Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
システム設定:高度
システム設定:高度
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

システム設定:高度

ACS 内部データベースの複製

ACS 内部データベース複製について

複製プロセス

複製の頻度

実装上で重要な検討事項

データベース複製とバックアップの比較

データベース複製のロギング

複製オプション

複製コンポーネント オプション

Outbound Replication オプション

Inbound Replication オプション

ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

セカンダリ ACS の設定

即時複製

複製のスケジューリング

ACS データベース複製のディセーブル化

自動パスワード変更複製の設定

データベース複製イベントのエラー

RDBMS 同期化

RDBMS 同期化について

ユーザ

ユーザ グループ

ネットワーク設定

カスタム RADIUS ベンダーと VSA

RDBMS 同期化のコンポーネント

CSDBSync について

accountActions テーブルについて

accountActions テーブルを使用する ACS データベースの復旧

レポートとイベント(エラー)の処理

RDBMS 同期化の使用準備

RDBMS 同期化用のシステム データ ソース名の設定

RDBMS 同期化のオプション

RDBMS セットアップ オプション

同期化スケジューリング オプション

同期化パートナー オプション

RDBMS 同期化の即時実行

RDBMS 同期化のスケジューリング

スケジューリング済み RDBMS 同期化のディセーブル化

IP プール サーバ

IP プール サーバについて

重複 IP プールの許可または固有プール アドレス範囲の強制

AAA Server IP Pools テーブルの更新

新しい IP プールの追加

IP プール定義の編集

IP プールのリセット

IP プールの削除

IP プール アドレスの復旧

IP プール アドレス復旧のイネーブル化

システム設定:高度

この章では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)の System Configuration セクションの ACS 内部データベース複製機能および RDBMS 同期化機能について説明します。

この章は、次の項で構成されています。

「ACS 内部データベースの複製」

「RDBMS 同期化」

「IP プール サーバ」

「IP プール アドレスの復旧」

ACS 内部データベースの複製

この項では、ACS 内部データベース複製機能について、この機能を実装する手順、および関連する ACS を設定する手順を中心に説明します。

この項では、次のトピックについて取り上げます。

「ACS 内部データベース複製について」

「複製プロセス」

「複製の頻度」

「実装上で重要な検討事項」

「データベース複製とバックアップの比較」

「データベース複製のロギング」

「複製オプション」

「複製コンポーネント オプション」

「Outbound Replication オプション」

「Inbound Replication オプション」

「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」

「セカンダリ ACS の設定」

「即時複製」

「複製のスケジューリング」

「ACS データベース複製のディセーブル化」

「自動パスワード変更複製の設定」

「データベース複製イベントのエラー」

ACS 内部データベース複製について

データベース複製では、プライマリ ACS セットアップの一部が少なくとも 1 台のセカンダリ ACS に複製され、ACS ミラーリング システムが作成されます。プライマリ ACS に障害が発生したか ACS で到達不能になった場合に、セカンダリ ACS を使用するように AAA クライアントを設定できます。プライマリ ACS の ACS 内部データベースの複製を ACS 内部データベースとして使用するセカンダリ ACS があれば、プライマリ ACS がサービスを提供できない場合でも、AAA クライアントがセカンダリ ACS にフェールオーバーするように設定されていれば、ネットワークのダウンタイムなしで着信要求を認証できます。

データベースの複製は、次の用途に使用できます。

複製するプライマリ ACS の設定の一部を選択する。

スケジュール作成などの複製プロセスのタイミングを制御する。

選択した設定項目をプライマリ ACS からエクスポートする。

選択した設定データを、プライマリ ACS から用意したセカンダリ ACS に、セキュアに転送する。

セカンダリ ACS をアップデートし、構成を一致させる。

次の項目は複製できません。

IP プール定義(詳細については、「IP プール サーバについて」を参照)

ACS の証明書ファイルとプライベート キー ファイル

未知ユーザ グループのマッピングの設定

ダイナミックにマッピングされたユーザ

System Configuration セクションの ACS Service Management ページ上の設定

RDBMS 同期化の設定

サードパーティ ソフトウェア、たとえば Novell Requestor や RSA ACE クライアント ソフトウェア


ヒント さまざまなコンポーネントおよびデータベース複製の範囲のリストについては、「複製コンポーネント オプション」を参照してください。


データベース複製では、ACS を次のように区別します。

プライマリ ACS :複製された ACS 内部データベース コンポーネントを別の ACS に送信する ACS。

セカンダリ ACS :複製された ACS 内部データベース コンポーネントをプライマリ ACS から受信する ACS。Web インターフェイスでは複製パートナーとして識別されます。

ACS は、プライマリ ACS とセカンダリ ACS のいずれにもできますが、プライマリ ACS として使用する ACS を同時にセカンダリ ACS として設定することはできません。


) ACS が、リモートの ACS にデータベース コンポーネントを送信するとともに、同じリモート Cisco Secure ACS からデータベース コンポーネントを受信するという双方向複製はサポートされていません。ACS の複製先と複製元に同じ ACS を設定すると、複製は失敗します。



) 複製に関係する ACS はすべて、同じリリースの ACS ソフトウェアを実行している必要があります。たとえば、プライマリ ACS で ACS Version 3.2 を実行している場合は、すべてのセカンダリ ACS で ACS バージョン 3.2 を実行している必要があります。パッチ リリースによって、ACS 内部データベースに大幅な変更が加えられることがあります。このため、複製に関係する ACS は、パッチ レベルも合せておくことを強く推奨します。


複製プロセス

このトピックでは、データベース複製のプロセスについて、プライマリ ACS と各セカンダリ ACS との相互動作を中心に説明します。データベース複製では、次のステップが発生します。

1. プライマリ ACS が、自分のデータベースが前回の正常な複製以降に変更されているかどうかを確認します。変更されている場合は、複製が続行されます。変更されていない場合、複製は打ち切られます。プライマリおよびセカンダリ ACS のデータベース間の比較は実行されません。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


2. プライマリ ACS が、セカンダリ ACS に接続します。この初期接続では、次の 4 つのイベントが発生します。

a. プライマリ ACS の共有秘密情報に基づいて、2 台の ACS が相互認証を実行します。認証に失敗すると、複製が失敗します。


) セカンダリ ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、プライマリ ACS が自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。セカンダリ ACS の共有秘密情報は、複製には関係しません。


b. セカンダリ ACS は、プライマリ ACS の複製元として設定されていないことを確認します。そのように設定されている場合は、複製が打ち切られます。ACS は、双方向複製をサポートしていません。双方向複製とは、1 台の ACS が、同一のリモート ACS のプライマリとセカンダリとして動作することです。

c. プライマリ ACS は、セカンダリ ACS が実行している ACS のバージョンが自分の ACS のバージョンと同じであるかどうかを確認します。バージョンが異なる場合は、複製が失敗します。

d. プライマリ ACS は、自分が送信するように設定されているデータベース コンポーネントのリストと、セカンダリ ACS が受信するように設定されているデータベース コンポーネントのリストを比較します。プライマリ ACS が送信するように設定されているコンポーネントのいずれも、セカンダリ ACS が受信するように設定されていない場合は、データベース複製は失敗します。

3. プライマリ ACS が、セカンダリ ACS に送信するコンポーネントを決定すると、複製プロセスはプライマリ ACS で次の動作を続けます。

a. プライマリ ACS は認証を停止し、複製するように設定されている ACS 内部データベース コンポーネントをコピーします。このステップの間、AAA クライアントが正しく設定されている場合、通常このプライマリ ACS を使用する AAA クライアントは、別の ACS にフェールオーバーします。

b. プライマリ ACS が認証サービスを再開します。それとともに、セカンダリ ACS へ送信するために、自分のデータベース コンポーネントのコピーを圧縮し、暗号化します。

c. プライマリ ACS は、圧縮し、暗号化した自分のデータベース コンポーネントのコピーをセカンダリ ACS に送信します。この送信は、ポート 2000 を使用して TCP 接続で行われます。TCP セッションでは、128 ビット暗号化された Cisco 固有のプロトコルが使用されます。

