Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
システム設定:高度
システム設定:高度
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

システム設定:高度

CiscoSecure データベース複製

CiscoSecure データベース複製について

複製プロセス

複製の頻度

実装上で重要な検討事項

データベース複製とバックアップの比較

データベース複製のロギング

複製オプション

複製コンポーネント オプション

Outbound Replication オプション

Inbound Replication オプション

Cisco Secure ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

セカンダリ Cisco Secure ACS の設定

即時複製

複製のスケジューリング

CiscoSecure データベース複製のディセーブル化

データベース複製イベントのエラー

RDBMS 同期化

RDBMS 同期化について

ユーザ

ユーザ グループ

ネットワーク設定

カスタム RADIUS ベンダーと VSA

RDBMS 同期化のコンポーネント

CSDBSync について

accountActions テーブルについて

accountActions テーブルを使用する Cisco Secure ACS データベースの復旧

レポートとイベント(エラー)の処理

RDBMS 同期化の使用準備

CSV ベース同期化を使用するときの検討事項

CSV ベース同期化の準備

RDBMS 同期化用のシステム データ ソース名の設定

RDBMS 同期化のオプション

RDBMS セットアップ オプション

同期化スケジューリング オプション

同期化パートナー オプション

RDBMS 同期化の即時実行

RDBMS 同期化のスケジューリング

スケジューリング済み RDBMS 同期化のディセーブル化

IP プール サーバ

IP プール サーバについて

重複 IP プールの許可または固有プール アドレス範囲の強制

AAA Server IP Pools テーブルの更新

新しい IP プールの追加

IP プール定義の編集

IP プールのリセット

IP プールの削除

IP プール アドレスの復旧

IP プール アドレス復旧のイネーブル化

システム設定:高度

この章では、Cisco Secure ACS for Windows Server の System Configuration セクションにある CiscoSecure データベース複製機能と RDBMS 同期化機能について説明します。

この章は、次の項で構成されています。

「CiscoSecure データベース複製」

「RDBMS 同期化」

「IP プール サーバ」

「IP プール アドレスの復旧」

CiscoSecure データベース複製

この項では、CiscoSecure データベース複製機能について、この機能をインプリメントする手順と関連する Cisco Secure ACS を設定する手順を中心に説明します。

この項では、次のトピックについて取り上げます。

「CiscoSecure データベース複製について」

「複製プロセス」

「複製の頻度」

「実装上で重要な検討事項」

「データベース複製とバックアップの比較」

「データベース複製のロギング」

「複製オプション」

「複製コンポーネント オプション」

「Outbound Replication オプション」

「Inbound Replication オプション」

「Cisco Secure ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」

「セカンダリ Cisco Secure ACS の設定」

「即時複製」

「複製のスケジューリング」

「CiscoSecure データベース複製のディセーブル化」

「データベース複製イベントのエラー」

CiscoSecure データベース複製について

データベース複製では、プライマリ Cisco Secure ACS セットアップの一部が少なくとも 1 台のセカンダリ Cisco Secure ACS に複製され、Cisco Secure ACS のミラーリング システムが作成されます。AAA クライアントを、プライマリ Cisco Secure ACS が障害または到達不能になった場合に、セカンダリ Cisco Secure ACS を使用するように設定できます。CiscoSecure データベースとしてプライマリ Cisco Secure ACS の CiscoSecure データベースの複製を使用しているセカンダリ Cisco Secure ACS があれば、プライマリ Cisco Secure ACS がサービスを提供できない場合、着信要求は、AAA クライアントがセカンダリ Cisco Secure ACS にフェールオーバーするように設定されていれば、ネットワークのダウンタイムなしで認証できます。

データベース複製によって、次の作業が可能になります。

複製するプライマリ Cisco Secure ACS の設定の一部を選択する。

スケジュール作成などの複製プロセスのタイミングを制御する。

選択した設定項目をプライマリ Cisco Secure ACS からエクスポートする。

選択した設定データを、プライマリ Cisco Secure ACS から用意したセカンダリ Cisco Secure ACS に、セキュアに転送する。

セカンダリ Cisco Secure ACS をアップデートし、構成を一致させる。

次の項目は複製できません。

IP プール定義(詳細については、「IP プール サーバについて」を参照)

Cisco Secure ACS の証明書ファイルとプライベート キー ファイル

Network Admission Control(NAC; ネットワーク アドミッション コントロール)データベースなどの外部ユーザ データベースに関する設定全部

未知ユーザ グループのマッピングの設定

ユーザ定義の RADIUS ディクショナリ(詳細については、「実装上で重要な検討事項」を参照)

System Configuration セクションの ACS Service Management ページ上の設定

ロギング設定全部

RDBMS 同期化の設定

サードパーティ ソフトウェア、たとえば Novell Requestor や RSA ACE クライアント ソフトウェア

データベース複製では、Cisco Secure ACS を次のように区別します。

プライマリ Cisco Secure ACS :複製された CiscoSecure データベース コンポーネントを別の Cisco Secure ACS に送信する Cisco Secure ACS。

セカンダリ Cisco Secure ACS :複製された CiscoSecure データベース コンポーネントをプライマリ Cisco Secure ACS から受信する Cisco Secure ACS。HTML インターフェイスでは複製パートナーとして識別されます。

Cisco Secure ACS は、プライマリ Cisco Secure ACS にもセカンダリ Cisco Secure ACS にもなれます。ただし、プライマリ Cisco Secure ACS になっている場合は、そのセカンダリ Cisco Secure ACS としては設定できません。


) Cisco Secure ACS が、リモートの Cisco Secure ACS にデータベース コンポーネントを送信するとともに、同じリモート Cisco Secure ACS からデータベース コンポーネントを受信するという双方向複製はサポートされていません。Cisco Secure ACS の複製先と複製元に同じ Cisco Secure ACS を設定すると、複製は失敗します。



) 複製に関係する Cisco Secure ACS はすべて、同じリリースの Cisco Secure ACS ソフトウェアを実行している必要があります。たとえばプライマリ Cisco Secure ACS で Cisco Secure ACS Version 3.2 を実行している場合は、すべてのセカンダリ Cisco Secure ACS で Cisco Secure ACS Version 3.2 を実行している必要があります。パッチ リリースによって、CiscoSecure データベースに大幅な変更が加えられることがあります。このため、複製に関係する Cisco Secure ACS は、パッチ レベルも合わせておくことを強く推奨します。


複製プロセス

このトピックでは、データベース複製のプロセスについて、プライマリ Cisco Secure ACS と各セカンダリ Cisco Secure ACS との相互動作を中心に説明します。データベース複製では、次のステップが発生します。

1. プライマリ Cisco Secure ACS が、自分のデータベースが前回の正常な複製以降に変更されているかどうかを確認します。変更されている場合は、複製が続行されます。変更されていない場合、複製は打ち切られます。プライマリおよびセカンダリ Cisco Secure ACS のデータベース間の比較は実行されません。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


2. プライマリ Cisco Secure ACS が、セカンダリ Cisco Secure ACS に接続します。この初期接続では、次の 4 つのイベントが発生します。

a. プライマリ Cisco Secure ACS の共有秘密情報に基づいて、2 台の Cisco Secure ACS が相互認証を実行します。認証に失敗すると、複製が失敗します。


) セカンダリ Cisco Secure ACS 上で、プライマリ Cisco Secure ACS 用の AAA Servers テーブル エントリは、プライマリ Cisco Secure ACS が自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。セカンダリ Cisco Secure ACS の共有秘密情報は、複製には関係しません。


b. セカンダリ Cisco Secure ACS は、プライマリ Cisco Secure ACS の複製元として設定されていないことを確認します。そのように設定されている場合は、複製が打ち切られます。Cisco Secure ACS は、双方向複製をサポートしていません。双方向複製とは、1 台の Cisco Secure ACS が、同一のリモート Cisco Secure ACS のプライマリとセカンダリの両方として動作することです。

c. プライマリ Cisco Secure ACS は、セカンダリ Cisco Secure ACS が実行している Cisco Secure ACS のバージョンが、自分の Cisco Secure ACS のバージョンと同じであるかどうかを確認します。バージョンが異なる場合は、複製が失敗します。

d. プライマリ Cisco Secure ACS は、自分が送信するように設定されているデータベース コンポーネントのリストと、セカンダリ Cisco Secure ACS が受信するように設定されているデータベース コンポーネントのリストを比較します。プライマリ Cisco Secure ACS が送信するように設定されているコンポーネントのいずれも、セカンダリ Cisco Secure ACS が受信するように設定されていない場合は、データベース複製は失敗します。

3. プライマリ Cisco Secure ACS が、セカンダリ Cisco Secure ACS に送信するコンポーネントを決定すると、複製プロセスはプライマリ Cisco Secure ACS で次の動作を続けます。

a. プライマリ Cisco Secure ACS は認証を停止し、複製するように設定されている CiscoSecure データベース コンポーネントをコピーします。このステップの間、AAA クライアントが正しく設定されている場合、通常このプライマリ Cisco Secure ACS を使用する AAA クライアントは、別の Cisco Secure ACS にフェールオーバーします。

b. プライマリ Cisco Secure ACS が認証サービスを再開します。それとともに、セカンダリ Cisco Secure ACS へ送信するために、自分のデータベース コンポーネントのコピーを圧縮し、暗号化します。

c. プライマリ Cisco Secure ACS は、圧縮し、暗号化した自分のデータベース コンポーネントのコピーをセカンダリ Cisco Secure ACS に送信します。この送信は、ポート 2000 を使用して TCP 接続で行われます。TCP セッションでは、128 ビット暗号化された Cisco 固有のプロトコルが使用されます。

