Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
CSUtil データベース ユーティリティ
CSUtil データベース ユーティリティ
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

CSUtil データベース ユーティリティ

CSUtil.exe ファイルと関連ファイルの場所

CSUtil コマンドの構文

CSUtil.exe による ACS のバックアップ

CSUtil.exe による ACS の復元

ACS 内部データベースの初期化

ACS 内部データベース ダンプ ファイルの作成

ダンプ ファイルからの ACS 内部データベースのロード

ACS 内部データベースのクリーンアップ

ユーザおよび AAA クライアントのインポート オプション

ユーザ情報および AAA クライアント情報のインポート

ユーザおよび AAA クライアントのインポート ファイル形式

ユーザおよび AAA クライアントのインポート ファイル形式について

ONLINE 文または OFFLINE 文

ADD 文

UPDATE 文

DELETE 文

ADD_NAS 文

DEL_NAS 文

インポート ファイルの例

テキスト ファイルへのユーザ リストのエクスポート

テキスト ファイルへのグループ情報のエクスポート

エラー番号のデコード

ユーザ定義の RADIUS ベンダーと VSA のセット

ユーザ定義の RADIUS ベンダーと VSA のセットについて

カスタム RADIUS ベンダーと VSA のセットの追加

カスタム RADIUS ベンダーと VSA のセットの削除

カスタム RADIUS ベンダーの一覧表示

カスタム RADIUS ベンダーと VSA のセットのエクスポート

RADIUS ベンダー/VSA インポート ファイル

RADIUS ベンダー/VSA インポート ファイルについて

ベンダーと VSA のセットの定義

アトリビュート定義

列挙の定義

RADIUS ベンダー/VSA インポート ファイル例

PAC ファイルの生成

PAC ファイルのオプションと例

PAC ファイルの生成

ポスチャ確認アトリビュート

ポスチャ確認アトリビュート定義ファイル

ポスチャ確認アトリビュート定義のエクスポート

ポスチャ確認アトリビュート定義のインポート

外部監査ポスチャ確認サーバのインポート

ポスチャ確認アトリビュート定義の削除

拡張ポスチャ確認アトリビュート定義の削除

デフォルトのポスチャ確認アトリビュート定義ファイル

外部監査デバイス タイプ アトリビュートの追加

CSUtil データベース ユーティリティ


) この付録の情報は、ACS for Windows に適用されます。


この付録では、Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)のコマンドライン ユーティリティである CSUtil.exe について詳しく説明します。 CSUtil.exe には、コロン区切りテキスト ファイルでのユーザの追加、変更、削除など、いくつかの機能が用意されています。このユーティリティを使用して、AAA クライアント設定を追加および削除することもできます。


) 同様のタスクは、ACS システム バックアップ、ACS システム復元、データベース複製、および RDBMS 同期化の各機能を使用して実行できます。これらの機能の詳細については、「システム設定:高度」を参照してください。


この章は、次の項で構成されています。

「CSUtil.exe ファイルと関連ファイルの場所」

「CSUtil コマンドの構文」

「CSUtil.exe による ACS のバックアップ」

「CSUtil.exe による ACS の復元」

「ACS 内部データベースの初期化」

「ACS 内部データベース ダンプ ファイルの作成」

「ダンプ ファイルからの ACS 内部データベースのロード」

「ACS 内部データベースのクリーンアップ」

「ユーザおよび AAA クライアントのインポート オプション」

「テキスト ファイルへのユーザ リストのエクスポート」

「テキスト ファイルへのグループ情報のエクスポート」

「エラー番号のデコード」

「ユーザ定義の RADIUS ベンダーと VSA のセット」

「PAC ファイルの生成」

「ポスチャ確認アトリビュート」

「外部監査デバイス タイプ アトリビュートの追加」

CSUtil.exe ファイルと関連ファイルの場所

ACS をデフォルトの場所にインストールすると、 CSUtil.exe は次のディレクトリに格納されます。

C:\Program Files\CiscoSecure ACS vx.x\bin

ここで X.X は、使用する ACS ソフトウェアのバージョンです。 CSUtil.exe ツールは、ACS インストール ディレクトリの \bin サブディレクトリに格納されます。 CSUtil.exe が生成またはアクセスするファイルも、 \bin ディレクトリに格納されます。ACS ディクショナリのベンダー定義など他のファイルを追加する場合は、必ず \bin ディレクトリに格納してください。

CSUtil コマンドの構文

CSUtil コマンドの構文は次のとおりです。

csutil [-q] [-b backup_filename] [-e number] [-g group_number] [-i file]
[-d [-p secret_key] dump_filename] [-l filename [-passwd secret_key]] [-n]
[-r all|users|config backup_file ] [-u] [-listUDV] [-addUDV slot filename.ini]
[-delUDV slot] [-dumpUDV database_dump_filename] [-t] [-filepath full_filepath] [-passwd password] [-machine](-a | -g group_number | -u user_name | -f user_list_filepath)[-addAVP filepath] [-delAVP vendor_id application_id attribute_id] [-dumpAVP filename][-delPropHPP attribute_ID property_ID] [-delEntHPP attribute_ID entity_name]
 

表D-1 に、 CSUtil コマンドで使用できるオプションを示します。

 

表D-1 CSUtil のオプション

構文
使用目的

-q

Quiet モードを使用します。プロンプトは表示されず、他のオプションより前に指定します。

-b backup_filename

システム バックアップを作成します。

-d [ -p secret_key ] dump_filename

ユーザおよびグループのデータベースを dump.txt または名前を指定したファイルにダンプします。ダンプ ファイルのユーザ パスワードを暗号化するために、秘密鍵を指定します。

-e number

エラー番号を ASCII メッセージにデコードします。

-g group_number

グループ情報のみを group.txt にダンプします。

-i file

import.txt または名前を指定したファイルからユーザまたは NAS をインポートします。

-p secret_key

ユーザおよびグループのデータベース ダンプ時( -d )に、パスワード エージング カウンタをリセットします。

-l filename [ -passwd secret_key ]

ユーザ テーブルを空にし、プロファイルを初期化して、ユーザおよびグループのデータベースを dump.txt または名前を指定したファイルからロードします。情報のダンプ時に暗号鍵を使用した場合は、ダンプ ファイル内のユーザ パスワードと他の機密情報を復号化する鍵を入力する必要があります。

-n

ユーザ テーブルと共有ファイル コンポーネント テーブルを空にし、ユーザ、グループ、およびネットワーク アクセス プロファイルを初期化して、新しいデータベースを作成します。

-r all|users|config backup_file

システム バックアップを復元します。

-u

ユーザをグループごとに users.txt にリストします。

-listUDV

現在インストールされている User Defined Vendor(UDV; ユーザ定義ベンダー)をリストします。

-addUDV slot filename.ini

.ini ファイルのユーザ定義ベンダーまたは Vendor-Specific-Attribture(VSA; ベンダー固有アトリビュート)のデータをインストールします。

-delUDV slot

ベンダーまたは VSA を削除します。

-dumpUDV database_dump_file

現在インストールされているベンダーを System UDVs フォルダにダンプします。

-t -filepath full_filepath -passwd password - machine (-a | -g group_number | -u user_name | -f user_list_filepath )

Extensible Authentication Protocol-Flexible Authentication via Secure
Tunnelling(EAP-FAST)クライアントで使用する Protected Access
Credential(PAC)ファイルを生成します。ユーザ PAC またはマシン PAC を作成できます。

-addAVP filename

<filename> からアトリビュートを追加します。

-delAVP vendor_id application_id attribute_id

AVP アトリビュートを削除します。

-dumpAVP filename

AVP アトリビュートを <filename> にダンプします。

-delPropHPP attribute_ID property_ID

Cisco:Host の下の拡張アトリビュートから特定のプロパティを削除します。

-delEntHPP attribute_ID entity_name

Cisco:Host の下の拡張アトリビュートから特定のエンティティを削除します。


注意 ほとんどの CSUtil オプションでは、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ACS でのユーザ認証は行われません。CSAuth サービスを停止する必要があるオプションかどうかを判断するには、そのオプションの詳細なトピックを参照してください。