4. プライマリ ACS での上記のイベントの後、データベース複製プロセスは、セカンダリ ACS で次のように続きます。

a. セカンダリ ACS は、ACS 内部データベース コンポーネントの圧縮および暗号化されたコピーをプライマリ ACS から受信します。データベース コンポーネントの受信が完了すると、セカンダリ ACS はデータベース コンポーネントを解凍します。

b. セカンダリ ACS は、認証サービスを停止し、自分のデータベース コンポーネントを、プライマリ ACS から受信したデータベース コンポーネントで置き換えます。このステップの間、AAA クライアントが正しく設定されている場合、通常このセカンダリ ACS を使用する AAA クライアントは、別の ACS にフェールオーバーします。

c. セカンダリ ACS が認証サービスを再開します。

ACS はプライマリ ACS およびセカンダリ ACS の両方として動作できます。図9-1 にカスケード複製のシナリオの例を示します。サーバ 1 はプライマリ ACS としてのみ動作し、セカンダリ ACS として動作するサーバ 2 とサーバ 3 に複製します。サーバ 1 からサーバ 2 への複製が終わると、サーバ 2 はプライマリ ACS として動作し、サーバ 4 とサーバ 5 に複製します。同様に、サーバ 3 はプライマリ ACS として動作し、サーバ 6 とサーバ 7 に複製します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。図9-1 の場合、サーバ 1 の AAA Servers テーブルには、他の 6 つの ACS それぞれに対するエントリがなければなりません。エントリがないと、複製が行われても、サーバ 2 と 3 の AAA Servers テーブルにはサーバ 4 ~ 7 が存在しないため、複製は失敗します。


サーバ 2 が、サーバ 1 から複製を受信するように設定され、さらにサーバ 1 に複製するように設定されている場合、サーバ 2 への複製は失敗します。ACS では、双方向複製と呼ばれるこのような設定をサポートしていません。このような複製が実行されることを防ぐため、セカンダリ ACS は、Replication リストに自分のプライマリ ACS が含まれている場合は複製を打ち切ります。

図9-1 カスケード データベース複製

 

 

複製の頻度

ACS が複製を行う頻度は、AAA の全体的なパフォーマンスと重大な関係があります。複製の頻度を高くするほど、セカンダリ ACS はプライマリ ACS の最新の状態に近くなります。このように頻繁に複製すると、プライマリ ACS で障害が発生した場合に、プライマリ ACS により近い状態のセカンダリが作成されます。

複製の頻度を高くすると、コストがかかります。複製の頻度が高くなればそれだけ多重 ACS アーキテクチャとネットワーク環境の負荷も大きくなります。複製を頻繁に実行するようにスケジューリングすると、ネットワーク トラフィックが増加します。また、複製システムにかかる処理負荷が増大します。複製によってシステム リソースが消費され、認証が少しの間中断されるため、頻繁に複製を行うと、ACS の AAA パフォーマンスへの影響が大きくなります。また、サービスが両方のサーバで一時的に中断されるため、Network Access Server(NAS; ネットワーク アクセス サーバ)のフェールオーバーが発生する場合があります。


) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。


この問題は、大規模データベースや変化が激しいデータベースで、はっきり現れます。データベース複製は、差分型ではなく破壊型バックアップです。言い換えると、実行するたびにセカンダリ ACS のデータベースと設定は完全に置き換わります。したがって、データベースが大規模な場合は、転送されるデータの量が膨大なものになり、処理によるオーバーヘッドも大きくなる可能性があります。

実装上で重要な検討事項

ACS データベース複製機能を実装する場合は、次の事項を考慮してください。

ACS は他の ACS へのデータベース複製だけをサポートします。ACS 内部データベース複製に関連するすべての ACS は、同じバージョンの ACS を実行している必要があります。複製に関連する ACS は、パッチ レベルも合せておくことを強く推奨します。

複製に関連するすべての ACS では、AAA Servers テーブルを正しく設定する必要があります。

プライマリ ACS は、その AAA Servers テーブルの中に、セカンダリ ACS それぞれに対して、エントリを正確に設定しておく必要があります。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。


セカンダリ ACS は、その AAA Servers テーブルの中に、自分のプライマリ ACS それぞれ対して、エントリを正確に設定しておく必要があります。

プライマリ ACS とそのセカンダリ ACS すべてにおいて、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。

適切に設定されている場合に限り、有効な ACS をセカンダリ ACS にできます。データベース複製用のセカンダリ ACS を設定する方法については、「セカンダリ ACS の設定」を参照してください。

複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。スケジューリングされた複製、または手動で起動した複製が開始した場合、プライマリ ACS は、そのデータベースが前回の正常な複製以降に変更されていないときは、複製を自動的に打ち切ります。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


セカンダリ ACS への複製は、ACS Database Replication ページにある Replication Partners の下の Replication リストにある順番で順次実行されます。

複製コンポーネントを受信するセカンダリ ACS は、プライマリ ACS からデータベース複製を受け入れるように設定されている必要があります。データベース複製用のセカンダリ ACS を設定する方法については、「セカンダリ ACS の設定」を参照してください。

ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。

ユーザ アカウントを複製する場合は、すべてのコンポーネントについて(Network Access
Profiles を除く)プライマリおよびセカンダリ ACS 上の外部データベース設定に必ず同じ名前を付けてください。セカンダリ ACS に同じ名前のデータベース設定があるかどうかにかかわらず、複製されたユーザ アカウントには、認証サービスまたはポスチャ確認サービス用のデータベースとの関連が保持されます。たとえば、プライマリ ACS 上の WestCoast LDAP というデータベースと関連付けられているユーザ アカウントの場合、すべてのセカンダリ ACS 上の複製されたユーザ アカウントで WestCoast LDAP という外部ユーザ データベースとの関連が保持されます。これは、たとえその名前の LDAP データベース インスタンスを設定していない場合でも同じです。

すべてのコンポーネント(Network Access Profiles を除く)のユーザ定義 RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を使用するユーザとグループの設定を複製するには、ユーザ定義 RADIUS ベンダーと VSA の定義をプライマリおよびセカンダリ ACS に手動で追加し、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットが各 ACS 上で一致していることを確認します。一致していれば、ユーザ定義 RADIUS ベンダーと VSA による設定は複製できます。ユーザ定義 RADIUS ベンダーと VSA の詳細については、「カスタム RADIUS ベンダーと VSA」を参照してください。

データベース複製とバックアップの比較

データベース複製とシステム バックアップを混同しないようにしてください。データベース複製は、システム バックアップに代わるものではありません。どちらの機能も、サーバを部分的または全面的に失うことを防ぎますが、それぞれの機能は問題に対処する方法が異なっています。

システム バックアップでは、システムに障害が発生したりデータが破壊された場合に、後で設定の復元に使用できる形式でデータがアーカイブされます。バックアップ データはローカルのハード ドライブ上に格納され、長期保管するためにシステムからコピーして削除することが可能です。データベース バックアップ ファイルは数世代保存できます。

ACS Database Replication を利用すると、ACS 内部データベースのさまざまなコンポーネントを別の ACS にコピーできます。この方法によって、フェールオーバー AAA アーキテクチャを計画でき、設定タスクと保守タスクの複雑さを軽減できます。ごくまれに、破壊されたデータベースが ACS Database Replication によって、バックアップ ファイルを生成する ACS に伝播することもあります。


注意 破壊されたデータベースが複製される可能性があるため、特にミッションクリティカルな環境では、バックアップ計画を立てておくことを強く推奨します。ACS 内部データベースのバックアップの詳細については、「ACS バックアップ」および付録 D「CSUtil データベース ユーティリティ」を参照してください。

