Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
システム設定:基本
システム設定:基本
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

システム設定:基本

サービス制御

ACS サービスのステータスの判断

サービスの停止、開始、再起動

サービス ログ ファイルのパラメータの設定

ロギング

日付形式と時刻形式の制御

日付形式と時刻形式の設定

ローカル パスワードの管理

TACACS+ を使用するデバイスからのユーザ パスワードの変更

ローカル パスワード管理の設定

新規パスワードの生成間隔の設定(ACS for Windows のみ)

ACS バックアップ

ACS バックアップについて

バックアップ ファイルの場所(ACS for Windows のみ)

ディレクトリ管理(ACS for Windows のみ)

バックアップされるコンポーネント

ACS バックアップのレポート

バックアップ オプション

手動による ACS バックアップの実行

ACS バックアップのスケジューリング

ACS バックアップのスケジューリングのディセーブル化

ACS システムの復元

ACS システムの復元について

バックアップ ファイルの名前と格納場所

復元されるコンポーネント

ACS 復元のレポート

バックアップ ファイルからの ACS の復元

ACS アクティブ サービス管理

システム モニタリング

システム モニタリング オプション

システム モニタリングのセットアップ

イベント ロギング

イベント ロギングのセットアップ

VoIP アカウンティングの設定

VoIP アカウンティングの設定

アプライアンスの設定 (ACS SE のみ)

CSAgent のイネーブル化またはディセーブル化

SNMP サポートの設定

システムの日時の設定

ACS のホスト名とドメイン名の設定

Support ページ

サポートの実行

システム情報のモニタリング

診断ログの表示またはダウンロード (ACS SE のみ)

アプライアンスのアップグレード機能(ACS SE のみ)

アプライアンスのアップグレードとパッチについて

配布サーバの要件

アプライアンスのアップグレード

アップグレード パッケージのアプライアンスへの転送

アップグレードのアプライアンスへの適用

システム設定:基本

この章では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)の Web インターフェイスの System Configuration セクションにある基本機能について説明します。

この章は、次の項で構成されています。

「サービス制御」

「ロギング」

「日付形式と時刻形式の制御」

「ローカル パスワードの管理」

「ACS バックアップ」

「ACS システムの復元」

「ACS アクティブ サービス管理」

「VoIP アカウンティングの設定」

「Support ページ」

「アプライアンスのアップグレード機能(ACS SE のみ)」

サービス制御

ACS では、いくつかのサービスを使用します。Service Control ページには、サービスの基本ステータス情報が表示されます。このページを使用して、サービス ログ ファイルの設定、およびサービスの停止や再起動を行います。ACS サービスの詳細については、 第 1 章「概要」 を参照してください。


ヒント ACS サービス ログを設定できます。詳細については、「サービス ログの設定」を参照してください。


ここでは、次の項目について説明します。

「ACS サービスのステータスの判断」

「サービスの停止、開始、再起動」

「サービス ログ ファイルのパラメータの設定」

ACS サービスのステータスの判断

ACS サービスが動作しているか停止しているかは、Service Control ページにアクセスして判断できます。

ACS サービスのステータスを判断するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname には、ACS の名前が入ります。


 

サービスの停止、開始、再起動

ACS サービスの停止、開始、再起動は、必要に応じて実行できます。次の手順で、ACS サービスを停止、開始、再起動します。


ヒント ACS によるサービスの開始順序が問題となるため、サービスの制御には Web インターフェイスを使用する必要があります。CSAdmin サービスを再起動する必要がある場合、Windows コントロール パネル(ACS for Windows)またはシリアル コンソールの stop コマンドおよびstart コマンド(ACS SE)を使用できます。



) (ACS SE のみ)Service Control ページから、CSAgent サービスを制御することはできません。詳細については、「CSAgent のイネーブル化またはディセーブル化」を参照してください。


ほとんどの ACS サービスを停止、開始、または再起動するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname には、ACS の名前が入ります。

サービスが行われている場合は、Restart ボタンと Stop ボタンがページの下部に表示されます。

サービスが停止している場合は、Start ボタンがページの下部に表示されます。

ステップ 3 状況に応じて、 Stop ボタン、 Start ボタン、 Restart ボタンのいずれかをクリックします。

クリックしたボタンに応じて、ACS サービスのステータスが変化します。


 

サービス ログ ファイルのパラメータの設定

サービス ログ ファイルおよびディレクトリ管理のパラメータを設定するには、このページを使用します。オプションの詳細については、「サービス ログの設定」を参照してください。


ステップ 1 次の情報を入力します。

 

フィールド
リストから選択する項目
Level of detail

情報の詳しさのレベル

Generate new file

ログ ファイルを生成するスケジュール

Manage directory

ログ ファイルを保存する期間

ステップ 2 Restart をクリックします。

ACS がサービスを再起動し、指定したサービス ログの設定が ACS に実装されます。


) ログ ファイルを保存するための十分な空きディスク容量があることを確認してください。問題が発生した場合は、ログを調べます。



 

ロギング

ACS では、管理イベントとアカウンティング イベントについてのログを生成するように設定できます。ログの内容は、イネーブルにしたプロトコルとオプションによって決まります。ログ ファイルは、 drive:\install_dir\service_name\Logs ディレクトリに保存されます。たとえば、
C:\CiscoSecureACS\CSAuth\Logs のようになります。サービス ログおよびトラブルシューティングに関する情報収集の詳細については、「サービス ログ」を参照してください。

日付形式と時刻形式の制御

ACS では、ログ、レポート、管理インターフェイスで 2 種類の日付形式が使用できます。月/日/年形式または日/月/年形式を選択できます。

ACS がログを syslog サーバに送信すると、syslog はその時刻を表示して記録します。ACS では、ログ、レポート、管理インターフェイスで 2 種類の時刻形式を使用できます。現地の時間帯または GMT の表示を選択できます。

日付形式と時刻形式の設定


) 日付形式を変更する前に生成したレポートがある場合は、重複を避けるために、必ずそのレポートを移動するか、またはその名前を変更してください。たとえば、月/日/年形式を使用している場合、ACS は、2007 年 7 月 12 日に生成したレポートに 2007-07-12.csv という名前を割り当てます。後で 2007 年 12 月 7 日に、日付形式を日/月/年形式に変更すると、ACS はまた 2007-07-12.csv という名前のファイルを生成して、既存のファイルを上書きします。


日付と時刻の形式を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Date Format Control をクリックします。

Date Format Control ページが表示されます。

ステップ 3 日付形式を選択します。

ステップ 4 syslog サーバに表示する時間帯を選択します。

ステップ 5 Submit & Restart をクリックします。

ACS がサービスを再起動し、選択した日付形式と時刻形式が ACS に実装されます。


) 新しい日付形式または時刻形式が Web インターフェイス レポートに表示されるようにするには、ACS への接続を再起動する必要があります。ブラウザ ウィンドウの右上隅にある X をクリックしてブラウザを閉じます。



 

ローカル パスワードの管理

Local Password Management ページを使用して、ACS 内部データベースにあるユーザ パスワード管理用の設定を定義できます。


) ACS では、ユーザ アカウント、ユーザ名、およびパスワード認証情報を ACS 管理者アカウント情報と別に格納します。ACS では、ネットワーク サービス要求の認証用に作成されたアカウントと、ACS 管理アクセス用に作成されたアカウントは、それぞれ別の内部データベースに保存されます。管理者アカウントの詳細については、第 11 章「管理者と管理ポリシー」を参照してください。


Local Password Management ページには、次のセクションがあります。

Password Validation Options :ユーザ パスワードの確認パラメータを設定できます。管理者が ACS 内部データベースのユーザ パスワードを変更する場合、およびユーザが Authentication Agent アプレットを使用してパスワードを変更しようとする場合、ACS では次の規則が適用されます。


) パスワード確認オプションは、ACS 内部データベースに保存されているユーザ パスワードに限り適用されます。外部ユーザ データベースに保存されているユーザ記録のパスワード、および Cisco IOS ネットワーク デバイスのイネーブル パスワードや管理パスワードには適用されません。


パスワード確認オプションは次のとおりです。

Password length between X and Y characters :パスワードの長さが X ボックスと Y ボックスに指定した値の範囲(両端の値も含む)にあることを要求します。ACS は 32 文字までのパスワードをサポートしています。

Password may not contain the username :ユーザ パスワードの中にユーザ名が含まれていないことを要求します。

Password is different from the previous value :新しいユーザ パスワードが前のパスワードと異なることを要求します。

Password must be alphanumeric :ユーザ パスワードに文字と数字の両方を含めることを要求します。

Remote Change Password :TELNET によるパスワード変更をイネーブルにするかどうか、イネーブルにする場合には、ACS から更新されたユーザ データをすぐに複製パートナーに送信するかどうかを設定します。

リモートパスワード変更のオプションは次のとおりです。

Disable TELNET Change Password against this ACS and return the following message to the users TELNET session :ACS は、TACACS+ を使用するデバイスからのパスワードの変更をサポートしています。パスワードの変更をディセーブルにするには、このオプションを選択します。このオプションを選択すると、TACACS+ AAA クライアントがホストする TELNET セッション中にパスワード変更を実行する機能がディセーブルになります。パスワード変更を提起したユーザは、対応するボックスに管理者が入力したテキスト メッセージを受け取ります。詳細については、「TACACS+ を使用するデバイスからのユーザ パスワードの変更」を参照してください。

