Cisco Secure Access Control Server 4.2.1 ユーザ ガイド
システム設定:高度
システム設定:高度
発行日;2012/02/02 | 英語版ドキュメント(2009/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

システム設定:高度

ACS 内部データベースの複製

ACS 内部データベース複製について

複製プロセス

複製の頻度

実装上で重要な検討事項

データベース複製とバックアップの比較

データベース複製のロギング

複製オプション

複製コンポーネント オプション

[Outbound Replication] オプション

[Inbound Replication] オプション

ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

セカンダリ ACS の設定

即時複製

複製のスケジューリング

ACS データベース複製のディセーブル化

自動パスワード変更複製の設定

データベース複製イベントのエラー

RDBMS 同期化

RDBMS 同期化について

RDBMS 同期化の呼び出し

ACS SE の RDBMS の設定

ACS for Windows の RDBMS 同期化の設定

RDBMS 同期化機能

RDBMS 同期化のユーザ関連のアクション

RDBMS 同期化のユーザ グループ関連のアクション

ユーザおよびユーザ グループの dACL の作成、アップデート、および削除

ネットワーク設定

AAA クライアントのアクションの作成、読み取り、アップデート、および削除

dACL アトリビュートの作成、読み取り、アップデート、および削除

カスタム RADIUS ベンダーと VSA

RDBMS 同期化のコンポーネント

CSDBSync について

[accountActions] テーブルについて(ACS for Windows)

accountActions ファイルについて(ACS SE)

[accountActions] テーブルを使用する ACS データベースの復旧

レポートとイベント(エラー)の処理

RDBMS 同期化の使用準備

RDBMS 同期化のシステム DSN の設定(ACS for Windows)

RDBMS 同期化のオプション

RDBMS セットアップ オプション

Windows の accountActions ファイル用の RDBMS 同期化のセットアップ

SE の RDBMS 同期化の FTP セットアップ オプション

RDBMS 同期化のスクリプト可能なインターフェイス

同期化スケジューリング オプション

同期化パートナー オプション

RDBMS 同期化の実行

RDBMS 同期化のスケジューリング

スケジューリング済み RDBMS 同期化のディセーブル化

RDBMS 同期化障害コード

IP プール サーバ

IP プール サーバについて

重複 IP プールの許可または固有プール アドレス範囲の強制

[AAA Server IP Pools] テーブルの更新

新しい IP プールの追加

IP プール定義の編集

IP プールのリセット

IP プールの削除

IP プール アドレスの復旧

IP プール アドレス復旧のイネーブル化

[NAC Attribute Management](ACS SE のみ)

ポスチャ確認アトリビュート定義ファイル

アトリビュートの追加

アトリビュートの削除

アトリビュートのエクスポート(ダンプ)

デフォルトのポスチャ確認アトリビュート定義ファイル

システム設定:高度

この章では、Cisco Secure Access Control Server リリース 4.2(以降は ACS と表記)の [System Configuration] セクションにある ACS 内部データベース複製機能および RDBMS 同期化機能について説明します。

この章は、次の内容で構成されています。

「ACS 内部データベースの複製」

「RDBMS 同期化」

「IP プール サーバ」

「IP プール アドレスの復旧」

「[NAC Attribute Management](ACS SE のみ)」

ACS 内部データベースの複製

この項では、ACS 内部データベース複製機能について、この機能を実装する手順、および関連する ACS を設定する手順を中心に説明します。


) ACS は、NAT 環境における分散した展開はサポートしていません。プライマリまたはセカンダリ アドレスで NAT が設定されている場合、データベース複製ファイルは共有秘密情報の不一致を示します。


ここでは、次の項目について説明します。

「ACS 内部データベース複製について」

「複製プロセス」

「複製の頻度」

「実装上で重要な検討事項」

「データベース複製とバックアップの比較」

「データベース複製のロギング」

「複製オプション」

「複製コンポーネント オプション」

「[Outbound Replication] オプション」

「[Inbound Replication] オプション」

「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」

「セカンダリ ACS の設定」

「即時複製」

「複製のスケジューリング」

「ACS データベース複製のディセーブル化」

「自動パスワード変更複製の設定」

「データベース複製イベントのエラー」

ACS 内部データベース複製について

データベース複製では、プライマリ ACS セットアップの一部が少なくとも 1 台のセカンダリ ACS に複製され、ACS ミラーリング システムが作成されます。プライマリ ACS に障害が発生したか ACS で到達不能になった場合に、セカンダリ ACS を使用するように AAA クライアントを設定できます。プライマリ ACS の ACS 内部データベースの複製を ACS 内部データベースとして使用するセカンダリ ACS があれば、プライマリ ACS がサービスを提供できない場合でも、AAA クライアントがセカンダリ ACS にフェールオーバーするように設定されていれば、ネットワークのダウンタイムなしで着信要求を認証できます。

データベースの複製は、次の用途に使用できます。

複製するプライマリ ACS の設定の一部を選択する。

スケジュール作成などの複製プロセスのタイミングを制御する。

選択した設定項目をプライマリ ACS からエクスポートする。

選択した設定データを、プライマリ ACS から用意したセカンダリ ACS に、セキュアに転送する。

セカンダリ ACS をアップデートし、構成を一致させる。

次の項目は複製できません。

IP プール定義(詳細については、「IP プール サーバについて」を参照してください)

ACS の証明書ファイルと秘密鍵ファイル

未知ユーザ グループのマッピングの設定

動的にマッピングされたユーザ

[System Configuration] セクションの [ACS Service Management] ページ上の設定

RDBMS 同期化の設定


ヒント さまざまなコンポーネントおよびデータベース複製の範囲のリストについては、「複製コンポーネント オプション」を参照してください。


データベース複製では、ACS を次のように区別します。

プライマリ ACS :複製された ACS 内部データベース コンポーネントを別の ACS に送信する ACS。

セカンダリ ACS :複製された ACS 内部データベース コンポーネントをプライマリ ACS から受信する ACS。Web インターフェイスでは複製パートナーとして識別されます。

ACS は、プライマリ ACS とセカンダリ ACS のいずれにもできますが、プライマリ ACS として使用する ACS を同時にセカンダリ ACS として設定することはできません。


) ACS が、リモートの ACS にデータベース コンポーネントを送信するとともに、同じリモート Cisco Secure ACS からデータベース コンポーネントを受信するという双方向複製はサポートされていません。ACS の複製先と複製元に同じ ACS を設定すると、複製は失敗します。



) 複製に関係する ACS はすべて、同じリリースの ACS ソフトウェアを実行している必要があります。たとえば、プライマリ ACS で ACS Version 3.2 を実行している場合は、すべてのセカンダリ ACS で ACS バージョン 3.2 を実行している必要があります。パッチ リリースによって、ACS 内部データベースに大幅な変更が加えられることがあります。このため、複製に関係する ACS は、パッチ レベルも合わせておくことを強く推奨します。


複製プロセス

このトピックでは、データベース複製のプロセスについて、プライマリ ACS と各セカンダリ ACS との相互動作を中心に説明します。データベース複製では、次のステップが発生します。

1. プライマリ ACS が、自分のデータベースが前回の正常な複製以降に変更されているかどうかを確認します。変更されている場合は、複製が続行されます。変更されていない場合、複製は打ち切られます。プライマリおよびセカンダリ ACS のデータベース間の比較は実行されません。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


2. プライマリ ACS が、セカンダリ ACS に接続します。この初期接続では、次の 4 つのイベントが発生します。

a. プライマリ ACS の共有秘密情報に基づいて、2 台の ACS が相互認証を実行します。認証に失敗すると、複製が失敗します。


) セカンダリ ACS 上で、プライマリ ACS 用の [AAA Servers] テーブル エントリは、プライマリ ACS が自分の [AAA Servers] テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。セカンダリ ACS の共有秘密情報は、複製には関係しません。


b. セカンダリ ACS は、プライマリ ACS の複製元として設定されていないことを確認します。そのように設定されている場合は、複製が打ち切られます。ACS は、双方向複製をサポートしていません。双方向複製とは、1 台の ACS が、同一のリモート ACS のプライマリとセカンダリとして動作することです。

c. プライマリ ACS は、セカンダリ ACS が実行している ACS のバージョンが自分の ACS のバージョンと同じであるかどうかを確認します。バージョンが異なる場合は、複製が失敗します。

d. プライマリ ACS は、自分が送信するように設定されているデータベース コンポーネントのリストと、セカンダリ ACS が受信するように設定されているデータベース コンポーネントのリストを比較します。プライマリ ACS が送信するように設定されているコンポーネントのいずれも、セカンダリ ACS が受信するように設定されていない場合は、データベース複製は失敗します。

3. プライマリ ACS が、セカンダリ ACS に送信するコンポーネントを決定すると、複製プロセスはプライマリ ACS で次の動作を続けます。

a. プライマリ ACS は認証を停止し、複製するように設定されている ACS 内部データベース コンポーネントをコピーします。このステップの間、AAA クライアントが正しく設定されている場合、通常このプライマリ ACS を使用する AAA クライアントは、別の ACS にフェールオーバーします。

b. プライマリ ACS が認証サービスを再開します。それとともに、セカンダリ ACS へ送信するために、自分のデータベース コンポーネントのコピーを圧縮し、暗号化します。

c. プライマリ ACS は、圧縮し、暗号化した自分のデータベース コンポーネントのコピーをセカンダリ ACS に送信します。この送信は、ポート 2000 を使用して TCP 接続で行われます。TCP セッションでは、128 ビット暗号化されたシスコ固有のプロトコルが使用されます。

4. プライマリ ACS での上記のイベントの後、データベース複製プロセスは、セカンダリ ACS で次のように続きます。

a. セカンダリ ACS は、ACS 内部データベース コンポーネントの圧縮および暗号化されたコピーをプライマリ ACS から受信します。データベース コンポーネントの受信が完了すると、セカンダリ ACS はデータベース コンポーネントを解凍します。

b. セカンダリ ACS は、認証サービスを停止し、自分のデータベース コンポーネントを、プライマリ ACS から受信したデータベース コンポーネントで置き換えます。このステップの間、AAA クライアントが正しく設定されている場合、通常このセカンダリ ACS を使用する AAA クライアントは、別の ACS にフェールオーバーします。

c. セカンダリ ACS が認証サービスを再開します。

ACS はプライマリ ACS およびセカンダリ ACS の両方として動作できます。図 8-1 にカスケード複製のシナリオの例を示します。サーバ 1 はプライマリ ACS としてのみ動作し、セカンダリ ACS として動作するサーバ 2 とサーバ 3 に複製します。サーバ 1 からサーバ 2 への複製が終わると、サーバ 2 はプライマリ ACS として動作し、サーバ 4 とサーバ 5 に複製します。同様に、サーバ 3 はプライマリ ACS として動作し、サーバ 6 とサーバ 7 に複製します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。図 8-1 の場合、サーバ 1 の [AAA Servers] テーブルには、他の 6 つの ACS それぞれに対するエントリがなければなりません。エントリがないと、複製が行われても、サーバ 2 と 3 の [AAA Servers] テーブルにはサーバ 4 ~ 7 が存在しないため、複製は失敗します。


サーバ 2 が、サーバ 1 から複製を受信するように設定され、さらにサーバ 1 に複製するように設定されている場合、サーバ 2 への複製は失敗します。ACS では、双方向複製と呼ばれるこのような設定をサポートしていません。このような複製が実行されることを防ぐため、セカンダリ ACS は、[Replication] リストに自分のプライマリ ACS が含まれている場合は複製を打ち切ります。

図 8-1 カスケード データベース複製

 

複製の頻度

ACS が複製を行う頻度は、AAA の全体的なパフォーマンスと重大な関係があります。複製の頻度を高くするほど、セカンダリ ACS はプライマリ ACS の最新の状態に近くなります。このように頻繁に複製すると、プライマリ ACS で障害が発生した場合に、プライマリ ACS により近い状態のセカンダリが作成されます。

複製の頻度を高くすると、コストがかかります。複製の頻度が高くなればそれだけ多重 ACS アーキテクチャとネットワーク環境の負荷も大きくなります。複製を頻繁に実行するようにスケジューリングすると、ネットワーク トラフィックが増加します。また、複製システムにかかる処理負荷が増大します。複製によってシステム リソースが消費され、認証が少しの間中断されるため、頻繁に複製を行うと、ACS の AAA パフォーマンスへの影響が大きくなります。また、サービスが両方のサーバで一時的に中断されるため、Network Access Server(NAS; ネットワーク アクセス サーバ)のフェールオーバーが発生する場合があります。


) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。


この問題は、大規模データベースや変化が激しいデータベースで、はっきり現れます。データベース複製は、差分型ではなく破壊型バックアップです。言い換えると、実行するたびにセカンダリ ACS のデータベースと設定は完全に置き換わります。したがって、データベースが大規模な場合は、転送されるデータの量が膨大なものになり、処理によるオーバーヘッドも大きくなる可能性があります。

実装上で重要な検討事項

ACS データベース複製機能を実装する場合は、次の事項を考慮してください。

ACS は他の ACS へのデータベース複製だけをサポートします。ACS 内部データベース複製に関連するすべての ACS は、同じバージョンの ACS を実行している必要があります。複製に関連する ACS は、パッチ レベルも合わせておくことを強く推奨します。

複製に関連するすべての ACS では、[AAA Servers] テーブルを正しく設定する必要があります。

プライマリ ACS は、その [AAA Servers] テーブルの中に、セカンダリ ACS それぞれに対して、エントリを正確に設定しておく必要があります。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。


セカンダリ ACS は、その [AAA Servers] テーブルの中に、自分のプライマリ ACS それぞれに対して、エントリを正確に設定しておく必要があります。

プライマリ ACS とそのセカンダリ ACS すべてにおいて、プライマリ ACS 用の [AAA Servers] テーブル エントリは、同一の共有秘密情報を持っている必要があります。

適切に設定されている場合に限り、有効な ACS をセカンダリ ACS にできます。データベース複製用のセカンダリ ACS を設定する方法については、「セカンダリ ACS の設定」を参照してください。

複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけであり、スケジューリングされた複製の頻度には関係しません。スケジューリングされた複製、または手動で起動した複製が開始した場合、プライマリ ACS は、そのデータベースが前回の正常な複製以降に変更されていないときは、複製を自動的に打ち切ります。


ヒント 複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。


セカンダリ ACS への複製は、[ACS Database Replication] ページにある [Replication Partners] の下の [Replication] リストにある順番で順次実行されます。