4. プライマリ Cisco Secure ACS で上記のイベントが行われた後、データベース複製プロセスは、セカンダリ Cisco Secure ACS で次のように続きます。

a. セカンダリ Cisco Secure ACS は、CiscoSecure データベース コンポーネントの圧縮および暗号化されたコピーをプライマリ Cisco Secure ACS から受信します。データベース コンポーネントの受信が完了すると、セカンダリ Cisco Secure ACS はデータベース コンポーネントを解凍します。

b. セカンダリ Cisco Secure ACS は、認証サービスを停止し、自分のデータベース コンポーネントを、プライマリ Cisco Secure ACS から受信したデータベース コンポーネントで置き換えます。このステップの間、AAA クライアントが正しく設定されている場合、通常このセカンダリ Cisco Secure ACS を使用する AAA クライアントは、別の Cisco Secure ACS にフェールオーバーします。

c. セカンダリ Cisco Secure ACS が認証サービスを再開します。

Cisco Secure ACS は、プライマリ Cisco Secure ACS としてもセカンダリ Cisco Secure ACS としても動作できます。図 9-1 にカスケード複製シナリオの例を示します。サーバ 1 はプライマリ Cisco Secure ACS としてのみ動作し、セカンダリ Cisco Secure ACS として動作するサーバ 2 とサーバ 3 に複製します。サーバ 1 からサーバ 2 への複製が終わると、サーバ 2 はプライマリ Cisco Secure ACS として動作し、サーバ 4 とサーバ 5 に複製します。同じようにサーバ 3 はプライマリ Cisco Secure ACS として動作し、サーバ 6 とサーバ 7 に複製します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS に対して、プライマリ Cisco Secure ACS を設定する必要があります。この場合、複製をそのプライマリ Cisco Secure ACS から直接受信するか、間接的に受信するかということは関係ありません。図 9-1 の場合、サーバ 1 の AAA Servers テーブルには、他の 6 つの Cisco Secure ACS それぞれに対するエントリがなければなりません。エントリがないと、複製が行われても、サーバ 2 と 3 の AAA Servers テーブルにはサーバ 4 ~ 7 が存在しないため、複製は失敗します。


サーバ 2 が、サーバ 1 から複製を受信するように設定され、さらにサーバ 1 に複製するように設定されている場合、サーバ 2 への複製は失敗します。Cisco Secure ACS では、双方向複製と呼ばれるこのような設定をサポートしていません。このような複製が実行されることを防ぐため、セカンダリ Cisco Secure ACS は、Replication リストに自分のプライマリ Cisco Secure ACS が含まれている場合は複製を打ち切ります。

図 9-1 カスケード データベース複製

 

複製の頻度

Cisco Secure ACS が複製を行う頻度は、AAA の全体的なパフォーマンスと重大な関係があります。複製の頻度を高くするほど、セカンダリ Cisco Secure ACS はプライマリ Cisco Secure ACS の最新の状態に近くなります。頻度を高くすると、プライマリ Cisco Secure ACS で障害が発生した場合に、プライマリ Cisco Secure ACS に近い状態のセカンダリ Cisco Secure ACS を利用できます。

複製の頻度を高くするとコストがかかります。複製の頻度が高くなると、多重 Cisco Secure ACS アーキテクチャとネットワーク環境の負荷が大きくなります。複製を頻繁に実行するようにスケジューリングすると、ネットワーク トラフィックが増加します。また、複製システムにかかる処理負荷が増大します。複製によってシステム リソースが消費され、認証が少しの間中断されるため、頻繁に複製を繰り返すと、Cisco Secure ACS の AAA パフォーマンスへの影響が大きくなります。


) 複製が実行されるのは、プライマリ Cisco Secure ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。


この問題は、大規模データベースや変化が激しいデータベースで、はっきり現れます。データベース複製は、差分型ではなく破壊型バックアップです。言い換えると、実行するたびにセカンダリ Cisco Secure ACS のデータベースと設定は完全に置き換わります。したがって、データベースが大規模な場合は、転送されるデータの量が膨大なものになり、処理によるオーバーヘッドも大きくなる可能性があります。

実装上で重要な検討事項

CiscoSecure データベース複製機能をインプリメントする場合は、次の事項を十分考慮してください。

Cisco Secure ACS では、他の Cisco Secure ACS へのデータベース複製だけがサポートされます。CiscoSecure データベース複製に関連する Cisco Secure ACS はすべて、同じバージョンの Cisco Secure ACS を実行している必要があります。複製に関連する Cisco Secure ACS は、パッチ レベルも合わせておくことを強く推奨します。

複製に関連する Cisco Secure ACS すべてにおいて、AAA Servers テーブルを正しく設定する必要があります。

プライマリ Cisco Secure ACS は、その AAA Servers テーブルの中に、セカンダリ Cisco Secure ACS それぞれに対して、エントリを正確に設定しておく必要があります。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS に対して、プライマリ Cisco Secure ACS を設定する必要があります。この場合、複製をそのプライマリ Cisco Secure ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS を複製し、さらにその 2 つがそれぞれ 2 つの Cisco Secure ACS を複製する場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべてに対する AAA サーバ設定を持っている必要があります。


セカンダリ Cisco Secure ACS は、その AAA Servers テーブルの中に、自分のプライマリ Cisco Secure ACS それぞれ対して、エントリを正確に設定しておく必要があります。

プライマリ Cisco Secure ACS とそのセカンダリ Cisco Secure ACS すべての上で、プライマリ Cisco Secure ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。

適切に設定されている場合に限り、有効な Cisco Secure ACS はセカンダリ Cisco Secure ACS になります。データベース複製用のセカンダリ Cisco Secure ACS を設定する方法については、「セカンダリ Cisco Secure ACS の設定」を参照してください。

複製が実行されるのは、プライマリ Cisco Secure ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。スケジューリングされた複製、または手動で起動した複製が開始した場合、プライマリ Cisco Secure ACS は、そのデータベースが前回の正常な複製以降に変更されていないときは、複製を自動的に打ち切ります。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


セカンダリ Cisco Secure ACS への複製は、CiscoSecure Database Replication ページにある Replication Partners の下の Replication リストにある順番で順次実行されます。

複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、プライマリ Cisco Secure ACS からデータベース複製を受け入れるように設定されている必要があります。データベース複製用のセカンダリ Cisco Secure ACS を設定する方法については、「セカンダリ Cisco Secure ACS の設定」を参照してください。

Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。

ユーザ アカウントを複製する場合は、プライマリおよびセカンダリ
Cisco Secure ACS 上の外部データベース設定に必ず同じ名前を付けてください。セカンダリ Cisco Secure ACS に同じ名前のデータベース設定があるかどうかにかかわらず、複製されたユーザ アカウントには、認証サービスまたはポスチャ確認サービス用のデータベースとの関連が保持されます。たとえば、プライマリ Cisco Secure ACS 上の「WestCoast LDAP」というデータベースと関連付けられているユーザ アカウントの場合、すべてのセカンダリ Cisco Secure ACS 上の複製されたユーザ アカウントで「WestCoast LDAP」という外部ユーザ データベースとの関連が保持されます。これは、たとえその名前の LDAP データベース インスタンスを設定していない場合でも同じです。

NAC ポリシーを複製する場合、セカンダリ Cisco Secure ACS は、データベース名ではなく NAC データベースが作成された順序でポリシーを NAC データベースに関連付けます。たとえば、プライマリ Cisco Secure ACS に次の NAC データベースおよびポリシーの設定があるとします。

「NAC DB One」に「Policy One」を選択。

「NAC DB Two」に「Policy Two」を選択。

この場合に、セカンダリ Cisco Secure ACS で最初に「NAC DB Two」という NAC データベースが作成され、次に「NAC DB One」という NAC データベースが作成されると、複製後、次のポリシーが選択される結果になります。

「NAC DB One」に「Policy Two」を選択。

「NAC DB Two」に「Policy One」を選択。

ユーザ定義 RADIUS ベンダーと VSA を使用するユーザとグループの設定を複製するには、ユーザ定義 RADIUS ベンダーと VSA の定義をプライマリおよびセカンダリ Cisco Secure ACS 上に手動で追加し、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットが各 Cisco Secure ACS 上で一致していることを確認します。一致していれば、ユーザ定義 RADIUS ベンダーと VSA を使用する設定は複製できます。ユーザ定義 RADIUS ベンダーと VSA の詳細については、「カスタム RADIUS ベンダーと VSA」を参照してください。

データベース複製とバックアップの比較

データベース複製とシステム バックアップを混同しないようにしてください。データベース複製は、システム バックアップに代わるものではありません。どちらの機能も、サーバを部分的または全面的に失うことを防ぎますが、それぞれの機能は問題に対処する方法が異なっています。