Upon remote user password change, immediately propagate the change to selected replication partners :TACACS+ AAA クライアント、Authentication Agent、または User-Changeable
Passwords Web インターフェイスが運用している TELNET セッション中に変更されたパスワードを、ACS が複製パートナーに送信するかどうかを指定します。このチェックボックスの下には、この ACS の複製パートナーとして設定されている ACS が表示されます。

この機能は、データベース複製機能が正しく設定されていることが条件になっています。しかし、複製のスケジュール設定は、変更されたパスワード情報の伝搬には適用されません。ACS は、複製のスケジュール設定に関係なく、変更されたパスワード情報をすぐに送信します。

変更されたパスワード情報は、この ACS からの複製データを受信するように正しく設定されている ACS に対してだけ複製されます。データベース複製機能の自動トリガー カスケード複製が設定されていても、変更されたパスワード情報を受信した ACS は、その情報を複製パートナーに送信しません。

データベース複製の詳細については、「ACS 内部データベースの複製」を参照してください。

User Password Changes ログのログ ファイル管理オプションは、次のとおりです。

Generate New File :User Password Changes ログ ファイルの作成頻度を、daily、weekly、monthly、または after the log reaches a size in kilobytes that you specify の中から指定できます。

Manage Directory :ACS でログ ファイルの保持を制御するかどうかを指定できます。これを使って、保持するファイルの最大数または最長期間を指定できます。ファイルの最大数を超えると、最も古いファイルが削除されます。ファイルの最長期間が過ぎたファイルは削除されます。

TACACS+ を使用するデバイスからのユーザ パスワードの変更

TACACS+ AAA がホストしている TELNET セッション中に、ネットワーク管理者がパスワードを変更できるかどうかを制御するように、ACS を設定できます。シスコの一部のデバイスは、管理セッションに接続中に、ユーザが自分のパスワードを変更するための TACACS+ 機能をサポートしています。ユーザが行った変更は、 chpass と呼ばれるルーチンを使用して、TACACS+ を介して ACS に通信されます。

chpass がイネーブルになっている ACS( chpass は、インストールに対してトップレベルの複製マスターでイネーブルになっている必要があります)では、 chpass のシーケンスは次のようになります。

インストールに対してトップレベルの複製マスターで、 chpass をイネーブルにします。 chpass をイネーブルにする ACS での手順について説明します。

デバイスから chpass をイネーブルにするには、次の手順を実行します。


ステップ 1 パスワードの入力を求められたら、 Return キーを押します。

ステップ 2 現在のパスワードの入力を求められたら、現在のパスワードを入力して Return キーを押します。

ステップ 3 新しいパスワードの入力を求められたら、新しいパスワードを入力して Return キーを押します。


 

ユーザが chpass がイネーブルになっている ACS でパスワードを変更しようとすると、ACS はその複製スレーブ パートナー(GUI に複製スレーブ パートナーとして設定されているものすべて)に、ただちにイベントの自動伝搬を行います。このプロセスによって、時間を指定した複製の伝搬に依存していたために起こる変更の伝搬の問題が軽減されます。

パスワード エージングによりパスワードが意図的に変更された後でも chpass を使用できます。ACS が chpass を開始するため、ユーザは ACS 内部データベース内のパスワードをリセットまたは変更できます。

ACS のパスワード エージング機能を使用する場合は、パスワードを変更する必要があります。パスワードが失効した場合、管理者はユーザのパスワードを意図的にリセットする必要があります。ユーザは、管理者が割り当てたパスワード、つまり、リセットしたパスワードを使用して、TELNET 経由でのみ AAA クライアントにログインできます。 chpass が開始されると、この項で説明する方式に従ってパスワードを変更するように求められます。

ユーザがパスワードを変更できるようにするもう一つの方法として、ACS が提供する Web ベースの User Changeable Password(UCP)ユーティリティを使用する方法があります。詳細については、『 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords 』を参照してください。

TACACS+ 認証トラフィックを特定のデバイスから受信する ACS は、パスワード変更の更新をまだ受信していないために古いパスワードで動作しているという場合があります。これは、多くの分散パスワード制御システムでは既知の問題です。ACS chpass は、その TACACS+ クライアントからディセーブルにできます。TACACS+ クライアント デバイス上のユーザが、 chpass のサポートがディセーブルになっている ACS に対して chpass 手順を試みると、このデバイスでは chpass 機能がサポートされていないことを説明した設定可能なメッセージがデバイスとユーザに送信されます。この設定可能なメッセージは、 chpass を許可する TACACS+ サーバを使用するデバイスに対して TELNET を実行するように、デバイス管理者に指示するために使用できます。

ローカル パスワード管理の設定

ユーザ アカウント パスワードのパスワード確認オプションを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Local Password Managment をクリックします。

Local Password Management ページが表示されます。

ステップ 3 Password Validation Options で、次の手順を実行します。

a. Password length between X and Y characters X ボックスに、パスワードの 最小 有効文字数を入力します。 X ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ~ 32 文字までです。

b. Password length between X and Y characters Y ボックスに、パスワードの 最大 有効文字数を入力します。 Y ボックスには 2 桁まで入力できますが、パスワードの長さは 1 ~ 32 文字までです。

c. ユーザ名を含むパスワードを拒否するには、 Password may not contain the username チェックボックスをオンにします。

d. ユーザ パスワードが以前のユーザ パスワードと異なることを要求するには、 Password is different from the previous value チェックボックスをオンにします。

e. パスワードに文字と数字の両方を含めることを要求するには、 Password must be alphanumeric チェックボックスをオンにします。

ステップ 4 Remote Change Password で、次の手順を実行します。

a. TELNET セッション中のユーザ パスワード変更をイネーブルにするには、 Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスをオフにします。

b. TELNET セッション中のユーザ パスワード変更をディセーブルにするには、 Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスをオンにします。

c. TELNET 中のパスワード変更機能をディセーブルにした場合(ステップ b)は、 Disable TELNET Change Password against this ACS and return the following message to the users TELNET session チェックボックスの下のボックスに、TELNET セッション中にパスワードの変更を試みたユーザに対して表示するメッセージを入力します。

d. ユーザがパスワードを変更したら、変更されたパスワード情報をすぐに ACS が送信するように指定するには、 Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスをオンにします。


ヒント 変更されたパスワード情報を受信する ACS は、Upon remote user password change, immediately propagate the change to selected replication partners チェックボックスの下に一覧表示されます。

ステップ 5 Submit をクリックします。

ACS がサービスを再起動し、指定した設定が ACS に実装されます。


 

新規パスワードの生成間隔の設定(ACS for Windows のみ)

ACS が User Password Changes ログ ファイルを定期的に生成するようにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 User Password Changes CSV カラムで、 Configure をクリックします。

CSV User Password Changes File Configuration が表示されます。

ステップ 4 Log File Management セクションで、次のいずれかを選択します。

Every day :ACS は、毎日開始時に新しい User Password Changes ログ ファイルを作成します。

Every week :ACS は、毎週開始時に新しい User Password Changes ログ ファイルを作成します。

Every month :ACS は、毎月開始時に新しい User Password Changes ログ ファイルを作成します。

ステップ 5 現在のファイルが指定のサイズに達したときに新しい User Password Changes ログ ファイルを作成する場合は、 When size is greater than X KB オプションを選択して、 X ボックスにファイル サイズのしきい値をキロバイト単位で入力します。

ステップ 6 ACS で保持する User Password Changes ログ ファイルを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持する User Password Changes ログ ファイルの数を制限する場合は、 Keep only the last X files オプションを選択して、ACS が保持するファイルの数を X ボックスに入力します。

c. ACS が保持する User Password Changes ログ ファイルの期間を制限する場合は、 Delete files older than X days オプションを選択して、ACS が User Password Change ログ ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 7 Submit をクリックします。

ACS がサービスを再起動し、指定した設定が ACS に実装されます。


 

ACS バックアップ

この項では、ACS バックアップ機能とその実装方法について説明します。


注意 ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできません。

ここでは、次の項目について説明します。

「ACS バックアップについて」

「バックアップ ファイルの場所(ACS for Windows のみ)」

「ディレクトリ管理(ACS for Windows のみ)」

「バックアップされるコンポーネント」

「ACS バックアップのレポート」

「バックアップ オプション」

「手動による ACS バックアップの実行」

「ACS バックアップのスケジューリング」

「ACS バックアップのスケジューリングのディセーブル化」

ACS バックアップについて

バックアップ ファイルを保持しておくと、システム情報が破損または誤って設定された場合のダウンタイムを最短に抑えられます。ACS システムは手動でバックアップできます。一定間隔、または選択した曜日と時刻に実行される自動バックアップを設定することもできます。

ACS for Windows

ACS バックアップ機能には、ユーザ データベース、グループ データベース、および ACS システム設定情報をローカル ハード ドライブ上のファイルにバックアップするためのオプションがあります。プライマリ システムでハードウェア障害が発生した場合に備えて、ファイルを別のコンピュータのハード ドライブにコピーすることを推奨します。

ACS SE

ACS バックアップ機能は、指定した FTP サーバに送信するファイルに ACS システム情報をバックアップします。FTP サーバでハードウェア障害が発生した場合に備えて、ファイルを FTP サーバから別のコンピュータにコピーすることを推奨します。


) バックアップに割り当てるファイル名は、ACS によって決定されます。ACS によって生成されるバックアップ ファイルに割り当てられるファイル名の詳細については、「バックアップ ファイルの名前と格納場所」を参照してください。


