Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
システム設定:基本
システム設定:基本
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

システム設定:基本

サービス制御

Cisco Secure ACS サービスのステータスの判断

サービスの停止、開始、再開

ロギング

日付形式の制御

日付形式の設定

ローカル パスワードの管理

ローカル パスワード管理の設定

Cisco Secure ACS のバックアップ

Cisco Secure ACS のバックアップについて

バックアップ ファイルの場所

ディレクトリ管理

バックアップされるコンポーネント

Cisco Secure ACS バックアップのレポート

バックアップ オプション

手動による Cisco Secure ACS バックアップの実行

Cisco Secure ACS バックアップのスケジューリング

スケジューリングされた Cisco Secure ACS バックアップをディセーブルにする

Cisco Secure ACS システムの復元

Cisco Secure ACS システム復元について

バックアップ ファイルの名前と格納場所

復元されるコンポーネント

Cisco Secure ACS の復元のレポート

Cisco Secure ACS のバックアップ ファイルからの復元

Cisco Secure ACS Active Service Management

システム モニタリング

システム モニタリング オプション

システム モニタリングのセットアップ

イベント ロギング

イベント ロギングのセットアップ

VoIP アカウンティングの設定

VoIP アカウンティングの設定

システム設定:基本

この章では、Cisco Secure ACS for Windows Server の System Configuration セクションの基本機能について説明します。

この章は、次の項で構成されています。

「サービス制御」

「ロギング」

「日付形式の制御」

「ローカル パスワードの管理」

「Cisco Secure ACS のバックアップ」

「Cisco Secure ACS システムの復元」

「Cisco Secure ACS Active Service Management」

「VoIP アカウンティングの設定」

サービス制御

Cisco Secure ACS では、いくつかのサービスを使用します。Service Control ページでサービスの基本ステータス情報が提供され、このページを使用してサービス ログ ファイルの設定、およびサービスの停止や再開ができます。Cisco Secure ACS サービスの詳細については、 第1章「概要」 を参照してください。


ヒント Cisco Secure ACS サービス ログを設定できます。詳細については、「サービス ログの設定」を参照してください。


この項では、次のトピックについて取り上げます。

「Cisco Secure ACS サービスのステータスの判断」

「サービスの停止、開始、再開」

Cisco Secure ACS サービスのステータスの判断

Cisco Secure ACS サービスが動作しているか停止しているかは、サービス制御ページにアクセスして判断できます。

Cisco Secure ACS サービスのステータスを判断するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname には、Cisco Secure ACS の名前が入ります。


 

サービスの停止、開始、再開

Cisco Secure ACS サービスの停止、開始、再開は、必要に応じて実行できます。Cisco Secure ACS サービスの開始と停止は、Windows の Control Panel からも実行できます。Control Panel からは、HTML インターフェイスを管理する CSAdmin を除く Cisco Secure ACS の各サービスの停止、開始、再開ができます。


) CSAdmin サービスを再開する必要がある場合は、Control Panel Services アプレットを使用して再開できますが、サービスの開始順序に依存する部分があるため、できるだけ Cisco Secure ACS にサービスを処理させるようにしてください。


Cisco Secure ACS サービスを停止、開始、再開するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname には、Cisco Secure ACS の名前が入ります。

サービスが行われている場合は、Restart ボタンと Stop ボタンがページの下部に表示されます。

サービスが停止している場合は、Start ボタンがページの下部に表示されます。

ステップ 3 状況に応じて、 Stop ボタン、 Start ボタン、 Restart ボタンのいずれかをクリックします。

Cisco Secure ACS サービスのステータスが、クリックしたボタンに適した状態に変化します。


 

ロギング

Cisco Secure ACS では、管理イベントとアカウンティング イベントについてのログを生成するように設定できます。ログの内容は、イネーブルにしたプロトコルとオプションによって決まります。設定手順など、詳細については、 第1章「概要」 を参照してください。

日付形式の制御

Cisco Secure ACS では、ログ、レポート、管理インターフェイスに、2 つの日付形式のどちらかを使用できます。月/日/年形式か日/月/年形式を選択できます。