システム バックアップでは、システムに障害が発生したりデータが破壊された場合に、後で設定の復元に使用できる形式でデータがアーカイブされます。バックアップ データはローカルのハード ドライブ上に格納され、長期保管するためにシステムからコピーして削除することが可能です。データベース バックアップ ファイルは数世代保存できます。

CiscoSecure データベース複製を利用すると、CiscoSecure データベースのさまざまなコンポーネントを別の Cisco Secure ACS にコピーできます。これによって、フェールオーバー AAA アーキテクチャを計画でき、設定タスクと保守タスクの複雑さを軽減できます。ごくまれに、CiscoSecure データベース複製によって、破壊されたデータベースが、バックアップ ファイルを生成する Cisco Secure ACS に伝わることもあります。


注意 破壊されたデータベースが複製される可能性があるため、特にミッションクリティカルな環境では、バックアップ計画を立てておくことを強く推奨します。Cisco Secure ACS または CiscoSecure データベースのバックアップの詳細については、「Cisco Secure ACS のバックアップ」および付録 D「CSUtil データベース ユーティリティ」を参照してください。

データベース複製のロギング

Cisco Secure ACS は、すべての複製イベントのログを、成功したかどうかに関係なく、次の 2 つのファイルに収集します。

Windows イベント ログ

データベース複製レポート

Windows イベント ログを表示するには、Windows の管理ユーティリティを使用します。Cisco Secure ACS の Reports and Activity セクションで最新レポートを確認できます。

Cisco Secure ACS レポートの詳細については、 第1章「概要」 を参照してください。

複製オプション

Cisco Secure ACS HTML インターフェイスには、CiscoSecure データベース複製の設定用に、この項で説明する 3 つのオプションが用意されています。

この項では、次のトピックについて取り上げます。

「複製コンポーネント オプション」

「Outbound Replication オプション」

「Inbound Replication オプション」

複製コンポーネント オプション

Cisco Secure ACS がプライマリ Cisco Secure ACS として送信する CiscoSecure データベース コンポーネント、およびセカンダリ Cisco Secure ACS として受信する CiscoSecure データベース コンポーネントの両方を指定できます。


セカンダリ Cisco Secure ACS が受信した CiscoSecure データベース コンポーネントは、セカンダリ Cisco Secure ACS の CiscoSecure データベース コンポーネントを上書きします。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。


CiscoSecure Database Replication ページの Replication Components テーブルには、複製するコンポーネントを管理する次のオプションが表示されます。

User and group database :グループとユーザの情報を複製します。このオプションを使用した場合、「Group database only」オプションは使用できません。

Group database only :グループの情報を複製します。ユーザの情報は複製しません。このオプションを使用した場合、「User and group database」オプションは使用できません。

Network Configuration Device tables :Network Configuration セクションの AAA Servers テーブルと AAA Clients テーブルを複製します。このオプションは、NDG を複製するかどうかも制御します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS に対して、プライマリ Cisco Secure ACS を設定する必要があります。この場合、複製をそのプライマリ Cisco Secure ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS を複製し、さらにその 2 つがそれぞれ 2 つの Cisco Secure ACS を複製する場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべてに対する AAA サーバ設定を持っている必要があります。


Distribution table :Network Configuration セクションの Proxy Distribution Table を複製します。

Interface configuration :Interface Configuration セクションから、Advanced Options 設定、RADIUS 設定、および TACACS+ 設定を複製します。

Interface security settings :Cisco Secure ACS HTML インターフェイスの管理者とセキュリティの情報を複製します。

Password validation settings :パスワード確認設定を複製します。

EAP-FAST master keys and policies :EAP-FAST 用のアクティブおよび非アクティブのマスター キーとポリシーを複製します。

CNAC policies :NAC ローカル ポリシー、外部ポリシー、およびアトリビュート定義を複製します。

セカンダリ Cisco Secure ACS にデータベース全体をミラーリングすることで、機密データ、たとえば Proxy Distribution Table が送信されることがある場合は、特定カテゴリのデータベース情報だけを送信するようにプライマリ Cisco Secure ACS を設定できます。

Outbound Replication オプション

CiscoSecure Database Replication ページの Outbound Replication テーブルには、複製の送信をスケジューリングし、このプライマリ Cisco Secure ACS に対するセカンダリ Cisco Secure ACS を指定できます。

Scheduling Options :CiscoSecure データベースを複製するタイミングを指定できます。この複製するタイミングを制御するオプションは、Outbound Replication テーブルの Scheduling セクションに次のように表示されます。

Manually :Cisco Secure ACS は自動データベース複製を実行しません。

Automatically Triggered Cascade :Cisco Secure ACS は、プライマリ Cisco Secure ACS からのデータベース複製が終わったとき、セカンダリ Cisco Secure ACS の設定されたリストにデータベース複製を実行します。このオプションによって、Cisco Secure ACS の伝搬階層を構築し、プライマリ Cisco Secure ACS から、他のすべての Cisco Secure ACS に複製コンポーネントを伝搬するという負荷を軽減できます。カスケード複製の図は、図 9-1 を参照してください。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS に対して、プライマリ Cisco Secure ACS を設定する必要があります。この場合、複製をそのプライマリ Cisco Secure ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS を複製し、さらにその 2 つがそれぞれ 2 つの Cisco Secure ACS を複製する場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべてに対する AAA サーバ設定を持っている必要があります。


Every X minutes :Cisco Secure ACS は、設定された頻度で、設定されたリストのセカンダリ Cisco Secure ACS にデータベース複製を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

At specific times... :Cisco Secure ACS は、日/時グラフに指定されている時刻に、設定されたリストのセカンダリ Cisco Secure ACS にデータベース複製を実行します。最小間隔は 1 時間で、指定した時刻に複製が実行されます。

Partner Options :このプライマリ Cisco Secure ACS のセカンダリ Cisco Secure ACS を指定できます。このオプションは、プライマリ Cisco Secure ACS の複製先にするセカンダリ Cisco Secure ACS を管理するもので、Outbound Replication テーブルの Partners セクションに表示されます。


) AAA Server リストと Replication リストに含まれている項目は、Network Configuration の AAA Servers テーブルに設定されている AAA サーバを反映しています。特定の Cisco Secure ACS をセカンダリ Cisco Secure ACS として利用できるようにするには、まず、その Cisco Secure ACS をプライマリ Cisco Secure ACS の AAA Servers テーブルに追加する必要があります。


AAA Server :このプライマリ Cisco Secure ACS が複製コンポーネントを送信しないセカンダリ Cisco Secure ACS のリストです。

Replication :このプライマリ Cisco Secure ACS が複製コンポーネントを送信するセカンダリ Cisco Secure ACS のリストです。

Replication timeout :このテキスト ボックスを使用して、このプライマリ Cisco Secure ACS がセカンダリ Cisco Secure ACS に複製を続行する分数を指定します。このタイムアウト値を超えると、Cisco Secure ACS は複製先のセカンダリ Cisco Secure ACS への複製を終了し、CSAuth サービスを再開します。複製タイムアウト機能は、複製通信の停止が原因である AAA サービスの損失を防止するために役立ちます。複製通信は、プライマリおよびセカンダリ Cisco Secure ACS 間のネットワーク接続が極端に低速な場合、またはどちらかの Cisco Secure ACS で障害が発生した場合に停止することがあります。デフォルト値は 5 分です。


ヒント 複製されるコンポーネントのサイズは、複製の所要時間に影響します。たとえば、80,000 個のユーザ プロファイルを含むユーザ データベースの複製には、500 個のユーザ プロファイルを含むユーザ データベースの複製よりも時間が長くかかります。実装に適したタイムアウト値を決定するには、正常な複製イベントを監視する必要がある場合もあります。



) Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


Inbound Replication オプション

セカンダリ Cisco Secure ACS に対する複製元となるプライマリ Cisco Secure ACS を指定できます。このオプションは、CiscoSecure Database Replication ページの Inbound Replication テーブルに表示されます。

Accept replication from リストは、現在の Cisco Secure ACS に対する複製コンポーネント送信元となる Cisco Secure ACS を管理します。このリストには、次のオプションが含まれています。

Any Known CiscoSecure ACS Server :このオプションが選択されている場合、Cisco Secure ACS は、Network Configuration の AAA Servers テーブルに設定されている Cisco Secure ACS すべてから複製コンポーネントを受け入れます。

Other AAA servers :このリストには、Network Configuration の AAA Servers テーブルに設定されている AAA サーバがすべて表示されています。特定の AAA サーバ名を選択すると、Cisco Secure ACS は、指定した Cisco Secure ACS からの複製コンポーネントだけを受け入れるようになります。


) Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

Cisco Secure ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

カスケード複製を使用する複製方式をインプリメントする場合は、別の Cisco Secure ACS から複製コンポーネントを受信したときに限り複製するように設定された Cisco Secure ACS が、プライマリ Cisco Secure ACS とセカンダリ Cisco Secure ACS の両方として動作します。最初はセカンダリ Cisco Secure ACS として動作して複製コンポーネントを受信し、次にプライマリ Cisco Secure ACS として動作して別の Cisco Secure ACS にコンポーネントを複製します。カスケード複製の図は、図 9-1 を参照してください。