プラットフォーム共通

バックアップ ファイルを使用して ACS を復元する方法については、「ACS システムの復元」を参照してください。


) 異なる ACS バージョン間でのバックアップおよび復元機能はサポートされていません。


バックアップ ファイルの場所(ACS for Windows のみ)

バックアップ ファイルのデフォルト ディレクトリは次のとおりです。

drive:\path\CSAuth\System Backups

drive は、ACS をインストールしたローカル ドライブ、 path は、 drive のルートから ACS ディレクトリへのパスです。たとえば、ACS バージョン 4.2 をデフォルトの場所にインストールした場合、バックアップのデフォルトの場所は、次のようになります。

c:\Program Files\CiscoSecure ACS v4.2\CSAuth\System Backups

バックアップに割り当てるファイル名は、ACS によって決定されます。ACS がバックアップ ファイルに割り当てるファイル名の詳細については、「バックアップ ファイルの名前と格納場所」を参照してください。

ディレクトリ管理(ACS for Windows のみ)

保持するバックアップ ファイルの数、およびバックアップ ファイルを削除するまでの日数を設定できます。設定が複雑になり、システムのバックアップが頻繁になるほど、ACS ハード ドライブから古いデータベースを削除するのに注意が必要になります。

バックアップされるコンポーネント

ACS システム バックアップ機能は、ACS に関連する ACS ユーザ データベースをバックアップします。ユーザ データベース バックアップには、すべてのユーザ情報(ユーザ名、パスワード、その他の認証情報)に加えて、サーバ証明書と証明書信頼リストが含まれます。

ACS for Windows でリモートの ACS サーバに情報をロギングする場合は、両方の ACS のバージョンのリリース、ビルド、およびパッチ番号が同一でないと、ロギングに失敗することがあります。


注意 ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできません。


) cert7.db ファイルはバックアップされません。LDAP データベースでこの証明書ファイルを使用する場合は、障害発生時に備えて、リモート マシンにバックアップすることを推奨します。


ACS バックアップのレポート

システム バックアップが実行されると、手動あるいはスケジューリングのどちらの場合も、イベントが Administration Audit レポートと ACS Backup and Restore レポートにロギングされます。ACS の Reports and Activity セクションで最新レポートを確認できます。

ACS レポートの詳細については、 第 1 章「概要」 を参照してください。

バックアップ オプション

ACS System Backup Setup ページにあるオプションは次のとおりです。

Manually :ACS は自動バックアップを実行しません。このオプションを選択した場合は、バックアップを実行するには、「手動による ACS バックアップの実行」の手順を実行する必要があります。

Every X minutes :ACS は指定された頻度で自動バックアップを実行します。時間の単位は分で、デフォルトのバックアップ頻度(間隔)は 60 分です。

At specific times :ACS は日/時グラフで指定された時刻に自動バックアップを実行します。最小間隔は 1 時間で、指定した時刻にバックアップが実行されます。

ACS for Windows

Directory :ACS がバックアップ ファイルを書き込むディレクトリです。ディレクトリは、c:\acs-bups のように、ACS を実行する Windows サーバ上のフル パスで指定する必要があります。

Manage Directory :ACS で古いバックアップ ファイルを削除するかどうかを定義します。ACS が削除するログ ファイルを決める方法は、次のオプションを使用して指定できます。

Keep only the last X files :ACS は最近作成されたバックアップ ファイルを、指定した数だけ保持します。指定したファイル数を超えると、ACS は最も古いファイルを削除します。

Delete files older than X days :ACS は指定した日数が経過したバックアップ ファイルを削除します。指定した日数が経過すると、ACS はそのバックアップ ファイルを削除します。

Add Hostname :バックアップ ファイル名に、ACS サーバ ホスト名を含めることができます。 Add Hostname をクリックして、バックアップ ファイル名にホスト名を追加します。ホスト名を追加すると、複数の ACS サーバに分散展開している ACS サーバに対応するバックアップ ファイルを特定しやすくなります。

ACS SE

FTP Server :バックアップ ファイルを送信する FTP サーバの IP アドレスまたはホスト名です。ホスト名を指定する場合は、ネットワークで DNS をイネーブルにする必要があります。

Login :ACS から FTP サーバへのアクセスを可能にする有効なユーザ名です。

Password :Login ボックスに入力されたユーザ名のパスワードです。

Directory :ACS がバックアップ ファイルを書き込むディレクトリです。FTP のルート ディレクトリから相対的にディレクトリを指定します。FTP のルート ディレクトリを指定するには、ピリオド(.)を 1 つ入力します。

Encrypt Backup File :ACS がバックアップ ファイルを暗号化するかどうかを決定します。

Encryption Password :バックアップ ファイルの暗号化に使用するパスワードです。Encrypt backup file オプションをクリックした場合は、パスワードを入力する必要があります。


) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バックアップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力する必要があります。


手動による ACS バックアップの実行

ACS では、バックアップをスケジューリングしなくても、必要なときにいつでもバックアップできます。

ACS のバックアップをすぐに行うには、次の手順を実行します。

ACS for Windows


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 Backup Location の下の Directory ボックスに、バックアップ ファイルを書き込むローカル ハード ドライブ上のドライブとディレクトリへのパスを入力します。

ステップ 4 Backup Now をクリックします。

ACS は、即座にバックアップを開始します。


 

ACS SE


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。ページ上部に、次の内容を含む前回のバックアップに関する情報が表示されます。

前回のバックアップが成功したかどうか。

バックアップに使用される FTP サーバの IP アドレス。

バックアップの保存に使用されるディレクトリ。

作成されたバックアップ ファイルのファイル名。

ステップ 3 FTP Setup の下の FTP Server ボックスに、ACS がバックアップ ファイルを送信する FTP サーバの IP アドレスまたはホスト名を入力します。

ステップ 4 FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効なユーザ名を入力します。

ステップ 5 FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。

ステップ 6 FTP Setup の下の Directory ボックスに、バックアップ ファイルを送信する FTP サーバのディレクトリへの相対パスを入力します。

ステップ 7 バックアップ ファイルを暗号化する場合は、次の手順を実行します。

a. Encrypt backup file チェックボックスをオンにします。

b. Encryption Password ボックスに、バックアップ ファイルの暗号化に使用するパスワードを入力します。


) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バックアップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力する必要があります。


ステップ 8 Backup Now をクリックします。

ACS は、即座にバックアップを開始します。


) バックアップ ファイル名は、ACS によって決定されます。ACS によって生成されるバックアップ ファイルに割り当てられるファイル名の詳細については、「バックアップ ファイルの名前と格納場所」を参照してください。



 

ACS バックアップのスケジューリング

ACS バックアップは、一定間隔で実行するようにも、選択した曜日と時刻に実行するようにもスケジューリングできます。

ACS がバックアップする時刻をスケジューリングするには、次の手順を実行します。

ACS for Windows


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 一定間隔でバックアップをスケジューリングするには、ACS Backup Scheduling で Every X minutes オプションを選択し、ACS がバックアップを実行する間隔を X ボックスに入力します。


) バックアップ中は ACS が一時的にシャットダウンされるため、バックアップ間隔が短すぎると(つまり、設定値が低すぎると)、ユーザが認証できないことがあります。


ステップ 4 特定時刻にバックアップをスケジューリングするには、次の手順を実行します。

a. ACS Backup Scheduling で At specific times オプションを選択します。

b. 日/時グラフで、ACS がバックアップ実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 5 バックアップ ファイルを書き込む場所を変更するには、 Directory ボックスにドライブ文字とパスを入力します。

ステップ 6 ACS で保持するバックアップ ファイルを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持するバックアップ ファイルの数を制限するには、 Keep only the last X files オプションをクリックし、ACS が保持するファイルの数を X ボックスに入力します。

c. ACS がバックアップ ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、ACS がバックアップ ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 7 Submit をクリックします。

設定したバックアップ スケジュールが ACS に実装されます。


 

ACS SE


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 一定間隔でバックアップをスケジューリングするには、ACS Backup Scheduling で Every X minutes オプションを選択し、ACS がバックアップを実行する間隔を X ボックスに入力します。


) バックアップ中は ACS が一時的にシャットダウンされるため、バックアップ間隔が短すぎると(つまり、設定値が低すぎると)、ユーザが認証できないことがあります。


ステップ 4 特定時刻にバックアップをスケジューリングするには、次の手順を実行します。

a. ACS Backup Scheduling で At specific times オプションを選択します。

b. 日/時グラフで、ACS がバックアップする時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックして時間全体を解除したり、Set All をクリックして時間全体を選択することもできます。

ステップ 5 FTP Setup の下の FTP ボックスに、ACS がバックアップ ファイルを送信する FTP サーバの IP アドレスまたはホスト名を入力します。

ステップ 6 FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効なユーザ名を入力します。

ステップ 7 FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。

ステップ 8 FTP Setup の下の Directory ボックスに、バックアップ ファイルを書き込む FTP サーバのディレクトリへの相対パスを入力します。

ステップ 9 バックアップ ファイルを暗号化する場合は、次の手順を実行します。

a. Encrypt backup file チェックボックスをオンにします。

b. Encryption Password ボックスに、バックアップ ファイルの暗号化に使用するパスワードを入力します。


) 暗号化されたバックアップ ファイルを使用して ACS データを復元する場合は、バックアップの作成時に Encryption Password ボックスに入力したのと同じパスワードを入力する必要があります。