CSUtil.exe は、オプションの多くを組み合せて一度に使用できます。 CSUtil.exe を初めて使用する場合は、一度に 1 つだけオプションを使用して実行することをお勧めします。ただし、他のオプションと組み合せて使用する必要がある -p などのオプションの場合は除きます。

CSUtil.exe を使い慣れているユーザの場合は、 CSUtil.exe のオプションを組み合せて使用し、次の例のように、AAA クライアント設定をインポートしてからすべての ACS 内部データのダンプを生成することもできます。

CSUtil.exe -i newnases.txt -d

CSUtil.exe による ACS のバックアップ

-b オプションを使用すると、すべての ACS 内部データのシステム バックアップを作成できます。 作成されるバックアップ ファイルのデータは、Web インターフェイスの ACS バックアップ機能によって生成されるバックアップ ファイルのデータと同じです。ACS バックアップ機能の詳細については、「ACS バックアップ」を参照してください。


) バックアップ処理の間、すべてのサービスは自動的に停止して再起動されます。また、バックアップ処理の実行中にはユーザ認証が行われません。


CSUtil.exe を使用して ACS をバックアップするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -b filename

ここで、 filename にはバックアップ ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe により確認プロンプトが表示されます。

ステップ 3 バックアップを実行して、バックアップ中にすべての ACS サービスを停止することを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により、ユーザ アカウントとシステム設定を含むすべての ACS 内部データの完全なバックアップが生成されます。このプロセスに数分かかることがあります。


) ACS の空のコンポーネント(管理者アカウントが存在しないなど)をバックアップしようとすると、CSUtil.exe により Backup Failed というエラー メッセージが表示されます。このメッセージは、空のコンポーネントにのみ適用され、バックアップの全体的な成功または失敗を意味するものではありません。



 

CSUtil.exe による ACS の復元

-r オプションを使用すると、すべての ACS 内部データを復元できます。ACS の復元には、 CSUtil.exe -b オプションによって生成されたバックアップ ファイルか、または Web インターフェイスの ACS バックアップ機能によって生成されたバックアップ ファイルを使用できます。

ACS バックアップ ファイルには、次のデータが保存されています。

ユーザおよびグループのデータ

システム設定

復元できるのは、ユーザおよびグループのデータかシステム設定、またはその両方です。ACS バックアップ機能の詳細については、「ACS バックアップ」を参照してください。


) 復元処理の間、すべてのサービスは自動的に停止して再起動されます。また、復元処理の実行中にはユーザ認証が行われません。


CSUtil.exe を使用して ACS を復元するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のいずれか 1 つを実行します。

すべてのデータ(ユーザとグループのデータ、およびシステム設定)を復元するには、次のように入力します。

CSUtil.exe -r all filename

ここで、 filename にはバックアップ ファイルの名前を入力します。

Enter キーを押します。

ユーザおよびグループのデータのみを復元するには、次のように入力します。

CSUtil.exe -r users filename

ここで、 filename にはバックアップ ファイルの名前を入力します。

Enter キーを押します。

システム設定のみを復元するには、次のように入力します。

CSUtil.exe -r config filename

ここで、 filename にはバックアップ ファイルの名前を入力します。

Enter キーを押します。

CSUtil.exe により確認プロンプトが表示されます。

ステップ 3 復元を実行して、復元中にすべての ACS サービスを停止することを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により、ACS データの指定された部分が復元されます。このプロセスに数分かかることがあります。


) バックアップ ファイルにデータベース コンポーネントが存在しない場合は、CSUtil.exe によりエラー メッセージが表示されます。表示されるメッセージは、存在しないコンポーネントの復元に対してのみ適用されます。バックアップ ファイルにデータベース コンポーネントが存在しないのは、意図的な理由による場合がほとんどであり、バックアップの作成時に ACS 内のそのコンポーネントが空であったことを示します。



 

ACS 内部データベースの初期化

-n オプションを使用すると、ACS 内部データベースを初期化できます。 -n オプションにより、ユーザ テーブルと共有プロファイル コンポーネント テーブルが空になり、ユーザ、グループ、およびネットワーク アクセスの各プロファイルが初期化されます。


-n オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。



注意 -n オプションを使用すると、ACS 内部データベースのすべてのユーザ情報が消去されます。ACS 内部データベースの現在のバックアップまたはダンプがない場合、このオプションを使用すると、すべてのユーザ アカウントが失われます。

ACS 内部データベースを作成するには、次の手順を実行します。


ステップ 1 ACS 内部データベースのバックアップまたはダンプをまだ実行していない場合、ここで実行してから次の手順に進んでください。データベースのバックアップの詳細については、「CSUtil.exe による ACS のバックアップ」を参照してください。

ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 3 CSAuth サービスが実行されている場合は、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 4 次のように入力します。

CSUtil.exe -n

Enter キーを押します。

CSUtil.exe により確認プロンプトが表示されます。

ステップ 5 ACS 内部データベースを初期化することを確認するには、 Y と入力して Enter キーを押します。

ACS 内部データベースが初期化されます。このプロセスに数分かかることがあります。

ステップ 6 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

ACS 内部データベース ダンプ ファイルの作成

-d オプションを使用すると、ACS 内部データベースのすべての内容を、パスワードで保護されたテキスト ファイルにダンプできます。ファイルの名前は指定することができますが、指定しない場合は、dump.txt という名前が付けられます。ダンプ ファイルには、ACS 内部データのすべてを含む圧縮可能なバックアップ データが保存されます。

-l オプションを使用すると、 -d オプションによって作成されたダンプ ファイルから ACS 内部データをリロードできます。 -l オプションの詳細については、「ダンプ ファイルからの ACS 内部データベースのロード」を参照してください。


-d オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。


すべての ACS 内部データをテキスト ファイルにダンプするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 CSAuth サービスが実行されている場合、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 デフォルトの dump.txt ファイルにダンプするには、次のように入力します。

CSUtil.exe -d -p secret_key

Enter キーを押します。

CSUtil.exe により確認プロンプトが表示されます。

ステップ 4 ファイルに名前を指定してダンプするには、次のように入力します。

CSUtil.exe -d -p secret_key dump_filename

Enter キーを押します。

CSUtil.exe により確認プロンプトが表示されます。

ステップ 5 すべての ACS 内部データをテキスト ファイルにダンプすることを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により、ダンプ テキスト ファイルが作成されます。このプロセスに数分かかることがあります。

ステップ 6 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

ダンプ ファイルからの ACS 内部データベースのロード

-l オプションを使用すると、すべての ACS 内部データをダンプ テキスト ファイルから上書きできます。このオプションにより、既存の ACS 内部データすべてが、ダンプ テキスト ファイル内のデータで置き換えられます。実際には、ダンプ テキスト ファイルからデータがロードされる前に、 -l オプションによってすべての ACS 内部データが初期化されます。ダンプ テキスト ファイルは、 -d オプションを使用することによって作成されます。ダンプ ファイルの暗号化で使用したものと同じパスワードを使用する必要があります。

-p オプションと -l オプションを組み合せて使用すると、パスワード エージング カウンタをリセットできます。


-l オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。


すべての ACS 内部データをテキスト ファイルからロードするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 デフォルトの dump.txt ファイルからロードするには、次のように入力します。

CSUtil.exe -l -passwd secret_key

ここで、 secret_key には、ダンプ テキスト ファイルの暗号化で使用したものと同じパスワードを入力します。 Enter キーを押します。

ステップ 4 名前を指定したダンプ ファイルからロードし、パスワード エージング カウンタをリセットするには、次のように入力します。

CSUtil.exe -p -l filename -passwd secret_key

ここで、 filename には、ACS 内部データをロードするために CSUtil.exe で使用するダンプ ファイルの名前を入力します。
secret_key には、dump.txt ファイルを暗号化するために使用したものと同じパスワードを入力します。