複製コンポーネントを受信するセカンダリ ACS は、プライマリ ACS からデータベース複製を受け入れるように設定されている必要があります。データベース複製用のセカンダリ ACS を設定する方法については、「セカンダリ ACS の設定」を参照してください。

ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。

ユーザ アカウントを複製する場合は、すべてのコンポーネントについて([Network Access Profiles] を除く)プライマリおよびセカンダリ ACS 上の外部データベース設定に必ず同じ名前を付けてください。セカンダリ ACS に同じ名前のデータベース設定があるかどうかにかかわらず、複製されたユーザ アカウントには、認証サービスまたはポスチャ確認サービス用のデータベースとの関連が保持されます。たとえば、プライマリ ACS 上の WestCoast LDAP というデータベースと関連付けられているユーザ アカウントの場合、すべてのセカンダリ ACS 上の複製されたユーザ アカウントで WestCoast LDAP という外部ユーザ データベースとの関連が保持されます。これは、たとえその名前の LDAP データベース インスタンスを設定していない場合でも同じです。

すべてのコンポーネント([Network Access Profiles] を除く)のユーザ定義 RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を使用するユーザとグループの設定を複製するには、ユーザ定義 RADIUS ベンダーと VSA の定義をプライマリおよびセカンダリ ACS に手動で追加し、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットが各 ACS 上で一致していることを確認します。一致していれば、ユーザ定義 RADIUS ベンダーと VSA による設定は複製できます。ユーザ定義 RADIUS ベンダーと VSA の詳細については、「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」を参照してください。

データベース複製とバックアップの比較

データベース複製とシステム バックアップを混同しないようにしてください。データベース複製は、システム バックアップに 代わるものではありません 。どちらの機能も、サーバを部分的または全面的に失うことを防ぎますが、それぞれの機能は問題に対処する方法が異なっています。

システム バックアップでは、システムに障害が発生したりデータが破壊されたりした場合に、後で設定の復元に使用できる形式でデータがアーカイブされます。バックアップ データはローカルのハード ドライブ上に格納され、長期保管するためにシステムからコピーして削除できます。データベース バックアップ ファイルは数世代保存できます。

ACS データベース複製を利用すると、ACS 内部データベースのさまざまなコンポーネントを別の ACS にコピーできます。この方法によって、フェールオーバー AAA アーキテクチャを計画でき、設定タスクと保守タスクの複雑さを軽減できます。ごくまれに、破壊されたデータベースが ACS データベース複製によって、バックアップ ファイルを生成する ACS に伝搬することもあります。


注意 破壊されたデータベースが複製される可能性があるため、特にミッションクリティカルな環境では、バックアップ計画を立てておくことを強く推奨します。ACS 内部データベースのバックアップの詳細については、「ACS バックアップ」を参照してください。詳細については(ACS for Windows)、付録 C「CSUtil データベース ユーティリティ」を参照してください。

データベース複製のロギング

ACS は、成功したかどうかにはかかわらず、すべての複製イベントを次の 2 つのファイルに記録します。

Windows イベント ログ

データベース複製レポート

Windows イベント ログを表示するには、Windows の管理ユーティリティを使用します。ACS の [Reports and Activity] セクションで最新レポートを確認できます。

ACS レポートの詳細については、「概要」を参照してください。

複製オプション

ACS の Web インターフェイスには、ACS データベース複製の設定用に、3 つのオプションが用意されています。

ここでは、次の項目について説明します。

「複製コンポーネント オプション」

「[Outbound Replication] オプション」

「[Inbound Replication] オプション」

複製コンポーネント オプション

ACS がプライマリ ACS として送信する ACS 内部データベース コンポーネントと、セカンダリ ACS として受信するコンポーネントを指定できます。

セキュリティを強化するために、送信専用の ACS と受信専用の ACS を分けたほうが良い場合があります。この方法は、すべての ACS の設定が同じであることを確認するために使用できます。


セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内部データベース コンポーネントを上書きします。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。たとえば、ユーザおよびグループのデータベース用の [Receive] チェックボックスをオンにすると、新しく ACS 内部データベースが受信された時点で、既存のユーザまたはグループに関するすべてのレコードが失われます。


表 8-1 では、[ACS Database Replication] ページの [Replication Components] テーブルと、複製されるコンポーネント オプションについて説明します。

 

表 8-1 複製されるコンポーネントの詳細

コンポーネント
複製の対象

User and group database

グループとユーザ。[Group database only] オプションは使用できません。

Group database only

グループが複製されます。ユーザは複製されません。[User and group database] オプションは使用できません。

Network Configuration Device tables1

[Network Configuration] セクションの [AAA Servers] テーブル、[AAA Clients] テーブル、およびホスト設定または Network Device Group(NDG; ネットワーク デバイス グループ)、およびリモート エージェント設定の一部として Key Wrap キーを複製します。このオプションは、NDG を複製するかどうかも制御します。

Distribution table

[Network Configuration] セクションの [Proxy Distribution] テーブルが複製されます。

Interface configuration

[Interface Configuration] セクションから、[Advanced Options] の設定、RADIUS 設定、および TACACS+ 設定を複製します。

Interface security settings

ACS Web インターフェイスの管理者およびセキュリティ情報、パスワード ポリシー、パスワード履歴およびその履歴を設定するグローバル システム設定の一部などを複製します。

Password validation settings

パスワード検証設定を複製します。

EAP-FAST master keys and policies

EAP-FAST 用のアクティブおよび非アクティブのマスター キーとポリシーを複製します。

Network Access Profiles2

各種設定の組み合せです。ここには、ネットワーク アクセス プロファイル、ポスチャ確認の設定、AAA クライアントおよびホスト、外部ユーザのデータベース設定、グローバル認証設定、NDG、ユーザ定義 RADIUS ディクショナリ、共有プロファイル コンポーネント、ロギング設定、GAME グループ フィードバック設定、MAC Authentication Bypass(MAB; MAC 認証バイパス)のデータベース、PEAP 設定の EAP-TLS、EAP-TLS 設定、およびキー ラップの許可設定が含まれます。

Logging Reports(イネーブル/ディセーブル設定)

[System Configuration] セクションから、レポートの [Logging Configuration] のイネーブル/ディセーブル設定を複製します。

Remote Agent Configuration3

リモート エージェントの設定を複製します。このコンポーネントは、ACS Solution Engine においてのみ使用できます。

Logging Configuration

[System Configuration] セクションから、[Logging Configuration] の設定(ロギング アトリビュート、設定プロバイダーの設定など)を複製します。

1.カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。

2.[Network Access Profiles] テーブルの複製と [Network Configuration Device] テーブルの複製は矛盾するため、この 2 つのコンポーネントを同時に選択しないでください。NAP 設定は他のすべての設定より優先されます。動的にマッピングされたユーザは複製されません。静的に追加されたユーザだけが複製されます。

3.リモート エージェントの設定の複製は、[Network Configuration Device] テーブルまたは [Network Access Profiles] の複製と同時にのみ行えます。


) インターフェイス セキュリティ設定を複製する場合、アクティビティ制限、ロッキングおよび時間帯がマスター ACS で特定および評価され、複製されます。この複製によって予期しない動作が複製に発生することがあります。


セカンダリ ACS にデータベース全体をミラーリングすることで、機密データ、たとえば Proxy Distribution Table が送信されることがある場合は、特定カテゴリのデータベース情報だけを送信するようにプライマリ ACS を設定できます。

[Outbound Replication] オプション

[ACS Database Replication] ページの [Outbound Replication] テーブルでは、送信をスケジューリングし、このプライマリ ACS に対するセカンダリ ACS を指定できます。

 

表 8-2 [Outbound Replication] オプション

オプション
説明
Scheduling Options

 

Manually

ACS は自動データベース複製を実行しません。

Automatically Triggered Cascade4

ACS は、プライマリ ACS からのデータベース複製が完了すると、セカンダリ ACS の設定済みのリストにデータベース複製を実行します。このオプションによって、ACS の伝搬階層を構築し、プライマリ ACS から他のすべての ACS に複製コンポーネントを伝搬するという負荷を軽減できます。カスケード複製の図は、図 8-1 を参照してください。

Every X minutes

ACS は、設定された頻度で、設定済みのリストのセカンダリ ACS にデータベース複製を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

At specific times

ACS は、日/時グラフに指定されている時刻に、設定済みのリストのセカンダリ ACS にデータベース複製を実行します。最小間隔は 1 時間で、指定した時刻に複製が実行されます。

Partner Options

このプライマリ ACS のセカンダリ ACS を指定できます。このオプションは、プライマリ ACS の複製先にするセカンダリ ACS を管理するもので、[Outbound Replication] テーブルの [Partners] セクションに表示されます。

AAA Server

このプライマリ ACS が複製コンポーネントを 送信しない セカンダリ ACS のリストです。

Replication

このプライマリ ACS が複製コンポーネントを 送信する セカンダリ ACS のリストです。

Replication Timeout

このプライマリ ACS がセカンダリ ACS に複製を継続する分数を指定します。このタイムアウト値を超えると、ACS は複製先のセカンダリ ACS への複製を終了し、CSAuth サービスを再起動します。複製タイムアウト機能は、複製通信の停止が原因である AAA サービスの損失を防止するために役立ちます。複製通信は、プライマリおよびセカンダリ ACS 間のネットワーク接続が極端に低速な場合、またはどちらかの ACS で障害が発生した場合に停止することがあります。デフォルト値は 5 分です。

4.カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。

[AAA Server] リストと [Replication] リストに含まれている項目は、[Network Configuration] の [AAA Servers] テーブルに設定されている AAA サーバを反映しています。特定の ACS をセカンダリ ACS として利用できるようにするには、まず、その ACS をプライマリ ACS の [AAA Servers] テーブルに追加する必要があります。


ヒント 複製されるコンポーネントのサイズは、複製の所要時間に影響します。たとえば、80,000 個のユーザ プロファイルを含むデータベースの複製には、500 個のユーザ プロファイルを含むデータベースの複製よりも時間が長くかかります。実装に適したタイムアウト値を決定するには、正常な複製イベントをモニタリングする必要がある場合もあります。


ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。

3 つ以上のノードを複製する場合、マスターを使用してネットワーク デバイス上ですべての AAA サーバを設定する必要があり、さらにパートナーも設定する必要があります。たとえば、カスケード A-->B-->C がある場合、A では、AAA サーバ カラムで C を設定し、複製カラムで B を設定する必要があります。B では、AAA サーバ カラムで A を、複製カラムで C を設定する必要があります。また、C では、AAA サーバ カラムで B を設定する必要があります。このように設定しないと、カスケード複製は失敗します。

[Inbound Replication] オプション

セカンダリ ACS に対する複製元となるプライマリ ACS を指定できます。このオプションは、[ACS Database Replication] ページの [Inbound Replication] テーブルに表示されます。

[Accept replication from] リストは、現在の ACS に対する複製コンポーネントの送信元となる ACS を管理します。このリストには、次のオプションが含まれています。

[Any Known ACS Server]:このオプションが選択されている場合、ACS は、[Network Configuration] の [AAA Servers] テーブルに設定されているすべての ACS から複製コンポーネントを受け入れます。

[Other AAA servers]:このリストには、[Network Configuration] の [AAA Servers] テーブルに設定されている AAA サーバがすべて表示されています。特定の AAA サーバ名が選択された場合、ACS は、指定された ACS からの複製コンポーネントだけを受け入れるようになります。


) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


[Network Configuration] の [AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。

ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装

カスケード複製を使用する複製方式を実装する場合は、別の ACS から複製コンポーネントを受信したときに限り複製するように設定された ACS が、プライマリ ACS とセカンダリ ACS として動作します。最初はセカンダリ ACS として動作して複製コンポーネントを受信し、次にプライマリ ACS として動作して別の ACS にコンポーネントを複製します。カスケード複製の図は、図 8-1 を参照してください。

ACS のプライマリ複製セットアップとセカンダリ複製セットアップは、次の手順で実装します。


ステップ 1 各セカンダリ ACS で、次の手順を実行します。

a. [Network Configuration] セクションで、プライマリ ACS を [AAA Servers] テーブルに追加します。

[AAA Servers] テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. 複製コンポーネントを受信するようにセカンダリ ACS を設定します。手順については、「セカンダリ ACS の設定」を参照してください。

ステップ 2 プライマリ ACS で、次の手順を実行します。

a. [Network Configuration] セクションで、それぞれのセカンダリ ACS を [AAA Servers] テーブルに追加します。


) カスケード複製を使用してネットワーク設定のデバイス テーブルを複製する場合は、複製されたデータベース コンポーネントを受信するすべての ACS に対して、プライマリ ACS を設定する必要があります。この場合、複製をそのプライマリ ACS から直接受信するか、間接的に受信するかということは関係ありません。たとえば、プライマリ ACS が 2 つのセカンダリ ACS を複製し、さらにその 2 つがそれぞれ 2 つの ACS を複製する場合、プライマリ ACS は、複製されたデータベース コンポーネントを受信する 6 つの ACS すべてに対する AAA サーバ設定を持っている必要があります。


[AAA Servers] テーブルにエントリを追加する方法については、「AAA サーバの設定」を参照してください。

b. スケジュールに従って複製する方法、一定間隔で複製する方法、またはプライマリ ACS が別の ACS から複製コンポーネントを受信したときに複製する方法については、「複製のスケジューリング」を参照してください。

c. 複製をすぐに開始する方法については、「即時複製」を参照してください。


 

セカンダリ ACS の設定


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] を選択します。次に、[ACS Database Replication] チェックボックスをオンにします。[Distributed System Settings] チェックボックスがオフになっている場合はオンにします。


ACS データベース複製機能を利用するには、特定の ACS をセカンダリ ACS として動作するように設定しておく必要があります。セカンダリ ACS が受信するコンポーネントは明示的に指定する必要があり、同様にそのプライマリ ACS も明示的に指定する必要があります。

複製は、常にプライマリ ACS が開始します。複製コンポーネントの送信の詳細については、「即時複製」または「複製のスケジューリング」を参照してください。


注意 セカンダリ ACS が受信した ACS 内部データベース コンポーネントは、セカンダリ ACS の ACS 内部データベースコンポーネントを上書きします。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。

始める前に

セカンダリ ACS の [AAA Servers] テーブルが正しく設定されていることを確認します。このセカンダリ ACS の [AAA Servers] テーブルには、プライマリ ACS のそれぞれに対するエントリがなければなりません。さらに、各プライマリ ACS 用の [AAA Servers] テーブル エントリは、プライマリ ACS が自分の [AAA Servers] テーブル エントリに保持しているものと同じ共有秘密情報を保持している必要があります。[AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。