ステップ 10 Submit をクリックします。

設定したバックアップ スケジュールが ACS に実装されます。


 

ACS バックアップのスケジューリングのディセーブル化

スケジューリング済み ACS バックアップは、スケジュール自体を残したままディセーブルにできます。この方法を使用すると、スケジュールを再作成しなくても、スケジューリングされたバックアップを終了し、再開することができます。

スケジューリングされたバックアップをディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Backup をクリックします。

ACS System Backup Setup ページが表示されます。

ステップ 3 ACS Backup Scheduling で Manual オプションを選択します。

ステップ 4 Submit をクリックします。

ACS によってスケジューリング済みバックアップが中断されます。必要に応じて手動でバックアップを実行できます。


 

ACS システムの復元

この項では、ACS システム復元機能について、ACS をバックアップ ファイルから復元する方法を中心に説明します。


注意 ACS のこれまでのバージョンと同様に、異なる ACS バージョン間では、複製を行うことはできません。

ここでは、次の項目について説明します。

「ACS システムの復元について」

「バックアップ ファイルの名前と格納場所」

「復元されるコンポーネント」

「ACS 復元のレポート」

「バックアップ ファイルからの ACS の復元」

ACS システムの復元について

ACS システム復元機能を使用すると、ユーザ データベースおよびグループ データベースを復元したり、ACS バックアップ機能で生成したバックアップ ファイルから ACS システム設定情報を復元したりすることができます。この機能は、ACS システム情報が破損したり、誤って設定されたりした場合のダウンタイムを最短に抑えるために役立ちます。

ACS システム復元機能が処理するのは、同一の ACS バージョンとパッチ レベルを実行している ACS で生成されるバックアップ ファイルだけです。

物理的に異なるサーバに復元する場合、そのサーバは元のサーバと同一の IP アドレスが割り当てられている必要があります。IP アドレスが一致していないと、ACS サーバの詳細が含まれた非表示のレコードがネットワーク設定に含まれているため、複製が正しく実行されません。

バックアップ ファイルの名前と格納場所

ACS システム復元機能では、ACS ユーザ データベースと他の ACS 設定データが、ACS バックアップ機能で作成されたバックアップ ファイルと場所から復元されます。システムを最新バックアップ ファイルから復元することも、最新バックアップ ファイルが不適切であると考えられる場合はそれ以前のバックアップ ファイルから復元することもできます。

ACS for Windows

ACS システム復元機能では、ACS ユーザ データベースおよび ACS Windows レジストリ情報を復元します。ACS は、ローカル ハード ドライブにバックアップ ファイルを書き込みます。バックアップをスケジュールしたり、手動バックアップを実行するときに、バックアップのディレクトリを選択します。バックアップ ファイルのデフォルト ディレクトリは次のとおりです。

drive:\path\CSAuth\System Backups

drive は、ACS をインストールしたローカル ドライブ、 path は、 drive のルートから ACS ディレクトリへのパスです。たとえば、ACS バージョン 4.2 をデフォルトの場所にインストールした場合、バックアップのデフォルトの場所は、次のようになります。

c:\Program Files\CiscoSecure ACS v4.2\CSAuth\System Backups

ACS SE

ACS システム復元機能では、ACS ユーザ データベースと他の ACS 設定データが、ACS バックアップ機能で作成されたバックアップ ファイルと場所から復元されます。ACS は、ACS System Backup Setup ページで指定した FTP サーバにバックアップ ファイルを送信します。FTP サーバでは、バックアップ ファイルは、バックアップのスケジューリング時または手動バックアップの実行時に指定したディレクトリに書き込まれます。FTP サーバでは、Windows か Unix かに応じて次の場所が使用されます。具体的には、次のとおりです。

Windows の FTP サーバの場合は、FTPROOT dir /user_specified_dir です。

Unix の FTP サーバの場合、FTP ユーザのホーム ディレクトリは、デフォルトで FTPROOT です。

プラットフォーム共通

ACS では、次の日付と時刻の形式でバックアップ ファイルが作成されます。

dd-mmm-yyyy hh-nn-ss.dmp

説明

dd はバックアップが開始した日付です。

mmm はバックアップが開始した月を英文字の省略形で表します。

yyyy は暦年です。

hh は 24 時間形式の時間です。

nn は分です。

ss はバックアップが開始した秒です。

たとえば ACS で 1999 年 10 月 13 日午前 11 時 41 分 35 秒にバックアップが開始された場合、ACS では次の名前のバックアップ ファイルが生成されます。

13-Oct-1999 11-41-35.dmp

ACS for Windows

最新バックアップ ファイルの場所が不明な場合は、スケジューリング済みバックアップ設定を ACS Backup ページで確認してください。

ACS SE

バックアップ ファイルを暗号化する場合は、バックアップ ファイル名の .dmp ファイル拡張子の直前に小文字の e が付きます。上記の例が暗号化されたバックアップ ファイルの場合、ファイル名は次のようになります。

13-Oct-2005 11-41-35e.dmp

最新のバックアップ ファイルの作成に使用された FTP サーバとディレクトリがわからない場合は、ACS System Restore Setup ページを確認してください。最新のバックアップおよび復元に関する情報がある場合は、ページ上部に表示されます。

復元されるコンポーネント

復元するコンポーネントとしては、ユーザとグループのデータベースまたはシステム設定、あるいはその両方を選択できます。

ACS 復元のレポート

ACS システムの復元が実行されると、Administration Audit レポートと ACS Backup and Restore レポートにイベントがロギングされます。ACS の Reports and Activity セクションで最新レポートを確認できます。

ACS レポートの詳細については、 第 10 章「ログとレポート」 を参照してください。

バックアップ ファイルからの ACS の復元

ACS のシステム復元は、必要な場合にいつでも実行できます。


) ACS システム復元機能を使用すると、すべての ACS サービスが再起動され、すべての管理者がログアウトされます。


ACS バックアップ機能で生成されたバックアップ ファイルから ACS を復元するには、次の手順を実行します。

ACS for Windows


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Restore をクリックします。

ACS System Restore Setup ページが表示されます。

Directory ボックスに、ACS Backup ページの Directory ボックスで最近設定したバックアップ ディレクトリのドライブとパスが表示されます。

Directory ボックスの下に、現在のバックアップ ディレクトリのバックアップ ファイルが表示されます。バックアップ ファイルがない場合は、ファイル名のところに <No Matching Files> と表示されます。

ステップ 3 バックアップ ディレクトリを変更するには、 Directory ボックスにバックアップ ディレクトリの新しいドライブとパスを入力して、 OK をクリックします。

指定したバックアップ ディレクトリにバックアップ ファイルがある場合は、そのファイルが表示されます。

ステップ 4 Directory ボックスの下のリストで、ACS の復元に使用するバックアップ ファイルを選択します。

ステップ 5 ユーザ データベース情報とグループ データベース情報を復元するために、 User and Group Database チェックボックスをオンにします。

ステップ 6 システム設定情報を復元するには、 Cisco Secure ACS System Configuration チェックボックスをオンにします。

ステップ 7 ACS 4.1 のバックアップ ファイルを使用して、ACS 4.2 にアップグレードするには、 Restore from 4.1 backup file to ACS 4.2 チェックボックスをオンにします。ACS 4.1 のバックアップ ファイルを使用して ACS 4.2 にアップグレードするには、このオプションを使用します。これで、アップグレード機能が実装され、ユーザ データベース、グループ データベース、およびシステム設定が復元されます。

ステップ 8 Restore Now をクリックします。

ACS は、復元を実行すると ACS サービスを再起動し、すべての管理者がログアウトされることを示す確認ダイアログボックスを表示します。

ステップ 9 復元を続けるために OK をクリックします。

ACS は、選択されたバックアップ ファイルを使用して、指定されたシステム コンポーネントを復元します。復元に選択したコンポーネントおよびデータベース サイズによっては、復元に数分かかります。

復元が完了したら、ACS に再びログインできます。


 

ACS SE


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Restore をクリックします。

ACS System Restore Setup ページが表示されます。

Decryption Password ボックスを除き、Select Backup To Restore From の下のボックスには、ACS System Backup Setup ページでの設定のとおり、最新の成功したバックアップに使用された値が入力されています。

ステップ 3 FTP Server、Login、Password、Directory、および File の各ボックスのデフォルト値を受け入れる場合は、ステップ 5 に進んでください。

ステップ 4 FTP Server、Login、Password、Directory、および File の各ボックスのいずれかの値を変更する場合は、次の手順を実行します。

a. FTP Setup の下の FTP Server ボックスに、ACS がバックアップ ファイルを取得する FTP サーバの IP アドレスまたはホスト名を入力します。

b. FTP Setup の下の Login ボックスに、ACS から FTP サーバにアクセスできるようにする有効なユーザ名を入力します。

c. FTP Setup の下の Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。

d. FTP Setup の下の Directory ボックスに、バックアップ ファイルが格納されている FTP サーバのディレクトリへの相対パスを入力します。

e. Browse をクリックします。

FTP サーバからファイル リストを取得するとすぐに、指定したディレクトリで検出された ACS バックアップ ファイルがダイアログボックスに表示されます。暗号化されたバックアップ ファイルは、 .dmp ファイル名拡張子の前に小文字の e が付いています(<ファイル名>e.dmp)。