) コマンドラインの例に示すように、-p オプションは -l オプションの前に置く必要があります。-l オプションの後に置くと、この操作は実行されません。


Enter キーを押します。

CSUtil.exe により、すべての ACS 内部データをダンプ テキスト ファイルのデータで上書きすることについての確認プロンプトが表示されます。


) データベースを上書きすると一切のデータがなくなります。上書き後にデータベースに存在するのは、ダンプ テキスト ファイル内の指定されたデータだけになります。


ステップ 5 すべての ACS 内部データを置き換えることを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe によりすべての ACS 内部データが初期化され、指定したダンプ ファイルの情報が ACS にロードされます。このプロセスに数分かかることがあります。

ステップ 6 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

ACS 内部データベースのクリーンアップ

多くのリレーショナル データベースと同様に、ACS 内部データベースでは削除されたレコードに削除済みのマークを付けますが、そのレコードはデータベースから削除されません。次の CSUtil.exe オプションを使用すると、ACS 内部データベースのクリーンアップを行い、削除済みのマークの付いたレコードすべてを削除できます。

-d :すべての ACS 内部データを、dump.txt という名前のテキスト ファイルにエクスポートします。

-n :ACS 内部データベースとインデックスを作成します。

-l :dump.txt ファイルからすべての ACS 内部データをロードします。

また、このプロセスを自動化する場合は、 -q オプションを使用して確認プロンプトを非表示にします。このオプションを指定しないと、 CSUtil.exe では、 -n オプションと -l オプションが実行される前に確認プロンプトが表示されます。このプロセスを実行しても、データベースのサイズが小さくなるとは限りません。


) ACS 内部データベースをクリーンアップするには、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。


ACS 内部データベースをクリーンアップするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -d -n -l

Enter キーを押します。


ヒント -q オプションをコマンドに含めると、CSUtil はデータベースの初期化またはロードについての確認プロンプトを表示しません。

-q オプションを指定しないと、 CSUtil.exe により、データベースの初期化とデータベースのロードについての確認プロンプトが表示されます。 -n オプション指定後の結果の詳細については、「ACS 内部データベースの初期化」を参照してください。 -l オプション指定後の結果の詳細については、「ダンプ ファイルからの ACS 内部データベースのロード」を参照してください。

ステップ 4 確認プロンプトが表示されるたびに、 Y と入力して Enter キーを押します。

CSUtil.exe により、すべての ACS 内部データが dump.txt にダンプされ、ACS 内部データベースが初期化され、 dump.txt からすべての ACS 内部データがリロードされます。このプロセスに数分かかることがあります。

ステップ 5 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

ユーザおよび AAA クライアントのインポート オプション

-i オプションを使用すると、コロン区切りのテキスト ファイルのデータで ACS を更新できます。また、AAA クライアント定義を更新することもできます。

ユーザ アカウントについては、ユーザの追加、パスワードなどのユーザ情報の変更、またはユーザの削除を行うことができます。AAA クライアント定義については、AAA クライアントを追加または削除できます。

この項では、次のトピックについて取り上げます。

「ユーザ情報および AAA クライアント情報のインポート」

「ユーザおよび AAA クライアントのインポート ファイル形式」

「ユーザおよび AAA クライアントのインポート ファイル形式について」

「ONLINE 文または OFFLINE 文」

「ADD 文」

「UPDATE 文」

「DELETE 文」

「ADD_NAS 文」

「DEL_NAS 文」

「インポート ファイルの例」

ユーザ情報および AAA クライアント情報のインポート

ユーザまたは AAA クライアントの情報をインポートするには、次の手順を実行します。


ステップ 1 ACS のバックアップまたはダンプをまだ実行していない場合には、ここで実行してから次の手順に進んでください。データベースのバックアップの詳細については、「CSUtil.exe による ACS のバックアップ」を参照してください。

ステップ 2 インポート テキスト ファイルを作成します。インポート テキスト ファイルに保存できる情報、または保存する必要がある情報の詳細については、「ユーザおよび AAA クライアントのインポート ファイル形式」を参照してください。

ステップ 3 インポート テキスト ファイルを、 CSUtil.exe と同じディレクトリにコピーまたは移動します。
CSUtil.exe
の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 4 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 5 次のように入力します。

CSUtil.exe -i filename

ここで、 filename に、ACS を更新するために CSUtil.exe で使用するインポート テキスト ファイルの名前を入力します。 Enter キーを押します。

CSUtil.exe により、データベースの更新についての確認プロンプトが表示されます。

ステップ 6 指定したインポート テキスト ファイルの情報を使用して ACS を更新することを確認するには、 Y と入力して Enter キーを押します。

ACS は、指定したインポート テキスト ファイルの情報を使用して更新されます。このプロセスに数分かかることがあります。

インポート テキスト ファイルに AAA クライアント設定データが含まれている場合は、変更を有効にするために CSTacacs と CSRadius を再起動する必要があることを示す警告メッセージが CSUtil.exe によって表示されます。

ステップ 7 CSRadius を再起動するには、次の手順を実行します。

a. 次のように入力します。

net stop csradius

Enter キーを押します。CSRadius サービスが停止します。

b. CSRadius を起動するには、次のように入力します。

net start csradius

Enter キーを押します。

ステップ 8 CSTacacs を再起動するには、次の手順を実行します。

a. 次のように入力します。

net stop cstacacs

Enter キーを押します。CSTacacs サービスが停止します。

b. CSTacacs を起動するには、次のように入力します。

net start cstacacs

Enter キーを押します。


 

ユーザおよび AAA クライアントのインポート ファイル形式

この項では、次のトピックについて取り上げます。

「ユーザおよび AAA クライアントのインポート ファイル形式について」

「ONLINE 文または OFFLINE 文」

「ADD 文」

「UPDATE 文」

「DELETE 文」

「ADD_NAS 文」

「DEL_NAS 文」

「インポート ファイルの例」

ユーザおよび AAA クライアントのインポート ファイル形式について

インポート ファイルには、以降のトピックで説明されるように 6 種類の行タイプを含めることができます。インポート ファイルの最初の行は、 表D-2 で定義するトークンのいずれかにする必要があります。

CSUtil.exe インポート ファイルの各行は、コロンで区切られた一連のトークンです。トークンによっては、後に値が続くものもあります。それぞれの値は、トークン同様にコロンで区切られています。値を必要とするトークンを CSUtil.exe で使用するには、トークン直後のコロンで区切られたフィールドにトークンの値を指定します。


) ACS ユーザ インターフェイスで使用するパスワード、または CSUtil.exe を使用してパスワードをインポートするときのパスワードで使用する文字に制限はありません。


ONLINE 文または OFFLINE 文

CSUtil.exe では、インポート テキスト ファイルに ONLINE トークンまたは OFFLINE トークンが必要です。ファイルの先頭は、 ONLINE トークンか OFFLINE トークンのいずれかを含む行にする必要があります。 ONLINE トークンと OFFLINE トークンの説明を 表D-2 に示します。

 

表D-2 ONLINE/OFFLINE 文のトークン

トークン
必須
必須の値
説明

ONLINE

ONLINE または OFFLINE が存在する

--

CSUtil.exe がテキスト ファイルをインポートする間、 CSAuth サービスはアクティブのままです。このモードでは CSUtil.exe のパフォーマンスが低下しますが、ACS はインポート中でもユーザの認証を継続します。

OFFLINE

ONLINE または OFFLINE が存在する

--

CSUtil.exe がテキスト ファイルをインポートする間、 CSAuth サービスは停止します。このモードでは CSUtil.exe のパフォーマンスが最速の状態になりますが、インポート中にユーザ認証は行われません。

大量のユーザ情報を短時間にインポートする必要がある場合は、 OFFLINE トークンを使用することを検討してください。 OFFLINE モードでインポートを実行している間は認証機能が停止しますが、インポート動作は大幅に速くなります。たとえば、 OFFLINE モードで 100,000 ユーザをインポートする場合の所要時間は 1 分未満です。