データベース複製のロギング

ACS は、成功したかどうかにはかかわらず、すべての複製イベントを次の 2 つのファイルに記録します。

Windows イベント ログ

データベース複製レポート

Windows イベント ログを表示するには、Windows の管理ユーティリティを使用します。ACS の Reports and Activity セクションで最新レポートを確認できます。

ACS レポートの詳細については、「概要」を参照してください。

複製オプション

ACS Web インターフェイスには、ACS Database Replication の設定用に、3 つのオプションが用意されています。

この項では、次のトピックについて取り上げます。

「複製コンポーネント オプション」

「Outbound Replication オプション」

「Inbound Replication オプション」

複製コンポーネント オプション

ACS がプライマリ ACS として送信する ACS 内部データベース コンポーネントと、セカンダリ ACS として受信するコンポーネントを指定できます。

セキュリティを強化するために、送信専用の ACS と受信専用の ACS を分けたほうが良い場合があります。この方法は、すべての ACS の設定が同じであることを確認するために使用できます。


セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内部データベース コンポーネントを上書き します。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。たとえば、ユーザおよびグループのデータベースに対して Receive チェックボックスをオンにすると、新しく ACS 内部データベースが受信された時点で、既存のユーザまたはグループに関するすべてのレコードが失われます。


表9-1 では、ACS Database Replication ページの Replication Components テーブルの項目と、複製されるコンポーネント オプションについて説明します。

 

表9-1 複製されるコンポーネントの詳細

コンポーネント
複製の対象

User and group database

グループとユーザ。このオプションを使用した場合、Group database only オプションは使用できません。

Group database only

グループが複製されます。ユーザは複製されません。このオプションを使用した場合、User and group database オプションは使用できません。

Network Configuration Device tables1

Network Configuration セクションの AAA Servers テーブルおよび AAA Clients テーブル。このオプションは、Network Device Group(NDG; ネットワーク デバイス グループ)を複製するかどうかも制御します。

Distribution table

Network Configuration セクションの Proxy Distribution テーブルが複製されます。

Interface configuration

Interface Configuration セクションから、Advanced Options 設定、RADIUS 設定、および TACACS+ 設定を複製します。

Interface security settings

ACS Web インターフェイスの管理者情報およびセキュリティ情報を複製します。

Password validation settings

パスワード検証設定を複製します。

EAP-FAST master keys and policies

EAP-FAST 用のアクティブおよび非アクティブのマスター キーとポリシーを複製します。

Network Access Profiles2

各種設定の組み合せです。ここには、Network Access Profiles、Posture Validation の設定、AAA クライアントおよびホスト、外部ユーザのデータベース設定、グローバル認証設定、NDG、ユーザ定義 RADIUS ディクショナリ、共有プロファイル コンポーネント、追加のロギング アトリビュートが含まれます。

1. カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。

2. Network Access Profiles テーブルの複製と Network Configuration Device テーブルの複製は矛盾するため、この 2 つのコンポーネントを同時に選択しないでください。NAP 設定は他のすべての設定を上書きします。ダイナミックにマッピングされたユーザは複製されません。スタティックに追加されたユーザだけが複製されます。

セカンダリ ACS にデータベース全体をミラーリングすることで、機密データ、たとえば Proxy Distribution Table が送信されることがある場合は、特定カテゴリのデータベース情報だけを送信するようにプライマリ ACS を設定できます。

Outbound Replication オプション

ACS Database Replication ページの Outbound Replication テーブルには、送信をスケジューリングし、このプライマリ ACS に対するセカンダリ ACS を指定できます。

 

表9-2 Outbound Replication オプション

オプション
説明
Scheduling Options

 

Manually

ACS は自動データベース複製を実行しません。

Automatically Triggered Cascade3

ACS は、プライマリ ACS からのデータベース複製が完了すると、セカンダリ ACS の設定済みのリストにデータベース複製を実行します。このオプションによって、ACS の伝播階層を構築し、プライマリ ACS から他のすべての ACS に複製コンポーネントを伝播するという負荷を軽減できます。カスケード複製の図は、図9-1 を参照してください。

Every X minutes

ACS は、設定された頻度で、設定済みのリストのセカンダリ ACS にデータベース複製を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

At specific times

ACS は、日/時グラフに指定されている時刻に、設定済みのリストのセカンダリ ACS にデータベース複製を実行します。最小間隔は 1 時間で、指定した時刻に複製が実行されます。

Partner Options

このプライマリ ACS のセカンダリ ACS を指定できます。このオプションは、プライマリ ACS の複製先にするセカンダリ ACS を管理するもので、Outbound Replication テーブルの Partners セクションに表示されます。

AAA Server

このプライマリ ACS が複製コンポーネントを 送信しない セカンダリ ACS のリストです。

Replication

このプライマリ ACS が複製コンポーネントを 送信する セカンダリ ACS のリストです。

Replication Timeout

このプライマリ ACS がセカンダリ ACS に複製を継続する分数を指定します。このタイムアウト値を超えると、ACS は複製先のセカンダリ ACS への複製を終了し、CSAuth サービスを再開します。複製タイムアウト機能は、複製通信の停止が原因である AAA サービスの損失を防止するために役立ちます。複製通信は、プライマリおよびセカンダリ ACS 間のネットワーク接続が極端に低速な場合、またはどちらかの ACS で障害が発生した場合に停止することがあります。デフォルト値は 5 分です。

3.カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。

AAA Server リストと Replication リストに含まれている項目は、Network Configuration の AAA Servers テーブルに設定されている AAA サーバを反映しています。特定の ACS をセカンダリ ACS として利用できるようにするには、まず、その ACS をプライマリ ACS の AAA Servers テーブルに追加する必要があります。


ヒント 複製されるコンポーネントのサイズは、複製の所要時間に影響します。たとえば、80,000 個のユーザ プロファイルを含むユーザ データベースの複製には、500 個のユーザ プロファイルを含むユーザ データベースの複製よりも時間が長くかかります。実装に適したタイムアウト値を決定するには、正常な複製イベントを監視する必要がある場合もあります。


ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。

Inbound Replication オプション

セカンダリ ACS に対する複製元となるプライマリ ACS を指定できます。このオプションは、ACS Database Replication ページの Inbound Replication テーブルに表示されます。

Accept replication from リストは、現在の ACS に対する複製コンポーネントの送信元となる ACS を管理します。このリストには、次のオプションが含まれています。

Any Known ACS Server :このオプションが選択されている場合、ACS は、Network Configuration の AAA Servers テーブルに設定されているすべての ACS から複製コンポーネントを受け入れます。

Other AAA servers :このリストには、Network Configuration の AAA Servers テーブルに設定されている AAA サーバがすべて表示されています。特定の AAA サーバ名が選択された場合、ACS は、指定された ACS からの複製コンポーネントだけを受け入れるようになります。


) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

カスケード複製を使用する複製方式を実装する場合は、別の ACS から複製コンポーネントを受信したときに限り複製するように設定された ACS が、プライマリ ACS とセカンダリ ACS として動作します。最初はセカンダリ ACS として動作して複製コンポーネントを受信し、次にプライマリ ACS として動作して別の ACS にコンポーネントを複製します。カスケード複製の図は、図9-1 を参照してください。

ACS のプライマリ複製セットアップとセカンダリ複製セットアップは、次の手順で実装します。


ステップ 1 各セカンダリ ACS で、次の手順を実行します。

a. Network Configuration セクションで、プライマリ ACS を AAA Servers テーブルに追加します。

AAA Servers テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. 複製コンポーネントを受信するようにセカンダリ ACS を設定します。その方法については、「セカンダリ ACS の設定」を参照してください。

ステップ 2 プライマリ ACS で、次の手順を実行します。

a. Network Configuration セクションで、それぞれのセカンダリ ACS を AAA Servers テーブルに追加します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。