ACS をセカンダリ ACS に設定するには、次の手順を実行します。


ステップ 1 セカンダリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 3 [Database Replication] をクリックします。

[Database Replication Setup] ページが表示されます。

ステップ 4 [Replication Components] テーブルで、プライマリ ACS から受信する各データベース コンポーネントの [Receive] チェックボックスをオンにします。

複製コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 セカンダリ ACS に対する複製コンポーネントの送信元となる ACS が、[Replication] リストに含まれていないことを確認します。含まれている場合は、[Replication] リストでそのプライマリ ACS を選択し、[<--](左矢印)をクリックして [AAA Servers] リストに移動します。


) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、複製が打ち切られます。


ステップ 6 セカンダリ ACS が複製コンポーネントをプライマリ ACS の 1 つだけ から受信するようにするには、[Accept replication from] リストで、プライマリ ACS の名前を選択します。

[Accept replication from] リストで利用できるプライマリ ACS は、[Network Configuration] セクションの [AAA Servers] テーブルによって決まります。[AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。


) プライマリ ACS とそのすべてのセカンダリ ACS 上で、プライマリ ACS 用の [AAA Servers] テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 7 セカンダリ ACS が 複数の プライマリ ACS から複数の複製コンポーネントを受信する場合は、[Accept replication from] リストで [Any Known ACS Server] を選択します。

[Any Known ACS Server] オプションは、[Network Configuration] の [AAA Servers] テーブルのリストにある ACS に制限されます。


) このセカンダリ ACS の各プライマリ ACS に対して、プライマリ ACS とセカンダリの ACS 上で、プライマリ ACS 用の [AAA Servers] テーブル エントリは、同一の共有秘密情報を持っている必要があります。


ステップ 8 [Submit] をクリックします。

ACS は、複製設定を保存し、指定した頻度でまたは指定した時刻に、指定した相手の ACS から複製コンポーネントを受信し始めます。


 

即時複製

データベース複製は手動で開始できます。


) 複製は、少なくとも 1 台のセカンダリ ACS を設定するまでは実行できません。セカンダリ ACS の設定方法の詳細については、「セカンダリ ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順については、「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

この ACS が複製コンポーネントを送信する各セカンダリ ACS に対して、「セカンダリ ACS の設定」の手順を完了したことを確認してください。

データベースの複製をすぐに始めるには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 3 [Database Replication] をクリックします。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] を選択します。次に、[ACS Database Replication] チェックボックスをオンにします。[Distributed System Settings] チェックボックスがオフになっている場合はオンにします。


[Database Replication Setup] ページが表示されます。

ステップ 4 セカンダリ ACS に複製する ACS 内部データベース コンポーネントそれぞれに対して、[Replication Components] の下で、対応する [Send] チェックボックスをオンにします。

ステップ 5 プライマリ ACS が選択した自分のコンポーネントを複製するセカンダリ ACS それぞれに対して、[AAA Servers] リストでセカンダリ ACS を選択してから、[-->](右矢印ボタン)をクリックします。


ヒント セカンダリ ACS を [Replication] リストから削除するには、セカンダリ ACS を [Replication] リストで選択してから [<--](左矢印ボタン)をクリックします。



) ACS では、双方向データベース複製はサポートされていません。複製コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。


ステップ 6 [Replication timeout] テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再起動されます。

ステップ 7 ブラウザ ウィンドウの下部で [Replicate Now] をクリックします。

ACS が複製設定を保存します。ACS は、複製されたデータベース コンポーネントを、指定されたセカンダリ ACS にすぐに送信し始めます。


) 複製が実行されるのは、プライマリ ACS のデータベースが前回の正常な複製以降に変更されている場合だけです。複製を強制的に実行するには、ユーザ プロファイルまたはグループ プロファイルに、パスワードや RADIUS アトリビュートの変更など、変更を 1 つ加えます。



 

複製のスケジューリング

プライマリ ACS が自分の複製データベース コンポーネントをセカンダリ ACS に送信するタイミングをスケジューリングできます。複製スケジューリング オプションの詳細については、「[Outbound Replication] オプション」を参照してください。


) 複製は、セカンダリ ACS が正しく設定されていないと実行されません。詳細については、「セカンダリ ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ ACS が正しく設定されていることを確認します。詳細な手順については、「ACS のプライマリ複製セットアップとセカンダリ複製セットアップの実装」を参照してください。

このプライマリ ACS の各セカンダリ ACS に対して、「セカンダリ ACS の設定」の手順を完了します。

プライマリ ACS がそのセカンダリ ACS に複製するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 3 [ACS Database Replication] をクリックします。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] を選択します。次に、[ACS Database Replication] チェックボックスをオンにします。[Distributed System Settings] チェックボックスがオフになっている場合はオンにします。


[Database Replication Setup] ページが表示されます。

ステップ 4 プライマリ ACS がそのセカンダリ ACS に送信する ACS 内部データベース コンポーネントを指定するには、[Replication Components] の下で、送信するデータベース コンポーネントそれぞれに対応する [Send] チェックボックスをオンにします。

複製データベース コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 プライマリ ACS がそのセカンダリ ACS に複製データベース コンポーネントを一定間隔で送信するようにするには、[Replication Scheduling] で [Every X minutes] オプションを選択し、ACS が複製を実行する間隔を [X] ボックスに入力します(最大 7 文字)。


) ACS は複製中に一時的にシャットダウンされるため、複製間隔を短くすると、AAA クライアントが他の ACS に頻繁にフェールオーバーすることになります。AAA クライアントが別の ACS にフェールオーバーするように正しく設定されていない場合は、認証サービスが短時間中断して、ユーザが認証できなくなることがあります。詳細については、「複製の頻度」を参照してください。


ステップ 6 プライマリ ACS が複製データベース コンポーネントをセカンダリ ACS に送信する時刻をスケジューリングするには、次の手順を実行します。

a. [Outbound Replication] テーブルで、[At specific times] オプションを選択します。

b. 日/時グラフで、ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。[Clear All] をクリックして時間全体を解除したり、[Set All] をクリックして時間全体を選択することもできます。


ステップ 7 この ACS が、他の ACS から複製データベース コンポーネントを受信したとき、すぐに複製データベース コンポーネントを送信するようにする場合は、[Automatically triggered cascade] オプションを選択します。


) [Automatically triggered cascade] オプションを指定する場合は、他の ACS を、この ACS のプライマリ ACS として動作するように設定する必要があります。その設定をしないと、この ACS はセカンダリ ACS に複製しません。


ステップ 8 この ACS の複製先となるセカンダリ ACS を指定します。そのためには、次の手順を実行します。


) ACS では、双方向データベース複製はサポートされていません。複製データベース コンポーネントを受信するセカンダリ ACS は、自分の [Replication] リストに、プライマリ ACS が載っていないことを確認します。載っていない場合、セカンダリ ACS は複製データベース コンポーネントを受け入れます。載っている場合は、コンポーネントを拒否します。複製パートナーの詳細については、「[Inbound Replication] オプション」を参照してください。


a. [Outbound Replication] テーブルで、プライマリ ACS が選択された複製データベース コンポーネントを送信するセカンダリ ACS の名前を [AAA Servers] リストで選択します。


) [AAA Servers] リストで利用できるセカンダリ ACS は、[Network Configuration] の [AAA Servers] テーブルで決定されます。[AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. [-->](右矢印ボタン)をクリックします。

選択したセカンダリ ACS が [Replication] リストに移動します。

c. プライマリ ACS が選択された複製データベース コンポーネントを送信するセカンダリ ACS それぞれに対して、ステップ a とステップ b を繰り返します。

ステップ 9 [Replication timeout] テキスト ボックスで、この ACS が各セカンダリ ACS に対して複製を実行する時間の長さを指定します。この時間が経過すると、複製は試行されなくなり、CSAuth サービスが再起動されます。

ステップ 10 [Submit] をクリックします。

ACS は、作成された複製設定を保存します。


 

ACS データベース複製のディセーブル化

スケジューリング済み ACS データベース複製は、スケジュール自体を残したままディセーブルにできます。この操作を実行すると、スケジューリング済み複製を一時的に中止し、後でスケジュール情報を再入力しなくてもスケジューリング済み複製を再開できます。

ACS データベース複製をディセーブルにするには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 3 [Database Replication] をクリックします。

[Database Replication Setup] ページが表示されます。

ステップ 4 [Replication Components] テーブルですべてのチェックボックスをオフにします。

ステップ 5 [Outbound Replication] テーブルで、[Manually] オプションを選択します。

ステップ 6 [Submit] をクリックします。

ACS がこの ACS サーバの複製を禁止します。


 

自動パスワード変更複製の設定

自動パスワード変更複製および他のローカル パスワード管理オプションを設定するには、次の手順を実行します。


ステップ 1 プライマリ ACS の Web インターフェイスにログインします。

ステップ 2 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 3 [Local Password Management] をクリックします。

ステップ 4 次のように、設定するオプションを選択します。

フィールド
説明

Password Validation Options

文字の長さ。

ユーザ名を含むことはできない。

直前の値とは異なる値を指定。

英数字。

Remote Change Password

この ACS の Telnet パスワードをディセーブルにし、希望するメッセージをユーザの Telnet セッションに戻す。

リモートでパスワードが変更されると、選択されている複製パートナーにただちに通知される。

ステップ 5 [Submit] をクリックします。


 

データベース複製イベントのエラー

データベース複製レポートには、複製中に発生したエラーを示すメッセージが含まれています。データベース複製レポートの詳細については、「ACS 監査ログ」を参照してください。


ヒント 複製レポートにはエラーに関する簡単な説明が書き込まれます。ただし、より詳細なエラーが CSAuth サービス ログの auth.log に書き込まれることもあります。


RDBMS 同期化

この項では、RDBMS 同期化機能について、ACS および関連する外部データ ソースで、この機能を実装する方法を中心に説明します。

ここでは、次の項目について説明します。

「RDBMS 同期化について」

「RDBMS 同期化の呼び出し」

「RDBMS 同期化機能」

「RDBMS 同期化のコンポーネント」

「[accountActions] テーブルを使用する ACS データベースの復旧」

「レポートとイベント(エラー)の処理」

「RDBMS 同期化の使用準備」

「RDBMS 同期化のシステム DSN の設定(ACS for Windows)」

「RDBMS 同期化のオプション」

「RDBMS 同期化の実行」

「RDBMS 同期化のスケジューリング」

「スケジューリング済み RDBMS 同期化のディセーブル化」

「RDBMS 同期化障害コード」

RDBMS 同期化について

RDBMS 同期化を API と見なすことができます。つまり、ユーザ、グループ、デバイス用に ACS の Web インターフェイスを使用して設定できるものの多くは、代わりにこの機能を使用して保守できます。RDBMS 同期化では、アクセスできるすべてのデータ項目に対して作成、追加、修正、削除が可能です。

同期化を定期的なスケジュールで実行するように設定できます。手動で同期化を実行することや、オン デマンドで ACS 内部データベースをアップデートすることもできます。RDBMS 同期化の設定の詳細については、『 Configuration Guide for Cisco Secure ACS 4.2 』を参照してください。

1 台の ACS が実行する同期化によって、他の ACS の内部データベースをアップデートできるため、RDBMS 同期化を設定する必要があるのは 1 台の ACS だけです。ACS は、TCP ポート 2000 で同期化データを傍受します。ACS 間の RDBMS 同期化通信は、独自の 128 ビット暗号化アルゴリズムを使用して暗号化されています。

RDBMS 同期化は、ACS データベース オブジェクトを効率的に操作するために使用できます。RDBMS 同期化は、CSV アカウント アクション ファイルを使用して呼び出すことができます。


) ACS は、C:¥Program_Files¥CiscoSecureACSv4.2.1¥CSDBSync¥Databases¥CSV¥accountactions.csv にある accountactions.csv ファイルは使用できません。


プロセスは、ACS Windows プラットフォームと ACS SE プラットフォームでは異なります。ACS SE では、コマンドライン インターフェイスと同様のユーティリティを使用して、RDBMS 同期化を呼び出す必要があります。RDBMS 同期化は、SSH サーバの実装および csdbsync -syncnow コマンドを使用して呼び出すことができます。FTP サーバ上の CSV ファイルの場所を指定すると、ACS SE が Data Source Name(DSN; データ ソース名)を作成して、RDBMS 同期化を実行します。ACS Windows バージョンには 2 つのオプションがあります。[Use Local CSV] オプションをイネーブルにすると、DSN が自動的に作成されて同期化が行われます。それ以外の場合は、DSN を手動で作成して RDBMS 同期化を行う必要があります。ACS for Windows は、RDBMS 同期化を設定するときに指定するローカルの CSV ファイルを使用します。

csdbsync コマンドは、Windows のコマンドラインから実行することもできます。これは、SE の SSH リモート シェルでこのコマンドを実行するのと同様です。テキスト ファイルをコーディングして、CSV ファイルの CREATE_DACL(アカウント アクション コード 385)エントリへの入力として使用する dACL を指定できます。

RDBMS 同期化には、ダウンロード可能な ACL の設定、ユーザへの dACL の割り当て、および AAA クライアント設定の管理を行うためのサポート メカニズムがあります。アカウント アクション コード、380、381、および 382 を使用して、ユーザのダウンロード可能な ACL を作成、アップデート、および削除(個々のコードに対応)することができます。

RDBMS 同期化を介して、単一または複数の AAA クライアントを作成、読み取り、アップデート、および削除することもできます。アカウント コード 224 または 255 を使用して、AAA クライアントをアップデートまたは読み取る(個々のコードに対応)ことができます。AAA クライアントの読み取り機能を使用して、特定の NDG の AAA クライアント リスト、指定した IP 範囲内の AAA クライアント リスト、またはすべての AAA クライアントのリストをエクスポートできます。

ACS for Windows

RDBMS 同期化機能を使用して、ACS 内部データベースを ODBC に準拠したデータ ソースの情報でアップデートできます。ODBC に準拠したデータ ソースは、サードパーティ製アプリケーションの RDBMS のデータベースとして使用できます。また、サードパーティ システムがアップデートする中間ファイルまたはデータベースとしても使用できます。ファイルまたはデータベースの常駐場所にかかわらず、ACS は、ODBC 接続を使用してファイルまたはデータベースを読み取ります。

