Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
内部アーキテクチャ
内部アーキテクチャ
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

内部アーキテクチャ

Windows サービス

Windows レジストリ(ACS for Windows のみ)

SQL レジストリ

Solution Engine のサービス

ACS SE によって自動的に実行されるオペレーティング システム サービス

ACS SE で実行されないオペレーティング システム サービス

パケット フィルタリング

CSAdmin

CSAgent(ACS SE のみ)

CSAgent ポリシー

CSAuth

CSDBSync

CSLog

CSMon

モニタリング

記録

通知

応答

CSTacacs および CSRadius

NetBIOS のディセーブル化

内部アーキテクチャ

この付録では、Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)のアーキテクチャを構成するコンポーネントについて説明します。ACS は、単純なネットワークから大規模ネットワークまでのニーズに合うように、モジュラ構造でフレキシブルに設計されています。この付録は、次の項で構成されています。

「Windows サービス」

「Windows レジストリ(ACS for Windows のみ)」

「Solution Engine のサービス」

「CSAdmin」

「CSAgent(ACS SE のみ)」

「CSAuth」

「CSDBSync」

「CSLog」

「CSMon」

「CSTacacs および CSRadius」

「NetBIOS のディセーブル化」

Windows サービス

ACS には、次のサービス モジュールが含まれています。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSTacacs

CSRadius

ACS サービスは、ACS Web インターフェイスを使用する CSAdmin を除き、グループとして停止または再起動できます。詳細については、「サービス制御」を参照してください。

ACS for Windows

個々の ACS サービスは、コントロール パネルの Services ウィンドウから開始、停止、再起動できます。

ACS SE

個々の ACS サービスは、アプライアンスのシリアル コンソールから開始、停止、再起動できます。シリアル コンソールを使用してサービスを開始、停止、再起動する方法については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。

Windows レジストリ(ACS for Windows のみ)


警告 重要なデータを破壊または破損しないように、ファイル編集に関する十分な知識と経験がある担当者だけが Windows レジストリの変更を行うようにしてください。


ACS の一般的なアプリケーション情報(インストール ディレクトリの場所など)だけが、Windows レジストリの使用を継続します。

ACS の情報は、次の Windows レジストリ キーで特定します。

HKEY_LOCAL_MACHINE\SOFTWARE\CISCO

シスコ担当者から指示がない限り、ACS に関する Windows レジストリ設定を変更しないことを強く推奨します。

SQL レジストリ

統合されたデータ ストレージ モデルを作成するために、ACS は、複数のデータ ストレージから標準 SQL ベースのリレーショナル データベースに移行しました。

SQL レジストリには、すべてのユーザと設定データに関するテーブル情報が含まれています。SQL データを表示できるようにすることはできません。また、このデータは暗号化されたパスワードによって保護されています。

 

SQL テーブル
説明
ConfigKey

他のテーブルに格納されていない情報です。データはレジストリ キーに対応しています。

ConfigValue

レジストリ値に対応するデータです。

DictKey

アトリビュート キーのツリーです。データは ACS ディクショナリのレジストリ キーに対応しています。

DictValue

ACSDictionaryKeys テーブルのアトリビュート キーの値です。

Host

ACS のすべてのホストに関する情報です。

HostService

タイプがリモート エージェントのホストに関する追加データです。

Admin

ACS 管理者です。各管理者の権限は、バイナリのブロブ内部に示されるビットセットで表現されます。

NetworkModel

ネットワーク モデル セクションです。

Users

以前は user.dat ファイルに格納されていたユーザ固有の全情報です。このテーブルは、ACS UDB_ACCOUNT という構造をとります。ただし、フィールドによっては表示されないものがあります。

VarsDB

現在は使用されていますが、将来は新しいテーブルに移動されます。

Solution Engine のサービス

ACS SE には、Windows サービスに加えて CSAgent サービスがあります。

ACS SE のオペレーティング システムは、Windows 2003 R2 オペレーティング システムのカスタマイズ バージョンで、パフォーマンスが最小化されています。ACS SE は、無関係なサービスをすべて削除し、使用しないポートをすべてブロックし、ACS サーバ システムへのその他のアクセスをすべて妨げることにより、Solution Engine のセキュリティ ポスチャを飛躍的に向上させています。