ADD 文

ADD 文はオプションです。ユーザを ACS に追加するために必要なのは、 ADD トークンとその値のみです。 表D-3 に、ADD 文の有効なトークンの一覧を示します。


CSUtil.exe には、外部ユーザ データベース タイプの特定のインスタンスを指定する機能がありません。外部ユーザ データベースがユーザを認証するときに、指定されたデータベース タイプのインスタンスが ACS 内に複数存在する場合は、CSUtil.exe によりそのデータベース タイプの最初のインスタンスにユーザが割り当てられます。たとえば、ACS に 2 つの LDAP 外部ユーザ データベースが設定されている場合は、CSUtil.exe によってユーザ レコードが作成され、ACS に最初に追加された LDAP データベースにそのユーザが割り当てられます。


 

表D-3 ADD 文のトークン

トークン
必須
必須の値
説明

ADD

Yes

ユーザ名

ユーザ情報を ACS に追加します。ユーザ名がすでに存在する場合、情報は変更されません。

PROFILE

No

グループ番号

ユーザに割り当てるグループ番号。グループ番号は、名前ではなく、0 ~ 499 の数字にする必要があります。 PROFILE トークンを使用しない場合や、グループ番号を指定しない場合は、ユーザがデフォルト グループに追加されます。

CHAP

No

CHAP パスワード

認証には Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)パスワードが必要です。

CSDB

No

パスワード

ACS 内部データベースによりユーザ名を認証します。

CSDB_UNIX

No

UNIX での暗号化パスワード

UNIX のパスワード形式を使用して、ACS 内部データベースによりユーザ名を認証します。

EXT_NT

No

--

Windows 外部ユーザ データベースによりユーザ名を認証します。

EXT_NDS

No

--

Novell Network Directory Services(NDS)外部ユーザ データベースによりユーザ名を認証します。

EXT_SDI

No

--

RSA 外部ユーザ データベースによりユーザ名を認証します。

EXT_ODBC

No

--

Open Database Connectivity(ODBC; 開放型データベース接続)外部ユーザ データベースによりユーザ名を認証します。

EXT_LDAP

No

--

汎用 Lightweight Directory Access Protocol(LDAP)外部ユーザ データベースによりユーザ名を認証します。

EXT_LEAP

No

--

Lightweight and Efficient Application Protocol(LEAP)プロキシ Remote Access Dial-In User Service(RADIUS)サーバの外部ユーザ データベースによりユーザ名を認証します。

EXT_RADIUS

No

--

RADIUS トークン サーバの外部ユーザ データベースによりユーザ名を認証します。

たとえば、次の ADD 文では、 John というユーザ名のアカウントを作成し、そのアカウントを Group 3 に割り当て、パスワード closedmondays を使用して ACS 内部データベースにより John が認証されるように指定しています。

ADD:John:PROFILE:3:CSDB:closedmondays

UPDATE 文

UPDATE 文はオプションです。このオプションでは、既存のユーザ アカウントに変更を加えます。 CSUtil.exe では UPDATE トークンとその値のみが必要ですが、他のトークンがない場合には、ユーザ アカウントへの変更は加えられません。UPDATE 文を使用して、ユーザが割り当てられているグループを更新したり、ACS がユーザの認証に使用するデータベースを更新したりできます。

表D-4 に、UPDATE 文の有効なトークンの一覧を示します。

 

表D-4 UPDATE 文のトークン

トークン
必須
必須の値
説明

UPDATE

Yes

ユーザ名

ACS のユーザ情報を更新します。

PROFILE

No

グループ番号

ユーザに割り当てるグループ番号。グループ番号は、名前ではなく、0 ~ 499 の数字にする必要があります。


) CSDB や EXT_NT などのデータベース トークンを指定しない場合、グループ割り当てを更新すると、ユーザのパスワードが消去されることがあります。


CHAP

No

CHAP パスワード

認証には CHAP パスワードが必要です。

CSDB

No

パスワード

ACS 内部データベースによりユーザ名を認証します。

CSDB_UNIX

No

UNIX での暗号化パスワード

UNIX のパスワード形式を使用して、ACS 内部データベースによりユーザ名を認証します。

EXT_NT

No

--

Windows 外部ユーザ データベースによりユーザ名を認証します。

EXT_NDS

No

--

Novell NDS 外部ユーザ データベースによりユーザ名を認証します。

EXT_ODBC

No

--

ODBC 外部ユーザ データベースによりユーザ名を認証します。

EXT_LDAP

No

--

汎用 LDAP 外部ユーザ データベースによりユーザ名を認証します。

EXT_LEAP

No

--

LEAP プロキシ RADIUS サーバの外部ユーザ データベースによりユーザ名を認証します。

EXT_RADIUS

No

--

RADIUS トークン サーバの外部ユーザ データベースによりユーザ名を認証します。

たとえば次の UPDATE 文では、 CSUtil.exe によって John というユーザ名のアカウントを更新し、そのアカウントを Group 50 に割り当て、別個の CHAP パスワード goodoldchap を使用して UNIX 暗号化パスワードにより John が認証されるように指定しています。

UPDATE:John:PROFILE:50:CSDB_UNIX:3Al3qf9:CHAP:goodoldchap

DELETE 文

DELETE 文はオプションです。ACS からユーザ アカウントを削除するには、DELETE トークンとその値が必要です。DELETE トークンの詳細を 表D-5 に示します。DELETE トークンは、DELETE 文にある唯一のトークンです。

 

表D-5 DELETE 文のトークン

トークン
必須
必須の値
説明

DELETE

Yes

ユーザ名

削除するユーザ アカウントの名前

たとえば次の DELETE 文では、 CSUtil.exe によって、 John というユーザ名のアカウントを ACS 内部データベースから完全に削除します。

DELETE:John

ADD_NAS 文

ADD_NAS 文はオプションです。AAA クライアント定義を ACS に追加するには、 ADD_NAS IP KEY 、および VENDOR の各トークンとそれぞれの値が必要です。

表D-6 に、ADD_NAS 文の有効なトークンの一覧を示します。

 

表D-6 ADD_NAS 文のトークン

トークン
必須
必須の値
説明

ADD_NAS

Yes

AAA クライアント名

追加する AAA クライアントの名前

IP

Yes

IP アドレス

追加される AAA クライアントの IP アドレス。複数の IP アドレスを持つデバイスをインポートするには、IP アドレス間をパイプ(|)で区切ります。

KEY

Yes

共有秘密情報

AAA クライアントの共有秘密情報

VENDOR

Yes

説明を参照

AAA クライアントが使用する認証プロトコル。RADIUS の場合は、VSA が含まれます。


) 次の値が有効です。プロトコル名にスペースがあるため、引用符(“”)が必要になります。


“TACACS+ (Cisco IOS)”

“RADIUS (Cisco Aironet)”

“RADIUS (Cisco Airespace)”

“RADIUS (Cisco BBSM)”

“RADIUS (Cisco IOS/PIX 6.x)”

“RADIUS (Cisco VPN 3000/ASA/PIX 7.x+)”

“RADIUS (Cisco VPN 5000)”

“RADIUS (IETF)”

“RADIUS (Ascend)”

“RADIUS (Juniper)”

“RADIUS (Nortel)”

“RADIUS (iPass)”

NDG

No

NDG 名

AAA クライアントを追加する Network Device Group(NDG; ネットワーク デバイス グループ)の名前

SINGLE_CON

No

Y または N

TACACS+ のみを使用する AAA クライアントの場合、このトークンに設定された値により、Single Connect TACACS+ AAA クライアント オプションをイネーブルにするかどうかを指定します。詳細については、「AAA クライアントの追加」を参照してください。

KEEPALIVE

No

Y または N

TACACS+ のみを使用する AAA クライアントの場合、このトークンに設定された値により、Log Update オプションまたは Watchdog Packets from this Access Server オプションをイネーブルにするかどうかを指定します。詳細については、「AAA クライアントの追加」を参照してください。