日付形式の設定


) 日付形式を変更する前に生成したレポートがある場合は、重複を避けるために、必ずそのレポートを移動するか、またはその名前を変更してください。たとえば、月/日/年形式を使用している場合、Cisco Secure ACS は、2001 年 7 月 12 日に生成したレポートに 2001-07-12.csv という名前を割り当てます。後で日/月/年形式に変更すると、Cisco Secure ACS は、2001 年 12 月 7 日に 2001-07-12.csv というファイルを生成し、既存ファイルを上書きします。


日付形式を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Date Format Control をクリックします。

Cisco Secure ACS が Date Format Selection テーブルを表示します。

ステップ 3 日付形式オプションを選択します。

ステップ 4 Submit & Restart をクリックします。

Cisco Secure ACS がサービスを再開し、選択した日付形式を実装します。


) 新しい日付形式が HTML インターフェイス レポートで使用されるようにするには、Cisco Secure ACS への接続を再開する必要があります。ブラウザ ウィンドウの右上にある Logoff ボタン(X が付いているボタン)をクリックしてください。



 

ローカル パスワードの管理

Local Password Management ページを使用して、CiscoSecure ユーザ データベースに格納されているパスワードの管理に適用する設定を定義できます。このページは、次の 3 つのセクションで構成されています。

Password Validation Options :ユーザ パスワードの確認パラメータを設定できます。管理者が CiscoSecure ユーザ データベースのユーザ パスワードを変更する場合、およびユーザが CiscoSecure Authentication Agent アプレットを使用してパスワードを変更しようとする場合、Cisco Secure ACS では次の規則が適用されます。


) パスワード確認オプションは、CiscoSecure ユーザ データベースに保存されているユーザ パスワードに限り適用されます。外部ユーザ データベースに保存されているユーザ記録のパスワード、および Cisco IOS ネットワーク デバイスのイネーブル パスワードや管理パスワードには適用されません。


パスワード確認オプションは次のとおりです。

Password length between X and Y characters :パスワードの長さが X ボックスと Y ボックスに指定した値の間(両端の値も含む)にあることを要求します。Cisco Secure ACS は 32 文字までのパスワードをサポートしています。

Password may not contain the username :ユーザ パスワードの中にユーザ名が含まれていないことを要求します。

Password is different from the previous value :新しいユーザ パスワードが前のパスワードと異なることを要求します。

Password must be alphanumeric :ユーザ パスワードに文字と数値の両方が含まれていることを要求します。

Remote Change Password :Telnet によるパスワード変更をイネーブルにするかどうか、イネーブルにする場合には、アップデートされたユーザ データをすぐに複製パートナーに送信するかどうかを設定できます。

リモート パスワード変更のオプションは次のとおりです。

Disable TELNET Change Password against this ACS and return the following message to the users telnet session :TACACS+ AAA クライアントが運用している Telnet セッション中は、パスワードを変更する機能をディセーブルにします。パスワード変更を提起したユーザは、対応するボックスに管理者が入力したテキスト メッセージを受け取ります。

Upon remote user password change, immediately propagate the change to selected replication partners :TACACS+ AAA クライアント、CiscoSecure Authentication Agent、または User-Changeable Passwords Web インターフェイスが運用している Telnet セッション中に変更されたパスワードを、Cisco Secure ACS が複製パートナーに送信するかどうかを指定します。このチェックボックスの下には、この Cisco Secure ACS の複製パートナーとして設定されている Cisco Secure ACS のリストが表示されます。

この機能は、CiscoSecure データベース複製機能が正しく設定されていることが条件になっています。しかし、複製のスケジュール設定は、変更されたパスワード情報の伝搬には適用されません。Cisco Secure ACS は、複製のスケジュール設定に関係なく、変更されたパスワード情報をすぐに送信します。

変更されたパスワード情報が複製されるのは、この Cisco Secure ACS からの複製データを受信するように正しく設定されている Cisco Secure ACS だけです。CiscoSecure データベース複製機能の自動トリガー カスケード複製が設定されていても、変更されたパスワード情報を受信した Cisco Secure ACS が、その情報を複製パートナーに送信しません。

CiscoSecure データベース複製の詳細については、「CiscoSecure データベース複製」を参照してください。

Password Change Log File Management :User Password Change レポート用に生成されるログ ファイルを Cisco Secure ACS が処理する方法を設定できます。このレポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

