アトリビュート タイプは、関連するアトリビュートで有効なデータの種類を指定します。アトリビュートの attribute-profile が in または in out の場合、attribute-type は、そのアトリビュートを使用するローカル ポリシー規則の定義で使用可能な演算子の型を決定します。受信アトリビュートの例としては、CTA から送信される ServicePacks アトリビュートがあります。送信アトリビュートの例は、CTA に送信される System-Posture- Token アトリビュートです。

attribute-type の有効な値は次のとおりです。

boolean

string

integer

unsigned integer

ipaddr

date

version

octet-array

アトリビュートのデータ型の詳細については、「NAC アトリビュート データ タイプ」を参照してください。

ポスチャ確認アトリビュート定義のエクスポート

-dumpAVP オプションを使用すると、現在のポスチャ確認アトリビュートをアトリビュート定義ファイルにエクスポートできます。ポスチャ確認アトリビュート定義ファイルの内容については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

ポスチャ確認アトリビュートをエクスポートするには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。

ステップ 2 次のように入力します。

CSUtil.exe -dumpavp filename
 

filename には、CSUtil.exe によってすべてのアトリビュート定義を書き込むファイルの名前を入力します。 Enter キーを押します。


ヒント filename を指定するときに、ファイル名の先頭にプレフィックスとして相対パスか絶対パスを付けることもできます。たとえば、CSUtil.exe -dumpavp c:\temp\allavp.txt と指定すると、c:\temp 内のファイル allavp.txt に書き込まれます。


ステップ 3 ステップ 2 で指定したとおりのパスと名前を持つファイルを上書きすることを確認するプロンプトが表示された場合は、次のいずれかを実行します。

ファイルを上書きするには、 Y を入力し、 Enter キーを押します。


ヒント CSUtil.exe で強制的に既存のファイルを上書きするには、-q オプションを使用して、CSUtil.exe -q -dumpavp filename を実行します。


ファイルを保持するには、 N を入力し、 Enter キーを押してステップ 2 に戻ります。

CSUtil.exe によって、ポスチャ確認アトリビュート定義がすべて指定したファイルに書き込まれます。任意のテキスト エディタを使用してファイルの内容を確認します。


 

ポスチャ確認アトリビュート定義のインポート

-addAVP オプションを使用すると、アトリビュート定義ファイルから Cisco Secure ACS ポスチャ確認アトリビュート定義にインポートできます。ポスチャ確認アトリビュート定義ファイルの内容については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

始める前に

この手順を完了するには CSAuth サービスの再起動が必要で、そのためには認証サービスを一時停止することになります。したがって、この手順は Cisco Secure ACS サービスに対する要求が少ないときに実行するようにしてください。

「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、現在のポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、およびアトリビュート ID を再確認することもできます。

ポスチャ確認アトリビュートをインポートするには、次の手順を実行します。


ステップ 1 「ポスチャ確認アトリビュート定義ファイル」の説明に従って、正しくフォーマットされたアトリビュート定義ファイルを作成します。CSUtil.exe が格納されているディレクトリ、または Cisco Secure ACS を実行しているコンピュータからアクセス可能なディレクトリに、このファイルを配置します。

ステップ 2 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。

ステップ 3 次のように入力します。

CSUtil.exe -addavp filename

filename には、CSUtil.exe によってすべてのアトリビュート定義を書き込むファイルの名前を入力します。 Enter キーを押します。


ヒント filename を指定するときに、ファイル名の先頭にプレフィックスとして相対パスか絶対パスを付けることもできます。たとえば、CSUtil.exe -addavp c:\temp\addavp.txt と指定すると、c:\temp 内のファイル addavp.txt に書き込まれます。


CSUtil.exe により、指定したアトリビュートがファイル内で追加または修正されます。次に、9 つのポスチャ確認アトリビュートが正常に追加された例を示します。

C:.../Utils 21: csutil -addavp myavp.txt
CSUtil v3.3(1.6), Copyright 1997-2001, Cisco Systems Inc
Attribute 9876:1:11 (Calliope) added to registry
Attribute 9876:1:3 (Clio) added to registry
Attribute 9876:1:4 (Erato) added to registry
Attribute 9876:1:5 (Euterpe) added to registry
Attribute 9876:1:6 (Melpomene) added to registry
Attribute 9876:1:7 (Polyhymnia) added to registry
Attribute 9876:1:8 (Terpsichore) added to registry
Attribute 9876:1:9 (Thalia) added to registry
Attribute 9876:1:10 (Urania) added to registry

AVPs from ’myavp.txt’ were successfully added

ステップ 4 インポート済みのアトリビュート定義を有効にする準備ができたら、CSAuth サービスおよび CSAdmin サービスを再起動します。


注意 CSAuth が停止している間、ユーザ認証は行われません。

CSAuth、CSLog、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコマンドを入力し、コンピュータ時間によって各コマンドを実行できるようにします。

net stop csauth
net start csauth
net stop cslog
net start cslog
net stop csadmin
net start csadmin