ここでは、オペレーティング システムのサービスの最小化について詳しく説明します。

「ACS SE によって自動的に実行されるオペレーティング システム サービス」

「ACS SE で実行されないオペレーティング システム サービス」

ACS SE によって自動的に実行されるオペレーティング システム サービス

表F-1 に、ACS SE によって自動的に実行されるオペレーティング システム サービスの一覧を示します。

 

表F-1 ACS SE によって自動的に実行されるオペレーティング システム サービス

サービス名
説明

COM+ Event System

登録された COM コンポーネントにイベントを自動的に通知します。

DHCP Client

IP アドレスと DNS 名を登録および更新することによってネットワーク設定を管理します。

DNS Client

ドメイン ネーム システム(DNS)名を解決およびキャッシュします。

Event Log

プログラムと Windows から出力されるイベント メッセージのログを記録します。イベント ログのレポートには問題の診断に役立つ情報が含まれています。レポートは Event Viewer に表示されます。

IPSEC Policy Agent

IP セキュリティ ポリシーを管理し、ISAKMP/Oakley(IKE)と IP セキュリティ ドライバを開始します。

License Logging Service

サーバ製品の Client Access License 使用状況を追跡します。

Logical Disk Manager

論理ディスク マネージャ Watchdog サービスを実行します。

Network Connections

Network and Dial-Up Connections フォルダ内のオブジェクトを管理します。このフォルダには、ローカル エリア ネットワークとリモート接続が表示されます。

Plug and Play

デバイスのインストールと設定を管理し、デバイスの変更をプログラムに通知します。

Protected Storage

秘密鍵などの重要なデータを格納するための保護されたストレージを提供し、許可されていないサービス、プロセス、ユーザによる不正アクセスを防ぎます。

Remote Procedure Call (RPC)

エンドポイント マッパーや各種の RPC サービスを提供します。

Removable Storage

リムーバブル メディア、ドライブ、ライブラリを管理します。

RunAs Service

代替クレデンシャルでプロセスを開始できるようにします。

Security Accounts Manager

ローカル ユーザ アカウントのセキュリティ情報を格納します。

Server

RPC サポートとファイル、印刷、および名前付きパイプ共有を提供します。

System Event Notification

Windows ログイン、ネットワーク、電源のイベントなどのシステム イベントを追跡します。COM+ イベント システムの加入者に、これらのイベントを通知します。

Telnet

リモート ユーザがシステムにログインして、コマンドラインからコンソール プログラムを実行することができます。

Windows Management Instrumentation

システム管理情報を提供します。

Windows Management Instrumentation Driver Extensions

ドライバから、またはドライバにシステム管理情報を提供します。

ACS SE で実行されないオペレーティング システム サービス

表F-2 に、ACS SE で実行されないオペレーティング システム サービスの一覧を示します。

 

表F-2 ACS SE で実行されないオペレーティング システム サービス

サービス名
説明

Alerter

選択したユーザとコンピュータに管理アラートを通知します。

Application Management

Assign、Publish、Remove などのソフトウェア インストール サービスを提供します。

Automatic Updates

Windows の重要な更新のダウンロードとインストールをイネーブルにします。このサービスをディセーブルにした場合は、Windows Update Web サイトでオペレーティング システムを手動で更新できます。

Background Intelligent Transfer Service

アイドル状態のネットワーク帯域幅を使用して、バックグラウンドでファイルを転送します。このサービスが停止している場合、Windows Update などの機能や MSN Explorer は、プログラムやその他の情報を自動的にダウンロードできません。