Cisco Secure ACS でプライマリ複製セットアップとセカンダリ複製セットアップをインプリメントするには、次の手順を実行します。


ステップ 1 それぞれのセカンダリ Cisco Secure ACS で次の手順を実行します。

a. Network Configuration セクションで、プライマリ Cisco Secure ACS を AAA Servers テーブルに追加します。

AAA Servers テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. 複製コンポーネントを受信するようにセカンダリ Cisco Secure ACS を設定します。その方法については、「セカンダリ Cisco Secure ACS の設定」を参照してください。

ステップ 2 プライマリ Cisco Secure ACS で次の手順を実行します。

a. Network Configuration セクションで、それぞれのセカンダリ Cisco Secure ACS を AAA Servers テーブルに追加します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS に対して、プライマリ Cisco Secure ACS を設定する必要があります。この場合、複製をそのプライマリ Cisco Secure ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS を複製し、さらにその 2 つがそれぞれ 2 つの Cisco Secure ACS を複製する場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべてに対する AAA サーバ設定を持っている必要があります。


AAA Servers テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. スケジュールに従って複製する方法、一定間隔で複製する方法、プライマリ Cisco Secure ACS が別の Cisco Secure ACS から複製コンポーネントを受信したときに複製する方法については、「複製のスケジューリング」を参照してください。

c. 複製をすぐに開始する方法については、「即時複製」を参照してください。


 

セカンダリ Cisco Secure ACS の設定


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


CiscoSecure データベース複製機能を利用するには、特定の Cisco Secure ACS をセカンダリ Cisco Secure ACS として動作するように設定しておく必要があります。セカンダリ Cisco Secure ACS が受信するコンポーネントは明示的に指定する必要があり、同様にそのプライマリ Cisco Secure ACS も明示的に指定する必要があります。

複製は、常にプライマリ Cisco Secure ACS が開始します。複製コンポーネントの送信の詳細については、「即時複製」または 「複製のスケジューリング」を参照してください。


注意 セカンダリ Cisco Secure ACS が受信した CiscoSecure データベース コンポーネントは、セカンダリ Cisco Secure ACS の CiscoSecure データベース コンポーネントを上書きします。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。

始める前に

セカンダリ Cisco Secure ACS の AAA Servers テーブルが正しく設定されていることを確認します。このセカンダリ Cisco Secure ACS の AAA Servers テーブルには、プライマリ Cisco Secure ACS それぞれに対するエントリがなければなりません。さらに、各プライマリ Cisco Secure ACS 用の AAA Servers テーブル エントリは、プライマリ Cisco Secure ACS が自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

Cisco Secure ACS をセカンダリ Cisco Secure ACS に設定するには、次の手順を実行します。


ステップ 1 セカンダリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルで、プライマリ Cisco Secure ACS から受信する各データベース コンポーネントの Receive チェックボックスをオンにします。

複製コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 セカンダリ Cisco Secure ACS に対する複製コンポーネント送信元となる
Cisco Secure ACS が、Replication リストに含まれていないことを確認します。含まれている場合は、Replication リストでそのプライマリ Cisco Secure ACS を選択し、 <-- (左矢印)をクリックして AAA Servers リストに移動します。


) Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け入れます。載っている場合は、複製が打ち切られます。


ステップ 6 セカンダリ Cisco Secure ACS が複製コンポーネントをプライマリ Cisco Secure ACS の「1 つだけ」から受信するようにする場合は、Accept replication from リストで、プライマリ Cisco Secure ACS の名前を選択します。

Accept replication from リストで利用できるプライマリ Cisco Secure ACS は、Network Configuration セクションの AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


) プライマリ Cisco Secure ACS とすべてのセカンダリ Cisco Secure ACS 上で、プライマリ Cisco Secure ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 7 セカンダリ Cisco Secure ACS が複数のプライマリ Cisco Secure ACS から複製コンポーネントを受信する場合は、Accept replication from リストで Any Known CiscoSecure ACS Server を選択します。

Any Known CiscoSecure ACS Server オプションは、Network Configuration の AAA Servers テーブルのリストにある Cisco Secure ACS に制限されます。


) このセカンダリ Cisco Secure ACS の各プライマリ Cisco Secure ACS に対して、プライマリとセカンダリの両方の Cisco Secure ACS 上で、プライマリ Cisco Secure ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 8 Submit をクリックします。

Cisco Secure ACS は、複製設定を保存し、指定した頻度でまたは指定した時刻に、指定した相手 Cisco Secure ACS から複製コンポーネントを受信し始めます。


 

即時複製

データベース複製は手動で開始できます。


) 複製は、少なくとも 1 台のセカンダリ Cisco Secure ACS を設定するまでは実行できません。セカンダリ Cisco Secure ACS の設定方法の詳細については、「セカンダリ Cisco Secure ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ Cisco Secure ACS が正しく設定されていることを確認します。詳細な手順については、「Cisco Secure ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

この Cisco Secure ACSが複製コンポーネントを送信する各セカンダリ Cisco Secure ACS に対して、「セカンダリ Cisco Secure ACS の設定」の手順を完了します。

データベース複製をすぐに始めるには、次の手順を実行します。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


Database Replication Setup ページが表示されます。

ステップ 4 セカンダリ Cisco Secure ACS に複製する CiscoSecure データベース コンポーネントそれぞれに対して、Replication Components の下で、対応する Send チェックボックスをオンにします。

ステップ 5 プライマリ Cisco Secure ACS が選択した自分のコンポーネントを複製するセカンダリ Cisco Secure ACS それぞれに対して、AAA Servers リストでセカンダリ Cisco Secure ACS を選択してから、 --> (右矢印ボタン)をクリックします。


ヒント セカンダリ Cisco Secure ACS を Replication リストから削除するには、セカンダリ Cisco Secure ACS を Replication リストで選択してから <--(左矢印ボタン)をクリックします。


) Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


ステップ 6 Replication timeout テキスト ボックスで、この Cisco Secure ACS が各セカンダリ Cisco Secure ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再開されます。

ステップ 7 ブラウザ ウィンドウの下部で Replicate Now をクリックします。

Cisco Secure ACS が複製設定を保存します。Cisco Secure ACS が、複製されたデータベース コンポーネントを指定したセカンダリ Cisco Secure ACS にすぐに送信し始めます。


) 複製が実行されるのは、プライマリ Cisco Secure ACS のデータベースが前回の正常な複製以降に変更されている場合だけです。複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。



 

複製のスケジューリング

プライマリ Cisco Secure ACS が自分の複製データベース コンポーネントをセカンダリ Cisco Secure ACS に送信するタイミングをスケジューリングできます。複製スケジューリング オプションの詳細については、「Outbound Replication オプション」を参照してください。


) 複製は、セカンダリ Cisco Secure ACS が正しく設定されていないと実行されません。詳細については、「セカンダリ Cisco Secure ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ Cisco Secure ACS が正しく設定されていることを確認します。詳細な手順については、「Cisco Secure ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

このプライマリ Cisco Secure ACS のセカンダリ Cisco Secure ACS それぞれで、「セカンダリ Cisco Secure ACS の設定」の手順を完了します。

プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に複製するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


Database Replication Setup ページが表示されます。

ステップ 4 プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に送信する CiscoSecure データベース コンポーネントを指定するには、Replication Components の下で、送信するデータベース コンポーネントそれぞれに対応する Send チェックボックスをオンにします。

複製データベース コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に複製データベース コンポーネントを一定間隔で送信するようにするには、Replication Scheduling で Every X minutes オプションを選択し、Cisco Secure ACS が複製を実行する間隔を X ボックスに入力します(最大 7 文字)。


) Cisco Secure ACS は複製中に一時的にシャットダウンされるため、複製間隔を短くすると、AAA クライアントが他の Cisco Secure ACS に頻繁にフェールオーバーすることになります。AAA クライアントが別の Cisco Secure ACS にフェールオーバーするように正しく設定されていない場合は、認証サービスが短時間中断して、ユーザが認証できなくなることがあります。詳細については、「複製の頻度」を参照してください。


ステップ 6 プライマリ Cisco Secure ACS が複製データベース コンポーネントをセカンダリ Cisco Secure ACS に送信する時刻をスケジューリングする場合は、次の手順を実行します。

a. Outbound Replication テーブルで、 At specific times オプションを選択します。

b. 日/時グラフで、Cisco Secure ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 7 この Cisco Secure ACS が、他の Cisco Secure ACS から複製データベース コンポーネントを受信したとき、すぐに複製データベース コンポーネントを送信するようにする場合は、 Automatically triggered cascade オプションを選択します。


) Automatically triggered cascade オプションを指定する場合は、他の Cisco Secure ACS を、この Cisco Secure ACS のプライマリ Cisco Secure ACS として動作するように設定する必要があります。その設定をしないと、この Cisco Secure ACS はセカンダリ Cisco Secure ACS に複製しません。