User Password Changes ログ用のログ ファイル管理オプションは次のとおりです。

Generate New File :User Password Changes ログ ファイルの作成頻度(回数)を指定できます。1 日 1 回、週 1 回、月 1 回、またはログが指定サイズ(KB 単位)に達した時点のいずれかです。

Manage Directory :ログ ファイルの保持を Cisco Secure ACS で制御するかどうかを指定できます。イネーブルにすると、保持するファイルの最大数または最長保持期間を指定できるようになります。ファイルの最大数を超えると、最も古いログ ファイルが削除されます。ファイルの最長保持期間を過ぎると、ファイルが削除されます。

ローカル パスワード管理の設定

パスワード確認オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Local Password Managment をクリックします。

Local Password Management ページが表示されます。

ステップ 3 Password Validation Options の下で、次の手順を実行します。

a. Password length between X and Y characters の X ボックスに、パスワードの「最小」有効文字数を入力します。 X ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ~ 32 文字までです。

b. Password length between X and Y characters の Y ボックスに、パスワードの「最大」有効文字数を入力します。 Y ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ~ 32 文字までです。

c. ユーザ名を含むパスワードを拒否するには、 Password may not contain the username チェックボックスをオンにします。

d. ユーザ パスワードが以前のユーザ パスワードと異なることを要求するには、 Password is different from the previous value チェックボックスをオンにします。

e. パスワードに文字と数字の両方を含めるように要求するには、 Password must be alphanumeric チェックボックスをオンにします。

ステップ 4 Remote Change Password の下で、次の手順を実行します。

a. Telnet セッション中のユーザ パスワード変更をイネーブルにするには、
Disable TELNET Change Password against this ACS and return the following message to the users telnet session
チェックボックスをオフにします。

b. Telnet セッション中のユーザ パスワード変更をディセーブルにするには、 Disable TELNET Change Password against this ACS and return the following message to the users telnet session チェックボックスをオンにします。

c. Telnet 中のパスワード変更機能をディセーブルにした場合(ステップ b)は、 Disable TELNET Change Password against this ACS and return the following message to the users telnet session チェックボックスの下のボックスに、Telnet セッション中にパスワードの変更を試みたユーザに対して表示するメッセージを入力します。

d. ユーザがパスワードを変更したら、変更されたパスワード情報をすぐに Cisco Secure ACS が送信するように指定するには、 Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスをオンにします。


ヒント 変更されたパスワード情報を受信する Cisco Secure ACS は、Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスの下にリストで表示されます。

ステップ 5 新しい User Password Changes ログ ファイルを一定間隔で生成するには、次のいずれかのオプションを選択します。

Every day :Cisco Secure ACS は、毎日午前 12:01 に新しい User Password Changes ログ ファイルを生成します。

Every week :Cisco Secure ACS は、毎週日曜日の午前 12:01 に新しい User Password Changes ログ ファイルを生成します。

Every month :Cisco Secure ACS は、毎月 1 日の午前 12:01 に新しい User Password Changes ログ ファイルを生成します。

ステップ 6 現在のファイルが特定のサイズに達したときに、Cisco Secure ACS が新しい User Password Changes ログ ファイルを生成するようにするには、 When size is greater than X KB オプションを選択し、 X ボックスに KB 単位でファイル サイズのしきい値を入力します。

ステップ 7 Cisco Secure ACS がどの User Password Changes ログ ファイルを保持するかを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS が保持する User Password Changes ログ ファイルの数を制限するには、 Keep only the last X files オプションを選択し、Cisco Secure ACS が保持するファイルの数を X ボックスに入力します。

c. Cisco Secure ACS が古い User Password Changes ログ ファイルを保持している期間を制限するには、 Delete files older than X days オプションを選択し、Cisco Secure ACS が User Password Changes ログ ファイルを保持すべき日数を入力し、その期間が経過したら削除するようにします。

ステップ 8 Submit をクリックします。

Cisco Secure ACS がサービスを再開し、指定した設定をインプリメントします。


 

Cisco Secure ACS のバックアップ

この項では、Cisco Secure ACS バックアップ機能とその実装方法について説明します。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS のバックアップについて」