AAA Servers テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. スケジュールに従って複製する方法、一定間隔で複製する方法、またはプライマリ ACS が別の ACS から複製コンポーネントを受信したときに複製する方法については、「複製のスケジューリング」を参照してください。

c. 複製をすぐに開始する方法については、「即時複製」を参照してください。


 

セカンダリ ACS の設定


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


ACS データベース複製機能を利用するには、特定の ACS をセカンダリ ACS として動作するように設定しておく必要があります。セカンダリ ACS が受信するコンポーネントは明示的に指定する必要があり、同様にそのプライマリ ACS も明示的に指定する必要があります。

複製は、常にプライマリ ACS が開始します。複製コンポーネントの送信の詳細については、「即時複製」または 「複製のスケジューリング」を参照してください。


注意 セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内部データベースコンポーネントを上書きします。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。

始める前に

セカンダリ ACS の AAA Servers テーブルが正しく設定されていることを確認します。このセカンダリ ACS の AAA Servers テーブルには、プライマリ ACS のそれぞれに対するエントリがなければなりません。さらに、各プライマリ ACS 用の AAA Servers テーブル エントリは、プライマリ ACS が自分の AAA Servers テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

ACS をセカンダリ ACS に設定するには、次の手順を実行します。


ステップ 1 セカンダリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルで、プライマリ ACS から受信する各データベース コンポーネントの Receive チェックボックスをオンにします。

複製コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 セカンダリ ACS に対する複製コンポーネントの送信元となる ACS が、Replication リストに含まれていないことを確認します。含まれている場合は、Replication リストでそのプライマリ ACS を選択し、 <-- (左矢印)をクリックして AAA Servers リストに移動します。


) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、複製が打ち切られます。


ステップ 6 セカンダリ ACS が複製コンポーネントをプライマリ ACS の 1 つだけ から受信するようにするには、Accept replication from リストで、プライマリ ACS の名前を選択します。

Accept replication from リストで利用できるプライマリ ACS は、Network Configuration セクションの AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


) プライマリ ACS とそのすべてのセカンダリ ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 7 セカンダリ ACS が 複数の プライマリ ACS から複数の複製コンポーネントを受信する場合は、Accept replication from リストで Any Known ACS Server を選択します。

Any Known ACS Server オプションは、Network Configuration の AAA Servers テーブルのリストにある ACS に制限されます。


) このセカンダリ ACS の各プライマリ ACS に対して、プライマリ ACS とセカンダリの ACS 上で、プライマリ ACS 用の AAA Servers テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 8 Submit をクリックします。

ACS は、複製設定を保存し、指定した頻度でまたは指定した時刻に、指定した相手の ACS から複製コンポーネントを受信し始めます。


 

即時複製

データベース複製は手動で開始できます。


) 複製は、少なくとも 1 台のセカンダリ ACS を設定するまでは実行できません。セカンダリ ACS の設定方法の詳細については、「セカンダリ ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順については、「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

この ACS が複製コンポーネントを送信する各セカンダリ ACS に対して、「セカンダリ ACS の設定」の手順を完了したことを確認してください。

データベースの複製をすぐに始めるには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


Database Replication Setup ページが表示されます。

ステップ 4 セカンダリ ACS に複製する ACS 内部データベース コンポーネントそれぞれに対して、Replication Components の下で、対応する Send チェックボックスをオンにします。

ステップ 5 プライマリ ACS が選択した自分のコンポーネントを複製するセカンダリ ACS それぞれに対して、AAA Servers リストでセカンダリ ACS を選択してから、 --> (右矢印ボタン)をクリックします。


ヒント セカンダリ ACS を Replication リストから削除するには、セカンダリ ACS を Replication リストで選択してから <--(左矢印ボタン)をクリックします。


) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


ステップ 6 Replication timeout テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再開されます。

ステップ 7 ブラウザ ウィンドウの下部で Replicate Now をクリックします。

ACS が複製設定を保存します。ACS は、複製されたデータベース コンポーネントを、指定されたセカンダリ ACS にすぐに送信し始めます。


) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけです。複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。



 

複製のスケジューリング

プライマリ ACS が自分の複製データベース コンポーネントをセカンダリ ACS に送信するタイミングをスケジューリングできます。複製スケジューリング オプションの詳細については、「Outbound Replication オプション」を参照してください。


) 複製は、セカンダリ ACS が正しく設定されていないと実行されません。詳細については、「セカンダリ ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順については、「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

このプライマリ ACS の各セカンダリ ACS に対して、「セカンダリ ACS の設定」の手順を完了します。

プライマリ ACS がそのセカンダリ ACS に複製するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 ACS Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがオフになっている場合はオンにします。


Database Replication Setup ページが表示されます。

ステップ 4 プライマリ ACS がそのセカンダリ ACS に送信する ACS 内部データベース コンポーネントを指定するには、Replication Components の下で、送信するデータベース コンポーネントそれぞれに対応する Send チェックボックスをオンにします。

複製データベース コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 プライマリ ACS がそのセカンダリ ACS に複製データベース コンポーネントを一定間隔で送信するようにするには、Replication Scheduling で Every X minutes オプションを選択し、ACS が複製を実行する間隔を X ボックスに入力します(最大 7 文字)。


) ACS は複製中に一時的にシャットダウンされるため、複製間隔を短くすると、AAA クライアントが他の ACS に頻繁にフェールオーバーすることになります。AAA クライアントが別の ACS にフェールオーバーするように正しく設定されていない場合は、認証サービスが短時間中断して、ユーザが認証できなくなることがあります。詳細については、「複製の頻度」を参照してください。


ステップ 6 プライマリ ACS が複製データベース コンポーネントをセカンダリ ACS に送信する時刻をスケジューリングするには、次の手順を実行します。

a. Outbound Replication テーブルで、 At specific times オプションを選択します。

b. 日/時グラフで、ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 7 この ACS が、他の ACS から複製データベース コンポーネントを受信したとき、すぐに複製データベース コンポーネントを送信するようにする場合は、 Automatically triggered cascade オプションを選択します。


) Automatically triggered cascade オプションを指定する場合は、他の ACS を、この ACS のプライマリ ACS として動作するように設定する必要があります。その設定をしないと、この ACS はセカンダリ ACS に複製しません。


ステップ 8 この ACS の複製先となるセカンダリ ACS を指定します。そのためには、次の手順を実行します。


) ACS では、双方向データベース複製はサポートされていません。複製データベース コンポーネントを受信するセカンダリ ACS は、自分の Replication リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製データベース コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。複製パートナーの詳細については、「Inbound Replication オプション」を参照してください。


a. Outbound Replication テーブルで、プライマリ ACS が選択された複製データベース コンポーネントを送信するセカンダリ ACS の名前を AAA Servers リストで選択します。


) AAA Servers リストで利用できるセカンダリ ACS は、Network Configuration の AAA
Servers テーブルで決定されます。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択したセカンダリ ACS が Replication リストに移動します。

c. プライマリ ACS が選択された複製データベース コンポーネントを送信するセカンダリ ACS それぞれに対して、ステップ a とステップ b を繰り返します。

ステップ 9 Replication timeout テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再開されます。

ステップ 10 Submit をクリックします。

ACS は、作成された複製設定を保存します。


 

ACS データベース複製のディセーブル化

スケジューリング済み ACS データベース複製は、スケジュール自体を残したままディセーブルにできます。この操作を実行すると、スケジューリング済み複製を一時的に中止し、後でスケジュール情報を再入力しなくてもスケジューリング済み複製を再開できます。

ACS データベース複製をディセーブルにするには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルですべてのチェックボックスをオフにします。

ステップ 5 Outbound Replication テーブルで、 Manually オプションを選択します。

ステップ 6 Submit をクリックします。

ACS がこの ACS サーバの複製を禁止します。


 

自動パスワード変更複製の設定

自動パスワード変更複製および他のローカル パスワード管理オプションを設定するには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Local Password Managment をクリックします。