ステップ 8 この Cisco Secure ACS の複製先となるセカンダリ Cisco Secure ACS を指定します。複製先を指定するには、次の手順を実行します。


) Cisco Secure ACS では、双方向データベース複製はサポートされていません。複製データベース コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リストに、プライマリ Cisco Secure ACS が載っていないことを確認します。載っていない場合、セカンダリ Cisco Secure ACS は複製データベース コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。複製パートナーの詳細については、「Inbound Replication オプション」を参照してください。


a. Outbound Replication テーブルで、プライマリ Cisco Secure ACS が選択された複製データベース コンポーネントを送信するセカンダリ Cisco Secure ACS の名前を AAA Servers リストで選択します。


) AAA Servers リストで利用できるセカンダリ Cisco Secure ACS は、Network Configuration の AAA Servers テーブルで決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択したセカンダリ Cisco Secure ACS が Replication リストに移動します。

c. プライマリ Cisco Secure ACS が選択された複製データベース コンポーネントを送信するセカンダリ Cisco Secure ACS それぞれに対して、ステップ a とステップ b を繰り返します。

ステップ 9 Replication timeout テキスト ボックスで、この Cisco Secure ACS が各セカンダリ Cisco Secure ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再開されます。

ステップ 10 Submit をクリックします。

Cisco Secure ACS が複製設定を保存します。


 

CiscoSecure データベース複製のディセーブル化

スケジューリング済み CiscoSecure データベース複製は、スケジュール自体を残したままディセーブルにできます。この操作を実行すると、スケジューリング済み複製を一時的に中止し、後でスケジュール情報を再入力しなくてもスケジューリング済み複製を再開できます。

CiscoSecure データベース複製をディセーブルにするには、次の手順を実行します。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルですべてのチェックボックスをオフにします。

ステップ 5 Outbound Replication テーブルで、 Manually オプションを選択します。

ステップ 6 Submit をクリックします。

Cisco Secure ACS がこの Cisco Secure ACS サーバの複製を禁止します。


 

データベース複製イベントのエラー

データベース複製レポートには、複製中に発生したエラーを示すメッセージが含まれています。データベース複製レポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

RDBMS 同期化

この項では、RDBMS 同期化機能について、Cisco Secure ACS と関連する外部データ ソースの両方で、この機能をインプリメントする方法を中心に説明します。

この項では、次のトピックについて取り上げます。

「RDBMS 同期化について」

「ユーザ」

「ユーザ グループ」

「ネットワーク設定」

「カスタム RADIUS ベンダーと VSA」

「RDBMS 同期化のコンポーネント」

「CSDBSync について」

「accountActions テーブルについて」

「accountActions テーブルを使用する Cisco Secure ACS データベースの復旧」

「レポートとイベント(エラー)の処理」

「RDBMS 同期化の使用準備」

「CSV ベース同期化を使用するときの検討事項」

「CSV ベース同期化の準備」

「RDBMS 同期化用のシステム データ ソース名の設定」

「RDBMS 同期化のオプション」

「RDBMS セットアップ オプション」

「同期化スケジューリング オプション」

「同期化パートナー オプション」

「RDBMS 同期化の即時実行」

「RDBMS 同期化のスケジューリング」

「スケジューリング済み RDBMS 同期化のディセーブル化」

RDBMS 同期化について

RDBMS 同期化機能では、CiscoSecure ユーザ データベースを ODBC に準拠したデータ ソースの情報でアップデートできます。ODBC に準拠したデータ ソースは、サードパーティ製アプリケーションの RDBMS のデータベースとして使用できます。また、サードパーティ システムが更新する中間ファイルまたはデータベースとしても使用できます。ファイルまたはデータベースの常駐場所にかかわらず、Cisco Secure ACS は、ODBC 接続を使用してファイルまたはデータベースを読み取ります。RDBMS 同期化を API と見なすこともできます。つまり、ユーザ、グループ、デバイス用に Cisco Secure ACS HTML インターフェイスを通して設定できるものの多くは、代わりにこの機能を使用して保守ができます。RDBMS 同期化では、アクセスできるすべてのデータ項目に対して追加、修正、削除が可能です。

同期化を定期的なスケジュールで実行するように設定できます。手動で同期化を実行し、CiscoSecure ユーザ データベースを要求に応じて更新もできます。

1 台の Cisco Secure ACS が実行する同期化によって、他の Cisco Secure ACS の内部データベースをアップデートできるため、RDBMS 同期化を設定する必要があるのは 1 台の Cisco Secure ACS だけです。Cisco Secure ACS は、TCP ポート 2000 で同期化データを傍受します。Cisco Secure ACS 間の RDBMS 同期化通信は、独自の 128 ビット暗号化アルゴリズムを使用して暗号化されています。

このトピックでは、RDBMS 同期化によって自動化できる設定のタイプの概要を説明します。アクションは、accountActions という名前のリレーショナル データベース テーブルまたはテキスト ファイルで指定します。accountActions の詳細については、「accountActions テーブルについて」を参照してください。RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ユーザ

RDBMS 同期化が実行できるユーザ関連の設定アクションには、次のものがあります。

ユーザの追加

ユーザの削除

パスワードの設定

ユーザのグループ メンバーシップの設定

Max Sessions パラメータの設定

ネットワーク使用割当量パラメータの設定

コマンド許可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

IP アドレスの割り当て

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


ユーザ グループ

RDBMS 同期化が実行できるグループ関連の設定アクションには、次のものがあります。

Max Sessions パラメータの設定

ネットワーク使用割当量パラメータの設定

コマンド許可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


ネットワーク設定

RDBMS 同期化が実行できるネットワーク デバイス関連の設定アクションには、次のものがあります。

AAA クライアントの追加

AAA クライアントの削除

AAA クライアントの詳細設定

AAA サーバの追加

AAA サーバの削除

AAA サーバの詳細設定

Proxy Distribution Table エントリの追加と設定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


カスタム RADIUS ベンダーと VSA

RDBMS 同期化を利用すると、カスタム RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を設定できます。事前定義済みの RADIUS ベンダーと VSA のセットに加えて、Cisco Secure ACS はユーザが定義する RADIUS ベンダーと VSA もサポートします。ユーザが追加するベンダーは IETF に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートにする必要があります。

カスタム RADIUS ベンダーは 10 個まで定義できます。Cisco Secure ACS は、どのベンダーについてもインスタンスを 1 つだけ許容します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含めて、プライマリおよびセカンダリの Cisco Secure ACS 上において同一である必要があります。データベース複製の詳細については、「CiscoSecure データベース複製」を参照してください。


RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

RDBMS 同期化のコンポーネント

RDBMS 同期化機能は、次の 2 つのコンポーネントで構成されています。

CSDBSync専用の Windows サービス。Cisco Secure ACS 用にユーザとグループ アカウントの自動管理サービスを実行します。

accountActions Table :データ オブジェクト。CSDBSync が、CiscoSecure ユーザ データベースのアップデートに使用する情報を保持しています。

CSDBSync について

CSDBSync サービスは、ODBC システムの Data Source Name(DSN; データ ソース名)を使用して accountActions テーブルにアクセスします。図 9-2 を参照してください。このサービスは、具体的には、「accountActions」という名前のテーブルを検索します。CSDBSync が accountActions テーブルにアクセスできない場合、同期化イベントは失敗します。

図 9-2 RDBMS 同期化

 

CSDBSync は、accountActions テーブルから各レコードを読み取り、レコード内のアクション コードに指定されているように CiscoSecure ユーザ データベースを更新します。たとえば、レコードの指示によって、CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環境では、シニア同期化パートナーである 1 台の Cisco Secure ACS が accountActions テーブルにアクセスし、その同期化パートナーに同期化コマンドを送信します。図 9-2 では、Cisco Secure Access Control Server 1 がシニア同期化パートナーで、その他の 2 つの Cisco Secure ACS がその同期化パートナーです。


) シニア同期化パートナーには、その同期化パートナーである各 Cisco Secure ACS 用の AAA 設定が必要です。同様に、各同期化パートナーには、シニア パートナー用の AAA サーバ設定が必要です。シニア パートナーからの同期化コマンドは、同期化コマンドを受信する Cisco Secure ACS にシニア パートナー用の AAA サーバ設定がない場合は無視されます。


CSDBSync は、accountActions テーブルで読み取りと書き込み(レコードの削除)の両方を実行します。CSDBSync は、それぞれのレコードを処理した後で、テーブルからそのレコードを削除します。この処理を行うために、使用するシステム DSN を設定するデータベース ユーザ アカウントには、読み取り特権と書き込み特権の両方が必要です。

Cisco Secure ACS が使用する CSDBSync とその他の Windows サービスの詳細については、 第1章「概要」 を参照してください。

accountActions テーブルについて

accountActions テーブルには、CSDBSync が CiscoSecure ユーザ データベースで実行するアクションを定義した行のセットが入っています。accountActions テーブルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。さらに、アクション フィールドが 1 つとその他のフィールドがいくつか含まれています。このフィールドは、CiscoSecure ユーザ データベースの更新に必要となる情報を CSDBSync に提供します。accountActions テーブルの形式と利用可能なアクション全体の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

accountActions テーブルを含むデータベースは、マルチスレッド ODBC ドライバをサポートする必要があります。このドライバは、Cisco Secure ACS とサードパーティ システムが、accountActions テーブルに同時にアクセスを試みた場合に発生する問題を避けるために必要になります。