「バックアップ ファイルの場所」

「ディレクトリ管理」

「バックアップされるコンポーネント」

「Cisco Secure ACS バックアップのレポート」

「バックアップ オプション」

「手動による Cisco Secure ACS バックアップの実行」

「Cisco Secure ACS バックアップのスケジューリング」

「スケジューリングされた Cisco Secure ACS バックアップをディセーブルにする」

Cisco Secure ACS のバックアップについて

ACS バックアップ機能では、Cisco Secure ACS システム情報がローカル ハード ドライブのファイルにバックアップされます。Cisco Secure ACS システムは手動でバックアップできます。一定間隔、または選択した曜日と時刻に実行される自動バックアップを設定することもできます。バックアップ ファイルを保持しておくと、システム情報が破損または誤って設定された場合のダウンタイムを最短に抑えられます。プライマリ システムでハードウェア障害が発生した場合に備えて、別のシステムのハード ドライブにファイルをコピーすることを推奨します。

バックアップ ファイルを使用して Cisco Secure ACS を復元する方法については、「Cisco Secure ACS システムの復元」を参照してください。

バックアップ ファイルの場所

バックアップ ファイルのデフォルト ディレクトリは次のとおりです。

drive:\path\CSAuth\System Backups

ここでの drive は Cisco Secure ACS をインストールしたローカル ドライブ、 path drive のルートから Cisco Secure ACS ディレクトリまでのパスを表します。たとえば Cisco Secure ACS Version 3.0 をデフォルトの場所にインストールした場合、デフォルトのバックアップ場所は次のようになります。

c:\Program Files\CiscoSecure ACS v3.0\CSAuth\System Backups

バックアップのファイル名は Cisco Secure ACS によって決められます。Cisco Secure ACS が生成したバックアップ ファイルに割り当てられるファイル名の詳細については、「バックアップ ファイルの名前と格納場所」を参照してください。

ディレクトリ管理

保存するバックアップ ファイルの数、およびバックアップ ファイルが削除されるまでの日数を設定できます。設定内容が複雑になり、システムのバックアップを頻繁に行う場合は、それに応じて古いデータベースを Cisco Secure ACS のハード ドライブからこまめに消去することを推奨します。

バックアップされるコンポーネント

ACS システム バックアップ機能は、Cisco Secure ACS ユーザ データベース、および Cisco Secure ACS に関連する Windows レジストリ情報のバックアップを取ります。ユーザ データベース バックアップには、すべてのユーザ情報(ユーザ名、パスワード、その他の認証情報)に加えて、サーバ証明書と証明書信頼リストが含まれます。Windows レジストリ情報には、Windows レジストリに保存されているシステム情報(NDG 情報、AAA クライアント設定、管理者アカウント)が含まれます。

Cisco Secure ACS バックアップのレポート

システム バックアップが実行されると、手動あるいはスケジューリングのどちらの場合も、イベントが Administration Audit レポートと ACS Backup and Restore レポートにロギングされます。Cisco Secure ACS の Reports and Activity セクションで最新レポートを確認できます。

Cisco Secure ACS レポートの詳細については、 第1章「概要」 を参照してください。

バックアップ オプション

ACS System Backup Setup ページには、次の設定オプションがあります。

Manually :Cisco Secure ACS は自動バックアップを実行しません。このオプションを選択した場合は、バックアップを実行するには、「手動による Cisco Secure ACS バックアップの実行」の手順を実行する必要があります。

Every X minutes :Cisco Secure ACS が指定された頻度で自動バックアップを実行します。時間の単位は分で、デフォルトのバックアップ頻度(間隔)は 60 分です。

At specific times... :Cisco Secure ACS が日/時グラフで指定された時刻に自動バックアップを実行します。最小間隔は 1 時間で、指定した時刻にバックアップが実行されます。

Directory :Cisco Secure ACS がバックアップ ファイルを書き込むディレクトリです。このディレクトリは、Cisco Secure ACS を実行している Windows サーバ上にフル パスで指定する必要があります。たとえば、 c:\acs-bups と指定します。

Manage Directory :Cisco Secure ACS が以前のバックアップ ファイルを削除するかどうかを定義します。Cisco Secure ACS が削除するログ ファイルを決める方法は、次のオプションを使用して指定できます。

