Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
内部アーキテクチャ
内部アーキテクチャ
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

内部アーキテクチャ

Windows サービス

Windows レジストリと SQL レジストリ

Windows レジストリ

SQL レジストリ

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

モニタリング

記録

通知

応答

CSTacacs および CSRadius

内部アーキテクチャ

この付録では、Cisco Secure Access Control Server Release 4.0 for Windows(以降は ACS と表記)のアーキテクチャを構成するコンポーネントについて説明します。この付録は、次の項で構成されています。

「Windows サービス」

「Windows レジストリと SQL レジストリ」

「CSAdmin」

「CSAuth」

「CSDBSync」

「CSLog」

「CSMon」

「CSTacacs および CSRadius」

Windows サービス

ACS は、単純なネットワークから大規模ネットワークまでのニーズに合うように、モジュラ構造でフレキシブルに設計されています。この付録では、ACS のアーキテクチャを構成するコンポーネントについて説明します。ACS には、次のサービス モジュールが含まれています。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSTacacs

CSRadius

ACS サービスは、ACS Web インターフェイスを使用する CSAdmin を除き、グループとして停止または再開できます。詳細については、「サービス制御」を参照してください。

個々の ACS サービスは、Windows の Control Panel で利用可能な Services ウィンドウから開始、停止、再開できます。

Windows レジストリと SQL レジストリ

統合されたデータ ストレージ モデルを作成するために、ACS は、複数のデータ ストレージから標準 SQL ベースのリレーショナル データベースに移行しました。


警告 重要なデータが損なわれたり破壊されるのを防ぐため、このファイルに関する十分な知識と編集経験がある担当者だけが、このレジストリの変更を行うようにしてください。


Windows レジストリ

Windows レジストリを引き続き使用するのは、汎用 ACS アプリケーションの情報(インストール ディレクトリの位置など)だけです。

ACS の情報は、次の Windows レジストリ キーにあります。

HKEY_LOCAL_MACHINE\SOFTWARE\CISCO

シスコ担当者による依頼がない限り、ACS に関する Windows レジストリ設定を変更しないことを強く推奨します。

SQL レジストリ

SQL レジストリには、すべてのユーザと設定データに関するテーブル情報が含まれています。SQL データを表示できるようにすることはできません。また、このデータは暗号化されたパスワードによって保護されています。

 

SQL テーブル
説明
ConfigKey

他のテーブルに格納されていない情報です。データはレジストリ キーに対応しています。

ConfigValue

レジストリ値に対応するデータです。

DictKey

アトリビュート キーのツリーです。データは ACS ディクショナリのレジストリ キーに対応しています。

DictValue

ACSDictionaryKeys テーブルのアトリビュート キーの値です。

Host

ACS のすべてのホストに関する情報です。

HostService

タイプがリモート エージェントのホストに関する追加データです。

Admin

ACS 管理者です。各管理者の権限は、バイナリのブロブ内部に示されるビットセットで表現されます。

NetworkModel

ネットワーク モデル セクションです。

Users

以前は user.dat ファイルに格納されていたユーザ固有の全情報です。このテーブルは、ACS UDB_ACCOUNT という構造をとります。ただし、フィールドによっては表示されないものがあります。

VarsDB

現在は使用されていますが、将来は新しいテーブルに移動されます。

CSAdmin

CSAdmin は、ACS Web インターフェイス向けの Web サーバを提供するサービスです。ACS をインストールした後、その Web インターフェイスから設定する必要があります。そのため、ACS を設定するときは CSAdmin が動作している必要があります。

ACS の Web サーバは、通常 HTTP トラフィックに関連付けられている標準ポート 80 ではなく、ポート 2002 を使用するため、同一マシン上で別の Web サーバを使用して、他の Web サービスを提供できます。他の Web サーバとの相互運用性テストは実施されていませんが、2 番目の Web サーバがポート 2002 または HTTP ポート割り当て機能で指定されている範囲内のポートの 1 つを使用するように設定されていない限り、HTTP トラフィックにポートの競合は発生しません。HTTP ポート割り当て機能の詳細については、「アクセス ポリシー」を参照してください。

ACS の Web インターフェイス内からサービスを開始、停止できますが、 CSAdmin の開始と停止はこれに含まれていません。 CSAdmin が、外部の操作により異常停止すると、ACS が動作している Windows サーバ以外のコンピュータから ACS にアクセスできなくなります。 SAdmin は、Windows の Control Panel から開始または停止してください。

CSAdmin は、マルチスレッド化されており、複数の ACS 管理者が同時にアクセスできます。したがって、 CSAdmin は分散環境およびマルチプロセッサ環境に最適です。