Cisco Secure ACS には、よく使用される複数の形式で accountActions テーブルを作成できるようにするファイルが含まれています。このファイルは、Cisco Secure ACS をデフォルトでインストールした場合、Cisco Secure ACS の次の場所にあります。

C:\Program Files\CiscoSecure ACS vx.x\CSDBSync\Databases

Databases ディレクトリには、次のサブディレクトリがあります。

Access CiscoSecure Transactions.mdb というファイルが格納されています。

CiscoSecure Transactions.mdb には、事前に定義された accountActions テーブルが含まれています。Cisco Secure ACS をインストールすると、インストール ルーチンによって、CiscoSecure DBSync というシステム DSN が作成されます。このシステム DSN は、 CiscoSecure Transactions.mdb と通信するように設定されています。


CiscoSecure Transactions.mdb データベースのユーザ名とパスワードは、デフォルトで NULL に設定されています。このデータベースを使用して実行される RDBMS 同期化のセキュリティを確保するため、CiscoSecure Transactions.mdb データベースと Cisco Secure ACS の両方でユーザ名とパスワードを変更してください。CiscoSecure Transactions.mdb データベースにアクセスする他のプロセスもすべて、新しいユーザ名とパスワードを使用するように変更します。


CSV accountactions schema.ini というファイルが格納されています。

accountactions ファイルは、カンマ区切り値ファイル形式の accountActions テーブルです。 schema.ini ファイルは、accountactions ファイルへのアクセスに必要な情報を Microsoft ODBC テキスト ファイル ドライバに提供します。

Oracle 7 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 7 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Oracle 7 SQL プロシージャが含まれています。

Oracle 8 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 8 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Oracle 8 SQL プロシージャが含まれています。

SQL Server 6.5 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Microsoft SQL Server 6.5 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Microsoft SQL Server 6.5 SQL プロシージャが含まれています。

accountActions テーブルを使用する Cisco Secure ACS データベースの復旧

RDBMS 同期化機能では、accountActions テーブルの各レコードが処理後に削除されるため、accountActions テーブルはトランザクション キューと見なすことができます。RDBMS 同期化機能では、トランザクション ログや監査トレールは保持されません。ログが必要な場合は、accountActions テーブルにレコードを追加する外部システムでログを作成する必要があります。外部システムで accountActions テーブルに完全なトランザクション履歴を再作成できない場合は、復旧用にトランザクション ログ ファイルを作成することを推奨します。トランザクション ログ ファイルを作成するには、安全な場所に保存され、定期的にバックアップされるセカンド テーブルを作成します。このセカンド テーブルに、accountActions テーブルのレコードの追加と更新をすべてミラーリングしてください。

データベースの規模が大きい場合は、すべてのトランザクション ログを再生して CiscoSecure ユーザ データベースをサードパーティ システムに同期させる方法は現実的ではありません。その代わりに CiscoSecure ユーザ データベースを定期的にバックアップし、最新バックアップの時刻からのトランザクション ログを再生して、CiscoSecure ユーザ データベースをサードパーティ システムと同期化します。バックアップ ファイルの作成の詳細については、「Cisco Secure ACS のバックアップ」を参照してください。

チェックポイントよりも多少前の時点のトランザクション ログを再生すると、一部のトランザクションが無効となり、エラーがレポートされる場合がありますが、CiscoSecure ユーザ データベースに損害が及ぶことはありません。トランザクション ログ全体を再生すれば、CiscoSecure ユーザ データベースと外部 RDBMS アプリケーションのデータベースは一貫性が維持されます。

レポートとイベント(エラー)の処理

CSDBSync サービスでは、イベントとエラーをロギングできます。RDBMS 同期化ログの詳細については、「Cisco Secure ACS システム ログ」を参照してください。CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。

手動で同期をとる場合は、Cisco Secure ACS は警報を表示して同期中に発生した問題を通知します。

RDBMS 同期化の使用準備

accountActions テーブルのデータを使用して CiscoSecure ユーザ データベースの同期をとるには、Cisco Secure ACS の外部でいくつかの手順を実行してから Cisco Secure ACS 内部で RDBMS 同期化機能を設定する必要があります。
accountActions テーブルとして CSV ファイルを使用する場合は、「CSV ベース同期化を使用するときの検討事項」も参照してください。

RDBMS 同期化を準備するには、次の手順を実行します。


ステップ 1 accountActions テーブルの作成場所と形式を決めます。accountActions テーブルの詳細については、「accountActions テーブルについて」を参照してください。accountActions テーブルの形式と内容の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ステップ 2 accountActions テーブルを作成します。

ステップ 3 レコードを生成してそのレコードで accountActions テーブルを更新するように、サードパーティ システムを構成します。この構成では、イベントが起動された時点で accountActions テーブルに書き込むストアド プロシージャの作成が必要になる可能性がありますが、accountActions テーブルを保守するメカニズムは、実装している構成固有のものです。accountActions テーブルの更新に使用するサードパーティ システムが市販の商品である場合は、参考のために、サードパーティ システム ベンダーが提供するマニュアルを参照してください。

accountActions テーブルの形式と内容については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ステップ 4 サードパーティ システムを確認して、accountActions テーブルが正しく更新されることを確認します。accountActions テーブルに生成される行は有効である必要があります。accountActions テーブルの形式と内容の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。


) サードパーティ システムが accountActions テーブルを正しくアップデートすることをテストしたら、ステップ 6ステップ 7 を実行するまで accountActions テーブルのアップデートを中断します。


ステップ 5 分散 AAA 環境で複数の Cisco Secure ACS を同期させる場合は、次の手順を実行します。

a. サードパーティ システムとの通信に使用する Cisco Secure ACS を決定します。これがシニア同期化パートナーになります。後でこれに対して、同期化パートナーに同期化データを送信する設定を行います。同期化パートナーは、同期化を必要とするその他の Cisco Secure ACS です。

b. シニア同期化パートナーに、各同期化パートナー用の AAA サーバ設定があることを確認します。見当たらない同期化パートナーの AAA サーバ設定を追加します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

c. その他の同期化パートナーすべてに、シニア同期化パートナー用の AAA サーバ設定があることを確認します。シニア同期化パートナー用の AAA サーバ設定がない場合は、作成します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

シニア同期化パートナーとその他の同期化パートナー間の同期化がイネーブルになります。

ステップ 6 シニア同期化パートナー(サードパーティ システムと通信する Cisco Secure ACS)でシステム DSN を設定します。手順については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

ステップ 7 シニア同期化パートナーで RDBMS 同期化をスケジューリングします。手順については、「RDBMS 同期化のスケジューリング」を参照してください。

ステップ 8 CiscoSecure ユーザ データベースにインポートされる情報で accountActions テーブルを更新し始めるように、サードパーティ システムを設定します。

ステップ 9 Reports and Activity セクションで RDBMS 同期化レポートを監視して、RDBMS 同期化が正しく動作していることを確認します。RDBMS 同期化ログの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

CSDBSync サービス ログも監視します。CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。


 

CSV ベース同期化を使用するときの検討事項

CSV ベースの accountActions テーブルを使用する場合は、テキスト ファイル用 Microsoft ODBC ドライバの動作について検討してください。テキスト ファイル用 Microsoft ODBC ドライバは、読み取り専用モードで常に動作します。CSV の accountActions テーブルのレコードは削除できません。このため、HTML インターフェイスで起動またはスケジューリングされた同期化イベントが CSV ファイルを解放しないため、サードパーティ システムからの accountActions テーブルの更新は失敗します。

これを解決するには、スクリプト(DOS バッチ ファイルなど)から同期化イベントを起動します。スクリプトでは、RDBMS 同期化は CSDBSync -run コマンドで起動されます。

デフォルト インストレーションの場合、CSDBSync.exe は次の場所にインストールされています。

C:\Program Files\CiscoSecure ACS vx.x\CSDBSync

CSDBsync コマンドを使用するスクリプトを作成できます。スクリプトを実行するタイミングは、Windows の at コマンドを使用してスケジューリングできます。 at コマンドの詳細については、Microsoft Windows のマニュアルを参照してください。

Microsoft ODBC テキスト ファイル ドライバの制限事項のため、CSV 形式を使用する場合は、Cisco Secure ACS に付属している accountactions CSV ファイルの変更、および Cisco Secure ACS 設定の変更が必要です。詳細については、「CSV ベース同期化の準備」を参照してください。

CSV ベース同期化の準備

accountActions テーブルに CSV ファイルを使用する場合は、設定を追加する必要があります。ファイルに .csv ファイル拡張子が付いていないと、Microsoft ODBC CSV ドライバが accountActions テーブルにアクセスできないためです。

CSV ファイルを使用する RDBMS 同期化を準備するには、次の手順を実行します。


ステップ 1 Cisco Secure ACS が動作するコンピュータにインストールされている accountactions CSV ファイルの名前を accountactions.csv に変更します。