Keep only the last X files :最近作成されたバックアップ ファイルを、指定した数だけ保持します。指定したファイル数を超えると、最も古いファイルが削除されます。

Delete files older than X days :指定した日数が経過したバックアップ ファイルを削除します。指定した日数が経過すると、Cisco Secure ACS がそのバックアップ ファイルを削除します。

手動による Cisco Secure ACS バックアップの実行

Cisco Secure ACS では、バックアップをスケジューリングしなくても、必要なときにいつでもバックアップできます。

Cisco Secure ACS のバックアップをすぐに行うには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 Backup Location の下の Directory ボックスに、バックアップ ファイルを書き込むローカル ハード ドライブのディレクトリのドライブとパスを入力します。

ステップ 4 Backup Now をクリックします。

Cisco Secure ACS がバックアップをすぐに開始します。


 

Cisco Secure ACS バックアップのスケジューリング

Cisco Secure ACS バックアップは、一定間隔で実行するようにも、選択した曜日と時刻に実行するようにもスケジューリングできます。

Cisco Secure ACS がバックアップする時刻をスケジューリングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 一定間隔でバックアップをスケジューリングするには、ACS Backup Scheduling で Every X minutes オプションを選択し、Cisco Secure ACS がバックアップする間隔を X ボックスに入力します。


) バックアップ中は Cisco Secure ACS が一時的にシャットダウンされるため、バックアップ間隔が短すぎると、ユーザが認証できないことがあります。


ステップ 4 特定時刻にバックアップをスケジューリングするには、次の手順を実行します。

a. ACS Backup Scheduling で At specific times オプションを選択します。

b. 日/時グラフで、Cisco Secure ACS がバックアップする時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 5 Cisco Secure ACS がバックアップ ファイルを書き込む場所を変更するには、ドライブ文字とパスを Directory ボックスに入力します。

ステップ 6 Cisco Secure ACS が保存するバックアップ ファイルを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS が保持するバックアップ ファイルの数を制限するには、 Keep only the last X files オプションを選択し、次に Cisco Secure ACS で保持するファイルの数を X ボックスに入力します。

c. Cisco Secure ACS がバックアップ ファイルを保持している期間を制限するには、 Delete files older than X days オプションを選択し、Cisco Secure ACS がバックアップ ファイルを保持してから削除するまでの日数を入力します。

ステップ 7 Submit をクリックします。

Cisco Secure ACS が設定したバックアップ スケジュールを実装します。


 

スケジューリングされた Cisco Secure ACS バックアップをディセーブルにする

スケジューリング済み Cisco Secure ACS バックアップは、スケジュール自体を残したままディセーブルにできます。この操作を実行すると、スケジュールを再作成しなくても、スケジューリングされたバックアップを終了し、再開することができます。

スケジューリング済みバックアップをディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 ACS Backup Scheduling で Manual オプションを選択します。

ステップ 4 Submit をクリックします。

Cisco Secure ACS がスケジューリング済みバックアップを中断します。必要に応じて手動でバックアップを実行できます。


 

Cisco Secure ACS システムの復元

この項では、Cisco Secure ACS システム復元機能について、Cisco Secure ACS をバックアップ ファイルから復元する方法を中心に説明します。

この項では、次のトピックについて取り上げます。

「Cisco Secure ACS システム復元について」

「バックアップ ファイルの名前と格納場所」

「復元されるコンポーネント」

「Cisco Secure ACS の復元のレポート」

「Cisco Secure ACS のバックアップ ファイルからの復元」

Cisco Secure ACS システム復元について

ACS システム復元機能では、ACS バックアップ機能で生成されたバックアップ ファイルからシステム設定を復元できます。この機能では、Cisco Secure ACS システム情報が破損または誤って設定された場合のダウンタイムを最短に抑えられます。

ACS システム復元機能は、バージョンとパッチ レベルが一致している Cisco Secure ACS を実行している Cisco Secure ACS が生成したバックアップ ファイルの場合に限り動作します。