Cisco Secure ACS で、インポート済みのポスチャ確認アトリビュートの使用が開始されます。アトリビュート タイプが in または in out のアトリビュートは、ローカル ポリシー規則を定義するときに HTML インターフェイスで使用できます。


 

ポスチャ確認アトリビュート定義の削除

-delAVP オプションを使用すると、Cisco Secure ACS からポスチャ確認アトリビュートを 1 つ削除できます。

始める前に

この手順を完了するには CSAuth サービスの再起動が必要で、そのためには認証サービスを一時停止することになります。したがって、この手順は Cisco Secure ACS サービスに対する要求が少ないときに実行するようにしてください。

「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、削除するポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、およびアトリビュート ID を再確認することもできます。

ポスチャ確認アトリビュートを削除するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS を実行しているコンピュータで MS DOS コマンド プロンプトを開き、ディレクトリを CSUtil.exe が格納されているディレクトリに変更します。

ステップ 2 次のように入力します。

CSUtil.exe -delavp vendor-ID
application-ID
attribute-ID

ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。

CSUtil.exe により、アトリビュートを削除することを確認するプロンプトが表示されます。

ステップ 3 プロンプトを確認してから、次のいずれかを実行します。

確認プロンプトで示されたアトリビュートを削除する場合は Y を入力し、 Enter キーを押します。


ヒント -q オプションを使用すると、確認プロンプトを非表示にすることができます。


確認プロンプトで示されたアトリビュートを削除しない場合は N を入力し、Enter キーを押してステップ 2 に戻ります。

CSUtil.exe により、指定したポスチャ確認アトリビュートが内部データベースから削除されます。次の例では、ベンダー ID が 9876、アプリケーション ID が 1、アトリビュート ID が 1 であるアトリビュートが CSUtil.exe によって削除されました。

CSUtil v3.3, Copyright 1997-2004, Cisco Systems Inc
Are you sure you want to delete vendor 9876; application 1; attribute 1?(y/n)
y

Vendor 9876; application 1; attribute 1 was successfully deleted

ステップ 4 アトリビュートの削除を有効にする準備ができたら、CSAuth サービスおよび CSAdmin サービスを再起動します。


注意 CSAuth が停止している間、ユーザ認証は行われません。

CSAuth、CSLog、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコマンドを入力し、コンピュータ時間によって各コマンドを実行できるようにします。

net stop csauth
net start csauth
net stop cslog
net start cslog
net stop csadmin
net start csadmin

これで、削除されたポスチャ確認アトリビュートは Cisco Secure ACS で使用できなくなりました。


 

デフォルトのポスチャ確認アトリビュート定義ファイル

例D-2 に、Cisco Secure ACS で提供されるポスチャ確認アトリビュートの定義を示します。デフォルトのアトリビュートを元の定義にリセットする必要がある場合は、例D-2 に従ってポスチャ確認アトリビュート定義ファイルを作成してください。アトリビュート定義ファイルのフォーマットの詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。

例D-2 デフォルトのポスチャ確認アトリビュート定義

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#1]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#2]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00003
attribute-name=PA-Name
attribute-profile=in out
attribute-type=string

[attr#3]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00004
attribute-name=PA-Version
attribute-profile=in out
attribute-type=version

[attr#4]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00005
attribute-name=OS-Type
attribute-profile=in out
attribute-type=string

[attr#5]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00006
attribute-name=OS-Version
attribute-profile=in out
attribute-type=version

[attr#6]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00007
attribute-name=PA-User-Notification
attribute-profile=out
attribute-type=string

[attr#7]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#8]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#9]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00006
attribute-name=ServicePacks
attribute-profile=in
attribute-type=string

[attr#10]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00007
attribute-name=HotFixes
attribute-profile=in
attribute-type=string

[attr#11]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00008
attribute-name=HostFQDN
attribute-profile=in
attribute-type=string

[attr#12]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#13]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#14]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00005
attribute-name=CSAVersion
attribute-profile=in
attribute-type=version

[attr#15]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00009
attribute-name=CSAOperationalState
attribute-profile=in
attribute-type=unsigned integer

[attr#16]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00011
attribute-name=TimeSinceLastSuccessfulPoll
attribute-profile=in
attribute-type=unsigned integer

[attr#17]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32768
attribute-name=CSAMCName
attribute-profile=in
attribute-type=string

[attr#18]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32769
attribute-name=CSAStates
attribute-profile=in
attribute-type=string

[attr#19]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#20]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#21]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#22]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#23]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#24]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#25]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#26]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#27]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#28]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#29]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#30]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#31]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#32]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#33]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#34]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#35]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#36]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#37]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#38]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#39]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#40]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#41]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#42]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#43]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#44]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#45]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#46]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#47]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#48]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#49]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=string

[attr#50]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=string

[attr#51]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00003
attribute-name=Reason
attribute-profile=out
attribute-type=string