Cisco Secure ACS をデフォルトでインストールした場合、accountactions ファイルは次の場所にあります。

C:\Program Files\CiscoSecure ACS vx.x\CSDBSync\Databases\CSV

x.x は Cisco Secure ACS のバージョンです。

ステップ 2 Windows レジストリを次のように編集します。

a. 次のキーにアクセスします。

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv x . x \CSDBSync

b. OdbcUpdateTable の値を AccountActions から accountactions.csv に変更します。


) OdbcUpdateTable 値が accountactions.csv の場合は、CSV ファイルの代わりにリレーショナル データベース テーブルを使用して同期化を実行することはできません。リレーショナル データベース テーブルを使用して同期化を実行するには、OdbcUpdateTable 値を AccountActions に戻す必要があります。


c. レジストリの変更内容を保存します。

Cisco Secure ACS が、accountactions.csv という名前のファイルを使用する、CSV ベースの同期化だけを実行するように設定されます。

ステップ 3 DOS プロンプトで、次の手順を実行します。

a. 次のように入力します。

net stop CSDBSync

Enter キーを押します。

b. 次のように入力します。

net start CSDBSync

Enter キーを押します。

これで、Microsoft ODBC CSV ドライバが accountActions CSV ファイルに正しくアクセスできるようになりました。


 

RDBMS 同期化用のシステム データ ソース名の設定

Cisco Secure ACS 上にシステム DSN が存在するとき、Cisco Secure ACS は accountActions テーブルにアクセスできます。Cisco Secure ACS に付属の CiscoSecure Transactions.mdb Microsoft Access データベースを使用する場合は、システム DSN を作成せずに CiscoSecure DBSync システム DSN を使用できます。

CiscoSecure Transactions.mdb ファイルの詳細については、「RDBMS 同期化の使用準備」を参照してください。

RDBMS 同期化で使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 Windows の Control Panel から、ODBC Data Source Administrator ウィンドウを開きます。


ヒント Windows 2000 の場合、ODBC Data Sources アイコンは Administrative Tools フォルダにあります。

ステップ 2 ODBC Data Source Administrator ウィンドウの System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに DSN の名前を入力します。

ステップ 6 選択した ODBC ドライバに必要な他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のデータベースが稼働するサーバの IP アドレスが含まれています。

ステップ 7 OK をクリックします。

DSN に指定した名前が System Data Sources リストに表示されます。

ステップ 8 ODBC ウィンドウと Windows の Control Panel を閉じます。

accountActions テーブルにアクセスするために Cisco Secure ACS が使用するシステム DSN が、Cisco Secure ACS に作成されます。


 

RDBMS 同期化のオプション

System Configuration から利用できる RDBMS Synchronization Setup ページでは、RDBMS 同期化機能を制御できます。このページには 3 つのテーブルが表示されます。この項では、それらのテーブルのオプションについて説明します。

この項では、次のトピックについて取り上げます。

「RDBMS セットアップ オプション」

「同期化スケジューリング オプション」

「同期化パートナー オプション」

RDBMS セットアップ オプション

RDBMS Setup テーブルは、Cisco Secure ACS が accountActions テーブルにアクセスする方法を定義します。次のオプションがあります。

Data Source :Cisco Secure ACS 上で利用できるシステム DSN 全部の中から、accountActions テーブルへのアクセスに使用するシステム DSN を指定します。

Username :accountActions テーブルを含むデータベースへのアクセスに Cisco Secure ACS が使用するユーザ名を指定します。


) ユーザ名で指定するデータベース ユーザ アカウントには、
accountActions テーブルで読み取りと書き込みを行う特権が必要です。


Password :accountActions テーブルを含むデータベースへのアクセスに Cisco Secure ACS が使用するパスワードを指定します。

同期化スケジューリング オプション

Synchronization Scheduling テーブルは、同期化の実行タイミングを定義します。次のスケジューリング オプションがあります。

Manually :Cisco Secure ACS は自動 RDBMS 同期化を実行しません。

Every X minutes :Cisco Secure ACS は、指定された頻度で同期化を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

At specific times... :Cisco Secure ACS は、日/時グラフで指定された時刻に同期化を実行します。最小間隔は 1 時間で、指定した時刻に同期化が実行されます。

同期化パートナー オプション

Synchronization Partners テーブルは、accountActions テーブルのデータに同期させる Cisco Secure ACS を定義します。次のオプションがあります。

AAA Server :このリストは、それに対して Cisco Secure ACS が RDBMS 同期化を「実行しない」ように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。

Synchronize :このリストは、それに対して Cisco Secure ACS が RDBMS 同期化を「実行する」ように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。このリストにある AAA サーバは、この Cisco Secure ACS の同期化パートナーです。同期化において、この Cisco Secure ACS とその同期化パートナー間の通信では、128 ビット暗号化された Cisco 固有のプロトコルが使用されます。同期化パートナーは、TCP ポート 2000 で同期化データを受信します。


) 各同期化パートナーの Network Configuration セクションに、この Cisco Secure ACS と対応する AAA サーバ設定があることが必要です。設定されていない場合、この Cisco Secure ACS が送信する同期化コマンドは無視されます。


Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

RDBMS 同期化の即時実行

RDBMS 同期化イベントは手動で開始できます。

手動で RDBMS 同期化を実行するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、RDBMS Synchronization チェックボックスをオンにします。


RDBMS Synchronization Setup ページが表示されます。

ステップ 3 RDBMS Setup テーブルでオプションを指定するには、次の手順を実行します。


) RDBMS セットアップの詳細については、「RDBMS セットアップ オプション」を参照してください。


a. Data Source リストで、accountActions テーブルを含むデータベースと通信するように設定したシステム DSN を選択します。

RDBMS 同期化で使用するシステム DSN の設定の詳細については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

b. accountActions テーブルの読み取りアクセス特権と書き込みアクセス特権があるデータベース ユーザ アカウントのユーザ名を Username ボックスに入力します。

c. ステップ b で指定したユーザ名のパスワードを Password ボックスに入力します。

Cisco Secure ACS に、accountActions テーブルへのアクセスに必要な情報が含まれます。


) Replication Scheduling の Manually を選択する必要はありません。詳細については、「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。


ステップ 4 accountActions テーブルのデータを使用してこの Cisco Secure ACS をアップデートする Cisco Secure ACS それぞれに対して、AAA Servers リストで Cisco Secure ACS を選択してから --> (右矢印ボタン)をクリックします。

選択した Cisco Secure ACS が Synchronize リストに表示されます。

ステップ 5 Cisco Secure ACS を Synchronize リストから削除するには、Synchronize リストで Cisco Secure ACS を選択してから <-- (左矢印ボタン)をクリックします。

選択した Cisco Secure ACS が AAA Servers リストに表示されます。

ステップ 6 ブラウザ ウィンドウの一番下にある Synchronize Now をクリックします。

Cisco Secure ACS が同期化イベントをすぐに開始します。同期化のステータスをチェックするには、Reports and Activity で RDBMS 同期化レポートを表示します。


 

RDBMS 同期化のスケジューリング

Cisco Secure ACS が RDBMS 同期化を実行するタイミングをスケジューリングできます。

Cisco Secure ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、RDBMS Synchronization チェックボックスをオンにします。


RDBMS Synchronization Setup ページが表示されます。

ステップ 3 RDBMS Setup テーブルでオプションを指定するには、次の手順を実行します。


) RDBMS セットアップの詳細については、「RDBMS セットアップ オプション」を参照してください。


a. Data Source リストで、accountActions テーブルを含むデータベースと通信するように設定したシステム DSN を選択します。

RDBMS 同期化で使用するシステム DSN の設定の詳細については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

b. accountActions テーブルの読み取りアクセス特権と書き込みアクセス特権があるデータベース ユーザ アカウントのユーザ名を Username ボックスに入力します。

c. ステップ b で指定したユーザ名のパスワードを Password ボックスに入力します。

ステップ 4 この Cisco Secure ACS に RDBMS 同期化を一定間隔で実行させるには、
Synchronization Scheduling で Every X minutes オプションを選択し、Cisco Secure ACS が同期化を実行する間隔を X ボックスに入力します(最大 7 文字)。

ステップ 5 この Cisco Secure ACS が RDBMS 同期化を実行する時刻をスケジューリングするには、次の手順を実行します。

a. Synchronization Scheduling の下で At specific times オプションを選択します。

b. 日/時グラフで、Cisco Secure ACS が RDBMS 同期化を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 6 accountActions テーブルのデータを使用して同期をとる Cisco Secure ACS それぞれに対して、次の手順を実行します。


) 同期化ターゲットの詳細については、「Inbound Replication オプション」を参照してください。


a. Synchronization Partners テーブルの AAA Servers リストで、accountActions テーブルのデータを使用してこの Cisco Secure ACS をアップデートする Cisco Secure ACS の名前を選択します。


) AAA Servers リストで利用できる Cisco Secure ACS は、Network Configuration の AAA Servers テーブルと現在の Cisco Secure ACS サーバの名前で決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択した Cisco Secure ACS が Synchronize リストに移動します。