ステップ 4 次のように、設定するオプションを選択します。

フィールド
説明

Password Validation Options

文字の長さ。

ユーザ名を含むことはできない。

直前の値とは異なる値を指定。

英数字。

Remote Change Password

この ACS の Telnet パスワードをディセーブルにし、希望するメッセージをユーザの Telnet セッションに戻す。

リモートでパスワードが変更されると、選択されている複製パートナーにただちに通知される。

Password Change Log File Management

新しいパスワード変更ログ ファイルを生成する頻度を設定する。

選択したオプションに基づいてログ ファイルの削除を設定する。

ステップ 5 Submit をクリックします。


 

データベース複製イベントのエラー

データベース複製レポートには、複製中に発生したエラーを示すメッセージが含まれています。データベース複製レポートの詳細については、「ACS システム ログ」を参照してください。


ヒント 複製レポートにはエラーに関する簡単な説明が書き込まれます。ただし、より詳細なエラーが CSAuth サービス ログの auth.log に書き込まれることもあります。


RDBMS 同期化

この項では、RDBMS 同期化機能について、ACS および関連する外部データ ソースで、この機能を実装する方法を中心に説明します。

この項では、次のトピックについて取り上げます。

「RDBMS 同期化について」

「ユーザ」

「ユーザ グループ」

「ネットワーク設定」

「カスタム RADIUS ベンダーと VSA」

「RDBMS 同期化のコンポーネント」

「CSDBSync について」

「accountActions テーブルについて」

「accountActions テーブルを使用する ACS データベースの復旧」

「レポートとイベント(エラー)の処理」

「RDBMS 同期化の使用準備」

「RDBMS 同期化用のシステム データ ソース名の設定」

「RDBMS 同期化のオプション」

「RDBMS セットアップ オプション」

「同期化スケジューリング オプション」

「同期化パートナー オプション」

「RDBMS 同期化の即時実行」

「RDBMS 同期化のスケジューリング」

「スケジューリング済み RDBMS 同期化のディセーブル化」

RDBMS 同期化について

RDBMS 同期化機能では、ACS 内部データベースを ODBC に準拠したデータ ソースの情報でアップデートできます。ODBC に準拠したデータ ソースは、サードパーティ製アプリケーションの RDBMS のデータベースとして使用できます。また、サードパーティ システムが更新する中間ファイルまたはデータベースとしても使用できます。ファイルまたはデータベースの常駐場所にかかわらず、ACS は、ODBC 接続を使用してファイルまたはデータベースを読み取ります。RDBMS 同期化を API と見なすこともできます。つまり、ユーザ、グループ、デバイス用に ACS Web インターフェイスを通して設定できるものの多くは、代わりにこの機能を使用して保守ができます。RDBMS 同期化では、アクセスできるすべてのデータ項目に対して追加、修正、削除が可能です。

同期化を定期的なスケジュールで実行するように設定できます。手動で同期化を実行することや、オン デマンドで ACS 内部データベースを更新することもできます。

1 台の ACS が実行する同期化によって、他の ACS の内部データベースをアップデートできるため、RDBMS 同期化を設定する必要があるのは 1 台の ACS だけです。ACS は、TCP ポート 2000 で同期化データを傍受します。ACS 間の RDBMS 同期化通信は、独自の 128 ビット暗号化アルゴリズムを使用して暗号化されています。

このトピックでは、RDBMS 同期化によって自動化できる設定のタイプの概要を説明します。アクションは、accountActions という名前のリレーショナル データベース テーブルまたはテキスト ファイルで指定します。accountActions の詳細については、「accountActions テーブルについて」を参照してください。RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ユーザ

RDBMS 同期化が実行できるユーザ関連の設定アクションには、次のものがあります。

ユーザの追加

ユーザの削除

パスワードの設定

ユーザのグループ メンバーシップの設定

Max Sessions パラメータの設定

ネットワーク使用割当量パラメータの設定

コマンド認可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

IP アドレスの割り当て

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


ユーザ グループ

RDBMS 同期化が実行できるグループ関連の設定アクションには、次のものがあります。

Max Sessions パラメータの設定

ネットワーク使用割当量パラメータの設定

コマンド認可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


ネットワーク設定

RDBMS 同期化が実行できるネットワーク デバイス関連の設定アクションには、次のものがあります。

AAA クライアントの追加

AAA クライアントの削除

AAA クライアントの詳細設定

AAA サーバの追加

AAA サーバの削除

AAA サーバの詳細設定

Proxy Distribution Table エントリの追加と設定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 F「RDBMS 同期化機能インポートの定義」を参照してください。


カスタム RADIUS ベンダーと VSA

RDBMS 同期化を利用すると、カスタム RADIUS ベンダーと VSA を設定できます。事前定義済みの RADIUS ベンダーとベンダー固有アトリビュート(VSA)のセットに加えて、ACS はユーザが定義する RADIUS ベンダーと VSA もサポートします。ユーザが追加するベンダーは IETF に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートにする必要があります。

カスタム RADIUS ベンダーは 10 個まで定義できます。ACS では、どのベンダーについてもインスタンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含めて、プライマリおよびセカンダリの ACS 上において同一である必要があります。データベース複製の詳細については、「ACS 内部データベースの複製」を参照してください。


RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

RDBMS 同期化のコンポーネント

RDBMS 同期化機能は、次の 2 つのコンポーネントで構成されています。

CSDBSync専用の Windows サービス。ACS 用にユーザとグループ アカウントの自動管理サービスを実行します。

accountActions Table :データ オブジェクト。CSDBSync が、ACS 内部データベースのアップデートに使用する情報を保持しています。

CSDBSync について

CSDBSync サービスは、ODBC システムの Data Source Name(DSN; データ ソース名)を使用して accountActions テーブルにアクセスします。図9-2 を参照してください。このサービスは、具体的には、 accountActions という名前のテーブルを検索します。CSDBSync が accountActions テーブルにアクセスできない場合、同期化イベントは失敗します。

図9-2 RDBMS 同期化

 

CSDBSync は、accountActions テーブルから各レコードを読み取り、レコード内のアクション コードに指定されているように ACS 内部データベースを更新します。たとえば、レコードの指示によって、CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環境では、シニア同期化パートナーである 1 台の ACS が accountActions テーブルにアクセスし、その同期化パートナーに同期化コマンドを送信します。図9-2 では、Access Control Server 1 がシニア同期化パートナーで、その他の 2 つの ACS がその同期化パートナーです。


) シニア同期化パートナーには、その同期化パートナーである各 ACS 用の AAA 設定が必要です。同様に、各同期化パートナーには、シニア パートナー用の AAA サーバ設定が必要です。シニア パートナーからの同期化コマンドは、同期化コマンドを受信する ACS にシニア パートナー用の AAA サーバ設定がない場合は無視されます。


CSDBSync は、accountActions テーブルで読み取りと書き込み(レコードの削除)の両方を実行します。CSDBSync は、それぞれのレコードを処理した後で、テーブルからそのレコードを削除します。この処理を行うために、使用するシステム DSN を設定するデータベース ユーザ アカウントには、読み取り特権と書き込み特権が必要です。

ACS が使用する CSDBSync とその他の Windows サービスの詳細については、「概要」を参照してください。

accountActions テーブルについて

accountActions テーブルには、CSDBSync が ACS 内部データベースで実行するアクションを定義した行のセットが入っています。accountActions テーブルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。さらに、アクション フィールドが 1 つとその他のフィールドがいくつか含まれています。このフィールドは、ACS 内部データベースの更新に必要となる情報を CSDBSync に提供します。accountActions テーブルの形式と利用可能なアクション全体の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

accountActions テーブルを含むデータベースは、マルチユーザ ODBC ドライバをサポートする必要があります。このドライバは、ACS とサードパーティ システムが、accountActions テーブルに同時にアクセスを試みた場合に発生する問題を避けるために必要になります。