バックアップ ファイルの名前と格納場所

ACS システム復元機能では、Cisco Secure ACS ユーザ データベースと Cisco Secure ACS の Windows レジストリ情報が、ACS バックアップ機能で作成されたファイルから復元されます。Cisco Secure ACS では、ローカル ハード ドライブだけにバックアップ ファイルが書き込まれます。復元は、どのバックアップ ファイルを選択しても実行できます。たとえば最新バックアップ ファイルから復元することも、最新バックアップ ファイルが不適切であると考えられる場合はそれ以前のバックアップ ファイルを選択して復元することもできます。

バックアップ ディレクトリは、バックアップをスケジューリングする場合でも、手動でバックアップを実行する場合でも選択できます。バックアップ ファイルのデフォルト ディレクトリは次のとおりです。

drive:\path\CSAuth\System Backups

ここでの drive は Cisco Secure ACS をインストールしたローカル ドライブ、 path drive のルートから Cisco Secure ACS ディレクトリまでのパスを表します。たとえば Cisco Secure ACS Version 3.0 をデフォルトの場所にインストールした場合、デフォルトのバックアップ場所は次のようになります。

c:\Program Files\CiscoSecure ACS v3.0\CSAuth\System Backups

Cisco Secure ACS では、次の日付と時刻の形式でバックアップ ファイルが作成されます。

dd-mmm-yyyy hh-nn-ss.dmp

説明

dd はバックアップが開始した日付です。

mmm はバックアップが開始した月を英文字の省略形で表します。

yyyy は暦年です。

hh は 24 時間形式の時間です。

nn は分です。

ss はバックアップが開始した秒です。

たとえば Cisco Secure ACS で 1999 年 10 月 13 日午前 11 時 41 分 35 秒にバックアップが開始した場合、Cisco Secure ACS では次の名前のバックアップ ファイルが生成されます。

13-Oct-1999 11-41-35.dmp

最新バックアップ ファイルの場所が不明な場合は、スケジューリング済みバックアップ設定を ACS Backup ページで確認してください。

復元されるコンポーネント

復元するコンポーネントとしては、ユーザとグループのデータベースまたはシステム設定、あるいはその両方を選択できます。

Cisco Secure ACS の復元のレポート

Cisco Secure ACS システムの復元が実行されると、Administration Audit レポートと ACS Backup and Restore レポートにイベントがロギングされます。Cisco Secure ACS の Reports and Activity セクションで最新レポートを確認できます。

Cisco Secure ACS レポートの詳細については、 第1章「概要」 を参照してください。

Cisco Secure ACS のバックアップ ファイルからの復元

Cisco Secure ACS のシステム復元は、必要な場合にいつでも実行できます。


) Cisco Secure ACS システム復元機能を使用すると、すべての Cisco Secure ACS サービスが再開され、すべての管理者がログアウトされます。


Cisco Secure ACS バックアップ機能で生成されたバックアップ ファイルから Cisco Secure ACS を復元するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Restore をクリックします。

ACS System Restore Setup ページが表示されます。

Directory ボックスには、ACS Backup ページの Directory ボックスで最近設定されたバックアップ ディレクトリのドライブとパスが表示されます。

Directory ボックスの下には、Cisco Secure ACS によって、現行バックアップ ディレクトリのバックアップ ファイルが表示されます。バックアップ ファイルが存在しない場合は、ファイル名の場所に <No Matching Files> と表示されます。

ステップ 3 バックアップ ディレクトリを変更するために、バックアップ ディレクトリの新しいドライブとパスを Directory ボックスに入力してから OK をクリックします。

指定したバックアップ ディレクトリにバックアップ ファイルが存在する場合は、それが Cisco Secure ACS によって表示されます。

ステップ 4 Directory ボックスの下のリストで、Cisco Secure ACS の復元に使用するバックアップ ファイルを選択します。

ステップ 5 ユーザ データベース情報とグループ データベース情報を復元するために、 User and Group Database チェックボックスをオンにします。

ステップ 6 システム設定情報を復元するために、 CiscoSecure ACS System Configuration チェックボックスをオンにします。

ステップ 7 Restore Now をクリックします。

Cisco Secure ACS は、復元を実行すると Cisco Secure ACS サービスを再開し、すべての管理者がログアウトされることを示す確認ダイアログボックスを表示します。