ClipBook

リモートのクリップブックでページを表示できる、ClipBook Viewer をサポートします。

Computer Browser

ネットワーク上のコンピュータの最新の一覧を管理し、一覧を要求するプログラムにそれを提供します。

Distributed File System

ローカルエリア ネットワークまたはワイドエリア ネットワークに分散した論理ボリュームを管理します。

Distributed Link Tracking Client

ネットワーク ドメイン内の NTFS ボリューム間を移動するファイルについて通知を送信します。

Distributed Link Tracking Server

ボリューム間を移動するファイルをドメイン内のボリュームごとに追跡できるように、情報を保存します。

Distributed Transaction Coordinator

複数のデータベース、メッセージ キュー、ファイル システム、またはその他のトランザクション保護されたリソース マネージャに分散されたトランザクションを調整します。

Fax Service

FAX の送受信を行います。

File Replication

ファイル ディレクトリの内容について、複数のサーバ間でファイル同期を保持します。

Indexing Service

ローカル コンピュータとリモート コンピュータ上のファイルのコンテンツとプロパティにインデックスを付けます。柔軟なクエリー言語を使用するので、ファイルにすばやくアクセスできます。

Internet Connection Sharing

ダイヤルアップ接続を使って、ホーム ネットワークのすべてのコンピュータに対してネットワーク アドレスの変換、アドレスの指定、および名前解決のサービスを提供します。

Intersite Messaging

Windows Advanced Server サイト間でメッセージを送受信できます。

Kerberos Key Distribution Center

相互のクライアント/サーバ認証のためにセッション キーを生成し、サービス チケットを与えます。

Logical Disk Manager Administrative Service

ディスク管理要求の管理サービスを実行します。

Messenger

管理者または Alerter サービスによって送信されたメッセージを送受信します。

Net Logon

ドメイン内にあるコンピュータのアカウント ログイン イベントのパススルー認証をサポートします。

NetMeeting Remote Desktop Sharing

権限を与えられたユーザが NetMeeting を使用してリモートから Windows デスクトップにアクセスすることを許可します。

Network DDE

Dynamic Data Exchange(DDE)のネットワーク トランスポートとセキュリティを提供します。

Network DDE DSDM

共有 Dynamic Data Exchange を管理します。ネットワーク DDE で使用されます。

NT LM Security Support Provider

名前付きパイプ以外のトランスポートを使用している Remote Procedure Call(RPC; リモート プロシージャ コール)プログラムにセキュリティを提供します。

Performance Logs and Alerts

パフォーマンス ログとアラートを構成します。

Print Spooler

遅延印刷のために、ファイルを読み込んでメモリに格納します。

QoS RSVP

QoS(Quality of Service)対応プログラムと制御アプレットに、ネットワーク シグナルとローカル トラフィック制御のセットアップ機能を提供します。

Remote Access Auto Connection Manager

プログラムがリモート DNS、NetBIOS 名、または NetBIOS アドレスを参照するときに、必ずリモート ネットワークへの接続を作成します。

Remote Access Connection Manager

ネットワーク接続を作成します。

Remote Procedure Call (RPC) Locator

RPC ネーム サービス データベースを管理します。

Remote Registry Service

レジストリの操作をリモートで行うことができます。

Routing and Remote Access

ローカルエリア ネットワークおよびワイドエリア ネットワーク環境の業務にルーティング サービスを提供します。

Smart Card

コンピュータに接続されたスマート カード読み取り装置に挿入されたスマート カードへのアクセスを管理および制御します。

Smart Card Helper

コンピュータに接続されたレガシー スマート カード読み取り装置をサポートします。

Task Scheduler

指定した時刻にプログラムを実行できます。

TCP/IP NetBIOS Helper Service

NetBIOS over TCP/IP(NetBT)サービスと NetBIOS 名前解決のためのサポートをイネーブルにします。

Telephony API (TAPI)

テレフォニー デバイスと IP ベース音声接続を制御するプログラムに、テレフォニー API(TAPI)サポートを提供します。ローカル コンピュータだけでなく、このサービスを実行している各サーバにも LAN を通じて提供します。

Terminal Services

クライアント デバイスが仮想 Windows 2000 Professional デスクトップ セッションおよびサーバ上で実行されている Windows ベースのプログラムにアクセスできるよう、マルチセッション環境を提供します。