RDBMS 同期化機能では、ACS 内部データベースをローカル CSV ファイルの情報でアップデートできます。

ACS SE

RDBMS 同期化機能では、ACS 内部データベースを FTP サーバ上のテキスト ファイルの情報でアップデートできます。

accountActions.csv ファイルが ACS にアップロードされ、RDBMS 同期化処理のアクション コードを読み取るために使用されます。サードパーティのアプリケーションでもテキスト ファイルを生成できます。ACS は、FTP サーバからファイルを取得し、ファイルを読み取り、ファイルに指定されている設定アクションを実行します。

アクションは、accountActions という名前のリレーショナル データベース テーブル(ACS for Windows のみ)またはテキスト ファイルで指定します。[accountActions] テーブルの詳細については、「[accountActions] テーブルについて(ACS for Windows)」を参照してください。accountActions ファイルの詳細については、「accountActions ファイルについて(ACS SE)」を参照してください。RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

RDBMS 同期化の呼び出し

RDBMS 同期化を呼び出すには、次の手順を実行します。


net stop csdbsync および net start csdbsync コマンドを入力してから、csdbsync -syncnow または cydbsync -run コマンドを実行します。


accountActions.CSV ファイルを使用して、 csdbsync -syncnow コマンドを実行します。この方法は、ACS の Windows バージョンおよび SE バージョンに適用できます。

ACS SE の RDBMS の設定

SE の RDBMS 同期化を設定するには、次の手順を実行します。


ステップ 1 SSH クライアント経由で ACS SE に接続して、 csdbsync -syncnow コマンドを呼び出します。

SSH サービスでサポートされており、ACS SE に追加されているスクリプト可能なインターフェイスを使用します。

ステップ 2 SSH クライアントと SSH サーバ間の接続性を確認します。

ステップ 3 FTP サーバの accountActions.csv ファイルの場所を検索します。

ACS SE では、RDBMS 同期化を呼び出すために accountActions.csv ファイルが必要です。

ステップ 4 ACS SE と FTP サーバ間の接続性を確認し、FTP サーバのディレクトリに対する書き込み権限があることを確認します。

ACS が FTP サーバから CSV ファイルを取得して、自動的に DSN を作成します。アップロードした CSV ファイルは有効な形式で作成されていて、CSV ファイル内の値は RDBMS 同期化に対して有効である必要があります。

ステップ 5 csdbsync -syncnow コマンドを実行して、RDBMS 同期化を呼び出します。

このコマンドは CSDBSync コマンドと同じ動作をし、RDBMS 同期化コマンドを停止または開始することはありません。

ACS SE はデータベースから CSV ファイルを取得し、ファイルのアクション コードを読み取り、ファイルに指定されている RDBMS 同期化処理を実行します。RDBMS 同期化を実行する手順の詳細については、「RDBMS 同期化の実行」を参照してください。

ACS for Windows の RDBMS 同期化の設定

ACS for Windows の RDBMS 同期化を設定するには、次の手順を実行します。


net stop csdbsync および net start csdbsync コマンドを入力してから、csdbsync -syncnow または cydbsync -run コマンドを実行します。



ステップ 1 Windows で、コマンドライン インターフェイスを使用して csdbsync -run コマンドまたは csdbsync -syncnow コマンドを呼び出します([Synchronize Now] オプションを使用しない場合)。


) この RDBMS 同期化の呼び出しでは DNS を手動で作成する必要があるため、ACS SE の場合とは若干異なります。


ステップ 2 次の 2 つの方法のいずれかを使用して DSN を作成し、RDBMS 同期化を実行します。

a. GUI で [Use Local CSV File] オプションをイネーブルにできます。これで、ACS がローカルの CSV ファイル名と場所を受け入れられるようになります。


) ローカル CSV ファイルは、C:¥ProgramFiles¥CiscoSecureACSv4.2.1¥CSDBSync¥Databases¥CSV¥accountactions.csv 以外の名前にしてください。


b. DSN を手動で作成します。

ACS は、Microsoft Text Driver を使用して、ローカル CSV ファイルを処理する Cisco Secure DBSync という名前のデフォルトの DSN を作成します。ACS は、指定した場所にある CSV ファイルの内容を抽出してファイルを処理し、ファイルの名前を .done 拡張子付きの名前に変更します。


) デフォルトの DSN、CiscoSecure DBSync が存在する必要があります。


ステップ 3 Synchronize Now オプションをオンにした場合、ACS がデータベースから CSV ファイルを取得します。

ACS は CSV ファイルのアクション コードを読み取り、ファイルで指定されている RDBMS 同期化処理を実行します。

RDBMS 同期化を実行する手順の詳細については、「RDBMS 同期化の実行」 を参照してください。

RDBMS 同期化機能

この項では、RDBMS 同期化によって自動化できるさまざまな設定のタイプの概要を説明します。

「RDBMS 同期化のユーザ関連のアクション」

「RDBMS 同期化のユーザ グループ関連のアクション」

「AAA クライアントのアクションの作成、読み取り、アップデート、および削除」

RDBMS 同期化のユーザ関連のアクション

RDBMS 同期化が実行できるユーザ関連の設定アクションには、次のものがあります。

ユーザの追加

ユーザの削除

パスワードの設定

ユーザのグループ メンバーシップの設定

Max Sessions パラメータの設定

ネットワーク使用割り当て量パラメータの設定

コマンド認可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

IP アドレスの割り当て

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能インポートの定義」を参照してください。


RDBMS 同期化のユーザ グループ関連のアクション

RDBMS 同期化が実行できるグループ関連の設定アクションには、次のものがあります。

Max Sessions パラメータの設定

ネットワーク使用割り当て量パラメータの設定

コマンド認可の設定

ネットワーク アクセス制限の設定

時間帯と曜日に関するアクセス制限の設定

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能インポートの定義」を参照してください。


ユーザおよびユーザ グループの dACL の作成、アップデート、および削除

この項では、ユーザおよびユーザ グループに対して実行できるさまざまな RDBMS 同期化タスクについて説明します。

これらのタスクを実行するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [RDBMS Synchronization] をクリックします。

[RDBMS Synchronization Setup] ページが表示されます。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] をクリックしてから [RDBMS Synchronization] をオンにします。


ステップ 3 [User-Level Downloadable ACLs] オプションをクリックして、アクション コードの機能をイネーブルにします。

ステップ 4 [Group-Level Downloadable ACLs] オプションをクリックして、dACL を割り当てる必要があるグループ名を指定します。

ステップ 5 csdbsync -syncnow コマンドを実行するか、[Synchronize Now] オプションをクリックして、RDBMS 同期化を呼び出します。


) RDBMS 同期化を呼び出す前に、CSV ファイルまたは ODBC データベースにアカウント アクション コードを指定する必要があります。


ACS が CSV ファイルで指定されたアクション コードを処理して、RDBMS 同期化を実行します。詳細は「dACL アトリビュートのアクション コード」を参照してください。

次は新しいアクション コードの説明です。

アクション コード 380:ユーザの dACL を作成

このアクション コードを使用すると、IP ACL を割り当てたり、指定したユーザまたはグループに特定の dACL を割り当てたりすることができます。指定する dACL 名は、有効な名前であり、ACS に存在している必要があります。

アクション コード 381:ユーザの dACL をアップデート

このアクション コードは、指定したユーザまたはグループの dACL をアップデートします。指定する dACL 名は、有効な名前であり、ACS に存在している必要があります。

アクション コード 382:ユーザの dACL を削除

このアクション コードは、指定したユーザまたはグループへの IP ACL の割り当てを解除します。

ネットワーク設定

RDBMS 同期化が実行できるネットワーク デバイス関連の設定アクションには、次のものがあります。

AAA クライアントの追加

AAA クライアントの削除

AAA クライアントの詳細設定

AAA サーバの追加

AAA サーバの削除

AAA サーバの詳細設定

Proxy Distribution Table エントリの追加と設定


) RDBMS 同期化が実行できるすべてのアクションの詳細については、付録 E「RDBMS 同期化機能インポートの定義」を参照してください。


AAA クライアントのアクションの作成、読み取り、アップデート、および削除

RDBMS 同期化機能は、単一または複数の AAA クライアントの作成および削除をサポートしています。また、アカウント アクション コード 224 および 225 を使用すると、AAA クライアント情報を読み取りおよびアップデートできます。この項では、単一または複数の AAA クライアントに実行できる、さまざまな RDBMS 同期化タスクについて説明します。

表 8-3 は、単一または複数の AAA クライアントの読み取りおよびアップデートに使用するアカウント アクション コードの一覧です。

 

表 8-3 AAA クライアントを作成、読み取り、アップデート、削除するためのアカウント アクション コード

アクション コード
名前
必須
説明

224

UPDATE_NAS

VN、V1、V2、V3

このアクション コードを使用して、AAA クライアントをアップデートします。

VN = AAA クライアント名

V1 = IP アドレス

V2 = 共有秘密鍵

V3 = ベンダー

225

READ_NAS

VN、V1

(オプション)

このアクション コードを使用して、AAA クライアント リストを出力ファイルにエクスポートします。出力ファイルは、特定の NDG のメンバー、またはすべての AAA クライアントとリストを関連付けるために使用できます。この出力ファイルは、NAS をインポートするための CSUtil の入力値として使用できます。

VN = < output_file_name >

output_file_name には、ACS SE で使用される FTP サーバのファイル名を指定します。何も指定しない場合、デフォルトの名前 DumpNAS.txt が使用されます。

ACS for Windows プラットフォームの場合は、ファイルの絶対パス( C:¥MyNAS¥dump.txt など)を指定できます。何も値を指定しない場合、AAA クライアント リストが ¥ACS¥bin¥DumpNAS.txt ファイルに書き込まれます。

V1 = NDG 名(オプション)

V1 には、有効な NDG 名を使用する必要があります。

アクション コード 224:AAA クライアントの dACL をアップデート

このアクション コードを使用して、AAA クライアントをアップデートします。

アクション コード 225:AAA クライアントの dACL の読み取り

このアクション コードを使用して、特定の NDG またはすべての AAA クライアントの AAA クライアント リストをエクスポートします。エクスポートしたファイルは、 CSUtil を介して NAS をインポートするための入力値として使用できます。


) エクスポート メカニズムを使用するには、FTP ディレクトリへの書き込み権限が必要です。


dACL アトリビュートの作成、読み取り、アップデート、および削除

この項では、dACL アトリビュートに対して実行できるさまざまな RDBMS 同期化タスクについて説明します。

これらのタスクを実行するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [Interface Configuration] をクリックします。

ステップ 2 [Advanced Options] をクリックします。

[Advanced Options] ページが開きます。

ステップ 3 [User-Level Downloadable ACLs] オプションをクリックして、アクション コードの機能をイネーブルにします。

ステップ 4 [Group-Level Downloadable ACLs] オプションをクリックして、dACL を割り当てるグループ名を指定します。

ステップ 5 csdbsync -syncnow コマンドを呼び出して、RDBMS 同期化を実行します。


) 作成機能とアップデート機能の場合、[dACL name]、[description]、[dACL content name]、および [definition] の各フィールドを指定する必要があります。オプションで、dACL コンテンツを適用する Network Access Filter(NAF; ネットワーク アクセス フィルタ)名を指定することもできます。デフォルトでは、この dACL コンテンツはすべての AAA クライアントに適用されます。


ステップ 6 RDBMS 同期化で実行する処理は、アカウント アクション コードを指定することで指定できます。


) 新しいアカウント アクション コードは RDBMS 同期化に追加する必要があります。


表 8-4 は、ユーザの dACL を作成、読み取り、アップデート、および削除するために使用できるアカウント アクション コードの一覧です。

 

表 8-4 dACL の作成、読み取り、アップデート、または削除を行うためのアカウント アクション コード

アクション コード
名前
必須
説明

385

CREATE_DACL

VN

VN = < input_file_name >

input_file_name には、dACL の定義が含まれます。

ACS SE の FTP サーバに存在するファイル名を指定します。

ACS for Windows の絶対パス( C:¥DACL¥dump.txt など)を指定します。

dACL の定義は、すでに存在する場合は無視されます。

dACL 定義は、無効な定義、コンテンツ名、コンテンツの定義、または NAF 名が含まれていると無視されます。

386

READ_DACL

VN、V1

(オプション)

このアクション コードを使用して、dACL アトリビュートを読み取り、後で使用するためにファイルに保存します。

VN = dACL 名または *(すべての dACL)

V1 = < output_file_name >

output_file_name には、エクスポートした dACL の定義が含まれます。

ACS SE では、 output_file_name で ACS SE の FTP サーバにあるファイルを指定します。指定しない場合、デフォルトのファイル名、 DumpDACL.txt が使用されます。

ACS for Windows では、ACS for Windows のファイルの絶対パスを指定できます( C:¥temp¥DACL.txt など)。ファイル パスおよびファイル名を指定しない場合、ACS は ACS¥bin ディレクトリにあるファイルにデータを書き込みます。

387

UPDATE_DACL

VN、V1

(オプション)

このアクション コードを使用して、dACL アトリビュートをアップデートします。

VN = < input_file_name >

input_file_name には、アップデートされる dACL の定義を含むファイルを指定します。

ACS SE プラットフォームでは、 input_file_name で、ACS SE の FTP サーバに存在するファイル名を指定します。

ACS for Windows のファイルの絶対パス( C:¥DACL¥dump.txt など)を指定できます。

V1=DACL_REPLACE または DACL_APPEND

デフォルトのオプションは次のとおりです。

DACL_REPLACE

DACL_REPLACE オプションでは、既存の dACL を新しい dACL に置き換えます。

DACL_APPEND は、新しい dACL コンテンツとその定義を既存の dACL に付加します。

dACL が定義されていない場合は、新しい dACL が既存のリストに追加されます。

dACL 定義は、無効な定義、コンテンツ名、コンテンツの定義、または NAF 名が含まれていると無視されます。

388

DELETE_DACL

VN

このアクション コードを使用して、dACL を削除します。

VN = 削除する dACL の名前です。すべての dACL を削除するには、アスタリスク(*)を使用します。

デフォルトでは、すべての dACL が削除されます。

この dACL に関連付けられているユーザおよびグループは、dACL の削除後は参照が削除されます。

アクション コード 385:dACL アトリビュートの作成

このアクション コードを使用して、dACL アトリビュートを作成します。

アクション コード 386:dACL アトリビュートの読み取り

このアクション コードを使用して、dACL アトリビュートを読み取ります。

アクション コード 387:dACL のアトリビュートをアップデート

このアクション コードを使用して、dACL アトリビュートをアップデートします。

アクション コード 388:dACL のアトリビュートを削除

このアクション コードを使用して、dACL アトリビュートを削除します。

カスタム RADIUS ベンダーと VSA

RDBMS 同期化を使用して、カスタム RADIUS ベンダーと VSA を設定します。事前定義済みの RADIUS ベンダーとベンダー固有アトリビュート(VSA)のセットに加えて、ACS はユーザが定義する RADIUS ベンダーと VSA もサポートします。ユーザが追加するベンダーは IETF に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートにする必要があります。