ステップ 8 復元を続けるために OK をクリックします。

Cisco Secure ACS は、選択したバックアップ ファイルを使用して、指定したシステム コンポーネントを復元します。復元に選択したコンポーネントおよびデータベース サイズによっては、復元には数分かかります。

復元が終わったら、Cisco Secure ACS に再びログインできます。


 

Cisco Secure ACS Active Service Management

ACS Active Service Management は、ACS と強固に統合されたアプリケーション固有のサービス監視ツールです。この項では、ACS Active Service Management を構成する 2 つの機能について説明します。

この項では、次のトピックについて取り上げます。

「システム モニタリング」

「イベント ロギング」

システム モニタリング

Cisco Secure ACS System Monitoring では、Cisco Secure ACS が認証プロセスとアカウンティング プロセスをテストする回数、およびテストでこのようなプロセスの障害を検出した場合に取る自動アクションを決定できます。Cisco Secure ACS は、CSMon サービスを利用してシステム モニタリングを実行します。CSMon サービスの詳細については、「CSMon」を参照してください。

システム モニタリング オプション

システム モニタリングを設定する場合は、次のオプションを指定します。

Test login process every X minutes :Cisco Secure ACS でログイン プロセスをテストするかどうかを制御します。X ボックスに分単位で値を入力すると、Cisco Secure ACS がログイン プロセスをテストする頻度が定義されます。デフォルトの頻度(回数)は 1 分に 1 回です。これは、設定可能な最も短いテスト間隔でもあります。

このオプションをイネーブルにすると、Cisco Secure ACS は定義された間隔で認証とアカウンティングをテストします。テストでエラーが検出され、4 回目のテスト再試行でも成功しなかった場合、Cisco Secure ACS は If no successful authentications are recorded リストに特定されているアクションを実行し、ログにイベントを記録します。

If no successful authentications are recorded :テスト ログイン プロセスの失敗を検出した場合に、Cisco Secure ACS が実行するアクションを指定します。このリストには組み込みアクションが含まれており、定義したアクションが反映されます。アスタリスク(*)で始まる項目が定義済みアクションです。

*Restart All :すべての Cisco Secure ACS サービスを再開します。

*Restart RADIUS/TACACS+ :RADIUS サービスと TACACS+ サービスだけを再開します。

*Reboot :Cisco Secure ACS をリブートします。

Custom actionsログイン プロセスが失敗したときに Cisco Secure ACS が起こすもう 1 つのアクションを定義できます。Cisco Secure ACS では、ログイン プロセスが失敗したときに、バッチ ファイルおよび実行可能ファイルのどちらでも実行できます。障害時リストで使用できるバッチ ファイルまたは実行可能ファイルを作成するには、次のディレクトリにファイルを配置します。

drive:\path\CSMon\Scripts

ここでの drive は Cisco Secure ACS をインストールしたローカル ドライブ、 path drive のルートから Cisco Secure ACS ディレクトリまでのパスを表します。

Take No Action :Cisco Secure ACS の動作を現状のままにします。

Generate event when an attempt is made to log in to a disabled account :ディセーブルになっているアカウントを使用してユーザがネットワークにログインしようとしたときに、Cisco Secure ACS でログ エントリを生成するかどうかを指定します。

Log all events to the NT Event log :Cisco Secure ACS で、例外イベントが発生するたびに Windows イベント ログ エントリを作成するかどうかを指定します。

Email notification of event :Cisco Secure ACS が、イベントが発生するたびに電子メール通知を送信するかどうかを指定します。

To :通知電子メールの送信先の電子メール アドレスです。たとえば、joeadmin@company.com と指定します。

SMTP Mail Server :Cisco Secure ACS が通知電子メールの送信に使用する Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)サーバです。SMTP サーバは、ホスト名でも、IP アドレスでも指定できます。

システム モニタリングのセットアップ

Cisco Secure ACS System Monitoring をセットアップするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Service Management をクリックします。

ACS Active Service Management Setup ページが表示されます。

ステップ 3 Cisco Secure ACS でログイン プロセスをテストするには、次の手順を実行します。

a. Test login process every X minutes チェックボックスをオンにします。

b. ログイン プロセス テストを行う間隔を分単位で X ボックスに入力します(最大 3 文字)。

c. ログイン テストが 5 回連続で失敗したときに Cisco Secure ACS が起こすアクションを If no successful authentications are recorded リストから選択します。