Uninterruptible Power Supply

コンピュータに接続されている Uninterruptible Power Supply(UPS; 無停電電源装置)を管理します。

Utility Manager

1 つのウィンドウで補助ツールの起動と設定を行います。

WMDM PMSP Service

-

Workstation

ネットワーク接続とネットワーク通信を提供します。

Windows Installer

.msi ファイルに含まれている指示に基づいてソフトウェアをインストール、修復、削除します。

Windows Time

コンピュータのクロックを設定します。

パケット フィルタリング

パケット フィルタリングは、必要な IP ポート以外のすべてのトラフィックをブロックするサービスです。

表F-3 に、入力トラフィックに対して開いている ACS SE のポートの一覧を示します。

 

表F-3 入力トラフィックに対して開いているパケット フィルタのポート

サービス名
UDP
TCP

DHCP

68

RADIUS 認証および認可(オリジナル版ドラフト RFC)

1645

RADIUS アカウンティング(オリジナル版ドラフト RFC)

1646

RADIUS 認証および認可(改訂版 RFC)

1812

RADIUS アカウンティング(オリジナル版ドラフト RFC)

1813

プロキシ DLL(RSA)

5500 ~ 5509

TACACS+ 認証、認可、およびアカウンティング

49

ACS 複製

2000

ACS ロギング

2001

ACS 分散ロギング

2003

ACS HTTP 管理

2002

ACS HTTPS 管理

2002

ACS 管理ポート範囲

ダイナミック

CSAdmin

CSAdmin は、ACS Web インターフェイス向けの Web サーバを提供するサービスです。ACS をインストールした後、その Web インターフェイスから設定する必要があります。そのため、ACS を設定するときは CSAdmin が動作している必要があります。

ACS の Web サーバは、通常 HTTP トラフィックに関連付けられている標準ポート 80 ではなく、ポート 2002 を使用するため、同一マシン上で別の Web サーバを使用して、他の Web サービスを提供できます。他の Web サーバとの相互運用性テストは実施されていませんが、2 番目の Web サーバがポート 2002 または HTTP ポート割り当て機能で指定されている範囲内のポートの 1 つを使用するように設定されていない限り、HTTP トラフィックにポートの競合は発生しません。HTTP ポート割り当て機能の詳細については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。

ACS の Web インターフェイス内からサービスを開始、停止できますが、 CSAdmin は開始または停止できません。

ACS for Windows

CSAdmin が外部の操作によって異常停止した場合は、ACS が動作している Windows サーバ以外のコンピュータから ACS にアクセスできません。Windows のコントロール パネルから CSAdmin を開始または停止できません。

ACS SE

CSAdmin が外部の操作によって異常停止した場合は、アプライアンスのシリアル コンソールからのみサービスを再起動できます。シリアル コンソールを使用してサービスを開始、停止、再起動する方法については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2』を参照してください。

プラットフォーム共通

CSAdmin は、マルチスレッド化されており、複数の ACS 管理者が同時にアクセスできます。したがって、 CSAdmin は分散環境およびマルチプロセッサ環境に最適です。

CSAgent(ACS SE のみ)

CSAgent は、ウイルス、ワーム、および攻撃から ACS SE を保護するために使用するサービスです。Solution Engine では、CSAgent はスタンドアロン モードで動作します。CSAgent は、シリアル コンソールを使用して開始、停止、再起動できます。シリアル コンソールを使用してサービスを開始、停止、再起動する方法については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


) CSAgent がイネーブルの場合、ACS に関する次の制限が適用されます。System Configuration セクションの Appliance Upgrade Status ページ、またはアプライアンスのコンソールで upgrade コマンドを使用してアップグレードやパッチを適用することはできません。ACS をアップグレードしたり、パッチを適用したりするには、CSAgent をディセーブルにする必要があります。