ACS には、よく使用される複数の形式で accountActions テーブルを作成できるようにするファイルが含まれています。このファイルは、ACS をデフォルトでインストールした場合、ACS の次の場所にあります。

C:\Program Files\CiscoSecure ACS vx.x\CSDBSync\Databases

Databases ディレクトリには、次のサブディレクトリがあります。

Access CiscoSecure Transactions.mdb というファイルが格納されています。

CiscoSecure Transactions.mdb データベースには、事前に定義された accountActions テーブルが含まれています。ACS をインストールすると、インストール ルーチンによって、CiscoSecure DBSync というシステム DSN が作成されます。このシステム DSN は、 CiscoSecure
Transactions.mdb
と通信するように設定されています。


) CiscoSecure Transactions.mdb データベースのユーザ名とパスワードは、デフォルトで NULL に設定されています。このデータベースを使用して実行される RDBMS 同期化のセキュリティを確保するため、CiscoSecure Transactions.mdb データベースと ACS の両方でユーザ名とパスワードを変更してください。CiscoSecure Transactions.mdb データベースにアクセスする他のプロセスもすべて、新しいユーザ名とパスワードを使用するように変更します。


CSV accountactions schema.ini というファイルが格納されています。

accountactions ファイルは、カンマ区切り形式ファイルの accountActions テーブルです。
schema.ini
ファイルは、accountactions ファイルへのアクセスに必要な情報を Microsoft ODBC テキスト ファイル ドライバに提供します。

Oracle 7 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 7 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Oracle 7 SQL プロシージャが含まれています。

Oracle 8 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Oracle 8 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Oracle 8 SQL プロシージャが含まれています。

SQL Server 6.5 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、accountActions テーブルの生成に必要な Microsoft SQL Server 6.5 SQL プロシージャが含まれています。 testData.sql ファイルには、CSDBSync が処理できるサンプル トランザクションで accountActions テーブルをアップデートするための Microsoft SQL Server 6.5 SQL プロシージャが含まれています。

accountActions テーブルを使用する ACS データベースの復旧

RDBMS 同期化機能では、accountActions テーブルの各レコードが処理後に削除されるため、accountActions テーブルはトランザクション キューと見なすことができます。RDBMS 同期化機能では、トランザクション ログや監査トレールは保持されません。ログが必要な場合は、
accountActions テーブルにレコードを追加する外部システムでログを作成する必要があります。外部システムで accountActions テーブルに完全なトランザクション履歴を再作成できない場合は、復旧用にトランザクション ログ ファイルを作成することを推奨します。トランザクション ログ ファイルを作成するには、安全な場所に保存され、定期的にバックアップされるセカンド テーブルを作成します。このセカンド テーブルに、accountActions テーブルのレコードの追加と更新をすべてミラーリングしてください。

データベースの規模が大きい場合は、すべてのトランザクション ログを再生して ACS 内部データベースをサードパーティ システムに同期させる方法は現実的ではありません。その代わりに、ACS 内部データベースを定期的にバックアップし、最新バックアップの時刻からのトランザクション ログを再生して、ACS 内部データベースをサードパーティ システムと同期化します。バックアップ ファイルの作成の詳細については、「ACS バックアップ」を参照してください。

チェックポイントよりも多少前の時点のトランザクション ログを再生すると、一部のトランザクションが無効となり、エラーがレポートされる場合がありますが、ACS 内部データベースに損害が及ぶことはありません。トランザクション ログ全体を再生すれば、ACS 内部データベースと外部 RDBMS アプリケーションのデータベースは一貫性が維持されます。

レポートとイベント(エラー)の処理

CSDBSync サービスでは、イベントとエラーをロギングできます。RDBMS 同期化ログの詳細については、「ACS システム ログ」を参照してください。CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。

手動で同期をとる場合は、ACS は警報を表示して同期中に発生した問題を通知します。

RDBMS 同期化の使用準備

accountActions テーブルのデータを使用して ACS 内部データベースの同期をとるには、ACS の外部でいくつかの手順を実行してから ACS 内部で RDBMS 同期化機能を設定する必要があります。accountActions テーブルとして CSV ファイルを使用する場合は、「RDBMS 同期化用のシステム データ ソース名の設定」も参照してください。


schema.ini ファイルは、accountactions.csv ファイルと同じフォルダに置く必要があります。


RDBMS 同期化を準備するには、次の手順を実行します。


ステップ 1 accountActions テーブルの作成場所と形式を決めます。accountActions テーブルの詳細については、「accountActions テーブルについて」を参照してください。accountActions テーブルの形式と内容の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ステップ 2 accountActions テーブルを作成します。

ステップ 3 レコードを生成してそのレコードで accountActions テーブルを更新するように、サードパーティ システムを構成します。この構成では、イベントが起動された時点で accountActions テーブルに書き込むストアド プロシージャの作成が必要になる可能性がありますが、accountActions テーブルを保守するメカニズムは、実装している構成固有のものです。accountActions テーブルの更新に使用するサードパーティ システムが市販の商品である場合は、参考のために、サードパーティ システム ベンダーが提供するマニュアルを参照してください。

accountActions テーブルの形式と内容については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。

ステップ 4 サードパーティ システムが accountActions テーブルを正しく更新することを確認します。
accountActions テーブルに生成される行は有効である必要があります。accountActions テーブルの形式と内容の詳細については、 付録 F「RDBMS 同期化機能インポートの定義」 を参照してください。


) サードパーティ システムが accountActions テーブルを正しくアップデートすることをテストしたら、ステップ 6ステップ 7 を実行するまで accountActions テーブルのアップデートを中断します。


ステップ 5 分散 AAA 環境で複数の ACS を同期させる場合は、次の手順を実行します。

a. サードパーティ システムとの通信に使用する ACS を決定します。この ACS がシニア同期化パートナーになります。後でこれに対して、同期化パートナーに同期化データを送信する設定を行います。同期化パートナーは、同期化を必要とするその他の ACS です。

b. シニア同期化パートナーに、各同期化パートナー用の AAA サーバ設定があることを確認します。見当たらない同期化パートナーの AAA サーバ設定を追加します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

c. その他の同期化パートナーすべてに、シニア同期化パートナー用の AAA サーバ設定があることを確認します。シニア同期化パートナー用の AAA サーバ設定がない場合は、作成します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

シニア同期化パートナーとその他の同期化パートナー間の同期化がイネーブルになります。

ステップ 6 シニア同期化パートナー(サードパーティ システムと通信する ACS)でシステム DSN を設定します。手順については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

ステップ 7 シニア同期化パートナーで RDBMS 同期化をスケジューリングします。手順については、「RDBMS 同期化のスケジューリング」を参照してください。

ステップ 8 ACS 内部データベースにインポートされる情報で accountActions テーブルを更新し始めるように、サードパーティ システムを設定します。

ステップ 9 Reports and Activity セクションで RDBMS 同期化レポートを監視して、RDBMS 同期化が正しく動作していることを確認します。RDBMS 同期化ログの詳細については、「ACS システム ログ」を参照してください。

CSDBSync サービス ログも監視します。CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。


 

RDBMS 同期化用のシステム データ ソース名の設定

ACS 上にシステム DSN が存在するとき、ACS は accountActions テーブルにアクセスできます。ACS に付属の CiscoSecure Transactions.mdb Microsoft Access データベースを使用する場合は、システム DSN を作成せずに CiscoSecure DBSync システム DSN を使用できます。


ヒント ACS が ODBC で実行するすべての処理にシステム DSN が必要です。ユーザ DSN は使用できません。ODBC control panel アプレットでデータソースを設定する際に、この 2 つの DSN を間違えないようにしてください。システム DSN が正しく設定されていることを確認してください。


CiscoSecure Transactions.mdb ファイルの詳細については、「RDBMS 同期化の使用準備」を参照してください。

RDBMS 同期化で使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 Windows の Control Panel から、ODBC Data Source Administrator ウィンドウを開きます。