CSAuth

CSAuth は、認証および認可サービスです。認証要求と認可要求を処理することによって、ユーザへのアクセスを許可または拒否します。 CSAuth はアクセスを許可するかどうかを判別し、特定ユーザの特権を定義します。 CSAuth は、ACS のデータベース マネージャです。

ユーザを認証するために、ACS は内部ユーザ データベースまたは多くの外部データベースの 1 つを使用できます。認証要求が着信すると、ACS はそのユーザに対して設定されているデータベースをチェックします。ユーザが不明の場合は、ACS は未知のユーザに対して設定されているデータベースをチェックします。ACS が未知のユーザの認証要求を処理する方法の詳細については、「未知ユーザ認証について」を参照してください。

ACS がサポートする各種データベース タイプの詳細については、「ユーザ データベース」を参照してください。

ユーザが認証されると、ACS は、ユーザ プロファイルおよびユーザが割り当てられたグループから 1 組の認可情報を取得します。この認可情報は、ユーザ名とともに ACS 内部データベースに格納されます。格納されている認可情報の中には、ユーザに許可されるサービス、たとえば、IP over PPP、IP アドレスがそこから引き出される IP プール、アクセス リストおよびパスワード エージング情報があります。認可情報は認証の許可とともに、 CSTacacs モジュールまたは CSRadius モジュールに渡され、さらに要求側装置に転送されます。

CSDBSync

CSDBSync は、ACS データベースをサードパーティの Relational Database Management System(RDBMS; リレーショナル データベース管理システム)に同期させるために使用するサービスです。 CSDBSync は、AAA クライアント、AAA サーバ、ネットワーク デバイス グループ(NDG)、およびプロキシ テーブル情報を外部リレーショナル データベースにあるテーブルのデータに同期させます。RDBMS 同期化機能については、「RDBMS 同期化」を参照してください。

CSLog

CSLog は、ロギング情報を取り込んで、格納するために使用するサービスです。 CSLog は、TACACS+ または RADIUS のパケットおよび CSAuth からデータを収集し、データを処理した後で、Comma-Separated Value(CSV; カンマ区切り形式)ファイルにデータを格納します。CSV ファイルは、CSV ファイル形式をサポートしているスプレッドシートにインポートできます。

CSMon

CSMon は、リモート アクセス ネットワーク環境においてダウンタイムを最短に抑えるために役立つサービスです。 CSMon は TACACS+ および RADIUS で動作し、使用されているプロトコルを自動的に検出します。

CSMon サービスは、ACS Web インターフェイスを使用して設定できます。ACS アクティブ サービス管理機能には、 CSMon の動作を設定するオプションがあります。詳細については、「ACS Active Service Management」を参照してください。


CSMon はシステム、ネットワークまたはアプリケーション管理アプリケーションに代わって運用されることが目的ではなく、汎用性の高い他のシステム管理ツールと併用できる特定アプリケーション向けのユーティリティとして提供されています。


CSMon は、次の項目で説明する 4 つの基本的なアクティビティを実行します。

「モニタリング」

「記録」

「通知」

「応答」

モニタリング

CSMon は ACS およびそれが動作しているシステムのステータス全体を監視します。 CSMon は、次に示す基本的なシステム パラメータをアクティブに監視します。

汎用ホスト システムのステート CSMon は次の主要なシステムしきい値を監視します。

ハード ディスクの空き容量

プロセッサ利用率

物理メモリの利用率

汎用ホスト システムのステートに関連するイベントはすべて、警告イベントに分類されます。

アプリケーション固有のパフォーマンス

アプリケーションの実行可能性 CSMon では、特殊な組み込みテスト用アカウントを使用してテスト用のログインを実行します(デフォルトの時間は 1 分)。このアカウント認証で発生した問題を利用して、サービスに問題が発生していないかどうかを判別できます。

アプリケーションのパフォーマンスしきい値 CSMon では、各テスト認証要求の待ち時間(肯定応答を受信するまでの時間)を監視および記録します。テストが実行されるたびに、 CSMon は平均応答時間の値が入っている変数をアップデートします。さらに、応答に成功するまで再試行が必要であったかどうかも記録します。テストごとに認証が得られるまでの平均時間をトラッキングすることにより、 CSMon ではテスト対象となっているシステムでの予想応答時間の状況を把握して蓄積できます。したがって、 CSMon では認証ごとに再試行を余分に実行する必要があるかどうか、または 1 回の認証に要する応答時間が通常の平均時間に対するしきい値(%)を超えているかどうかを検出できます。