CSAgent ポリシー

ACS SE の CSAgent サービスは、次のポリシーを使用して設定されます。

Application Control :CSAgent は、ACS が正常に動作するために必要なアプリケーションの実行を許可します。

File Access Control :CSAgent は、ACS が正常に動作するために必要なアプリケーションのファイル システム アクセスを許可します。

IP and Transport Control :CSAgent は次の保護を行います。

無効な IP ヘッダーの廃棄

無効な転送ヘッダーの廃棄

TCP/UDP ポート スキャンの検出

アプライアンスによるポート スキャン防止の非表示化

TCP ブラインド セッション スプーフィングの防止

TCP SYN フラッドの防止

ICMP 変換チャネルのブロック

ping などの危険な ICMP メッセージのブロック

IP 送信元ルーティングの防止

トレース ルーティングの防止

E-mail Worm Protection :CSAgent は、電子メール ワームからアプライアンスを保護します。

Registry Access Control :CSAgent は、アプライアンスが適切に動作するためにアクセスする必要のあるアプリケーションへのレジストリ アクセスだけを許可します。

Kernel Protection :CSAgent は、システムの起動が完了した後にカーネル モジュールのロードを許可しません。

Trojan and Malicious Application Protection :CSAgent の保護により、アプリケーションは次の操作を実行できません。

他のアプリケーションが所有しているスペースへのコードの書き込み

ActiveX コントロールのダウンロードおよび実行

ダウンロードされたプログラムの自動実行

オペレーティング システムのパスワード情報への直接アクセス

他のプロセスが所有しているメモリへの書き込み

ネットワークへのアクセス時のキー入力の監視

CSAuth

CSAuth は、認証および認可サービスです。認証要求と認可要求を処理することによって、ユーザへのアクセスを許可または拒否します。 CSAuth はアクセスを許可するかどうかを判別し、特定ユーザの特権を定義します。 CSAuth は、ACS のデータベース マネージャです。

ユーザを認証するために、ACS は内部ユーザ データベースまたは多くの外部データベースの 1 つを使用できます。認証要求が着信すると、ACS はそのユーザに対して設定されているデータベースをチェックします。ユーザが不明の場合は、ACS は未知のユーザに対して設定されているデータベースをチェックします。ACS が未知のユーザの認証要求を処理する方法については、「未知ユーザ認証について」を参照してください。

ACS がサポートする各種データベース タイプの詳細については、 第 12 章「ユーザ データベース」 を参照してください。

ユーザが認証されると、ACS は、ユーザ プロファイルおよびユーザが割り当てられたグループから 1 組の認可情報を取得します。この認可情報は、ユーザ名とともに ACS 内部データベースに格納されます。格納されている認可情報の中には、ユーザに許可されるサービス、たとえば、IP over PPP、IP アドレスがそこから引き出される IP プール、アクセス リストおよびパスワード エージング情報があります。認可情報は認証の許可とともに、 CSTacacs モジュールまたは CSRadius モジュールに渡され、さらに要求側装置に転送されます。

CSDBSync

CSDBSync は、ACS データベースをサードパーティの Relational Database Management System(RDBMS; リレーショナル データベース管理システム)に同期させるために使用するサービスです。 CSDBSync は、AAA クライアント、AAA サーバ、Network Device Group(NDG; ネットワーク デバイス グループ)、およびプロキシ テーブル情報を外部リレーショナル データベースにあるテーブルのデータに同期させます。RDBMS 同期化機能については、「RDBMS 同期化」を参照してください。

CSLog

CSLog は、ロギング情報を取り込んで、格納するために使用するサービスです。 CSLog は、TACACS+ または RADIUS のパケットおよび CSAuth からデータを収集し、データを処理した後で、Comma-Separated Value(CSV; カンマ区切り形式)ファイルにデータを格納します。CSV ファイルは、CSV ファイル形式をサポートしているスプレッドシートにインポートできます。

CSMon

CSMon は、リモート アクセス ネットワーク環境においてダウンタイムを最短に抑えるために役立つサービスです。 CSMon は TACACS+ および RADIUS で動作し、使用されているプロトコルを自動的に検出します。

CSMon サービスは、ACS Web インターフェイスを使用して設定できます。ACS アクティブ サービス管理機能には、 CSMon の動作を設定するオプションがあります。詳細については、「ACS アクティブ サービス管理」を参照してください。