ステップ 4 ユーザが無効なアカウントを使用してネットワークにログインを試みたときに Cisco Secure ACS で Windows イベントを生成するには、 Generate event when an attempt is made to log in to a disabled account チェックボックスをオンにします。

ステップ 5 イベント ロギングのセットアップについては、「イベント ロギングのセットアップ」を参照してください。

ステップ 6 Cisco Secure ACS サービス管理のセットアップが終了したら、 Submit をクリックします。

Cisco Secure ACS は設定したサービス管理設定を実装します。


 

イベント ロギング

イベント ロギング機能では、イベントが発生した場合に、Cisco Secure ACS が Windows イベント ログにイベントを記録するかどうか、および Cisco Secure ACS が電子メールを生成するかどうかを設定できます。Cisco Secure ACS は、システム モニタリング機能を利用してロギング対象のイベントを検出します。システム モニタリングの詳細については、「システム モニタリング オプション」を参照してください。

イベント ロギングのセットアップ

Windows イベント ログを表示するには、 Start > Programs > Administrative Tools > Event Viewer を選択してください。Windows イベント ログと Event Viewer の詳細については、Microsoft Windows のマニュアルを参照してください。

Cisco Secure ACS イベント ロギングをセットアップするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Service Management をクリックします。

ACS Active Service Management Setup ページが表示されます。

ステップ 3 Cisco Secure ACS がすべてのイベントを Windows イベント ログに送信するようにするには、 Log all events to the Windows Event log を選択します。

ステップ 4 イベントが発生した場合に Cisco Secure ACS が電子メールを送信するよう設定するには、次の手順を実行します。

a. Email notification of event チェックボックスをオンにします。

b. To ボックスに、Cisco Secure ACS でイベント通知電子メールを送信する宛先電子メール アドレス(最大 200 文字)を入力します。


) このボックスに入力する電子メール アドレスには、アンダースコアは使用しないでください。


c. SMTP Mail Server ボックスに、送信電子メール サーバのホスト名(最大 200 文字)を入力します。


) SMTP メール サーバが動作しており、Cisco Secure ACS から使用できる必要があります。


ステップ 5 システム モニタリングをセットアップする場合は、「システム モニタリングのセットアップ」を参照してください。

ステップ 6 Cisco Secure ACS サービス管理のセットアップが終了したら、 Submit をクリックします。

Cisco Secure ACS は設定したサービス管理設定を実装します。


 

VoIP アカウンティングの設定

VoIP アカウンティング設定機能では、VoIP アカウンティング データを受信するアカウンティング ログを指定できます。VoIP アカウンティングには、次の 3 つのオプションがあります。

Send to both RADIUS and VoIP Accounting Log Targets :Cisco Secure ACS は VoIP アカウンティング データを RADIUS アカウンティング データに付加し、それとは別に CSV ファイルに記録します。データを表示するには、Reports and Activity の RADIUS Accounting または VoIP Accounting を使用します。

Send only to VoIP Accounting Log Targets :Cisco Secure ACS は VoIP アカウンティング データを CSV ファイルに記録するだけです。データを表示するには、Reports and Activity の VoIP Accounting を使用します。

Send only to RADIUS Accounting Log Targets :Cisco Secure ACS は VoIP アカウンティング データを RADIUS アカウンティング データに付加するだけです。データを表示するには、Reports and Activity の RADIUS Accounting を使用します。

VoIP アカウンティングの設定


) VoIP アカウンティング設定機能では、VoIP アカウンティングはイネーブルになりません。VoIP アカウンティングをイネーブルにするには、第1章「概要」を参照してください。


VoIP アカウンティングを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 VoIP Accounting Configuration をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから Voice-over-IP (VoIP) Accounting Configuration チェックボックスをオンにします。


VoIP Accounting Configuration ページが表示されます。Voice-over-IP (VoIP) Accounting Configuration テーブルには、VoIP アカウンティングのオプションが表示されます。

ステップ 3 必要な VoIP アカウンティング オプションを選択します。

ステップ 4 Submit をクリックします。

Cisco Secure ACS は指定した VoIP アカウンティング設定を実装します。