カスタム RADIUS ベンダーは 10 個まで定義できます。ACS では、どのベンダーについてもインスタンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含めて、プライマリおよびセカンダリの ACS 上において同一である必要があります。データベース複製の詳細については、「ACS 内部データベースの複製」を参照してください。


RDBMS 同期化が実行できるすべてのアクションの詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

RDBMS 同期化のコンポーネント

RDBMS 同期化機能は、次のコンポーネントで構成されています。

CSDBSync専用の Windows サービス。ACS 用にユーザとグループ アカウントの自動管理サービスを実行します。

(ACS for Windows)accountActions Table :データ オブジェクト。 CSDBSync が、ACS 内部データベースのアップデートに使用する情報を保持しています。

(ACS SE)accountActions File :ファイル。 CSDBSync が、ACS 内部データベースのアップデートに使用する情報を保持しています。

ここでは、RDBMS 同期化コンポーネントについて説明します。

「CSDBSync について」

「[accountActions] テーブルについて(ACS for Windows)」

「accountActions ファイルについて(ACS SE)」

CSDBSync について

この項では、CSDBSync サービスについて説明します。

ACS for Windows

CSDBSync サービスは、Microsoft Text Driver を accountactions.csv ファイルを検索するデフォルトのシステム DSN として使用します。図 8-2 を参照してください。このサービスは、 accountActions.csv ファイルに限定して検索します。 CSDBSync accountActions.csv ファイルにアクセスできない場合、同期化イベントは失敗します。

図 8-2 RDBMS 同期化

 

CSDBSync は、[accountActions] テーブルから各レコードを読み取り、レコード内のアクション コードの指定に従い ACS 内部データベースをアップデートします。たとえば、レコードの指示によって、 CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環境では、シニア同期化パートナーである 1 台の ACS が [accountActions] テーブルにアクセスし、その同期化パートナーに同期化コマンドを送信します。図 8-2 では、Access Control Server 1 がシニア同期化パートナーで、その他の 2 つの ACS がその同期化パートナーです。

CSDBSync は、[accountActions] テーブルで読み取りと書き込み(レコードの削除)を行います。 CSDBSync は、それぞれのレコードを処理した後で、テーブルからそのレコードを削除します。この処理を行うために、使用するシステム DSN を設定するデータベース ユーザ アカウントには、読み取り特権と書き込み特権が必要です。

ACS SE

CSDBSync サービスは、accountActions ファイルを読み取ります。accountActions のデフォルトの名前は accountActions.csv ですが、ファイルに任意の名前を付けることができます。CSDBSync が accountActions ファイルにアクセスできない場合、同期化イベントは失敗します。

CSDBSync は、accountActions ファイルから各レコードを読み取り、レコード内のアクション コードに指定されているように ACS 内部データベースをアップデートします。たとえば、レコードの指示によって、CSDBSync は、ユーザを追加したりユーザ パスワードを変更したりします。分散環境では、シニア同期化パートナーである 1 台の ACS が [accountActions] テーブルにアクセスし、その同期化パートナーに同期化コマンドを送信します。


) シニア同期化パートナーには、その同期化パートナーである各 ACS 用の AAA 設定が必要です。同様に、各同期化パートナーには、シニア パートナー用の AAA サーバ設定が必要です。シニア パートナーからの同期化コマンドは、同期化コマンドを受信する ACS にシニア パートナー用の AAA サーバ設定がない場合は無視されます。


ACS が使用する CSDBSync またはその他の Windows サービスの詳細については、 付録 F「Windows サービス」 を参照してください。

[accountActions] テーブルについて(ACS for Windows)

[accountActions] テーブルには、 CSDBSync が ACS 内部データベースで実行するアクションを定義した行のセットが入っています。[accountActions] テーブルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。さらに、アクション フィールドが 1 つとその他のフィールドがいくつか含まれています。このフィールドは、ACS 内部データベースのアップデートに必要となる情報を CSDBSync に提供します。[accountActions] テーブルの形式と利用可能なアクションの詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

[accountActions] テーブルを含むデータベースは、マルチユーザ ODBC ドライバをサポートする必要があります。このドライバは、ACS とサードパーティ システムが、[accountActions] テーブルに同時にアクセスを試みた場合に発生する問題を避けるために必要になります。

ACS には、よく使用される複数の形式で [accountActions] テーブルを作成できるようにするファイルが含まれています。このファイルは、ACS をデフォルトでインストールした場合、ACS の次の場所にあります。

C:¥Program Files¥CiscoSecure ACS vx.x¥CSDBSync¥Databases

Databases ディレクトリには、次のサブディレクトリがあります。

Access CiscoSecure Transactions.mdb というファイルが格納されています。

CiscoSecure Transactions.mdb データベースには、事前に定義された [accountActions] テーブルが含まれています。


CiscoSecure Transactions.mdb データベースのユーザ名とパスワードは、デフォルトでヌルに設定されています。このデータベースを使用して実行される RDBMS 同期化のセキュリティを確保するため、CiscoSecure Transactions.mdb データベースと ACS の両方でユーザ名とパスワードを変更してください。CiscoSecure Transactions.mdb データベースにアクセスする他のプロセスもすべて、新しいユーザ名とパスワードを使用するように変更します。


CSV accountactions schema.ini というファイルが格納されています。

accountactions ファイルは、CSV ファイル内の [accountActions] テーブルです。 schema.ini ファイルは、accountactions ファイルへのアクセスに必要な情報を Microsoft ODBC テキスト ファイル ドライバに提供します。

Oracle 7 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、[accountActions] テーブルの生成に必要な Oracle 7 SQL プロシージャが含まれています。 testData.sql ファイルには、 CSDBSync が処理できるサンプル トランザクションで [accountActions] テーブルをアップデートするための Oracle 7 SQL プロシージャが含まれています。

Oracle 8 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、[accountActions] テーブルの生成に必要な Oracle 8 SQL プロシージャが含まれています。 testData.sql ファイルには、 CSDBSync が処理できるサンプル トランザクションで [accountActions] テーブルをアップデートするための Oracle 8 SQL プロシージャが含まれています。

SQL Server 6.5 accountActions.sql testData.sql というファイルが格納されています。

accountActions.sql ファイルには、[accountActions] テーブルの生成に必要な Microsoft SQL Server 6.5 SQL プロシージャが含まれています。 testData.sql ファイルには、 CSDBSync が処理できるサンプル トランザクションで [accountActions] テーブルをアップデートするための Microsoft SQL Server 6.5 SQL プロシージャが含まれています。

accountActions ファイルについて(ACS SE)

accountActions ファイルには、 CSDBSync が ACS 内部データベースで実行するアクションを定義した行のセットが入っています。accountActions ファイルの各行には、ユーザ、ユーザ グループ、AAA クライアントの情報が収められています。最初の行(フィールド ヘッダーで使用されるため、同期化中に無視される)を除いて、各行にもアクション フィールドと他の複数のフィールドが入っています。これらのフィールドは、ACS 内部データベースのアップデートに必要となる情報を CSDBSync に提供します。

accountActions ファイルの形式と利用可能なアクション全体の詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

[accountActions] テーブルを使用する ACS データベースの復旧

RDBMS 同期化機能では、実際に、次のようなトランザクション キューを作成します。

(ACS for Windows)RDBMS 同期化機能では、[accountActions] テーブルの各レコードが処理後に削除されるため、[accountActions] テーブルはトランザクション キューと見なすことができます。

(ACS SE)RDBMS 同期化が処理する順番で accountActions ファイルのすべてのインスタンスを組み合せることで、実際にトランザクション キューを作成します。

RDBMS 同期化機能では、トランザクション ログ、監査証跡は保持されません。ログが必要な場合は、[accountActions] テーブルにレコードを追加する外部システムでログを作成する必要があります。外部システムで [accountActions] テーブルに完全なトランザクション履歴を再作成できない場合は、復旧用にトランザクション ログ ファイルを作成することを推奨します。

そのためには、次の手順を実行します。

ACS for Windows

安全な場所に保存され、定期的にバックアップされるセカンド テーブルを作成します。このセカンド テーブルに、[accountActions] テーブルのレコードの追加とアップデートをすべてミラーリングしてください。

ACS SE

安全な場所に保存され、定期的にバックアップされるトランザクション ログ ファイルを作成します。このセカンド ファイルに、accountActions ファイルのレコードの追加とアップデートをすべてミラーリングしてください。トランザクション ログ ファイルは、RDBMS 同期化で処理される accountActions ファイルの多数のインスタンスに記録されているすべてのアクションの連続になります。

データベースの規模が大きい場合は、すべてのトランザクション ログを再生して ACS 内部データベースをサードパーティ システムに同期させる方法は現実的ではありません。その代わりに、ACS 内部データベースを定期的にバックアップし、最新バックアップの時刻からのトランザクション ログを再生して、ACS 内部データベースをサードパーティ システムと同期化します。バックアップ ファイルの作成の詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

チェックポイントよりも多少前の時点のトランザクション ログを再生すると、一部のトランザクションが無効となり、エラーがレポートされる場合がありますが、ACS 内部データベースに損害が及ぶことはありません。トランザクション ログ全体を再生すれば、ACS 内部データベースと外部 RDBMS アプリケーションのデータベースは一貫性が維持されます。

レポートとイベント(エラー)の処理

CSDBSync サービスでは、イベントとエラーをロギングできます。RDBMS 同期化ログの詳細については、「ACS 監査ログ」を参照してください。 CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。

手動で同期をとる場合は、ACS は警報を表示して同期中に発生した問題を通知します。

RDBMS 同期化の使用準備

[accountActions] テーブルのデータを使用して ACS 内部データベースの同期をとるには、ACS の外部でいくつかの手順を実行してから ACS 内部で RDBMS 同期化機能を設定する必要があります。[accountActions] テーブルとして CSV ファイルを使用する場合は、「RDBMS 同期化のシステム DSN の設定(ACS for Windows)」も参照してください。


schema.ini ファイルは、accountactions.csv ファイルと同じフォルダに置く必要があります。


RDBMS 同期化を準備するには、次の手順を実行します。


ステップ 1 次の情報を決定します。

ACS for Windows

[accountActions] テーブルを作成する場所とその形式。[accountActions] テーブルの詳細については、「[accountActions] テーブルについて(ACS for Windows)」を参照してください。

ACS SE

accountActions ファイルの作成方法。accountActions ファイルの詳細については、「accountActions ファイルについて(ACS SE)」を参照してください。

accountActions ファイルを ACS にアクセス可能にするために使用する FTP サーバ。

[accountActions] テーブルの形式と内容の詳細については、 付録 E「RDBMS 同期化機能インポートの定義」 を参照してください。

ステップ 2 [accountActions] テーブルを作成します。

ステップ 3 レコードを生成してそのレコードで [accountActions] テーブルをアップデートするように、サードパーティ システムを設定します。この構成では、イベントが起動された時点で [accountActions] テーブルに書き込むストアド プロシージャの作成が必要になる可能性がありますが、[accountActions] テーブルを保守するメカニズムは、実装している構成固有のものです。[accountActions] テーブルのアップデートに使用するサードパーティ システムが市販の商品である場合は、参考のために、サードパーティ システム ベンダーが提供するマニュアルを参照してください。

ステップ 4 (ACS SE)必要に応じて、accountActions ファイルを、作成された場所から FTP サーバ上の適切なディレクトリにコピーするための方式を設定します。

ステップ 5 サードパーティ システムが [accountActions] テーブルを正しくアップデートすることを確認します。[accountActions] テーブルに生成される行は有効である必要があります。


) サードパーティ システムが [accountActions] テーブルを正しくアップデートすることをテストしたら、ステップ 7ステップ 8 を実行するまで [accountActions] テーブルのアップデートを中断します。


ステップ 6 分散 AAA 環境で複数の ACS を同期させる場合は、次の手順を実行します。

a. サードパーティ システムとの通信に使用する ACS を決定します。この ACS がシニア同期化パートナーになります。後でこれに対して、同期化パートナーに同期化データを送信する設定を行います。同期化パートナーは、同期化を必要とするその他の ACS です。

b. シニア同期化パートナーに、各同期化パートナー用の AAA サーバ設定があることを確認します。見当たらない同期化パートナーの AAA サーバ設定を追加します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

c. その他の同期化パートナーすべてに、シニア同期化パートナー用の AAA サーバ設定があることを確認します。シニア同期化パートナー用の AAA サーバ設定がない場合は、作成します。AAA サーバを追加する詳細な手順については、「AAA サーバの追加」を参照してください。

シニア同期化パートナーとその他の同期化パートナー間の同期化がイネーブルになります。

ステップ 7 (ACS for Windows)シニア同期化パートナー(サードパーティ システムと通信する ACS)でシステム DSN を設定します。手順については、「RDBMS 同期化のシステム DSN の設定(ACS for Windows)」を参照してください。

ステップ 8 シニア同期化パートナーで RDBMS 同期化をスケジューリングします。手順については、「RDBMS 同期化のスケジューリング」を参照してください。

ステップ 9 ACS 内部データベースにインポートされる情報で [accountActions] テーブルをアップデートし始めるように、サードパーティ システムを設定します。

(ACS SE)必要に応じて、accountActions ファイルを、FTP サーバ上の適切なディレクトリにコピーするための方式をアクティブにします。

ステップ 10 Reports and Activity セクションで RDBMS 同期化レポートをモニタリングして、RDBMS 同期化が正しく動作していることを確認します。RDBMS 同期化ログの詳細については、「ACS 監査ログ」を参照してください。

CSDBSync サービス ログもモニタリングします。 CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。


 

RDBMS 同期化のシステム DSN の設定(ACS for Windows)