ヒント Windows 2000 および新しい Windows オペレーティング システムの場合、ODBC Data Sources アイコンは Administrative Tools フォルダにあります。

ステップ 2 ODBC Data Source Administrator ウィンドウの System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに DSN の説明的な名前を入力します。

ステップ 6 選択した ODBC の他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のデータベースが稼働するサーバの IP アドレスが含まれています。

ステップ 7 OK をクリックします。

DSN に指定した名前が System Data Sources リストに表示されます。

ステップ 8 ODBC ウィンドウと Windows の Control Panel を閉じます。

ACS では、ACS が accountActions テーブルへのアクセスに使用するシステムを作成します。


 

RDBMS 同期化のオプション

System Configuration から利用できる RDBMS Synchronization Setup ページでは、RDBMS 同期化機能を制御できます。このページには 3 つのテーブルが表示されます。この項では、それらのテーブルのオプションについて説明します。

この項では、次のトピックについて取り上げます。

「RDBMS セットアップ オプション」

「同期化スケジューリング オプション」

「同期化パートナー オプション」

RDBMS セットアップ オプション

RDBMS Setup テーブルは、ACS が accountActions テーブルにアクセスする方法を定義します。次のオプションがあります。

Data Source :ACS 上で利用できるすべてのシステム DSN の中から、accountActions テーブルへのアクセスに使用するシステム DSN を指定します。

Username :accountActions テーブルを含むデータベースへのアクセスに ACS が使用するユーザ名を指定します。


) ユーザ名を指定するデータベース ユーザ アカウントには、accountActions テーブルで読み取りと書き込みを行う特権が必要です。


Password :accountActions テーブルを含むデータベースへのアクセスに ACS が使用するパスワードを指定します。

同期化スケジューリング オプション

Synchronization Scheduling テーブルは、同期化の実行タイミングを定義します。次のオプションがあります。

Manually :ACS は自動 RDBMS 同期化を実行しません。

Every X minutes :ACS は、指定された頻度で同期化を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

At specific times :ACS は、日/時グラフで指定された時刻に同期化を実行します。最小間隔は 1 時間で、指定した時刻に同期化が実行されます。

同期化パートナー オプション

Synchronization Partners テーブルは、accountActions テーブルのデータに同期させる ACS を定義します。次のオプションがあります。

AAA Server :このリストは、それに対して ACS が RDBMS 同期化を 実行しない ように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。

Synchronize :このリストは、それに対して ACS が RDBMS 同期化を 実行する ように Network Configuration の AAA Servers テーブルに設定されている AAA サーバを表します。このリストにある AAA サーバは、この ACS の同期化パートナーです。同期化において、この ACS とその同期化パートナー間の通信では、128 ビット暗号化された Cisco 固有のプロトコルが使用されます。同期化パートナーは、TCP ポート 2000 で同期化データを受信します。


) 各同期化パートナーの Network Configuration セクションに、この ACS に対応する AAA サーバ設定があることが必要です。設定されていない場合、この ACS が送信する同期化コマンドは無視されます。


Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。

RDBMS 同期化の即時実行

RDBMS 同期化イベントは手動で開始できます。

手動で RDBMS 同期化を実行するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックしてから RDBMS Synchronization をオンにします。


RDBMS Synchronization Setup ページが表示されます。

ステップ 3 RDBMS Setup テーブルでオプションを指定するには、次の手順を実行します。


) RDBMS セットアップの詳細については、「RDBMS セットアップ オプション」を参照してください。


a. Data Source リストで、accountActions テーブルを含むデータベースと通信するように設定したシステム DSN を選択します。

RDBMS 同期化で使用するシステム DSN の設定の詳細については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

b. accountActions テーブルの読み取りアクセス特権と書き込みアクセス特権があるデータベース ユーザ アカウントのユーザ名を Username ボックスに入力します。

c. ステップ b で指定したユーザ名のパスワードを Password ボックスに入力します。

ACS に accountActions テーブルにアクセスするための情報が含まれています。


) Replication Scheduling の Manually を選択する必要はありません。詳細については、「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。


ステップ 4 accountActions テーブルのデータを使用してこの ACS をアップデートする ACS それぞれに対して、AAA Servers リストで ACS を選択してから --> (右矢印ボタン)をクリックします。

選択した ACS が Synchronize リストに表示されます。

ステップ 5 Synchronize リストから ACS を削除するには、このリストで ACS を選択してから、 <-- (左矢印ボタン)をクリックします。

選択した ACS が AAA Servers リストに表示されます。

ステップ 6 ブラウザ ウィンドウの一番下にある Synchronize Now をクリックします。

ACS は、即座に同期化イベントを開始します。同期化のステータスをチェックするには、Reports and Activity で RDBMS 同期化レポートを表示します。


 

RDBMS 同期化のスケジューリング

ACS が RDBMS 同期化を実行するタイミングをスケジューリングできます。

ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックしてから RDBMS Synchronization をクリックします。


RDBMS Synchronization Setup ページが表示されます。

ステップ 3 RDBMS Setup テーブルでオプションを指定するには、次の手順を実行します。


) RDBMS セットアップの詳細については、「RDBMS セットアップ オプション」を参照してください。


a. Data Source リストで、accountActions テーブルを含むデータベースと通信するように設定したシステム DSN を選択します。

RDBMS 同期化で使用するシステム DSN の設定の詳細については、「RDBMS 同期化用のシステム データ ソース名の設定」を参照してください。

b. accountActions テーブルの読み取りアクセス特権と書き込みアクセス特権があるデータベース ユーザ アカウントのユーザ名を Username ボックスに入力します。

c. ステップ b で指定したユーザ名のパスワードを Password ボックスに入力します。

ステップ 4 この ACS が RDBMS 同期化を一定間隔で実行するようにするには、Synchronization Scheduling で Every X minutes オプションを選択し、ACS が同期化を実行する間隔を分単位で X ボックスに入力します(最大 7 文字)。

ステップ 5 この ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行します。

a. Synchronization Scheduling の下で At specific times オプションを選択します。

b. 日/時グラフで、ACS が RDBMS 同期化を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 6 accountActions テーブルのデータを使用して同期をとる ACS それぞれに対して、次の手順を実行します。


) 同期化ターゲットの詳細については、「Inbound Replication オプション」を参照してください。


a. Synchronization Partners テーブルの AAA Servers リストで、accountActions テーブルのデータを使用してこの ACS をアップデートする ACS の名前を選択します。


) AAA Servers リストで利用できる ACS は、Network Configuration の AAA Servers テーブルと現在の ACS サーバの名前で決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択した ACS が Synchronize リストに移動します。


) 少なくとも 1 台の ACS が Synchronize リストにあることが必要です。このリストには、RDBMS 同期を設定しているサーバが含まれます。RDBMS 同期化は、現在のサーバの内部データベースは自動的に含めません。


ステップ 7 Submit をクリックします。

ACS は、作成された RDBMS 同期化スケジュールを保存します。


 

スケジューリング済み RDBMS 同期化のディセーブル化

スケジューリング済み RDBMS 同期化イベントは、スケジュール自体を残したままディセーブルにできます。この機能を使用すると、スケジュールを再作成しなくても、スケジューリングされた同期化を終了し、再開することができます。

スケジューリング済み RDBMS 同期化をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。

RDBMS Synchronization Setup ページが表示されます。

ステップ 3 Synchronization Scheduling で Manually オプションを選択します。

ステップ 4 Submit をクリックします。

ACS は、スケジューリング済み RDBMS 同期化を実行しなくなります。


 