ヒント ファイルが検出されなかった場合、または FTP サーバにアクセスできなかった場合は、Cancel をクリックしてダイアログボックスを閉じ、ステップ 4 を繰り返します。

f. ACS の復元に使用するバックアップ ファイルのファイル名をクリックします。

選択したファイル名が File ボックスに表示され、ダイアログボックスが閉じます。

ステップ 5 File ボックスで指定されたバックアップ ファイルが暗号化されている場合は、バックアップ ファイルの暗号化に使用したのと同じパスワードを Decryption Password ボックスに入力します。


) 復号化パスワードは ACS System Backup Setup ページの Encryption Password ボックスで指定したパスワードと完全に一致する必要があります。


ステップ 6 ユーザ データベース情報とグループ データベース情報を復元するために、 User and Group Database チェックボックスをオンにします。

ステップ 7 システム設定情報を復元するために、 ACS System Configuration チェックボックスをオンにします。

ステップ 8 ACS 4.1 のバックアップ ファイルを使用して、ACS 4.2 にアップグレードするには、 Restore from 4.1 backup file to ACS 4.2 をオンにします。

ステップ 9 Restore Now をクリックします。

ACS は、復元を実行すると ACS サービスを再起動し、すべての管理者がログアウトされることを示す確認ダイアログボックスを表示します。

ステップ 10 復元を続けるために OK をクリックします。

ACS は、選択されたバックアップ ファイルを使用して、指定されたシステム コンポーネントを復元します。復元に選択したコンポーネントおよびデータベース サイズによっては、復元に数分かかります。

復元が完了したら、ACS に再びログインできます。


 

ACS アクティブ サービス管理

ACS アクティブ サービス管理は、ACS と強固に統合されたアプリケーション固有のサービス監視ツールです。この項では、ACS アクティブ サービス管理を構成する 2 つの機能について説明します。

ここでは、次の項目について説明します。

「システム モニタリング」

「イベント ロギング」

システム モニタリング

ACS システム モニタリングでは、認証プロセスとアカウンティング プロセスを ACS がテストする頻度、およびテストでプロセスの失敗が検出されたときに取る自動アクションを決定できます。ACS は、CSMon サービスを利用してシステム モニタリングを実行します。CSMon サービスの詳細については、「CSMon」を参照してください。

システム モニタリング オプション

システム モニタリングを設定するオプションは次のとおりです。

Test login process every X minutes :ACS でログイン プロセスをテストするかどうかを制御します。X ボックスに分単位で値を入力すると、ACS がログイン プロセスをテストする頻度が定義されます。デフォルトの頻度(回数)は 1 分に 1 回です。これは、設定可能な最も短いテスト間隔でもあります。

このオプションをイネーブルにすると、ACS は定義された間隔で認証とアカウンティングをテストします。テストでエラーが検出され、4 回目のテスト再試行でも成功しなかった場合、ACS は If no successful authentications are recorded リストに指定されているアクションを実行し、ログにイベントを記録します。


) また、テスト ログインが失敗した場合、CSMon\Scripts フォルダにスクリプトを作成して実行することもできます。


If no successful authentications are recorded :テスト ログイン プロセスの失敗を検出した場合に、ACS が実行するアクションを指定します。このリストには組み込みアクションと定義したアクションが含まれています。アスタリスク(*)で始まる項目は、次に示す定義済みアクションです。

*Restart All :すべての ACS サービスを再起動します。

*Restart RADIUS/TACACS+ :Proxy Remote Access Dial-In User Service(RADIUS)と TACACS+ サービスだけを再起動します。

*Reboot :ACS をリブートします。

Custom actions (ACS for Windows):ログイン プロセスで障害が発生した場合、ACS が実行する他のアクションを定義できます。ACS は、ログイン プロセス障害が発生したときにバッチ ファイルまたは実行ファイルを実行できます。障害リストでバッチ ファイルまたは実行ファイルを使用可能にするには、ファイルを次の場所に置きます。

drive:\path\CSMon\Scripts

drive は、ACS をインストールしたローカル ドライブ、 path は、 drive のルートから ACS ディレクトリへのパスです。


ヒント CSAdmin を再起動して、リストの新しいバッチ ファイルまたは実行ファイルを確認します。

Take No Action (プラットフォーム共通):ACS の動作を現状のままにします。

Generate event when an attempt is made to log in to a disabled account :ディセーブルになっているアカウントを使用してユーザがネットワークにログインしようとしたときに、ACS でログ エントリを生成するかどうかを指定します。


) また、テスト ログインが失敗した場合、CSMon\Scripts フォルダにスクリプトを作成して実行することもできます。


Log all events to the NT Event log (ACS for Windows):各例外イベントに対して、ACS が Windows イベント ログを作成するかどうかを指定します。

Email notification of event (プラットフォーム共通):イベントが発生するたびに ACS が電子メール通知を送信するかどうかを指定します。

To :通知の送信先の電子メール アドレスです。たとえば、 joeadmin@company.com と指定します。

SMTP Mail Server :ACS が通知電子メールの送信に使用する Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)サーバです。SMTP サーバは、ホスト名または IP アドレスで指定できます。

システム モニタリングのセットアップ

ACS システム モニタリングをセットアップするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Service Management をクリックします。

ACS Active Service Management Setup ページが表示されます。

ステップ 3 ACS でログイン プロセスをテストするには、次の手順を実行します。

a. Test login process every X minutes チェックボックスをオンにします。

b. ログイン プロセス テストを行う間隔を X ボックスに入力します(最大 3 文字)。

c. ログイン テストが 5 回連続で失敗したときに ACS が起こすアクションを If no successful authentications are recorded リストから選択します。

ステップ 4 ユーザが無効なアカウントを使用してネットワークにログインを試みたときに Windows イベントを生成するには、 Generate event when an attempt is made to log in to a disabled account チェックボックスをオンにします。

ステップ 5 イベント ロギングのセットアップについては、「イベント ロギングのセットアップ」を参照してください。

ステップ 6 ACS サービス管理のセットアップが終了したら、 Submit をクリックします。

設定したサービス管理設定が ACS に実装されます。


 

イベント ロギング

イベント ロギング機能では、イベントが発生した場合に、ACS が Windows イベント ログにイベントを記録するかどうか、および ACS が電子メールを生成するかどうかを指定できます。ACS は、システム モニタリング機能を利用してロギング対象のイベントを検出します。システム モニタリングの詳細については、「システム モニタリング オプション」を参照してください。

イベント ロギングのセットアップ

ACS イベント ロギングをセットアップするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 ACS Service Management をクリックします。

ACS Active Service Management Setup ページが表示されます。

ステップ 3 (ACS for Windows のみ)ACS から Windows イベント ログにすべてのイベントを送信するには、 Log all events to the Windows Event log を選択します。


) Windows イベント ログを表示するには、Start > Programs > Administrative Tools >
Event Viewer
を選択します。Windows イベント ログまたは Event Viewer の詳細については、Microsoft Windows のマニュアルを参照してください。


ステップ 4 (プラットフォーム共通)イベントが発生した場合に ACS が電子メールを送信するように設定するには、次の手順を実行します。

a. Email notification of event チェックボックスをオンにします。

b. To ボックスに、ACS がイベント通知電子メールを送信する宛先の電子メール アドレス(最大 200 文字)を入力します。


) このボックスに入力する電子メール アドレスには、アンダースコア(_)は使用しないでください。


c. SMTP Mail Server ボックスに、送信電子メール サーバのホスト名(最大 200 文字)を入力します。


) SMTP メール サーバが動作しており、ACS から使用できる必要があります。


ステップ 5 システム モニタリングをセットアップする場合は、「システム モニタリングのセットアップ」を参照してください。

ステップ 6 ACS サービス管理のセットアップが終了したら、 Submit をクリックします。

設定したサービス管理設定が ACS に実装されます。


 

VoIP アカウンティングの設定

Voice Over IP(VoIP)アカウンティング設定機能では、VoIP アカウンティング データを受信するアカウンティング ログを指定できます。VoIP アカウンティングには、次のオプションがあります。

Send to both RADIUS and VoIP Accounting Log Targets :ACS は VoIP アカウンティング データを RADIUS アカウンティング データに付加し、それとは別に CSV ファイルに記録します。データを表示するには、 Reports and Activity の RADIUS Accounting または VoIP Accounting を使用します。

Send only to VoIP Accounting Log Targets :ACS は VoIP アカウンティング データを CSV ファイルに記録するだけです。データを表示するには、Reports and Activity の VoIP Accounting を使用します。

Send only to RADIUS Accounting Log Targets :ACS は VoIP アカウンティング データを RADIUS アカウンティング データに付加するだけです。データを表示するには、Reports and Activity の RADIUS Accounting を使用します。

VoIP アカウンティングの設定


) この機能が表示されない場合は、Interface Configuration > Advanced Options を選択します。次に、Voice-over-IP (VoIP) Accounting Configuration チェックボックスをオンにします。詳細については、第 2 章「高度なオプション(Interface Configuration 用)」を参照してください。


VoIP アカウンティングを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 VoIP Accounting Configuration をクリックします。

VoIP Accounting Configuration ページが表示されます。Voice-over-IP (VoIP) Accounting Configuration テーブルには、VoIP アカウンティングのオプションが表示されます。

ステップ 3 必要な VoIP アカウンティング オプションを選択します。

ステップ 4 Submit をクリックします。

指定した VoIP アカウンティング設定が ACS に実装されます。


 

アプライアンスの設定 (ACS SE のみ)