ACS 上にシステム DSN が存在するとき、ACS は [accountActions] テーブルにアクセスできます。ローカル AccountActions CSV ファイルを使用して、RDBMS 同期化の DSN を取得できます。ACS は Microsoft Text Driver を使用してデフォルトの DSN、 CiscoSecure DBSync を作成して、ローカル CSV ファイルを処理します。ACS は、指定した場所にある CSV ファイルの内容を抽出してその内容を処理し、ファイルの名前を .done 拡張子付きの名前に変更します。[Use local CSV file] オプションがディセーブルになっている場合、ACS は RDBMS 同期化を通常どおり実行します。


ヒント ACS が ODBC で実行するすべての処理にシステム DSN が必要です。ユーザ DSN は使用できません。ODBC control panel アプレットでデータソースを設定する際に、この 2 つの DSN を間違えないようにしてください。システム DSN が正しく設定されていることを確認してください。


CiscoSecure Transactions.mdb ファイルの詳細については、「RDBMS 同期化の使用準備」を参照してください。

RDBMS 同期化で使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 Windows のコントロール パネルから、[ODBC Data Source Administrator] ウィンドウを開きます。


) 64 ビット Windows マシン上に ACS がインストールされている場合は、C:¥WINDOWS¥SysWOW64¥odbcad32.exe により DSN が作成されます。



ヒント Windows 2000 および新しい Windows オペレーティング システムの場合、[ODBC Data Sources] アイコンは Administrative Tools フォルダにあります。


ステップ 2 [ODBC Data Source Administrator] ウィンドウの [System DSN] タブをクリックします。

ステップ 3 [Add] をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、[Finish] をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 [Data Source Name] ボックスに DSN の説明的な名前を入力します。

ステップ 6 選択した ODBC の他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のデータベースが稼動するサーバの IP アドレスが含まれています。

ステップ 7 [OK] をクリックします。

DSN に指定した名前が [System Data Sources] リストに表示されます。

ステップ 8 [ODBC] ウィンドウと Windows の [Control Panel] を閉じます。

ACS では、[accountActions] テーブルへのアクセスに ACS が使用するシステムを作成します。


 

RDBMS 同期化のオプション

[System Configuration] から利用できる [RDBMS Synchronization Setup] ページでは、RDBMS 同期化機能を制御できます。このページには 3 つのテーブルが表示されます。この項では、それらのテーブルのオプションについて説明します。

ここでは、次の項目について説明します。

「RDBMS セットアップ オプション」

「Windows の accountActions ファイル用の RDBMS 同期化のセットアップ」

「SE の RDBMS 同期化の FTP セットアップ オプション」

「同期化スケジューリング オプション」

「同期化パートナー オプション」

RDBMS セットアップ オプション

[RDBMS Setup] テーブルは、ACS が [accountActions] テーブルにアクセスする方法を定義するもので、次のオプションがあります。

[Data Source]:ACS 上で利用できるすべてのシステム DSN の中から、[accountActions] テーブルへのアクセスに使用するシステム DSN を指定します。

[Username]:[accountActions] テーブルを含むデータベースへのアクセスに ACS が使用するユーザ名を指定します。


) ユーザ名を指定するデータベース ユーザ アカウントには、[accountActions] テーブルで読み取りと書き込みを行う特権が必要です。


[Password]:[accountActions] テーブルを含むデータベースへのアクセスに ACS が使用するパスワードを指定します。

Windows の accountActions ファイル用の RDBMS 同期化のセットアップ

ACS の CSV ファイルを使用した RDBMS 同期化のユーザビリティは、 accountActions ファイルに関する次のような情報を提供することで向上させることができます。

[Actions File]:accountActions ファイルの名前。

[Directory]:ローカル マシンのファイルのパスを入力します。

SE の RDBMS 同期化の FTP セットアップ オプション

[FTP Setup For Account Actions Download] テーブルは、ACS が [accountActions] テーブルにアクセスする方法を定義します。次のオプションがあります。

[Actions File]:accountActions ファイルの名前。デフォルトの名前は actions.csv です。指定するファイル名は、FTP サーバ上の accountActions の名前と一致している必要があります。

[FTP Server]:ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト名。ホスト名を指定する場合は、ネットワークで DNS がイネーブルになっている必要があります。

[Directory]:FTP サーバ ルート ディレクトリから、accountActions ファイルがあるディレクトリへの相対パス。FTP のルート ディレクトリを指定するには、ピリオド(.)を 1 つ入力します。

[Username]:ACS から FTP サーバへのアクセスを可能にする有効なユーザ名。

[Password]:[Login] ボックスに入力されたユーザ名のパスワード。

RDBMS 同期化のスクリプト可能なインターフェイス

ACS for SE

ACS 設定は、SSH をサポートする RDBMS 同期化のためのコマンドライン ユーティリティを使用してリモート システムから変更できます。SSH サーバを起動するメカニズムにより、管理者特権を追加し、 csdbsync -syncnow コマンドを呼び出すことができます。 csdbsync -syncnow コマンドは、 csdbsync -run コマンドと同様に機能しますが、RDBMSync サービスを停止または起動しません。

同期化スケジューリング オプション

[Synchronization Scheduling] テーブルは、同期化の実行タイミングを定義します。次のオプションがあります。

[Manually]:ACS は自動 RDBMS 同期化を実行しません。

[Every X minutes]:ACS は、指定された頻度で同期化を実行します。時間の単位は分で、デフォルトでは 60 分ごとにアップデートされます。

[At specific times]:ACS は、日/時グラフで指定された時刻に同期化を実行します。最小間隔は 1 時間で、指定した時刻に同期化が実行されます。

同期化パートナー オプション

[Synchronization Partners] テーブルは、[accountActions] テーブルのデータに同期させる ACS を定義します。次のオプションがあります。

[AAA Server]:このリストは、それに対して ACS が RDBMS 同期化を 実行しない ように [Network Configuration] の [AAA Servers] テーブルに設定されている AAA サーバを表します。

[Synchronize]:このリストは、それに対して ACS が RDBMS 同期化を 実行する ように [Network Configuration] の [AAA Servers] テーブルに設定されている AAA サーバを表します。このリストにある AAA サーバは、この ACS の同期化パートナーです。同期化において、この ACS とその同期化パートナー間の通信では、128 ビット暗号化されたシスコ固有のプロトコルが使用されます。同期化パートナーは、TCP ポート 2000 で同期化データを受信します。


) 各同期化パートナーの [Network Configuration] セクションに、この ACS に対応する AAA サーバ設定があることが必要です。設定されていない場合、この ACS が送信する同期化コマンドは無視されます。


[Network Configuration] の [AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。

RDBMS 同期化の実行

RDBMS 同期化イベントは手動で開始できます。

手動で RDBMS 同期化を実行するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [RDBMS Synchronization] をクリックします。

[RDBMS Synchronization Setup] ページが表示されます。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] をクリックしてから [RDBMS Synchronization] をオンにします。


ステップ 3 (ACS for Windows)ローカル CSV ファイルを使用して、RDBMS 同期化のオプションを指定するには、次の手順を実行します。

a. [Use Local CSV File]:ACS をアクティブにしてローカル マシンから CSV ファイルを取得します。ACS はデフォルトの DSN、 CiscoSecure DBSync を作成して、ローカル CSV ファイルを処理します。ACS は、指定した場所にある CSV ファイルの内容を抽出してその内容を処理し、ファイルの名前を " .done " 拡張子付きの名前に変更します。

b. [AccountActions File] ボックスに、設定アクションの CSV ファイルの名前を入力します。デフォルトは accountactions.csv です。

c. [Directory] ボックスに、ローカル マシンにある accountActions ファイルのパス名を入力します。

ステップ 4 (ACS for Windows) CDBSync システム DSN を使用して、RDBMS 同期化のオプションを指定するには、次の手順を実行します。

a. [Data Source] リストで、[accountActions] テーブルを含むデータベースと通信するように設定したシステム DSN を選択します。

RDBMS 同期化で使用するシステム DSN の設定の詳細については、「RDBMS 同期化のシステム DSN の設定(ACS for Windows)」を参照してください。

b. [Username] ボックスに、[accountActions] テーブルの読み取りアクセス特権と書き込みアクセス特権があるデータベース ユーザ アカウントのユーザ名を入力します。

c. [Password] ボックスに、ステップ b で指定したユーザ名のパスワードを入力します。


) RDBMS セットアップの詳細については、「RDBMS セットアップ オプション」を参照してください。


ACS に [accountActions] テーブルにアクセスするための情報が含まれています。


) [Replication Scheduling] の [Manually] を選択する必要はありません。詳細については、「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。


ステップ 5 (ACS SE)[FTP Setup For Account Actions Download] テーブルでオプションを指定するには、次の手順を実行します。

a. [Actions Files] ボックスに、ACS のアップデートに使用する accountActions ファイルの名前を入力します。

b. [FTP Server] ボックスに、ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト名を入力します。

c. [Directory] ボックスに、accountActions ファイルが常駐している FTP サーバ上のディレクトリへの相対パスを入力します。

d. [Username] ボックスに、ACS の FTP サーバへのアクセスをイネーブルにするための有効なユーザ名を入力します。

e. [Password] ボックスに、[Login] ボックスで入力したユーザ名のパスワードを入力します。


) FTP セットアップの詳細については、「SE の RDBMS 同期化の FTP セットアップ オプション」を参照してください。


ACS には、FTP サーバから accountActions ファイルを取得するのに必要な情報があります。


) [Replication Scheduling] の [Manually] を選択する必要はありません。詳細については、「スケジューリング済み RDBMS 同期化のディセーブル化」を参照してください。


ステップ 6 [accountActions] テーブルのデータを使用してこの ACS をアップデートする ACS それぞれに対して、[AAA Servers] リストで ACS を選択してから、インターフェイスの右矢印ボタンをクリックします。

選択した ACS が [Synchronize] リストに表示されます。

ステップ 7 [Synchronize] リストから ACS を削除するには、[Synchronize] リストで ACS を選択してから、[<--](左矢印ボタン)をクリックします。

選択した ACS が [Synchronize] リストに表示されます。

ステップ 8 ブラウザ ウィンドウの一番下にある [Synchronize Now] をクリックします。

ACS は、即座に同期化イベントを開始します。同期化のステータスをチェックするには、[Reports and Activity] で RDBMS 同期化レポートを表示します。


 

RDBMS 同期化のスケジューリング

ACS が RDBMS 同期化を実行するタイミングをスケジューリングできます。

ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行します。


ステップ 1 RDBMS 同期化を実行します。「RDBMS 同期化の実行」を参照してください。

この ACS が RDBMS 同期化を一定間隔で実行するように設定するには、[Synchronization Scheduling] で [Every X minutes] オプションを選択し、[X] ボックスに ACS が同期化を実行する間隔を分単位で入力します(最大 7 文字)。

この ACS が RDBMS 同期化を実行するタイミングをスケジューリングするには、次の手順を実行します。

a. [Synchronization Scheduling] で [At specific times] オプションを選択します。

b. 日/時グラフで、ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。[Clear All] をクリックして時間全体を解除したり、[Set All] をクリックして時間全体を選択することもできます。


ステップ 2 [accountActions] テーブルのデータを使用して同期をとる ACS それぞれに対して、次の手順を実行します。


) 同期化ターゲットの詳細については、「[Inbound Replication] オプション」を参照してください。


a. [Synchronization Partners] テーブルの [AAA Servers] リストで、[accountActions] テーブルのデータを使用してこの ACS をアップデートする ACS の名前を選択します。


) [AAA Servers] リストで利用できる ACS は、[Network Configuration] の [AAA Servers] テーブルと現在の ACS サーバの名前で決まります。[AAA Servers] テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. [-->](右矢印ボタン)をクリックします。

選択した ACS が [Synchronize] リストに移動します。


) 少なくとも 1 台の ACS が [Synchronize] リストにあることが必要です。このリストには、RDBMS 同期を設定しているサーバが含まれます。RDBMS 同期化は、現在のサーバの内部データベースは自動的に含めません。


ステップ 3 [Submit] をクリックします。

ACS は、作成された RDBMS 同期化スケジュールを保存します。


 

スケジューリング済み RDBMS 同期化のディセーブル化

スケジューリング済み RDBMS 同期化イベントは、スケジュール自体を残したままディセーブルにできます。この機能を使用すると、スケジュールを再作成しなくても、スケジューリングされた同期化を終了し、再開することができます。

スケジューリング済み RDBMS 同期化をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [RDBMS Synchronization] をクリックします。

[RDBMS Synchronization Setup] ページが表示されます。

ステップ 3 [Synchronization Scheduling] で [Manually] オプションを選択します。

ステップ 4 [Submit] をクリックします。

ACS は、スケジューリング済み RDBMS 同期化を実行しなくなります。


 

RDBMS 同期化障害コード

1 つのトランザクション中に、致命的な RDBMS 同期化エラーも、致命的でない RDBMS 同期化エラーと同様に発生することがあります。致命的でないエラー メッセージが RDBMS 同期化監査ログに書き込まれ、正常なトランザクションのように処理が進んだ場合、そのレコードはアクション テーブルから削除されます。致命的なエラー メッセージが RDBMS 同期化監査ログに書き込まれた場合、同期化は停止します。

ACS では、エラー コード 2 をデータベースに送信することが予期されますが、ACS RDBMS 同期化ではエラー コード 2 を送信しません。また、障害が発生した場合にデータベース レコードも削除しません。

データベースから ACS に RDBMS 同期化を実行しているときに、新しいデバイスおよび NDG を追加できます。新しいデバイスは最後に付加されます。

ACS にそのデバイスがすでに存在する場合、ACS はログにエラー「Failed to create new NAS/AAA record- Host database failure, Host already exists」を報告します。障害が発生するとデータベース レコードを削除することが予期されますが、ACS では、データベースからエントリを削除し、データベースにエラー コードを送信しません。

表 8-5 は、RDBMS 同期化の致命的なエラーのリストです。

表 8-5 致命的なエラー リスト

エラー コード

Attempt to create account with user name that already exists

Password supplied for user was not valid

An internal error in packet format has occurred

The file or directory could not be opened - no free handles

File write in the user file space failed

File read in the user file space failed

An invalid directory name was supplied

An invalid file name was supplied

Server could not allocate memory

File set pointer in the user file space failed

CSAuth client tried to send a message greater than 31K

Attempt to create account with user name that already exists

A value in the registry was not found

Database file cannot be made bigger

Proxy database failure

UDB_PROXY_DB_FAILURE

Invalid counter type

UDB_USER_REMOVED

UDB_UDV_CONFIG_ERROR

Failed to parse DACL.User level DACL is not enabled.