IP プール サーバ

この項では、IP プール機能について、IP プールの作成手順と維持手順を中心に説明します。

この項では、次のトピックについて取り上げます。

「IP プール サーバについて」

「重複 IP プールの許可または固有プール アドレス範囲の強制」

「AAA Server IP Pools テーブルの更新」

「新しい IP プールの追加」

「IP プール定義の編集」

「IP プールのリセット」

「IP プールの削除」

IP プール サーバについて

VPN を使用している場合は、IP アドレスの割り当てを重複させることが必要になる場合もあります。つまり、ある特定のトンネル内の PPTP トンネル クライアントに対して、他のトンネル内の別の PPTP トンネル クライアントが使用する同一 IP アドレスを割り当てると都合がいい場合があります。IP プール サーバ機能を利用して複数のユーザに同じ IP アドレスを割り当てることができます。ただし、ユーザがネットワークの境界を越えてルーティング用の異なるホーム ゲートウェイにそれぞれトンネリングされている必要があります。これによって、不正なアドレスを使用する手法を採用しなくても、IP アドレス空間を節約できます。IP プール機能をイネーブルにすると、ACS は番号または名前によって定義された IP プールから IP アドレスをダイナミックに発行します。IP プールは、最大 999 個を、合計で約 255,000 のユーザに対して設定できます。

IP プールとプロキシを使用している場合は、すべてのアカウンティング パケットがプロキシ化されるため、IP アドレスを割り当てる ACS は、IP アドレスがすでに使用中であるかどうかを確認できます。


CiscoSecure データベース複製機能では、IP プール定義は複製されませんが、ユーザとグループの IP プールへの割り当ては複製されます。IP プール定義が複製されないのは、複製パートナーがすでに他のワークステーションに割り当てた IP アドレスを、ACS が偶然に割り当てることを防ぐためです。複製を使用する AAA 環境で IP プールをサポートするには、プライマリ ACS に定義されている IP プールと同じ名前を使用して、各セカンダリ ACS に手作業で IP プールを設定する必要があります。


IP プールを使用するには、AAA クライアントで、ネットワーク認可(IOS では aaa authorization
network
)とアカウンティング(IOS では aaa accounting )をイネーブルにしておく必要があります。


) IP プール機能を使用するには、同じプロトコル(TACACS+ または RADIUS のどちらか一方)を使用して認証とアカウンティングを実行するように AAA クライアントをセットアップする必要があります。


グループまたはユーザを IP プールに割り当てる方法については、「IP アドレス割り当て方式をユーザ グループに対して設定する」または 「ユーザをクライアント IP アドレスに割り当てる」を参照してください。

重複 IP プールの許可または固有プール アドレス範囲の強制

ACS は、重複プールの自動検出を行います。


重複プールを使用するには、VPN で RADIUS を使用している必要があり、Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト設定プロトコル)は使用できません。


IP プールの重複が許可されているかどうかは、AAA Server IP Pools テーブルの下に、次のどちらのボタンが表示されているかによって判断できます。

Allow Overlapping Pool Address Ranges :IP プール アドレス範囲の重複が 許可されていない ことを表します。このボタンをクリックすると、プール間で IP アドレス範囲を重複させることができます。

Force Unique Pool Address Range :IP プール アドレス範囲の重複が 許可されている ことを表します。このボタンをクリックすると、IP アドレス範囲がプール間で重複しないようにします。

IP プールの重複を許可するか、固有プール アドレス範囲を強制するかを決めるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックしてから、IP Pools をクリックします。


AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 IP プール アドレス範囲の重複を許可するには、次の手順を実行します。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、そのボタンをクリックします。

ACS で IP プール アドレス範囲の重複が許可されます。

b. Force Unique Pool Address Range ボタンが表示されている場合は、何も実行しません。

ACS では、IP プール アドレス範囲の重複がすでに許可されています。

ステップ 4 IP プール アドレス範囲の重複を拒否するには、次の手順を実行します。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、何も実行しません。

ACS では、IP プール アドレス範囲の重複がすでに禁止されています。

b. Force Unique Pool Address Range ボタンが表示されている場合は、そのボタンをクリックします。

ACS で IP プール アドレス範囲の重複が禁止されます。


 

AAA Server IP Pools テーブルの更新

AAA Server IP Pools テーブルを更新すると、IP プールの最新の使用状況の統計を取得できます。

AAA Server IP Pools テーブルを更新するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 Refresh をクリックします。

ACS は使用中のプーリング済みアドレスのパーセンテージを更新します。


 

新しい IP プールの追加

IP アドレス プールは 999 個まで定義できます。

IP プールを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、すでに設定済みのすべての IP プール、そのアドレス範囲、使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 Add Entry をクリックします。

New Pool テーブルが表示されます。

ステップ 4 Name ボックスに、新しい IP プールに割り当てる名前(最大 31 文字)を入力します。

ステップ 5 Start Address ボックスに、新しいプールのアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。


ステップ 6 End Address ボックスに、新しいプールのアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

新しい IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プール定義の編集

IP プール定義を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 編集する IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 プールの名前を変更するには、プールの新しい名前(最大 31 文字)を Name ボックスに入力します。

ステップ 5 IP アドレスのプール範囲の開始アドレスを変更するには、Start Address ボックスに、プールの新しいアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.10,254 までの範囲にあることが必要です。


ステップ 6 IP アドレスのプール範囲の終了アドレスを変更するには、End Address ボックスに、プールの新しいアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

編集済み IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プールのリセット

リセット機能では、接続先がない接続が存在する場合、IP プール内で IP アドレスを回復できます。接続先がない接続は、ユーザが切断したが、ACS が該当する AAA クライアントからアカウンティング停止パケットを受信していない場合に発生します。Reports and Activity の Failed Attempts ログで、 Failed to Allocate IP Address For User メッセージの数が大きくなっている場合は、リセット機能を使用してこの IP プールで割り当てられているアドレスをすべて再生することを考慮してください。


) リセット機能を使用してプール内で割り当てられている IP アドレスをすべて再生すると、すでに使用中のアドレスがユーザに割り当てられることになります。


IP プールをリセットしてすべての IP アドレスを再生するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 リセットする IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Reset をクリックします。

ACS によって、すでに使用中のアドレスがユーザに割り当てられる可能性があることを示すダイアログボックスが表示されます。

ステップ 5 IP プールのリセットを続けるには OK をクリックします。

IP プールがリセットされます。すべての IP アドレスが再生されます。AAA Server IP Pools テーブルの In Use カラムでは、IP プール アドレスのうち 0% がユーザに割り当てられていることがわかります。


 

IP プールの削除


) ユーザが割り当てられている IP プールを削除すると、そのユーザは、ユーザ プロファイルを編集して IP 割り当て設定を変更するまで、認証できなくなります。その代わりに、グループ メンバーシップに基づいて IP がユーザに割り当てられる場合は、ユーザ グループ プロファイルを編集してグループの IP 割り当て設定を変更できます。


IP プールを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 削除する IP プールの名前をクリックします。

name プール テーブルが表示されます。 name には選択した IP プールの名前が入ります。In Use カラムには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available カラムには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Delete をクリックします。

ACS は、IP プールの削除を確認するダイアログボックスを表示します。

ステップ 5 IP プールを削除するには OK をクリックします。

IP プールが削除されます。削除された IP プールは、AAA Server IP Pools テーブルにリストされません。


 

IP プール アドレスの復旧

IP プール アドレス復旧機能では、指定した期間中に使用されなかった割り当て済み IP アドレスが復旧されます。ACS が IP アドレスを正しく再生するには、アカウンティング ネットワークを AAA クライアント上に設定しておく必要があります。

IP プール アドレス復旧のイネーブル化

IP プール アドレス復旧をイネーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Address Recovery をクリックします。


) この機能が表示されない場合は、Interface Configuration > Advanced Options をクリックしてから、IP Pools をクリックします。


IP Address Recovery ページが表示されます。

ステップ 3 Release address if allocated for longer than X hours チェックボックスをオンにし、 X ボックスに、割り当てられた IP アドレスが使用されない場合に ACS でアドレスを復旧するまでの期間を時間単位で入力します(最大 4 文字)。

ステップ 4 Submit をクリックします。

ACS は IP プール アドレス復旧設定を実装します。