Appliance Configuration ページを使用して、ACS ホスト名、ドメイン名、システムの日付および時刻を設定します。CSA が組み込まれたアプライアンス ベース イメージを使用している場合、または ACS に CSA 更新を適用した場合は、Appliance Configuration ページを使用して CSAgent サービスをイネーブルまたはディセーブルにできます。

ここでは、次の項目について説明します。

「CSAgent のイネーブル化またはディセーブル化」

「SNMP サポートの設定」

「SNMP サポートの設定」

「システムの日時の設定」

「ACS のホスト名とドメイン名の設定」

「CSAgent のイネーブル化またはディセーブル化」

CSAgent のイネーブル化またはディセーブル化


) CSA セクションは、アプライアンス ベース イメージの 3.3.1.3 以降を使用している場合、または CSA 更新をアプライアンスに適用している場合にのみ表示されます。


CSAgent をイネーブルまたはディセーブルにして、アプライアンスの CSA による保護と制限をイネーブルまたはディセーブルにします。次の場合は、 CSAgent をディセーブルにする必要があります。

ACS にアップグレードまたはパッチを適用する場合

ping 要求への応答をアプライアンスに許可する場合


CSAgent がディセーブルの場合、アプライアンスは CSA によって保護されません。CSA による保護の詳細については、「Cisco Security Agent のポリシー」を参照してください。


CSAgent をディセーブルした場合、明示的に再度イネーブルにするまでディセーブルのままとなります。アプライアンスをリブートしても、ディセーブルの CSAgent サービスは再始動されません。

アプライアンスの CSAgent をイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Appliance Configuration をクリックします。

Appliance Configuration ページが表示されます。


) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。


ステップ 3 必要に応じて、 CSA Enabled チェックボックスをオンまたはオフにします。

ステップ 4 Submit をクリックします。

ACS で CSAgent がイネーブルまたはディセーブルになります。


 

SNMP サポートの設定

ACS SE で SNMP サポートを使用して、プロセス、メモリ、CPU の利用率、アプライアンスのバージョンおよび ACS ソフトウェアのバージョン、イーサネット インターフェイスのステータスなどのアプライアンスの情報を監視します。

SNMP エージェントを設定するには、ナビゲーション バーで System Configuration > Appliance Configuration を選択します。

そして、次の手順を実行します。


ステップ 1 SNMP Agent Enabled チェックボックスをオンにします。デフォルトではオンになっています。

ステップ 2 SNMP Communities ボックスに、SNMP のコミュニティ ストリングを入力します。カンマ(,)を除き、すべての文字を使用できます。各コミュニティ ストリングの間には、区切り文字としてカンマ(,)を使用する必要があります。


) SNMP Communities フィールドが空欄の場合、SNMP クライアントは ACS SE から情報を取得できません。


ステップ 3 SNMP Port ボックスに、接続ポート番号を入力します。

ステップ 4 Contact ボックスに、ネットワーク管理者の名前を入力します。

ステップ 5 Location ボックスに、デバイスの場所を入力します。

ステップ 6 SNMP エージェントが受け入れる要求を、リストした特定の SNMP クライアント ホストのアドレスに制限する場合は、 Accept SNMP packets from select hosts チェックボックスをオンにします。

ステップ 7 Host Addresses ボックスに、特定の SNMP クライアント ホストのアドレスを入力します。各ホスト アドレスの間には、デリミタとしてカンマ(,)を使用する必要があります。


 

システムの日時の設定

次の手順を使用して、Web インターフェイスからシステムの日時を設定します。また、次の手順により、日時を自動的に同期化するために使用するネットワーク タイム プロトコル(NTP)サーバを使用して、システムの日時を維持することもできます。


ヒント シリアル コンソールを使用しても同様の手順でシステムの日時を設定できます。詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。


システムの日時を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Appliance Configuration をクリックします。

Appliance Configuration ページが表示されます。


) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。


ステップ 3 Time Zone リストから、システムの時間帯を選択します。

ステップ 4 Time ボックスに、hh:mm:ss の形式でシステムの時刻を入力します。

ステップ 5 Day リストから日を選択します。

ステップ 6 Month リストから月を選択します。

ステップ 7 Year リストから年を選択します。

ステップ 8 NTP サーバに日時を自動的に同期化させる場合にのみ、次のサブステップを実行します。

a. NTP Synchronization Enabled チェックボックスをオンにします。

b. NTP Server(s) ボックスに、システムが使用する NTP サーバの IP アドレス(複数可)を入力します。複数入力する場合は、IP アドレスをスペースで区切ります。


) 指定した IP アドレスが有効な NTP サーバの IP アドレスであることを確認してください。IP アドレスが誤っていたり、NTP サーバが正常に動作しない場合は、NTP 同期化プロセスが大幅に遅くなる可能性があります。


ステップ 9 Submit をクリックします。

これで、システムの日時が設定されました。


 

ACS のホスト名とドメイン名の設定

次の手順を実行して、ACS のホスト名とドメイン名を設定します。


) この手順では、ACS をリブートする必要があります。ユーザへの影響を最小限に抑えるため、勤務時間外にこの手順を実行してください。


ACS のホスト名とドメイン名を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Appliance Configuration をクリックします。

Appliance Configuration ページが表示されます。


) Appliance Configuration ページが表示されない場合は、ACS への接続を確認します。


ステップ 3 Host Name ボックスに、ホスト名を入力します。

ステップ 4 Domain Name ボックスに、ドメイン名を入力します。

ステップ 5 ページの下部にある Submit をクリックして、 Reboot をクリックします。


 

Support ページ

Support ページは次の 2 つの目的で使用します。

システムのステート情報を

ACS サービスの状態を監視するため。

これらのアクティビティについては、それぞれ次の項を参照してください。

「サポートの実行」

「システム情報のモニタリング」

ここでは、次の項目について説明します。

「サポートの実行」

「システム情報のモニタリング」

サポートの実行

Support ページを使用して、Technical Assistance Center(TAC)の担当者に転送するシステム情報をパッケージ化できます。この手順を実行すると、ACS では現在のログがすべて自動的にパッケージ化されます。

パッケージ化には次のオプションもあります。

ユーザ データベース。

指定した日数分のシステム ログ。

診断ログ

サポート情報は、ファイル拡張子が .cab のキャビネット ファイルにパッケージ化されます。キャビネット ファイルは圧縮されているので、より簡単にサポート情報を送信できます。


Support ページの手順を実行すると、AAA サービスは少しの間停止します。ユーザへの影響を最小限に抑えるため、AAA アクティビティが最も少ない期間にこの手順を実行することをお勧めします。


システムのステート情報を Cisco Technical Assistance Center に転送するファイルにパッケージ化するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Support をクリックします。

Support ページが表示されます。

ステップ 3 診断ログ情報をダウンロードする場合は、 Collect Log Files チェックボックスをオンにします。このオプションを選択すると、package.cab ファイルの生成中は ACS サービスは再起動されません。アプライアンスのみに関する診断ログ情報の詳細については、「診断ログの表示またはダウンロード (ACS SE のみ)」を参照してください。

ステップ 4 ACS 内部データベースをサポート ファイルに追加する場合は、 Details to collect テーブルの Collect User Database チェックボックスをオンにします。

ステップ 5 アーカイブされているシステム ログを追加する場合は、次の手順を実行します。

a. Collect Previous X Days logs チェックボックスをオンにします。


) 現在のログ ファイルよりも古いサービス ログ ファイルを含めてサポート情報をダウンロードする場合は、Collect Previous X Days logs チェックボックスをオンにし、含めるログ ファイルの日数を入力します。たとえば、Backup and Restore.csv ログのアーカイブされているコピーを含める場合は、Backup and Restore.csv ファイルを検索する今日を含めない日数を入力します。現在のログ ファイルは、今日の日付でない場合があります。現在のログ ファイルは、今日の日付よりも数日前のものである可能性があります。


b. X ボックスに、ログを収集する日数を入力します。指定できる最大日数は 9999 です。

ステップ 6 Run Support Now をクリックします。

File Download ダイアログボックスが表示されます。

ステップ 7 File Download ダイアログボックスで、 Save をクリックします。

Save As ダイアログボックスが表示されます。

ステップ 8 Save As ダイアログボックスを使用して、キャビネット ファイルのパスとファイル名を指定します。次に、 Save をクリックします。

サポート ファイルが生成、保存される間、ACS では少しの間通常のサービスが停止します。ダウンロードが完了すると、Download Complete ダイアログボックスが表示されます。

ステップ 9 サポート ファイルの名前と場所を書き留めてから、 Close をクリックします。

サポート情報の現在のキャビネット ファイルが指定した場所に書き込まれます。必要に応じて、このファイルを TAC 担当者やシスコ サポート要員に転送できます。


 

システム情報のモニタリング

次の手順を使用して、ACS リソースのステータスと配布状況を監視します。Resource Usage テーブルの一番上の行には、CPU リソースのアイドル率と使用可能なメモリの量が表示されます。Resource Usage テーブルの残りの部分には、各サービスに関する次の情報が表示されます。

CPU :使用されている CPU サイクルのパーセンテージ。System カテゴリでは、CPU に 0 で始まる番号が付けられます。複数の CPU がある場合、Syetem カテゴリには各 CPU の CPU 情報が表示されます。

Memory :各サービスによって割り当てられたメモリの量。

Handle count :各リソースによって割り当てられたシステム ハンドル(リソース)の数。

Thread count :各サービスによって生成されたスレッドの数。

ACS サービスのステータスを監視するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Support をクリックします。