CSMon は、システム、ネットワーク、またはアプリケーション管理アプリケーションに代わって運用されることが目的ではなく、汎用性の高い他のシステム管理ツールと併用できる特定アプリケーション向けのユーティリティとして提供されています。


CSMon は、次の項目で説明する 4 つの基本的なアクティビティを実行します。

「モニタリング」

「記録」

「通知」

「応答」

モニタリング

CSMon は、ACS およびそれが動作しているシステムのステータス全体を監視します。 CSMon は、次に示す基本的なシステム パラメータをアクティブに監視します。

汎用ホスト システムのステート CSMon は次の主要なシステムしきい値を監視します。

ハード ディスクの空き容量

プロセッサの利用率

物理メモリの利用率

汎用ホスト システムのステートに関連するイベントはすべて、警告イベントに分類されます。

アプリケーション固有のパフォーマンス

アプリケーションの実行可能性 CSMon では、特殊な組み込みテスト用アカウントを使用してテスト用のログインを実行します(デフォルトの時間は 1 分)。このアカウント認証で発生した問題を利用して、サービスに問題が発生していないかどうかを判別できます。

アプリケーションのパフォーマンスしきい値 CSMon では、各テスト認証要求の待ち時間(肯定応答を受信するまでの時間)を監視および記録します。テストが実行されるたびに、 CSMon は平均応答時間の値が入っている変数をアップデートします。さらに、応答に成功するまで再試行が必要であったかどうかも記録します。テストごとに認証が得られるまでの平均時間をトラッキングすることにより、 CSMon ではテスト対象となっているシステムでの予想応答時間の状況を把握して蓄積できます。したがって、 CSMon では認証ごとに再試行を余分に実行する必要があるかどうか、または 1 回の認証に要する応答時間が通常の平均時間に対するしきい値(%)を超えているかどうかを検出できます。

ACS によるシステム リソースの消費 CSMon は、ACS が使用している一部の主要システム リソースの使用状況について監視と記録を定期的に実行し、その結果を事前に設定されているしきい値と比較して、不規則な動作を示していないかどうかを調べます。監視されるパラメータには、次のものが含まれます。

処理回数

メモリの利用率

プロセッサの利用率

使用スレッド

ログイン失敗回数

CSMon は、 CSAuth と協調して、失敗回数が最大数を超えたためにディセーブルにされているユーザ アカウントの数の変化を追跡しています。この機能は、システムの実行可能性というよりも、セキュリティおよびユーザ サポート指向です。この機能が設定されている場合は、大量のアカウントが無効になっていることを示す警報を管理者に通知して、ブルート フォース攻撃に関する迅速な警告を行います。さらに、アクセスする各ユーザに関する問題をサポート技術者が予測できるようになります。

記録

CSMon は、問題の診断に使用できる例外イベントをログに記録します。

CSMon ログ他の ACS サービスと同様に、 CSMon は、診断記録およびエラー ロギングに使用するために、それ自体の CSV ログを保持しています。このロギングによるリソースの消費量は比較的小さいため、 CSMon によるロギングをディセーブルにすることはできません。

Windows イベント ログ CSMon はメッセージを Windows イベント ログに記録できます。Windows イベント ログへのロギングはデフォルトではイネーブルに設定されていますが、ディセーブルに設定することもできます。

通知

CSMon は、システム管理者への通知を次の場合に行うように設定できます。

例外イベント

応答

応答の結果

例外イベントと結果の通知には、メッセージ発生時点の ACS のステートが含まれます。デフォルトの通知方式は Simple Mail-Transfer Protocol(SMTP; シンプル メール転送プロトコル)による電子メールですが、スクリプトを作成して他の方式を使用することもできます。

応答

CSMon は、サービスの整合性に影響を与える例外イベントを検出します。監視対象イベントについては、「モニタリング」を参照してください。これらのイベントは特定アプリケーションに関するものであり、ACS にハード コード化されます。次の 2 つのタイプの応答があります。