) 少なくとも 1 台の Cisco Secure ACS が Synchronize リストにあることが必要です。このリストには、RDBMS 同期を設定しているサーバが含まれます。RDBMS 同期化は、現在のサーバの内部データベースは自動的に含めません。


ステップ 7 Submit をクリックします。

Cisco Secure ACS は、作成した RDBMS 同期スケジュールを保存します。


 

スケジューリング済み RDBMS 同期化のディセーブル化

スケジューリング済み RDBMS 同期化イベントは、スケジュール自体を残したままディセーブルにできます。この操作を実行すると、スケジューリング済みの同期化を終了し、後で再開することが、スケジュールを再作成しなくても可能になります。

スケジューリング済み RDBMS 同期化をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。

RDBMS Synchronization Setup ページが表示されます。

ステップ 3 Synchronization Scheduling で Manually オプションを選択します。

ステップ 4 Submit をクリックします。

Cisco Secure ACS は、スケジュール済み RDBMS 同期化を実行しなくなります。


 

IP プール サーバ

この項では、IP プール機能について、IP プールの作成手順と維持手順を中心に説明します。

この項では、次のトピックについて取り上げます。

「IP プール サーバについて」

「重複 IP プールの許可または固有プール アドレス範囲の強制」

「AAA Server IP Pools テーブルの更新」

「新しい IP プールの追加」

「IP プール定義の編集」

「IP プールのリセット」

「IP プールの削除」

IP プール サーバについて

VPN を使用している場合は、IP アドレスの割り当てを重複させることが必要になる場合もあります。つまり、ある特定のトンネル内の PPTP トンネル クライアントに対して、他のトンネル内の別の PPTP トンネル クライアントと同じ IP アドレスを使用すると都合がいい場合があります。IP プール サーバ機能を利用すると、複数のユーザに同じ IP アドレスを割り当てることができます。ただし、ユーザがネットワークの境界を越えてルーティング用の異なるホーム ゲートウェイにそれぞれトンネリングされている必要があります。これによって、不正なアドレスを使用する手法を採用しなくても、IP アドレス空間を節約できます。IP プール機能をイネーブルにすると、Cisco Secure ACS は番号または名前によって定義された IP プールから IP アドレスをダイナミックに発行します。IP プールは、最大 999 個を、合計で約 255,000 のユーザに対して設定できます。

IP プールとプロキシを使用している場合は、すべてのアカウンティング パケットがプロキシ化されるため、IP アドレスを割り当てる Cisco Secure ACS は、IP アドレスがすでに使用中であるかどうかを確認できます。


CiscoSecure データベース複製機能では、IP プール定義は複製されませんが、ユーザとグループの IP プールへの割り当ては複製されます。IP プール定義が複製されないのは、複製パートナーがすでに他のワークステーションに割り当てた IP アドレスを、Cisco Secure ACS が偶然に割り当てることを防ぐためです。複製を使用する AAA 環境で IP プールをサポートするには、プライマリ Cisco Secure ACS に定義されている IP プールと同じ名前を使用して、各セカンダリ Cisco Secure ACS に手作業で IP プールを設定する必要があります。


IP プールを使用するには、AAA クライアントで、ネットワーク許可(IOS では aaa authorization network )とアカウンティング(IOS では aaa accounting )をイネーブルにしておく必要があります。


) IP プール機能を使用するには、同じプロトコル(TACACS+ または RADIUS のどちらか一方)を使用して認証とアカウンティングを実行するように AAA クライアントをセットアップする必要があります。


グループまたはユーザを IP プールに割り当てる方法については、「IP アドレス割り当て方式をユーザ グループに対して設定する」または 「ユーザをクライアント IP アドレスに割り当てる」を参照してください。

重複 IP プールの許可または固有プール アドレス範囲の強制

Cisco Secure ACS は、重複プールの自動検出を行います。


重複プールを使用するには、VPN で RADIUS を使用している必要があり、
Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト設定プロトコル)は使用できません。


IP プールの重複が許可されているかどうかは、AAA Server IP Pools テーブルの下に、次のどちらのボタンが表示されているかによって判断できます。

Allow Overlapping Pool Address Ranges :IP プール アドレス範囲の重複が「許可されていない」ことを表します。このボタンをクリックすると、プール間で IP アドレス範囲を重複させることができます。

Force Unique Pool Address Range :IP プール アドレス範囲の重複が「許可されている」ことを表します。このボタンをクリックすると、IP アドレス範囲がプール間で重複しないようにします。

IP プールの重複を許可するか、固有プール アドレス範囲を強制するかを決めるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから IP Pools チェックボックスをオンにします。


AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 IP プール アドレス範囲の重複を許可する場合は、次の手順を実行します。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、そのボタンをクリックします。

Cisco Secure ACS で IP プール アドレス範囲の重複が許可されます。

b. Force Unique Pool Address Range ボタンが表示されている場合は、何も実行しません。

Cisco Secure ACS では、IP プール アドレス範囲の重複がすでに許可されています。

ステップ 4 IP プール アドレス範囲の重複を拒否する場合は、次の手順を実行します。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、何も実行しません。

Cisco Secure ACS では、IP プール アドレス範囲の重複がすでに禁止されています。

b. Force Unique Pool Address Range ボタンが表示されている場合は、そのボタンをクリックします。

Cisco Secure ACS で IP プール アドレス範囲の重複が禁止されます。


 

AAA Server IP Pools テーブルの更新

AAA Server IP Pools テーブルは更新できます。更新することによって、IP プールの最新の使用状況の統計を取得できます。

AAA Server IP Pools テーブルを更新するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 Refresh をクリックします。

Cisco Secure ACS は使用中のプーリング済みアドレスのパーセンテージを更新します。


 

新しい IP プールの追加

IP アドレス プールは 999 個まで定義できます。

IP プールを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 Add Entry をクリックします。

New Pool テーブルが表示されます。

ステップ 4 Name ボックスに、新しい IP プールに割り当てる名前(最大 31 文字)を入力します。

ステップ 5 Start Address ボックスに、新しいプールのアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。


ステップ 6 End Address ボックスに、新しいプールのアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

新しい IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プール定義の編集

IP プール定義を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 編集する IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 プールの名前を変更するには、プールの新しい名前(最大 31 文字)を Name ボックスに入力します。

ステップ 5 IP アドレスのプール範囲の開始アドレスを変更するには、Start Address ボックスに、プールの新しいアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。


ステップ 6 IP アドレスのプール範囲の終了アドレスを変更するには、End Address ボックスに、プールの新しいアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

編集済み IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プールのリセット

リセット機能では、接続先がない接続が存在する場合、IP プール内で IP アドレスを回復できます。接続先がない接続は、ユーザが切断したが、Cisco Secure ACS が該当する AAA クライアントからアカウンティング停止パケットを受信していない場合に発生します。Reports and Activity の Failed Attempts ログで、「Failed to Allocate IP Address For User」メッセージの数が大きくなっている場合は、リセット機能を使用してこの IP プールで割り当てられているアドレスをすべて再生することを考慮してください。


) リセット機能を使用してプール内で割り当てられている IP アドレスをすべて再生すると、すでに使用中のアドレスがユーザに割り当てられることになります。


IP プールをリセットしてすべての IP アドレスを再生するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 リセットする IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Reset をクリックします。

Cisco Secure ACS によって、すでに使用中のアドレスがユーザに割り当てられる可能性があることを示すダイアログボックスが表示されます。

ステップ 5 IP プールのリセットを続けるには OK をクリックします。

IP プールがリセットされます。すべての IP アドレスが再生されます。AAA Server IP Pools テーブルの In Use カラムでは、IP プール アドレスのうち 0% がユーザに割り当てられていることがわかります。


 

IP プールの削除


) ユーザが割り当てられている IP プールを削除すると、そのユーザは、ユーザ プロファイルを編集して IP 割り当て設定を変更するまで、認証できなくなります。その代わりに、グループ メンバーシップに基づいて IP がユーザに割り当てられる場合は、ユーザ グループ プロファイルを編集してグループの IP 割り当て設定を変更できます。


IP プールを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 削除する IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use カラムには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available カラムには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Delete をクリックします。

Cisco Secure ACS は、IP プールの削除を確認するダイアログボックスを表示します。

ステップ 5 IP プールを削除するには OK をクリックします。

IP プールが削除されます。削除された IP プールは、AAA Server IP Pools テーブルにリストされません。


 

IP プール アドレスの復旧

IP プール アドレス復旧機能では、指定した期間中に使用されなかった割り当て済み IP アドレスを復旧できます。Cisco Secure ACS が正しく IP アドレスを再生するには、アカウンティング ネットワークを AAA クライアント上に設定しておく必要があります。

IP プール アドレス復旧のイネーブル化

IP プール アドレス復旧をイネーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Address Recovery をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから IP Pools チェックボックスをオンにします。


IP Address Recovery ページが表示されます。

ステップ 3 Release address if allocated for longer than X hours チェックボックスをオンにし、 X ボックスに、割り当てられた IP アドレスが使用されない場合に Cisco Secure ACS でアドレスを復旧するまでの期間を時間単位で入力します(最大 4 文字)。

ステップ 4 Submit をクリックします。

Cisco Secure ACS は IP プール アドレス復旧設定を実装します。