ACS によるシステム リソースの消費 CSMon は、ACS が使用している一部の主要システム リソースの使用状況について監視と記録を定期的に実行し、その結果を事前に設定されているしきい値と比較して、不規則な動作を示していないかどうかを調べます。監視されるパラメータには、次のものが含まれます。

処理回数

メモリの利用率

プロセッサ利用率

使用スレッド

ログイン失敗回数

CSMon CSAuth と協調して、失敗回数が最大数を超えたためにディセーブルにされているユーザ アカウントの数の変化を見ています。この機能は、システムの実行可能性というよりも、セキュリティおよびユーザ サポート指向です。この機能が設定されている場合は、大量のアカウントが無効になっていることを示す警報を管理者に通知して、ブルート フォース攻撃に関する迅速な警告を行います。さらに、アクセスする個別ユーザに関する問題をサポート技術者が予測できるようになります。

記録

CSMon は、問題の診断に使用できる例外イベントをログに記録します。

CSMon ログ他の ACS サービスと同様に、 CSMon は、診断記録およびエラー ロギングに使用するために、それ自体の CSV ログを保持しています。このロギングによるリソースの消費量は比較的小さいため、 CSMon によるロギングをディセーブルにすることはできません。

Windows イベント ログ CSMon はメッセージを Windows イベント ログに記録できます。Windows イベント ログへのロギングはデフォルトではイネーブルに設定されていますが、ディセーブルに設定することもできます。

通知

CSMon は、システム管理者への通知を次の場合に行うように設定できます。

例外イベント

応答

応答の結果

例外イベントと結果の通知には、メッセージ発生時点の ACS のステートが含まれます。デフォルトの通知方式は Simple Mail-Transfer Protocol(SMTP; シンプル メール転送プロトコル)による電子メールですが、スクリプトを作成して他の方式を使用することもできます。

応答

CSMon は、サービスの整合性に影響を与える例外イベントを検出します。監視対象イベントについては、「モニタリング」を参照してください。これらのイベントは特定アプリケーションに関するものであり、ACS にハード コード化されます。次の 2 つのタイプの応答があります。

警告イベントサービスは保持されますが、監視しているしきい値の一部を超過している値があります。

障害イベント1 つまたは複数の ACS コンポーネントが、サービスの提供を停止しています。

CSMon は、イベントに対して、イベントのロギング、通知の送信(設定されている場合)によって応答し、イベントが障害である場合は、それに対するアクションを実行して応答します。アクションには、次の 2 つのタイプがあります。

事前定義済みのアクション :このアクションはプログラムにハードコード化されており、トリガー イベントが検出されると必ず実行されます。このアクションはハードコード化されており、アプリケーションの一部となるため、設定する必要はありません。このアクションには、 CSSupport ユーティリティの実行が含まれています。このユーティリティは、イベント発生時のシステム ステートを取り扱うほとんどのパラメータを取り込みます。

イベントが警告イベントの場合は、そのイベントがロギングされて、管理者に通知されます。これ以上のアクションは実行されません。 CSMon でも同様に、一連の再試行後に障害の発生原因の修正を実行し、個々のサービスが再起動されます。

ユーザ定義可能なアクション CSMon に組み込まれた事前定義済みのアクションで問題が修正されない場合、 CSMon は外部プログラムやスクリプトを実行できます。

CSTacacs および CSRadius

CSTacacs サービスおよび CSRadius サービスは、 CSAuth モジュールと認証および認可サービスを要求するアクセス デバイス間の通信サービスを提供します。 CSTacacs CSRadius が正常に運用されるためには、システムが次の条件を満たしている必要があります。

CSTacacs および CSRadius の各サービスは必ず CSAdmin から設定すること

CSTacacs および CSRadius の各サービスがアクセス サーバ、ルータ、スイッチ、ファイアウォールなどのアクセス デバイスと通信できること

同一の共有秘密情報(キー)が ACS とアクセス デバイスの両方で設定されていること

アクセス デバイスの IP アドレスが ACS で指定されていること

使用するセキュリティ プロトコルのタイプが ACS で指定されていること

TACACS+ 装置との通信には CSTacacs を、RADIUS 装置との通信には CSRadius をそれぞれ使用します。両方のサービスは同時に実行できます。使用されているセキュリティ プロトコルが 1 つだけの場合は、適用可能なサービスだけを実行する必要があります。ただし、もう一方のサービスが通常動作の障害にはならないため、ディセーブルにする必要はありません。TACACS+ AV ペアの詳細については、 付録 B「TACACS+ の AV ペア」 を参照してください。RADIUS+ AV ペアの詳細については、 付録 C「RADIUS アトリビュート」 を参照してください。