Failed to process DACL.DACL not defined.

Failed to parse DACL.User/Group Level DACL is not enabled.

Failed to process DACL.Failed to get UserID.

Invalid NDG name.

Specified file does not exist or error in accessing file from FTP.

IP プール サーバ

この項では、IP プール機能について、IP プールの作成手順と維持手順を中心に説明します。

ここでは、次の項目について説明します。

「IP プール サーバについて」

「重複 IP プールの許可または固有プール アドレス範囲の強制」

「[AAA Server IP Pools] テーブルの更新」

「新しい IP プールの追加」

「IP プール定義の編集」

「IP プールのリセット」

「IP プールの削除」

IP プール サーバについて

VPN を使用している場合は、IP アドレスの割り当てを重複させることが必要になる場合もあります。つまり、特定のトンネル内の PPTP トンネル クライアントが、他のトンネル内の別の PPTP トンネル クライアントが使用するのと同じ IP アドレスを使用すると都合がいい場合があります。IP プール サーバ機能を利用して複数のユーザに同じ IP アドレスを割り当てることができます。ただし、ユーザがネットワークの境界を越えてルーティング用の異なるホーム ゲートウェイにそれぞれトンネリングされている必要があります。これによって、不正なアドレスを使用する手法を採用しなくても、IP アドレス空間を節約できます。IP プール機能をイネーブルにすると、ACS は番号または名前によって定義された IP プールから IP アドレスを動的に発行します。IP プールは、最大 999 個を、合計で約 255,000 のユーザに対して設定できます。

IP プールとプロキシを使用している場合は、すべてのアカウンティング パケットがプロキシ化されるため、IP アドレスを割り当てる ACS は、IP アドレスがすでに使用中であるかどうかを確認できます。


ACS データベース複製機能では、IP プール定義は複製されませんが、ユーザとグループの IP プールへの割り当ては複製されます。IP プール定義が複製されないのは、複製パートナーがすでに他のワークステーションに割り当てた IP アドレスを、ACS が偶然に割り当てることを防ぐためです。複製を使用する AAA 環境で IP プールをサポートするには、プライマリ ACS に定義されている IP プールと同じ名前を使用して、各セカンダリ ACS に手作業で IP プールを設定する必要があります。


IP プールを使用するには、AAA クライアントで、ネットワーク認可(IOS では aaa authorization network )とアカウンティング(IOS では aaa accounting )をイネーブルにしておく必要があります。


) IP プール機能を使用するには、同じプロトコル(TACACS+ または RADIUS のどちらか一方)を使用して認証とアカウンティングを実行するように AAA クライアントをセットアップする必要があります。


グループまたはユーザを IP プールに割り当てる方法については、「IP アドレス割り当て方式をユーザ グループに対して設定する」または 「ユーザをクライアント IP アドレスに割り当てる」を参照してください。

重複 IP プールの許可または固有プール アドレス範囲の強制

ACS は、重複プールの自動検出を行います。


重複プールを使用するには、VPN で RADIUS を使用している必要があり、Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト設定プロトコル)は使用できません。


IP プールの重複が許可されているかどうかは、[AAA Server IP Pools] テーブルの下に、次のどちらのボタンが表示されているかによって判断できます。

[Allow Overlapping Pool Address Ranges]:IP プール アドレス範囲の重複が 許可されていない ことを表します。このボタンをクリックすると、プール間で IP アドレス範囲を重複させることができます。

[Force Unique Pool Address Range]:IP プール アドレス範囲の重複が 許可されている ことを表します。このボタンをクリックすると、IP アドレス範囲がプール間で重複しないようにします。

IP プールの重複を許可するか、固有プール アドレス範囲を強制するかを決めるには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] をクリックしてから、[IP Pools] をクリックします。


[AAA Server IP Pools] テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 IP プール アドレス範囲の重複を許可するには、次の手順を実行します。

a. [Allow Overlapping Pool Address Ranges] ボタンが表示されている場合は、そのボタンをクリックします。

ACS で IP プール アドレス範囲の重複が許可されます。

b. [Force Unique Pool Address Range] ボタンが表示されている場合は、何も実行しません。

ACS では、IP プール アドレス範囲の重複がすでに許可されています。

ステップ 4 IP プール アドレス範囲の重複を拒否するには、次の手順を実行します。

a. [Allow Overlapping Pool Address Ranges] ボタンが表示されている場合は、何も実行しません。

ACS では、IP プール アドレス範囲の重複がすでに禁止されています。

b. [Force Unique Pool Address Range] ボタンが表示されている場合は、そのボタンをクリックします。

ACS で IP プール アドレス範囲の重複が禁止されます。


 

[AAA Server IP Pools] テーブルの更新

[AAA Server IP Pools] テーブルを更新すると、IP プールの最新の使用状況の統計を取得できます。

[AAA Server IP Pools] テーブルを更新するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。

[AAA Server IP Pools] テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 [Refresh] をクリックします。

ACS は使用中のプーリング済みアドレスのパーセンテージをアップデートします。


 

新しい IP プールの追加

IP アドレス プールは 999 個まで定義できます。

IP プールを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。

[AAA Server IP Pools] テーブルに、すでに設定済みのすべての IP プール、そのアドレス範囲、使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 [Add Entry] をクリックします。

[New Pool] テーブルが表示されます。

ステップ 4 [Name] ボックスに、新しい IP プールに割り当てる名前(最大 31 文字)を入力します。

ステップ 5 [Start Address] ボックスに、新しいプールのアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.1.254 までの範囲にあることが必要です。


ステップ 6 [End Address] ボックスに、新しいプールのアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 [Submit] をクリックします。

新しい IP プールが [AAA Server IP Pools] テーブルに表示されます。


 

IP プール定義の編集

IP プール定義を編集するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。

[AAA Server IP Pools] テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 編集する IP プールの名前をクリックします。

name プール テーブルが表示されます( name は選択した IP プールの名前)。[In Use] フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。[Available] フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 プールの名前を変更するには、[Name] ボックスに、IP プールの新しい名前(最大 31 文字)を入力します。

ステップ 5 IP アドレスのプール範囲の開始アドレスを変更するには、[Start Address] ボックスに、プールの新しいアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) ある IP プールのアドレスはすべて同じ Class C ネットワークに存在している必要があるため、開始アドレスと終了アドレスの最初の 3 オクテットは同じである必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 から 192.168.1.254 までの範囲にあることが必要です。


ステップ 6 IP アドレスのプール範囲の終了アドレスを変更するには、[End Address] ボックスに、プールの新しいアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 [Submit] をクリックします。

編集済み IP プールが [AAA Server IP Pools] テーブルに表示されます。


 

IP プールのリセット

リセット機能では、接続先がない接続が存在する場合、IP プール内で IP アドレスを回復できます。接続先がない接続は、ユーザが切断したが、ACS が該当する AAA クライアントからアカウンティング停止パケットを受信していない場合に発生します。[Reports and Activity] の [Failed Attempts] ログで、「 Failed to Allocate IP Address For User 」メッセージの数が大きくなっている場合は、リセット機能を使用してこの IP プールに割り当てられているアドレスをすべて再生することを考慮してください。


) リセット機能を使用してプール内で割り当てられている IP アドレスをすべて再生すると、すでに使用中のアドレスがユーザに割り当てられることになります。


IP プールをリセットしてすべての IP アドレスを再生するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。

[AAA Server IP Pools] テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 リセットする IP プールの名前をクリックします。

name プール テーブルが表示されます( name は選択した IP プールの名前)。[In Use] フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。[Available] フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 [Reset] をクリックします。

ACS によって、すでに使用中のアドレスがユーザに割り当てられる可能性があることを示すダイアログボックスが表示されます。

ステップ 5 IP プールのリセットを続けるには [OK] をクリックします。

IP プールがリセットされます。すべての IP アドレスが再生されます。[AAA Server IP Pools] テーブルの [In Use] カラムでは、IP プール アドレスのうち 0% がユーザに割り当てられていることがわかります。


 

IP プールの削除


) ユーザが割り当てられている IP プールを削除すると、そのユーザは、ユーザ プロファイルを編集して IP 割り当て設定を変更するまで、認証できなくなります。その代わりに、グループ メンバーシップに基づいて IP がユーザに割り当てられる場合は、ユーザ グループ プロファイルを編集してグループの IP 割り当て設定を変更できます。


IP プールを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Server] をクリックします。

[AAA Server IP Pools] テーブルに、設定したすべての IP プール、そのアドレス範囲、および使用中のプーリング済みアドレスのパーセンテージがリストされます。

ステップ 3 削除する IP プールの名前をクリックします。

name プール テーブルが表示されます( name は選択した IP プールの名前)。[In Use] カラムには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。[Available] カラムには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 [Delete] をクリックします。

IP プールの削除を確認するダイアログボックスが表示されます。

ステップ 5 IP プールを削除するには [OK] をクリックします。

IP プールが削除されます。削除された IP プールは、[AAA Server IP Pools] テーブルにリストされません。


 

IP プール アドレスの復旧

IP プール アドレス復旧機能を使用して、指定した期間中に使用されなかった割り当て済み IP アドレスを復旧できます。ACS が IP アドレスを正しく再生するには、アカウンティング ネットワークを AAA クライアント上に設定しておく必要があります。

IP プール アドレス復旧のイネーブル化

IP プール アドレス復旧をイネーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [IP Pools Address Recovery] をクリックします。


) この機能が表示されない場合は、[Interface Configuration] > [Advanced Options] をクリックしてから、[IP Pools] をクリックします。


[IP Address Recovery] ページが表示されます。

ステップ 3 [Release address if allocated for longer than X hours] チェックボックスをオンにし、[X] ボックスに、ACS が割り当て済みの未使用の IP アドレスを復旧するまでの期間を時間単位で入力します(最大 4 文字)。

ステップ 4 [Submit] をクリックします。

これで、ACS に IP プール アドレス復旧設定が実装されます。


 

[NAC Attribute Management](ACS SE のみ)

[CNAC Attributes Management] ページを使用すると、ポスチャ確認要求で使用される NAC アトリビュートを追加、削除、またはエクスポートできます。ポスチャ確認アトリビュートの詳細については、「ポスチャのクレデンシャルとアトリビュートについて」を参照してください。

ここでは、次の項目について説明します。

「ポスチャ確認アトリビュート定義ファイル」

「アトリビュートの追加」

「アトリビュートの削除」

「アトリビュートのエクスポート(ダンプ)」

「デフォルトのポスチャ確認アトリビュート定義ファイル」

ポスチャ確認アトリビュート定義ファイル

ポスチャ確認アトリビュート定義ファイルは、1 つ以上のポスチャ確認アトリビュート定義を含むテキスト ファイルです。各定義は、例 8-1 で示すように、定義ヘッダーといくつかの値から構成されています。ポスチャ確認アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

アトリビュート定義ヘッダーを除く各アトリビュート定義の値は、次の形式にする必要があります。

name=value

次に示すリストで指定されているとおり、 name には値の名前を、 value には文字列または整数を入力します。


ヒント コメントである行を示すには、セミコロン(;)を使用できます。


例 8-1 に、ポスチャ確認アトリビュート定義の例を示します。アトリビュート定義の後にはコメントがあります。

例 8-1 アトリビュート定義の例

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

; attribute 1 is reserved for the APT

ポスチャ確認アトリビュートは、 vendor-id application-id 、および attribute-id の組み合せで一意に定義されます。次のリストでは、これらの値の詳細とアトリビュート定義で必要な各行の詳細を示します。

[attr# n ] :アトリビュート定義ヘッダー。 n はゼロ(0)から始まる一意の連続する整数です。ACS は定義ヘッダーによって新しいアトリビュート定義の開始を識別します。各アトリビュート定義は、定義ヘッダーを含む行で開始する 必要があります 。たとえば、ファイルで最初のアトリビュート定義にはヘッダー [ attr#0 ] が、ファイルで 2 番目のアトリビュート定義にはヘッダー [ attr#1 ] が含まれるように指定する 必要があります 。番号付けが連続せずにとぎれた場合、ACS はとぎれた部分以降のアトリビュート定義を無視します。たとえば、ファイルに 10 のアトリビュート定義があり、5 番目のアトリビュートを [ a ttr#4 ] ではなく [ attr#5 ] と定義した場合、ACS は [ attr#5 ] と定義されたアトリビュートとそれに続く残り 5 つのアトリビュートを無視します。


ヒント n の値は、アトリビュート定義ファイル内のどの -id 値とも関連がありません。たとえば、ファイル内の 28 番目の定義ではヘッダーに [attr#27] を指定する必要がありますが、このことは vendor-idapplication-id、および attribute-id の有効な値を制限するものでも、定義するものでもありません。さらに、ACS でサポートするポスチャ確認アトリビュートの数は、制限も定義もされません。


vendor-id :符号なし整数。ベンダー番号を指定します。このベンダー番号は、ポスチャ確認アトリビュートに関連付けられたベンダーに属します。ベンダー番号は、 IANA Assigned Numbers RFC でベンダーに割り当てられた番号である必要があります。たとえば、 vendor-id 9 はシスコシステムズに対応しています。

vendor-id には、 application-id 値で識別できる 1 つまたは複数のアプリケーションが関連付けられています。

vendor-name :文字列。これは、ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示される vendor name を指定します。たとえば、アトリビュート定義の vendor-id が 9 の場合、ベンダー名は Cisco となります。


) 同じ vendor-id を共有するアトリビュートに、異なるベンダー名を指定することはできません。たとえば、vendor-id が 9 であるアトリビュートのベンダー名が Cisco ではない場合、そのアトリビュートは追加できません。


application-id :符号なし整数。ポスチャ確認アトリビュートに関連付けられたベンダーのアプリケーションを一意に識別する application-id を指定します。たとえば、 vendor-id 9 application-id 1 の場合、ポスチャ確認アトリビュートは ID が 1 の Cisco アプリケーションに関連付けられます。このアプリケーションは Cisco Trust Agent で、Posture Agent(PA; ポスチャ エージェント)とも呼ばれます。

application-name :文字列。これは ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されるアプリケーション名を指定します。たとえば、 vendor-id 9 application-id 1 の場合、 application-name PA となります。これは、ポスチャ エージェントの省略形で、Cisco Trust Agent の別の表現です。