たとえば次の ADD_NAS 文では、単一接続オプションとキープアライブ パケット オプションをイネーブルにした TACACS+ を使用して、 CSUtil.exe によって SVR2-T+ という名前の AAA クライアントを追加します。

ADD_NAS:SVR2-T+:IP:IP address:KEY:shared secret:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast":SINGLE_CON:Y:KEEPALIVE:Y

DEL_NAS 文

DEL_NAS 文はオプションです。 DEL_NAS トークンの詳細を 表D-7 に示します。DEL_NAS トークンは、 DEL_NAS 文にある唯一のトークンです。 DEL_NAS 文により、ACS から AAA クライアント定義を削除します。

 

表D-7 DEL_NAS 文のトークン

トークン
必須
必須の値
説明

DEL_NAS

Yes

AAA クライアント名

削除する AAA クライアントの名前

たとえば次の DEL_NAS 文では、 CSUtil.exe によって SVR2-T+ という名前の AAA クライアントを削除します。

DEL_NAS:SVR2-T+

インポート ファイルの例

インポート テキスト ファイルの例を次に示します。

OFFLINE
ADD:user01:CSDB:userpassword:PROFILE:1
ADD:user02:EXT_NT:PROFILE:2
ADD:chapuser:CSDB:hello:CHAP:chappw:PROFILE:3
ADD:mary:EXT_NT:CHAP:achappassword
ADD:joe:EXT_SDI
ADD:vanessa:CSDB:vanessaspassword
ADD:juan:CSDB_UNIX:unixpassword
UPDATE:foobar:PROFILE:10
DELETE:paul
ADD_NAS:SVR2-T+:IP:209.165.202.136:KEY:A87il032bzg:VENDOR:"TACACS+ (Cisco IOS)":NDG:"East Coast"
DEL_NAS:SVR16-RAD

テキスト ファイルへのユーザ リストのエクスポート

-u オプションを使用すると、ACS 内部データベースに格納されているすべてのユーザのリストを、users.txt という名前のテキスト ファイルにエクスポートできます。users.txt ファイルでは、ユーザがグループごとに整理されます。それぞれのグループ内では、ACS 内部データベースでユーザ アカウントが作成された順序に従ってユーザが配列されています。たとえば、 Pat Dana 、および Lloyd のアカウントがこの順序で作成された場合は、users.txt 内でも、アルファベット順ではなく作成された順序で配列されます。


-u オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。


ユーザ情報を ACS 内部データベースからテキスト ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -u

Enter キーを押します。

CSUtil.exe により、ACS 内部データベースにあるすべてのユーザの情報が users.txt にエクスポートされます。

ステップ 4 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

テキスト ファイルへのグループ情報のエクスポート

-g オプションを使用すると、共有プロファイル コンポーネントを含むグループ設定データを、ACS 内部データベースから groups.txt という名前のテキスト ファイルにエクスポートできます。 groups.txt ファイルは、TAC と協力してデバッグを行う場合に特に役立ちます。


-g オプションを使用する場合は、CSAuth サービスを停止する必要があります。CSAuth サービスが停止している間、ユーザ認証は行われません。


グループ情報を ACS 内部データベースからテキスト ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 CSAuth サービスが実行されている場合は、次のように入力します。

net stop csauth

Enter キーを押します。

CSAuth サービスが停止します。

ステップ 3 次のように入力します。

CSUtil.exe -g

Enter キーを押します。

CSUtil.exe により、ACS 内部データベースにあるすべてのグループの情報が groups.txt にエクスポートされます。

ステップ 4 ユーザ認証を再開するには、次のように入力します。

net start csauth

Enter キーを押します。


 

エラー番号のデコード

-e オプションを使用すると、ACS サービス ログにあるエラー番号をデコードできます。これらのエラー コードは、ACS の内部コードです。たとえば、CSRadius ログには、次のようなメッセージが含まれている場合があります。

CSRadius/Logs/RDS.log:RDS 05/22/2001 10:09:02 E 2152 4756 Error -1087 authenticating geddy - no NAS response sent

この例の場合、 CSUtil.exe を使用してデコード可能なエラー コード番号は -1087 です。

C:\Program Files\CiscoSecure ACS vx.x\Utils: CSUtil.exe -e -1087
CSUtil v3.0(1.14), Copyright 1997-2001, Cisco Systems Inc
Code -1087 : External database reported error during authentication

-e オプションは、ACS 内部エラー コードにのみ適用され、Windows での認証に失敗した場合などに ACS ログに記録されることがある Windows エラー コードには適用されません。


ACS サービス ログの詳細については、「サービス ログ」を参照してください。

ACS サービス ログにあるエラー番号をデコードするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -e -number

ここで、 number には ACS サービス ログにあるエラー番号を入力します。

Enter キーを押します。


number の前にはハイフン(-)が必要です。


CSUtil.exe により、指定したエラー番号に対応するテキスト メッセージが表示されます。


 

ユーザ定義の RADIUS ベンダーと VSA のセット

この項では、ユーザ定義の RADIUS ベンダーと VSA に関する情報と手順を示します。

この項では、次のトピックについて取り上げます。

「ユーザ定義の RADIUS ベンダーと VSA のセットについて」

「カスタム RADIUS ベンダーと VSA のセットの追加」

「カスタム RADIUS ベンダーと VSA のセットの削除」

「カスタム RADIUS ベンダーの一覧表示」

「カスタム RADIUS ベンダーと VSA のセットのエクスポート」

「RADIUS ベンダー/VSA インポート ファイル」

ユーザ定義の RADIUS ベンダーと VSA のセットについて

事前定義済みの RADIUS ベンダーとベンダー固有アトリビュート(VSA)のセットに加えて、ACS はユーザが定義する RADIUS ベンダーと VSA もサポートします。カスタム RADIUS ベンダーを追加および設定するには、RDBMS 同期化機能を使用することをお勧めしますが、 CSUtil.exe を使用して、RDBMS 同期化機能を使用する場合と同様のカスタム RADIUS ベンダーと VSA の設定を行うこともできます。RDBMS 同期化機能または CSUtil.exe を使用して作成するカスタム RADIUS ベンダーと VSA の設定は、それぞれの他方の機能によって変更することができます。カスタム RADIUS ベンダーと VSA の設定のために一方の機能を選択しても、もう一方の機能が使用できなくなるわけではありません。RDMBS 同期化機能の詳細については、「RDBMS 同期化」を参照してください。

ユーザが追加するベンダーは Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートになっている必要があります。カスタム RADIUS ベンダーは、0 ~ 9 の番号を付けて 10 個まで定義できます。 CSUtil.exe では、どのベンダーについてもインスタンスを 1 つだけ許可します。このインスタンスは、固有のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーと VSA の設定を複製する場合、複製対象のユーザ定義 RADIUS ベンダーと VSA の定義は、ユーザ定義 RADIUS ベンダーが占有する RADIUS ベンダー スロットも含めて、プライマリおよびセカンダリの ACS 上において同一である必要があります。データベース複製の詳細については、「ACS 内部データベースの複製」を参照してください。


カスタム RADIUS ベンダーと VSA のセットの追加

-addUDV オプションを使用すると、カスタム RADIUS ベンダーと VSA のセットを 10 個まで ACS に追加できます。RADIUS ベンダーと VSA のセットそれぞれは、10 個あるユーザ定義 RADIUS ベンダー スロットのいずれかのスロットに追加されます。


CSUtil.exe によってカスタム RADIUS ベンダーと VSA のセットが ACS に追加される間、すべての ACS サービスは自動的に停止して再起動されます。また、このプロセスの実行中にユーザ認証は行われません。


始める前に

カスタム RADIUS ベンダーと VSA のセットを RADIUS ベンダー/VSA インポート ファイルで定義します。詳細については、「RADIUS ベンダー/VSA インポート ファイル」を参照してください。

新しい RADIUS ベンダーと VSA を追加する RADIUS ベンダー スロットを決定します。詳細については、「カスタム RADIUS ベンダーの一覧表示」を参照してください。

カスタム RADIUS VSA を ACS に追加するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -addUDV slot-number filename