警告イベントサービスは保持されますが、監視対象の一部のしきい値を超過しています。

障害イベント1 つまたは複数の ACS コンポーネントが、サービスの提供を停止しています。

CSMon は、イベントに対して、イベントのロギング、通知の送信(設定されている場合)によって応答し、イベントが障害である場合は、それに対するアクションを実行して応答します。アクションには、次の 2 つのタイプがあります。

事前定義済みのアクション :このアクションはプログラムにハードコード化されており、トリガー イベントが検出されると必ず実行されます。このアクションはハードコード化されており、アプリケーションの一部となるため、設定する必要はありません。このアクションには、 CSSupport ユーティリティの実行が含まれています。このユーティリティは、イベント発生時のシステム ステートを取り扱うほとんどのパラメータを取り込みます。

イベントが警告イベントの場合は、そのイベントがロギングされて、管理者に通知されます。これ以上のアクションは実行されません。 CSMon でも同様に、一連の再試行後に障害の発生原因の修正を実行し、個々のサービスが再起動されます。

ユーザ定義可能なアクション CSMon に組み込まれた事前定義済みのアクションで問題が修正されない場合、 CSMon は外部プログラムやスクリプトを実行できます。

CSTacacs および CSRadius

CSTacacs サービスおよび CSRadius サービスは、 CSAuth モジュールと認証および認可サービスを要求するアクセス デバイス間の通信サービスを提供します。 CSTacacs CSRadius が正常に動作するには、システムが次の条件を満たしている必要があります。

CSTacacs および CSRadius の各サービスは必ず CSAdmin から設定すること

CSTacacs および CSRadius の各サービスがアクセス サーバ、ルータ、スイッチ、ファイアウォールなどのアクセス デバイスと通信できること

同一の共有秘密情報(鍵)が ACS とアクセス デバイスの両方で設定されていること

アクセス デバイスの IP アドレスが ACS で指定されていること

使用するセキュリティ プロトコルのタイプが ACS で指定されていること

TACACS+ 装置との通信には CSTacacs を、RADIUS 装置との通信には CSRadius を使用します。両方のサービスは同時に実行できます。使用されているセキュリティ プロトコルが 1 つだけの場合は、適用可能なサービスだけを実行する必要があります。ただし、通常動作の障害にはならないため、もう一方のサービスをディセーブルにする必要はありません。TACACS+ AV ペアの詳細については、 付録 A「TACACS+ の AV ペア」 を参照してください。RADIUS+ AV ペアの詳細については、 付録 B「RADIUS アトリビュート」 を参照してください。

NetBIOS のディセーブル化

NetBIOS(Network Basic Input/Output System)は、異なるコンピュータのアプリケーションが LAN 内で通信できるようにするプログラムです。Microsoft では、1980 年代後半から LAN Manager 製品として NetBIOS を採用しており、Windows の初期バージョンから Windows NT に至るまで使用されています。

Windows 2000 がリリースされてから、DNS が Windows ベース ネットワークのデフォルトの名前解決方法になりました。DNS は、Active Directory ドメインを展開する場合に必要です。

Windows 2000、Windows XP、および Windows Server 2003 を使用している場合は NetBIOS over TCP/IP(NetBT)をディセーブルにできますが、大部分の企業ネットワークには現在でもレガシー(Windows 9x や Windows NT)マシンがあるため、NetBIOS over TCP/IP(NetBT)をディセーブルにしない企業ネットワークは依然として多くあります。レガシー マシンでは、NetBIOS を使用してドメインにログインし、お互いを検出してセッションを確立し、共有リソースにアクセスします。そのため、ネットワーク上で正常に機能するには NetBIOS が必要になります。

レガシー システムのないネットワークの場合は、管理者はすべてのコンピュータ上で NetBT を使用した転送をディセーブルにすることができます。ACS では、NetBIOS がディセーブル化された Windows サーバを使用できます。

NetBIOS のディセーブル化の詳細については、Windows オペレーティング システムのシステム ガイドを参照してください。