) アトリビュートが同一の vendor-idapplication-id のペアを共有する場合、異なるアプリケーション名を指定することはできません。たとえば、vendor-id9application-id1 のアトリビュートは、application-namePA でない場合は追加できません。


attribute-id :1 ~ 65535 の範囲の符号なし整数。 attribute-id は、指定した vendor-id application-id について、ポスチャ確認アトリビュートを一意に識別します。


) アトリビュート 1 および 2 は各アプリケーションで予約済みです。新しいアプリケーションを示すアトリビュートを追加すると、ACS によって自動的にアトリビュート 1 が Application-Posture-Token として、アトリビュート 2 が System-Posture-Token として作成されます。


attribute-name :文字列。これは ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されるアトリビュート名です。たとえば、 vendor-id が 9、 application-id が 1、 attribute-id が 1 の場合、 attribute-name は Application-Posture-Token になります。

attribute-profile :文字列。アトリビュート プロファイルは、ACS がポスチャ確認応答でアトリビュートを送信できるかどうか、ポスチャ確認要求でアトリビュートを受信できるかどうか、またはポスチャ確認時にアトリビュートの送信と受信の両方が可能かどうかを指定します。 attribute-profile の有効な値は次のとおりです。

in :ACS はポスチャ確認要求でアトリビュートを受け入れ、アトリビュートのログを記録できます。ユーザはアトリビュートをローカル ポリシー規則の定義で使用できます。 attribute-profile 値が in のアトリビュートは受信アトリビュートとも呼ばれます。

out :アトリビュートは ACS によりポスチャ確認応答で送信されますが、このアトリビュートはローカル ポリシー規則の定義では使用できません。 attribute-profile 値が out のアトリビュートは送信アトリビュートとも呼ばれます。ログに記録されるように ACS を設定できる唯一の送信アトリビュートは、Application-Posture-Token および System-Posture-Token のアトリビュートです。ただし、これらはユーザが修正できないシステム定義アトリビュートです。

in out :ACS はポスチャ確認要求でアトリビュートを受け入れ、ポスチャ確認応答でアトリビュートを送信することができます。 attribute-profile の値が in out のアトリビュートは送受信両対応アトリビュートとも呼ばれます。

attribute-type :文字列。これは、関連付けられているアトリビュートで有効なデータの種類を指定します。アトリビュートの attribute-profile が in または in out の場合、 attribute-type は、そのアトリビュートを使用するローカル ポリシー規則の定義で使用可能な演算子の型を決定します。受信アトリビュートの例としては、Cisco Trust Agent から送信される ServicePacks アトリビュートがあります。送信アトリビュートの例としては、Cisco Trust Agent に送信される System-Posture-Token アトリビュートがあります。

attribute-type の有効なデータ型は次のとおりです。

boolean

string

integer

unsigned integer

ipaddr

date

version

octet-array

アトリビュートのデータ型の詳細については、「ポスチャ確認アトリビュートのデータ タイプ」を参照してください。

アトリビュートの追加

[Add Attribute] オプションを使用すると、ACS がサポートしているポスチャ確認アトリビュートを追加または変更できます。アトリビュートを追加するには、アトリビュート定義ファイルを準備する必要があります。このファイルは、追加する各アトリビュートに必要な情報を提供するテキスト ファイルです。ポスチャ確認アトリビュート定義ファイルの内容については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

始める前に

「アトリビュートのエクスポート(ダンプ)」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、現在のポスチャ確認アトリビュートの vendor-id application-id 、および attribute-id を確認することもできます。


) この手順を完了するには、CSAuth サービスを再起動する必要があります。再起動すると、認証サービスが一時停止されます。この手順は ACS サービスに対する要求が少ないときに実行するようにしてください。


アトリビュートを追加するには、次の手順を実行します。


ステップ 1 「ポスチャ確認アトリビュート定義ファイル」の説明に従って、正しくフォーマットされたアトリビュート定義ファイルを作成します。

ステップ 2 FTP を使用して、ACS がアクセスできるディレクトリにアトリビュート定義ファイルを置きます。

ステップ 3 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 4 [CNAC Attribute Management] をクリックします。

[CNAC Attribute Management] ページが表示されます。このページの [Add Attribute] 下の [FTP Server]、[Login]、[Password]、および [Remote Directory] オプションには、直近のセッションの値が含まれます。

ステップ 5 [Add Attributes] オプションを選択します。

ステップ 6 アトリビュートを追加または変更するには、FTP を使用してアクセスできるディレクトリにアトリビュート定義ファイルを置きます。アトリビュート定義ファイルにアクセスするには、次の情報を入力します。

a. [FTP Server] ボックスに、ダウンロードするアトリビュート定義ファイルがある FTP サーバの IP アドレスまたはホスト名を入力します。


ヒント ホスト名を指定する場合、DNS がネットワーク上で正常に動作している必要があります。


b. [Login] ボックスに、ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を入力します。

c. [Password] ボックスに、[Login] ボックスで指定したユーザ名のパスワードを入力します。

d. [Remote Directory] ボックスに、ACS が FTP サーバからダウンロードするアトリビュート定義ファイルが含まれるディレクトリのパスを、FTP サーバ ルート ディレクトリからの相対パスで入力します。

e. [Attributes File Name] ボックスに、ACS が FTP サーバからダウンロードするアトリビュート定義ファイルの名前を入力します。

ステップ 7 [Submit] をクリックします。

ACS は、アトリビュート定義ファイルをダウンロードし、ユーザがファイルに入力した情報に従って、そのアトリビュート定義をアップデートします。[System Configuration] ページが開きます。


ヒント ファイルの転送中に ACS に問題が発生した場合は、右側のページに説明のエラー メッセージが表示されます。


ステップ 8 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを再起動します。

CSAuth および CSLog「サービスの停止、開始、再起動」を参照してください。

CSAdmin :シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


 

アトリビュートの削除

ACS から一度に 1 つのポスチャ確認アトリビュートを削除できます。ポスチャ確認アトリビュートは、 vendor-id application-id 、および attribute-id の組み合せで一意に特定されています。[Dump Attributes] オプションで作成されたアトリビュート定義ファイルを読み出すことにより、任意のアトリビュートに対するこの情報を決定できます。

始める前に

「アトリビュートのエクスポート(ダンプ)」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、削除するポスチャ確認アトリビュートの vendor-id application-id 、および attribute-id を確認することもできます。


注意 ACS には、ポスチャ確認アトリビュートを削除する際の確認手順がありません。「アトリビュートのエクスポート(ダンプ)」の手順を使用して、ポスチャ確認アトリビュート定義のバックアップを作成するようにしてください。

ポスチャ確認アトリビュートの詳細とその識別方法については、「ポスチャのクレデンシャルとアトリビュートについて」を参照してください。拡張アトリビュートの詳細については、「拡張アトリビュート」を参照してください。


) この手順を完了するには、CSAuth サービスを再起動する必要があります。再起動すると、認証サービスが一時停止されます。この手順は ACS サービスに対する要求が少ないときに実行するようにしてください。


ポスチャ確認アトリビュートを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [CNAC Attribute Management] をクリックします。

[CNAC Attribute Management] ページが表示されます。

ステップ 3 [Delete Attribute] オプションを選択します。

ステップ 4 アトリビュートを識別する詳細を入力します。

a. [Vendor ID] ボックスに、ベンダーを識別する番号を入力します。

b. [Application ID] ボックスに、アプリケーションを識別する番号を入力します。

c. [Attribute ID] ボックスで、アトリビュートを識別する番号を入力します。

削除するアトリビュートは一意に識別されます。

ステップ 5 [Submit] をクリックします。

ACS は指定したアトリビュートの定義を削除します。

ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを再起動します。

CSAuth および CSLog「サービスの停止、開始、再起動」を参照してください。

CSAdmin :シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


 

Cisco:Host アプリケーションの拡張ポスチャ確認エンティティ アトリビュートを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [CNAC Attribute Management] をクリックします。

[CNAC Attribute Management] ページが表示されます。

ステップ 3 [Delete Extended Attribute Entity] オプションを選択します。

ステップ 4 ACS が削除するアトリビュートを識別するために必要な詳細を入力します。

a. [Attribute ID] ボックスで、アトリビュートを識別する番号を入力します。

b. [Entity] ボックスに、エンティティの名前を入力します。

削除するアトリビュートは一意に識別されます。

ステップ 5 [Submit] をクリックします。

ACS は指定したアトリビュートの定義を削除します。

ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを再起動します。

CSAuth および CSLog「サービスの停止、開始、再起動」を参照してください。

CSAdmin :シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


 

Cisco:Host アプリケーションの拡張ポスチャ確認エンティティ アトリビュートのプロパティを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [CNAC Attribute Management] をクリックします。

[CNAC Attribute Management] ページが表示されます。

ステップ 3 [Delete Extended Attribute Property] オプションを選択します。

ステップ 4 アトリビュート プロパティを識別できる詳細を入力します。

a. [Attribute ID] ボックスで、アトリビュートを識別する番号を入力します。

b. [Property ID] ボックスで、プロパティを識別する番号を入力します。

削除する拡張アトリビュート プロパティは一意に識別されます。

ステップ 5 [Submit] をクリックします。

ACS は指定したアトリビュートのプロパティ定義を削除します。

ステップ 6 ACS のアトリビュート定義の変更が完了した後に、加えた変更を有効にするには、次のサービスを再起動します。

CSAuth および CSLog「サービスの停止、開始、再起動」を参照してください。

CSAdmin :シリアル コンソールで restart コマンドを使用できます。このコマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.2 』を参照してください。


 

アトリビュートのエクスポート(ダンプ)

[Dump Attributes] オプションを使用すると、ACS が持つ現在のすべてのアトリビュート定義に対する定義を含むアトリビュート定義ファイルをダウンロードできます。このファイルには、データ タイプ、ベンダー、アプリケーション、およびアトリビュート ID などのアトリビュートが含まれます。また、このファイルは、アトリビュートの追加、変更、または削除を行う前に、アトリビュート定義のバックアップを作成する場合にも役立ちます。

すべての NAC アトリビュートの定義のファイルをエクスポートするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの [System Configuration] をクリックします。

ステップ 2 [CNAC Attribute Management] をクリックします。

[CNAC Attribute Management] ページが表示されます。

ステップ 3 [Dump Attributes] オプションをクリックします。

ステップ 4 [Submit] をクリックします。

ファイル生成ステータス メッセージが表示されます。

ステップ 5 ファイルが実行できる状態ではないというステータス メッセージが表示されている場合は、ファイルが実行できる状態になるまで [Refresh] をクリックします。

ステップ 6 [Download] をクリックします。

ダイアログボックスが表示されたら、 AvpDump.txt という名前のファイルを保存する場所を入力します。AVP は、アトリビュートと値のペア(Attribute-Value Pair)の省略形です。

ステップ 7 ファイルを保存する場所を選択し、必要に応じてファイル名をわかりやすい名前に変更します。


ヒント ACS のホスト名と現在の日付を使用してアトリビュート定義ファイルを識別することも考慮してください。たとえば、ホスト名が acs01primary で、日付が 2004 年 6 月 13 日である場合、ファイル名を avp-acs01primary-06132004.txt として保存すると、ファイルの由来をすぐに確認できます。


ステップ 8 ファイルを保存します。

ACS は、ステータス メッセージの表示を続行します。


ヒント このページから移動するには、[Cancel]、[Refresh]、またはナビゲーション バーの任意のボタンをクリックします。



 

デフォルトのポスチャ確認アトリビュート定義ファイル

例 8-2 に、ACS が提供するポスチャ確認アトリビュートのデフォルトの定義を示します。デフォルトのアトリビュートを元の定義にリセットする必要がある場合は、例 8-2 を使用してポスチャ確認アトリビュート定義ファイルを作成します。アトリビュート定義ファイルのフォーマットの詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。

例 8-2 デフォルトのポスチャ確認アトリビュート定義

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#1]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#2]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00003
attribute-name=PA-Name
attribute-profile=in out
attribute-type=string

[attr#3]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00004
attribute-name=PA-Version
attribute-profile=in out
attribute-type=version

[attr#4]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00005
attribute-name=OS-Type
attribute-profile=in out
attribute-type=string

[attr#5]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00006
attribute-name=OS-Version
attribute-profile=in out
attribute-type=version

[attr#6]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00007
attribute-name=PA-User-Notification
attribute-profile=out
attribute-type=string

[attr#7]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#8]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#9]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00006
attribute-name=ServicePacks
attribute-profile=in
attribute-type=string

[attr#10]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00007
attribute-name=HotFixes
attribute-profile=in
attribute-type=string

[attr#11]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00008
attribute-name=HostFQDN
attribute-profile=in
attribute-type=string

[attr#12]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#13]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#14]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00005
attribute-name=CSAVersion
attribute-profile=in
attribute-type=version

[attr#15]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00009
attribute-name=CSAOperationalState
attribute-profile=in
attribute-type=unsigned integer

[attr#16]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00011
attribute-name=TimeSinceLastSuccessfulPoll
attribute-profile=in
attribute-type=unsigned integer

[attr#17]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32768
attribute-name=CSAMCName
attribute-profile=in
attribute-type=string

[attr#18]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32769
attribute-name=CSAStates
attribute-profile=in
attribute-type=string

[attr#19]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#20]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#21]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#22]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#23]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#24]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#25]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#26]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#27]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#28]
vendor-id=393
vendor-name=Symantec
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#29]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#30]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#31]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#32]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#33]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#34]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#35]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#36]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#37]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#38]
vendor-id=3401
vendor-name=NAI
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#39]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#40]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

[attr#41]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00003
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string

[attr#42]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00004
attribute-name=Software-ID
attribute-profile=in out
attribute-type=unsigned integer

[attr#43]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00005
attribute-name=Software-Version
attribute-profile=in out
attribute-type=version

[attr#44]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00006
attribute-name=Scan-Engine-Version
attribute-profile=in out
attribute-type=version

[attr#45]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00007
attribute-name=Dat-Version
attribute-profile=in out
attribute-type=version

[attr#46]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00008
attribute-name=Dat-Date
attribute-profile=in out
attribute-type=date

[attr#47]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00009
attribute-name=Protection-Enabled
attribute-profile=in out
attribute-type=unsigned integer

[attr#48]
vendor-id=6101
vendor-name=Trend
application-id=3
application-name=AV
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string

[attr#49]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=string

[attr#50]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00002
attribute-name=System-Posture-Token
attribute-profile=out
attribute-type=string

[attr#51]
vendor-id=10000
vendor-name=out
application-id=1
application-name=CNAC
attribute-id=00003
attribute-name=Reason
attribute-profile=out
attribute-type=string