ここで、 slot-number には未使用の ACS RADIUS ベンダー スロットを、 filename には RADIUS ベンダー/VSA インポート ファイルの名前を入力します。 filename には、RADIUS ベンダー/VSA インポート ファイルへの相対パスまたは絶対パスを含めることができます。 Enter キーを押します。

たとえば、d:\acs\myvsa.ini で定義される RADIUS ベンダーをスロット 5 に追加するには、次のコマンドを使用します。

CSUtil.exe -addUDV 5 d:\acs\myvsa.ini

CSUtil.exe により確認プロンプトが表示されます。

ステップ 3 RADIUS ベンダーを追加し、プロセスの実行中はすべての ACS サービスを停止することを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により ACS サービスが停止され、ベンダー/VSA 入力ファイルが解析され、新しい RADIUS ベンダーと VSA が ACS に追加されます。このプロセスに数分かかることがあります。処理が完了すると、 CSUtil.exe によって ACS サービスが再起動されます。


) RADIUS ベンダー/VSA インポート ファイルは、アーカイブすることをお勧めします。
CSUtil.exe
が格納されている \Utils ディレクトリは、アップグレード時に、格納されているすべての情報も含めて置き換えられます。RADIUS ベンダー/VSA インポート ファイルをバックアップすることにより、再インストールや後続リリースへのアップグレードの後に、カスタム RADIUS ベンダーと VSA を確実に復元できます。



 

カスタム RADIUS ベンダーと VSA のセットの削除

-delUDV オプションを使用すると、カスタム RADIUS ベンダーを ACS から削除できます。


CSUtil.exe によってカスタム RADIUS ベンダーが ACS から削除される間、すべての ACS サービスは自動的に停止して再起動されます。また、このプロセスの実行中にユーザ認証は行われません。


始める前に

ACS Web インターフェイスの Network Configuration セクションで、RADIUS ベンダーを使用している AAA クライアントがないことを確認します。AAA クライアントの設定の詳細については、「AAA クライアントの設定」を参照してください。

RADIUS アカウンティング ログに、削除する RADIUS ベンダーのアトリビュートが含まれていないことを確認します。RADIUS アカウンティング ログの設定の詳細については、「ACS ログの設定」を参照してください。

カスタム RADIUS ベンダーと VSA のセットを ACS から削除するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -delUDV slot-number

ここで、 slot-number には、削除する RADIUS ベンダーを含んでいるスロットの番号を入力します。

Enter キーを押します。


) 特定のスロットに含まれている RADIUS ベンダーを確認する方法の詳細については、「カスタム RADIUS ベンダーの一覧表示」を参照してください。


CSUtil.exe により確認プロンプトが表示されます。

ステップ 3 カスタム RADIUS ベンダーと VSA を削除する間はすべての ACS サービスを停止することを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により 2 番目の確認プロンプトが表示されます。

ステップ 4 RADIUS ベンダーを削除することを確認するには、 Y と入力して Enter キーを押します。

CSUtil.exe により ACS サービスが停止され、指定した RADIUS ベンダーが ACS から削除されます。このプロセスに数分かかることがあります。処理が完了すると、 CSUtil.exe によって ACS サービスが再起動されます。


 

カスタム RADIUS ベンダーの一覧表示

-listUDV オプションを使用すると、ACS で定義されているカスタム RADIUS ベンダーを確認できます。また、このオプションを使用して、10 個のカスタム RADIUS ベンダー スロットの中で使用中のスロットと、使用中のスロットを占有している RADIUS ベンダーを確認できます。

ACS で定義されているすべてのカスタム RADIUS ベンダーを一覧表示するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -listUDV

Enter キーを押します。

CSUtil.exe により、ユーザ定義 RADIUS ベンダー スロットがスロットの番号順に一覧表示されます。 CSUtil.exe により、カスタム RADIUS ベンダーを含んでいないスロットが Unassigned として一覧表示されます。未割り当てスロットは空です。 Unassigned として一覧表示されたスロットにカスタム RADIUS ベンダーを追加できます。


 

カスタム RADIUS ベンダーと VSA のセットのエクスポート

カスタム RADIUS ベンダーと VSA のすべてのセットを、ファイルにエクスポートできます。ベンダーと VSA は、セットごとに別々のファイルに保存されます。このオプションによって作成されるファイルの形式は、RADIUS ベンダー/VSA インポート ファイルと同じ形式になります。このオプションは、カスタム RADIUS ベンダーと VSA のセットを変更する必要があり、そのセットのインポートに使用した元のファイルを誤って配置した場合に特に役立ちます。


) カスタム RADIUS ベンダーと VSA のセットをエクスポートしても、ACS からベンダーと VSA のセットが削除されるわけではありません。


ACS は、エクスポートされたすべてのベンダー/VSA ファイルを、 CSUtil.exe が格納されているディレクトリのサブディレクトリに配置します。サブディレクトリは、System UDVs と命名されます。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

エクスポートされる各ベンダー/VSA ファイルは、 UDV_n.ini と命名されます。ここで、 n には、現在のカスタム RADIUS ベンダーと VSA のセットが占有しているスロットの番号を入力します。たとえば、ベンダー Widget がスロット 4 を占有している場合、 CSUtil.exe が作成するエクスポート ファイルは UDV_4.ini となります。

カスタム RADIUS ベンダーと VSA のセットをファイルにエクスポートするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。 CSUtil.exe の格納場所の詳細については、「CSUtil.exe ファイルと関連ファイルの場所」を参照してください。

ステップ 2 次のように入力します。

CSUtil.exe -dumpUDV

Enter キーを押します。

CSUtil.exe により、ACS で現在設定されているカスタム RADIUS ベンダーと VSA のセットごとのファイルが、 \System UDVs サブディレクトリに書き込まれます。


 

RADIUS ベンダー/VSA インポート ファイル

カスタム RADIUS ベンダーと VSA のセットを ACS にインポートするには、インポート ファイルで RADIUS ベンダーと VSA のセットを定義する必要があります。この項では、RADIUS VSA インポート ファイルの形式と内容について詳しく説明します。

RADIUS ベンダー/VSA インポート ファイルは、アーカイブすることをお勧めします。 CSUtil.exe が格納されている \Utils ディレクトリは、アップグレード時に、格納されているすべての情報も含めて置き換えられます。RADIUS ベンダー/VSA インポート ファイルをバックアップすることにより、再インストールや後続リリースへのアップグレードの後に、カスタム RADIUS ベンダーと VSA を確実に復元できます。

この項では、次のトピックについて取り上げます。

「RADIUS ベンダー/VSA インポート ファイルについて」

「ベンダーと VSA のセットの定義」

「アトリビュート定義」

「列挙の定義」

「RADIUS ベンダー/VSA インポート ファイル例」

RADIUS ベンダー/VSA インポート ファイルについて

RADIUS ベンダー/VSA インポート ファイルでは、Windows の .ini ファイル形式を使用します。それぞれの RADIUS ベンダー/VSA インポート ファイルは、 表D-8 に示す 3 つのセクションで構成されています。各セクションは、セクション ヘッダー、およびキーと値のセットで構成されています。RADIUS ベンダー/VSA インポート ファイル内でのセクションの順序に関連性はありません。

 

表D-8 RADIUS VSA インポート ファイルのセクション タイプ

セクション
必須
説明

Vendor and VSA set definition

Yes

1

RADIUS ベンダーと VSA のセットを定義します。詳細については、「ベンダーと VSA のセットの定義」を参照してください。

Attribute definition

Yes

1 ~ 255

VSA セットの単一アトリビュートを定義します。詳細については、「アトリビュート定義」を参照してください。

Enumeration

No

0 ~ 255

整数データ型のアトリビュートの列挙方法を定義します。詳細については、「列挙の定義」を参照してください。

ベンダーと VSA のセットの定義

それぞれの RADIUS ベンダー/VSA インポート ファイルには、ベンダーと VSA のセットのセクションが 1 つ必要です。セクション ヘッダーは、[User Defined Vendor] にする必要があります。 表D-9 に、ベンダーと VSA のセットのセクションで有効なキーの一覧を示します。