Support ページが表示されます。

ステップ 3 Resource Usage テーブルのシステム情報を確認します。


ヒント System というマークが付いた、Resource Usage テーブルの最初の行には、アイドル状態の CPU サイクルのパーセンテージが表示されます。その他の行には、各サービスによって使用される CPU サイクルのパーセンテージが表示されます。合計は 100 パーセントになります。


 

診断ログの表示またはダウンロード (ACS SE のみ)

ACS は、アプライアンスで実行されているソフトウェアにアップグレードまたはパッチを適用すると必ず診断ログを記録します。また、リカバリ CD を使用してアプライアンスを元の状態に復元する場合も、診断ログを作成します。

さらに、CSA が組み込まれたアプライアンス ベース イメージを使用している場合、または ACS に CSA 更新を適用した場合は、CSA が作成した 2 つのログに View Diagnostic Logs ページからアクセスできます。

アプライアンスの診断ログを表示またはダウンロードするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 View Diagnostic Logs をクリックします。

View Diagnostic Logs ページが表示されます。

Log File カラムには、ログ ファイルの名前が一覧表示されます。

File Size カラムには、各ログ ファイルのサイズがキロバイト単位で表示されます。

ACS が期待されたログ ファイルを作成できなかった場合は、Log file is not created というメッセージが File Size カラムに表示されます。

ステップ 3 診断ログをダウンロードする場合は、ログ ファイル名を右クリックし、適切なブラウザ機能を使用してログを保存します。

ログ ファイルのコピーを、Microsoft Excel やテキスト エディタなどのサードパーティ アプリケーションで表示できるようになりました。希望する場合は、診断ログ ファイルをシスコ サポート技術者に送信することもできます。

ステップ 4 診断ログを表示する場合は、ログ ファイル名をクリックします。

診断ログの内容が表示されます。


 

アプライアンスのアップグレード機能(ACS SE のみ)

ここでは、次の項目について説明します。

「アプライアンスのアップグレードとパッチについて」

「配布サーバの要件」

「アプライアンスのアップグレード」

「アップグレード パッケージのアプライアンスへの転送」

「アップグレードのアプライアンスへの適用」

アプライアンスのアップグレードとパッチについて

ACS のすべてのアップグレードとパッチは、アップグレード機能を使用してパッケージ化されます。ACS 4.2 のインストールの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


) ACS 4.2 リリースにアップグレードするには、4.2 リカバリ CD を使用してアプライアンスを再イメージし、ACS 4.1 データベースを復元する必要があります。ACS 4.2 へのアップグレードには、Windows 2003 オペレーティング システムのアップグレードが含まれます。


次の 3 フェーズのプロセスを実行して、既存の ACS をアップグレードするか、パッチを適用します。

フェーズ 1 :アップグレード パッケージを取得し、ACS アップグレード配布用の配布サーバに指定されているコンピュータにロードします。アップグレード パッケージは CD-ROM で、または Cisco.com からダウンロードして取得できます。

フェーズ 2 :インストール パッケージ ファイルを配布サーバからアプライアンスに転送します。インストール パッケージの一部である HTTP サーバがファイル転送を行います。アップグレード ファイルには署名がなされ、アップグレード後にファイルが破壊されていないことを確認するためにこの署名が検証されます。

フェーズ 3 :アプライアンスにアップグレードを適用します。アプライアンスにアップグレード ファイルを適用する前に、ACS は認証性および破壊されていないことを確認するためにファイルのデジタル署名を検証します。


) アップグレードの適用中は、ACS は AAA サービスを提供できません。アップグレード パッケージをすぐに適用しなくても構わない場合は、ACS のダウンタイムがユーザに与える影響が最も少ないときにこのフェーズを実行することを検討してください。たとえば、アップグレードを適用すると、AAA サーバが停止し、新しいパッチが適用されて AAA サーバが再起動されます。


図7-1 はこのプロセスをまとめたものです。

図7-1 アプライアンスのアップグレード プロセス

 

配布サーバの要件

配布サーバは、次の要件を満たしている必要があります。

サポートのため、配布サーバは次のいずれかのオペレーティング システムの英語版を使用する必要があります。

Windows Server 2003 R2 Enterprise Edition

サービス パック 3 がインストールされた Windows 2000 Server

サービス パック 1 がインストールされた Windows XP Professional

Solaris 2.8


) アップグレード プロセスはサポートされていないオペレーティング システムを使用しても成功する場合がありますが、リストにはシスコがアップグレード プロセスのテストに使用したオペレーティング システムが反映されています。テストされていないオペレーティング システムを使用している配布サーバからのアップグレードはサポートされません。


CD のアップグレード パッケージを取得した場合は、配布サーバに CD-ROM ドライブがあるか、アクセスできる別のコンピュータの CD-ROM ドライブを使用できる必要があります。

配布サーバの TCP ポート 8080 は使用しないでください。アップグレード プロセス中にポート 8080 の排他制御が必要になります。


ヒント 配布サーバ上で他の Web サーバを実行しないことをお勧めします。

サポートされている Web ブラウザが配布サーバ上で使用できる必要があります。必要に応じて、配布サーバ以外の別のコンピュータの Web ブラウザを使用できます。サポートされているブラウザの一覧については、『 Release Notes for Cisco Secure ACS Release 4.2 』を参照してください。リリース ノートの最新バージョンは Cisco.com に掲示されています。

配布サーバとアップグレード対象のアプライアンスの間にあるゲートウェイ デバイスにおいて、ポート 8080 上の配布サーバへの HTTP トラフィックが許可されている必要があります。また、ACS リモート管理セッションも許可されている必要があります。したがって、ポート 2002 上のアプライアンスへの HTTP トラフィックと、管理セッション用に許可された範囲のポートも許可されている必要があります。詳細については、「管理セッション用の HTTP ポートの割り当て」を参照してください。

アプライアンスのアップグレード

この項の情報を使用して、アプライアンス ソフトウェアをアップグレードします。

始める前に

アップグレードする前に必ず ACS をバックアップします。ACS のバックアップの詳細については、「ACS バックアップ」を参照してください。

アプライアンスをアップグレードするには、次の手順を実行します。


ステップ 1 アップグレード パッケージを取得します。アップグレード パッケージの取得方法は、アップグレード パッケージおよびサービス契約の種類によって異なります。具体的には、次のとおりです。

市販のアップグレード パッケージ :シスコ営業担当者にお問い合せください。

メンテナンス契約 Cisco.com からアップグレード パッケージをダウンロードできる場合があります。シスコ営業担当者にお問い合せください。

特定の問題にパッチを適用するアップグレード パッケージ :TAC 担当者にお問い合せください。

ステップ 2 配布サーバとして使用するコンピュータを選択します。配布サーバは 「配布サーバの要件」で説明した要件を満たしている必要があります。

ステップ 3 .zip .gz などの圧縮ファイル形式でアップグレード パッケージを取得した場合は、次の手順を実行します。

a. まだコピーしていない場合は、アップグレード パッケージ ファイルを配布サーバのディレクトリにコピーします。

b. 適切なファイル圧縮解除ユーティリティを使用して、アップグレード パッケージを抽出します。


ヒント アップグレード パッケージ用に作成した新しいディレクトリにアップグレード パッケージを抽出することを検討してください。

ステップ 4 CD のアップグレード パッケージを取得した場合は、指示があるまで CD を CD-ROM ドライブに挿入しないでください。CD には autorun ファイルが含まれており、配布サーバが Microsoft Windows を使用している場合、 autorun プロセスが手順より早く開始される可能性があります。

ステップ 5 アプライアンスにアップグレード パッケージを転送します。詳細な手順については、「アップグレード パッケージのアプライアンスへの転送」を参照してください。

これで、アップグレード パッケージがアプライアンス上に存在し、適用できる状態になりました。

ステップ 6 CSA をアプライアンスで実行している場合は、CSA をディセーブルにします。詳細な手順については、「CSAgent のイネーブル化またはディセーブル化」を参照してください。

ステップ 7 アプライアンスにアップグレード パッケージを適用します。詳細な手順については、「アップグレードのアプライアンスへの適用」を参照してください。

アップグレードの適用後、ACS はアップグレードされたソフトウェアを使用して動作します。

ステップ 8 CSA でアプライアンスを保護する場合は、CSA をイネーブルにします。詳細な手順については、「CSAgent のイネーブル化またはディセーブル化」を参照してください。


) アップグレード中に実行されるシステムの再起動では、CSAgentはイネーブルになりません。



 

アップグレード パッケージのアプライアンスへの転送

次の手順を使用して、アップグレード パッケージを配布サーバからアプライアンスに転送します。


) この手順を実行したとしても、アプライアンスのアップグレードを有効にするには、アップグレードを適用する必要があります。アップグレードの適用については、「アップグレードのアプライアンスへの適用」を参照してください。アップグレード プロセスに関するさらに一般的な情報については、「アプライアンスのアップグレードとパッチについて」を参照してください。