 

表D-9 ベンダーと VSA のセットのキー

キー
必須
必須の値
説明

Name

Yes

ベンダー名

RADIUS ベンダーの名前

IETF Code

Yes

整数

このベンダーに IETF が割り当てたベンダー番号

VSA n
n は VSA 番号)

Yes:1 ~ 255 の VSA が定義可能

アトリビュート名

VSA の名前。ここで名前を指定される VSA ごとに、対応するアトリビュート定義のセクションがファイルに存在する必要があります。


) アトリビュート名は、RADIUS ベンダー/VSA インポート ファイル内と ACS 内のすべての RADIUS アトリビュートのセット内で、一意の名前にする必要があります。この作業を容易にするために、各アトリビュート名のプレフィックスにベンダー名を使用することをお勧めします。たとえば、暗号化に関連するアトリビュートの名前は、ベンダーが Widget であれば widget-encryption とします。この命名規則により、アカウンティング ログも理解しやすくなります。


たとえば、次のベンダーと VSA のセットのセクションでは、IETF 割り当てベンダー番号が 9999 のベンダー Widget を定義します。ベンダー Widget には VSA が 4 つあります(したがって、アトリビュート定義セクションが 4 つ必要です)。

[User Defined Vendor]
Name=Widget
IETF Code=9999
VSA 1=widget-encryption
VSA 2=widget-admin-interface
VSA 3=widget-group
VSA 4=widget-admin-encryption

アトリビュート定義

各 RADIUS ベンダー/VSA インポート ファイルには、ベンダーと VSA のセットのセクションで定義されるアトリビュートごとに、1 つのアトリビュート定義セクションが必要です。各アトリビュート定義セクションのセクション ヘッダーは、ベンダーと VSA のセットのセクションにあるアトリビュートに定義されているアトリビュート名と一致する必要があります。 表D-10 に、アトリビュート定義セクションで有効なキーの一覧を示します。

 

表D-10 アトリビュート定義のキー

キー
必須
必須の値
説明

Type

Yes

説明を参照

アトリビュートのデータ型。次のいずれかである必要があります。

STRING

INTEGER

IPADDR

アトリビュートが整数の場合は、 Enums キーが有効です。

Profile

Yes

説明を参照

アトリビュート プロファイルは、アトリビュートの使用目的が認可かアカウンティングか(またはその両方)を定義します。次の値のうち少なくとも 1 つをProfile キー定義で指定する必要があります。

IN :アトリビュートはアカウンティングに使用されます。アトリビュートを ACS に追加した後は、RADIUS アカウンティング ログを設定して新しいアトリビュートを記録できます。RADIUS アカウンティング ログの詳細については、「AAA 関連ログ」を参照してください。

OUT :アトリビュートは認可に使用されます。

また、値に MULTI を使用すると、RADIUS メッセージ 1 つに複数インスタンスのアトリビュートを許可できます。

値を組み合せることもできます。次の例を参考にしてください。

Profile=MULTI OUT

または

Profile=IN OUT

Enums

No(TYPE の値が INTEGER の場合にのみ有効)

列挙セクション名

列挙セクションの名前。


) 複数のアトリビュートで同じ列挙セクションを参照できます。詳細については、「列挙の定義」を参照してください。


たとえば、次のアトリビュート定義セクションでは、認可に使用される整数 widget-encryption VSA を定義しており、列挙方式は Encryption-Types 列挙セクションに存在しています。

[widget-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

列挙の定義

列挙の定義を使用して、整数型アトリビュートの有効な数値ごとにテキストベースの名前を関連付けることができます。ACS Web インターフェイスの Group Setup セクションと User Setup セクションでは、定義するテキスト値が、列挙を使用するアトリビュートに関連付けられたリストに表示されます。列挙定義セクションは、アトリビュート定義セクションから参照される場合にのみ必要です。列挙定義セクションを参照できるのは、整数型のアトリビュートのみです。

各列挙定義のセクション ヘッダーは、そのヘッダーを参照する Enums キーの値と一致している必要があります。複数の Enums キーが列挙定義セクションを参照することができるため、共通の列挙定義を再利用できます。列挙定義セクションには、キーを 1000 個まで指定できます。

表D-11 に、列挙定義セクションで有効なキーの一覧を示します。

 

表D-11 列挙定義のキー

キー
必須
必須の値
説明

n

(説明を参照)

Yes

String

対応するアトリビュートの有効な整数値ごとに、1 つの列挙セクションで 1 つのキーが必要です。

各キーでは、整数値に関連付けられる文字列の値を定義します。ACS では、Web インターフェイスでこれらの文字列の値を使用します。

たとえば、所定のアトリビュートの有効な整数値が 0 ~ 4 の場合、その列挙定義は次のようになります。

0= value0
1= value1
2= value2
3= value3
4= value4

たとえば、次の列挙定義セクションでは Encryption-Types 列挙を定義しており、文字列値 56-bit を整数 0 に、文字列値 128-bit を整数 1 に関連付けています。

[Encryption-Types]
0=56-bit
1=128-bit

RADIUS ベンダー/VSA インポート ファイル例

次の RADIUS ベンダー/VSA インポート ファイル例では、IETF 番号が 9999 のベンダー Widget を定義しています。ベンダー Widget には 5 つの VSA があります。それらのアトリビュートのうち、4 つは認可に使用され、1 つはアカウンティングに使用されます。1 つの RADIUS メッセージ内で複数のインスタンスとして使用できるのは、1 つのアトリビュートだけです。2 つのアトリビュートにはそれぞれの有効な整数値の列挙があり、同じ列挙定義セクションを共有しています。

[User Defined Vendor]
Name=Widget
IETF Code=9999
VSA 1=widget-encryption
VSA 2=widget-admin-interface
VSA 3=widget-group
VSA 4=widget-admin-encryption
VSA 5=widget-remote-address

[widget-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

[widget-admin-interface]
Type=IPADDR
Profile=OUT

[widget-group]
Type=STRING
Profile=MULTI OUT

[widget-admin-encryption]
Type=INTEGER
Profile=OUT
Enums=Encryption-Types

[widget-remote-address]
Type=STRING
Profile=IN

[Encryption-Types]
0=56-bit
1=128-bit
2=256-bit

PAC ファイルの生成

-t オプションを使用すると、EAP-FAST クライアントで使用する PAC ファイルを生成できます。PAC は、ユーザまたはマシンを対象に生成できます。PAC および EAP-FAST の詳細については、「EAP-FAST 認証」を参照してください。

この項では、次のトピックについて取り上げます。

「PAC ファイルのオプションと例」

「PAC ファイルの生成」

PAC ファイルのオプションと例

CSUtil.exe -t オプションを使用して PAC ファイルを生成する場合は、次の追加オプションも使用することができます。

-filepath full_filepath :生成されるファイルの場所を指定します。

-machine :ユーザではなくマシンの PAC を生成するには、このオプションを使用します。

ユーザ指定オプション :PCA ファイルの対象となるユーザを指定するための 4 つのオプションの中から、1 つを選択する必要があります。選択しない場合、 CSUtil.exe により、ユーザが指定されていないことを示すメッセージが表示されます。ユーザ指定オプションは次のとおりです。

-a CSUtil.exe により、ACS 内部データベースのユーザごとに PAC ファイルが生成されます。たとえば、ACS 内部データベース内のユーザ数が 3278 件の場合に CSUtil.exe -t -a を実行すると、ユーザごとに 1 個ずつ、合計 3278 個の PAC ファイルが CSUtil.exe によって生成されます。


-a オプションを使用すると、CSAuth サービスが再起動します。CSAuth が使用できない間、ユーザ認証は行われません。


-g N CSUtil.exe により、変数( N )によって指定されるユーザ グループ内のユーザごとに、PAC ファイルが生成されます。ACS には、0 ~ 499 までの番号が付けられた 500 のグループがあります。たとえば、Group 7 に 43 人のユーザがいるときに CSUtil.exe -t -g 7 を実行すると、Group 7 のメンバーのユーザごとに 1 個ずつ、合計 43 個の PAC ファイルが CSUtil.exe によって生成されます。