始める前に

アップグレード パッケージを取得し、配布サーバを選択しておく必要があります。詳細については、「アプライアンスのアップグレード」を参照してください。

アップグレードをアプライアンスに転送するには、次の手順を実行します。


ステップ 1 配布サーバが Solaris を使用している場合は、ステップ 2 に進みます。配布サーバが Microsoft Windows を使用している場合は、次の手順を実行します。

a. CD のアップグレード パッケージを取得した場合は、CD を配布サーバの CD-ROM ドライブに挿入します。


ヒント 他のコンピュータの共有 CD ドライブを使用することもできます。その場合、共有 CD ドライブで autorun がイネーブルであると、アップグレード パッケージに含まれている HTTP サーバは他のコンピュータ上で起動します。たとえば、コンピュータ A とコンピュータ B が CD ドライブを共有しており、autorun イネーブルになっているコンピュータ B の CD ドライブを使用する場合、HTTP サーバはコンピュータ B で起動します。

b. 次のいずれかの条件が満たされる場合は、次の手順を実行します。

アップグレード パッケージを圧縮ファイルとして取得している。

autorun が CD-ROM ドライブでイネーブルになっていない。

CD 上、または圧縮されたアップグレード パッケージを抽出したディレクトリにある autorun.bat ファイルを検索し、 autorun を起動します。

c. HTTP サーバが起動し、コンソール ウィンドウに autorun.bat からのメッセージが表示され、ACS に次の 2 つのブラウザ ウィンドウが表示されます。

Appliance Upgrade 。アプライアンスのホスト名または IP アドレスを入力します。

New Desktop 。他のアプライアンスへの転送を開始します。

ステップ 2 配布サーバが Sun Solaris を使用している場合は、次の手順を実行します。

a. CD のアップグレード パッケージを取得した場合は、CD を配布サーバの CD-ROM ドライブに挿入します。

b. CD 上、または圧縮されたアップグレード パッケージを抽出したディレクトリにある autorun.sh ファイルを検索します。

c. autorun.sh を実行します。


ヒント autorun.sh に適切な権限がない場合は、chmod +x autorun.sh と入力してステップ c を繰り返します。

d. HTTP サーバが起動し、コンソール ウィンドウに autorun.bat からのメッセージが表示され、次の 2 つのブラウザ ウィンドウが表示されます。

Appliance Upgrade 。アプライアンスのホスト名または IP アドレスを入力します。

New Desktop 。他のアプライアンスへの転送を開始します。

ステップ 3 autorun ファイルの実行後に Web ブラウザが開かない場合は、配布サーバの Web ブラウザを起動し、次の URL を開きます。

http://127.0.0.1:8080/install/index.html


ヒント http://IP address:8080/install/index.html という URL を使用すると、別のコンピュータの Web ブラウザから配布サーバ上の HTTP サーバにアクセスできます(URL の IP address の部分は配布サーバの IP アドレスです)。

ステップ 4 Appliance Upgrade ブラウザ ウィンドウで、 Enter appliance hostname or IP address ボックスにアプライアンスの IP アドレスまたはホスト名を入力し、 Install をクリックします。

指定したアプライアンスの ACS ログイン ページが表示されます。

ステップ 5 ACS の Web インターフェイスにログインします。

a. Username ボックスに、有効な ACS の管理者名を入力します。

b. Password ボックスに、ACS 管理者のパスワードを入力します。

c. Login をクリックします。

ステップ 6 ナビゲーション バーの System Configuration をクリックします。

ステップ 7 Appliance Upgrade Status をクリックします。

Appliance Upgrade ページが表示されます。

ステップ 8 Download をクリックします。

Appliance Upgrade Form ページが表示されます。このページには、配布サーバの特定に使用する Transfer Setup テーブルがあります。

ステップ 9 Install Server ボックスに、配布サーバのホスト名または IP アドレスを入力します。

ステップ 10 Connect をクリックします。

Appliance Upgrade Form ページに、配布サーバから使用できるアップグレードのバージョンと名前を示した Software Install テーブルが表示されます。

ステップ 11 Software Install テーブルを調べて、アップグレードのバージョン、名前、および状態が適切であることを確認し、 Download Now をクリックします。

Appliance Upgrade ページが表示され、アップグレード ファイルが配布サーバからアプライアンスにダウンロードされます。Appliance Versions テーブルの下にダウンロードのステータスが表示されます。


ヒント Appliance Upgrade ページに、Distribution Download in Progress というメッセージが表示され、その後にダウンロードされたキロバイト数が表示されます。

ステップ 12 転送ステータス メッセージを更新する場合は、 Refresh をクリックします。 Refresh には次のような動作があります。


ヒント 転送中、ステータス メッセージを更新するために、Refresh は必要な数だけクリックできます。

Refresh をクリックした場合。

転送が行われている間、ダウンロードされたキロバイト数が表示されます。

転送完了後に Apply Upgrade ボタンが表示され、転送の経過を示すテキストが、アプライアンスでアップグレード パッケージが使用できることを示すメッセージに置き換えられます。

ステップ 13 ダウンロードが成功し、アップグレードが適用できる状態であることを確認するために、Appliance Upgrade ページに Ready to Upgrade to version というメッセージが表示されることを確認します(メッセージの version 部分は、アプライアンスに転送したアップグレード パッケージのバージョンです)。

これで、アップグレード パッケージがアプライアンスに正常に転送されました。

ステップ 14 アップグレード パッケージを別のアプライアンスに転送する場合は、 New Desktop という名前のブラウザ ウィンドウにアクセスし、 Install Next をクリックしてステップ 4 に戻ります。


ヒント 別のアプライアンスの Web インターフェイスの URL がわかる場合は、ブラウザの URL を指定するボックスにその URL を入力し、ステップ 5 に戻ってそのアプライアンスにアップグレード パッケージを転送します。

ステップ 15 アプライアンスにアップグレード パッケージを転送し終えたら、 New Desktop という名前のブラウザ ウィンドウにアクセスし、 Stop Distribution Server をクリックします。

HTTP サーバが停止し、配布サーバが、HTTP サーバで使用されていたリソースを解放します。

ステップ 16 アップグレードを適用する場合は、「アップグレードのアプライアンスへの適用」の手順を実行します。シリアル コンソールで upgrade コマンドを使用することもできます。 upgrade コマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


 

アップグレードのアプライアンスへの適用

次の手順を使用して、アップグレード パッケージを ACS に適用します。


) シリアル コンソールで upgrade コマンドを使用してアップグレード パッケージを適用することもできます。詳細については、『Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。


始める前に

アップグレードを適用する前に、次の手順を実行します。

アプライアンスにアップグレード パッケージを転送します。詳細な手順については、「アップグレード パッケージのアプライアンスへの転送」を参照してください。アプライアンスのアップグレードに必要な手順については、「アプライアンスのアップグレード」を参照してください。

ACS をバックアップします。ACS のバックアップについては、「ACS バックアップ」を参照してください。

CSAgent サービスをディセーブルにします。 CSAgent が実行中の場合、アップグレードの適用は失敗します。詳細な手順については、「CSAgent のイネーブル化またはディセーブル化」を参照してください。


) アップグレード中、ACS は AAA サービスを提供できません。アップグレード パッケージをすぐに適用しなくても構わない場合は、ACS のダウンタイムがユーザに与える影響が最も少ないときにこの手順を実行することを検討してください。


ACS にアップグレードを適用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Appliance Upgrade Status をクリックします。

Appliance Upgrade ページが表示されます。

ステップ 3 Ready to Upgrade to version というメッセージが表示されたことを確認します(メッセージの version 部分は、アプライアンスで使用できるアップグレード パッケージのバージョンです)。

ステップ 4 Apply Upgrade をクリックします。

Apply Upgrade Message テーブルが表示されます。このテーブルには、アップグレード プロセスに関するメッセージが表示されます。

ステップ 5 表示される各メッセージを注意深く読み、適切なボタンをクリックします。


注意 アップグレード パッケージが検証されていないという警告メッセージが表示されることがあります。アップグレードまたはパッチを適用する前に、ACS はアップグレードまたはパッチがシスコによって認定されていることを確認しようとします。緊急修正用に配布されたパッチなど、有効なアップグレード パッケージによってはこの検証テストに合格しないものもあります。アップグレード パッケージの適合性に問題がないことを確認できない場合は、そのアップグレード パッケージを適用しないでください。

すべての確認プロンプトに答えると、ACS によってアップグレードが適用されます。次の点に注意してください。

アップグレード中、ACS サービスおよび Web インターフェイスは利用できません。アップグレードが完了すると利用できるようになります。

アップグレードの適用には数分かかります。ACS 内部データベースに多数のユーザ プロファイルが含まれている場合、ACS の完全アップグレードにかかる時間は長くなります。

通常、ACS のアップグレードではアプライアンスが 1 回か 2 回自動的に再起動します。小さいパッチでは再起動が必要ない場合があります。

ブラウザのウィンドウが開いても Web インターフェイスが使用できない場合は、アプライアンスが通常の動作を再開するのを待ちます。それから元のブラウザのウィンドウを閉じ、新しいブラウザ ウィンドウを開いて ACS にログインします。


注意 TAC による指示がない限り、アップグレード適用中にアプライアンスをリセットしないでください。

ステップ 6 アップグレードの適用後、Appliance Upgrade ページに移動してアプライアンス上のソフトウェアのバージョンを確認します。Appliance Versions テーブルに、アプライアンスで実行されているソフトウェアのバージョンが一覧表示されます。テーブル エントリは、適用したアップグレード パッケージを反映しています。


) ブラウザのウィンドウが開いても Web インターフェイスが使用できない場合は、アプライアンスが通常の動作を再開するのを待ちます。それから元のブラウザのウィンドウを閉じ、新しいブラウザ ウィンドウを開いて ACS にログインします。