-g オプションを使用すると、CSAuth サービスが再起動します。CSAuth が使用できない間、ユーザ認証は行われません。


-u username CSUtil.exe により、変数( username )によって指定されたユーザの PAC ファイルが生成されます。たとえば、 CSUtil.exe -t -u seaniemop を実行すると、CSUtil.exe によって seaniemop.pac という名前の PAC ファイルが 1 つ生成されます。


ヒント DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たとえば、ENIGINEERING\augustin と指定すると、ACS によって ENGINEERING_augustin.pac という名前の PAC ファイルが生成されます。


-f list CSUtil.exe により、指定されたファイル内のユーザ名ごとに PAC ファイルが生成されます。ここで list は、ユーザ名リストのフル パスとファイル名を表します。

ユーザ名のリストには、行ごとに 1 つのユーザ名を入力し、追加のスペースや他の文字は使用しません。

たとえば、d:\temp\pacs にある list.txt に次のユーザ名が含まれているとします。

seaniemop
jwiedman
echamberlain

このとき CSUtil.exe -t -f d:\temp\pacs\list.txt を実行すると、 CSUtil.exe により次の 3 つの PAC ファイルが生成されます。
seaniemop.pac
jwiedman.pac
echamberlain.pac.


ヒント また、DOMAIN\username の形式で、ドメイン修飾されたユーザ名を指定することもできます。たとえば、ENIGINEERING\augustin と指定すると、ACS によって ENGINEERING_augustin.pac という名前の PAC ファイルが生成されます。


-passwd password CSUtil.exe では、デフォルトのパスワードではなく指定されたパスワードを使用して、生成する PAC ファイルを保護します。保護する PAC が EAP-FAST エンドユーザ クライアントにロードされる場合に、指定するパスワードが必要です。


) パスワードは、デフォルトではなくユーザが指定するパスワードを使用することをお勧めします。


PAC パスワードにすべての文字を使用することができ、大文字と小文字が区別されます。文字数は、4 ~ 128 文字にする必要があります。 CSUtil.exe では強力なパスワード規則が適用されませんが、強力なパスワードの使用をお勧めします。

次のような PAC パスワードを作成してください。

非常に長い。

大文字と小文字が含まれている。

文字の他に数字も含まれている。

一般的な単語や名前は含まれていない。

PAC ファイルの生成


) PAC ファイルの生成中に -a または -g オプションを使用すると、CSUtil.exe により CSAuth サービスが再起動されます。CSAuth が使用できない間、ユーザ認証は行われません。


PAC の詳細については、「PAC について」を参照してください。

PAC ファイルを生成するには、次の手順を実行します。


ステップ 1 「PAC ファイルのオプションと例」の説明に従って、次の事項を決定します。

PAC ファイルを生成する対象のユーザ。ユーザのリストを使用する場合は、ここでリストを作成します。

生成する PAC ファイルの保護に使用するパスワード。必要に応じて、パスワードを作成します。次の特徴を持つ PAC パスワードを作成してください。

非常に長い。

大文字と小文字が含まれている。

文字の他に数字も含まれている。

一般的な単語や名前は含まれていない。

PAC ファイルを格納するディレクトリへのフル パス。必要に応じて、ディレクトリを作成します。

ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 3 ユーザの PAC ファイルを作成するには、次のように入力します。

CSUtil.exe -t additional arguments

ここで、 additional arguments には、PAC ファイルの作成対象ユーザを指定するオプションを少なくとも 1 つ入力します。このオプションを使用して、ファイルパスとパスワードを指定することもできます。

Enter キーを押します。

マシンの PAC ファイルを作成するには、次のように入力します。

CSUtil.exe -t -machine additional arguments

ここで、 additional arguments には、PAC ファイルの作成対象マシンを指定するオプションを少なくとも 1 つ入力します。このオプションを使用して、ファイルパスとパスワードを指定することもできます。

Enter キーを押します。

CSUtil.exe により、指定されたユーザごとに PCA ファイルが生成されます。PAC ファイルは、ユーザ名に .pac ファイル拡張子を付けた形式で命名されます。たとえば、 seaniemop というユーザ名の PAC ファイルの名前は seaniemop.pac に、ドメイン修飾されたユーザ名 ENGINEERING\augustin の PAC ファイルの名前は ENGINEERING_augustin.pac になります。

ファイルパスを指定した場合は、指定した場所に PAC ファイルが保存されます。PAC ファイルは、該当するエンドユーザ クライアントに配布できます。


 

ポスチャ確認アトリビュート

CSUtil.exe を使用して、Network Admission Control(NAC; ネットワーク アドミッション コントロール)に不可欠なポスチャ確認アトリビュートをエクスポート、追加、および削除できます。NAC の詳細については、「ポスチャ確認」を参照してください。

この項では、次のトピックについて取り上げます。

「ポスチャ確認アトリビュート定義ファイル」

「ポスチャ確認アトリビュート定義のエクスポート」

「ポスチャ確認アトリビュート定義のインポート」

「ポスチャ確認アトリビュート定義の削除」

「デフォルトのポスチャ確認アトリビュート定義ファイル」

ポスチャ確認アトリビュート定義ファイル

ポスチャ確認アトリビュート定義ファイルは、1 つ以上のポスチャ確認アトリビュート定義を含むテキスト ファイルです。それぞれの定義は、1 つの定義ヘッダーと、次に示す複数の値で構成されています。ポスチャ確認アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

アトリビュート定義ヘッダーを除く各アトリビュート定義の値は、次の形式にする必要があります。

name = value

次に示すリストで指定されているとおり、 name には値の名前を、 value には文字列または整数を入力します。


ヒント コメント行であることを示すには、セミコロン(;)を使用します。


例D-1 に、ポスチャ確認アトリビュート定義の例を示します。アトリビュート定義の後にはコメントがあります。

例D-1 アトリビュート定義の例

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Token
attribute-profile=out
attribute-type=unsigned integer

; attribute 1 is reserved for the APT

ポスチャ確認アトリビュートは、ベンダー ID、アプリケーション ID、およびアトリビュート ID の組み合せによって一意に定義されます。次の一覧に、これらの値とアトリビュート定義で必要な各行についての詳細を示します。

[attr# n ] :アトリビュート定義ヘッダー。 n はゼロから始まる一意の連続する整数です。
CSUtil.exe
では、定義ヘッダーによって新しいアトリビュート定義の開始を識別します。各アトリビュート定義は、定義ヘッダーを含む行で開始する必要があります。たとえば、ファイルで最初のアトリビュート定義にはヘッダー [attr#0] が、ファイルで 2 番目のアトリビュート定義にはヘッダー [attr#1] が含まれるように指定する必要があります。番号付けが連続せずにとぎれた場合、 CSUtil.exe はとぎれた部分以降のアトリビュート定義を無視します。たとえば、10 個のアトリビュート定義を含むファイルで、5 番目のアトリビュートが [attr#4] ではなく [attr#5] として定義されている場合、 CSUtil.exe では [attr#5] として定義されているアトリビュートおよび後続の 5 つのアトリビュートを無視します。


ヒント n の値は、アトリビュート定義ファイル内のどの ID 値とも関連がありません。たとえば、ファイル内の 28 番目の定義のヘッダーは [attr#27] にする必要がありますが、このことは vendor-id、application-id、または attribute-id の有効な値を制限するものでも、定義するものでもありません。また、ACS がサポートするポスチャ確認アトリビュートの数を制限したり、定義したりするものでもありません。


vendor-id :符号なし整数。ベンダー番号は、ポスチャ確認アトリビュートに関連付けられたベンダーに属します。ベンダー番号は、「 IANA Assigned Numbers RFC 」でベンダーに割り当てられた番号であることが必要です。たとえば、vendor-id の 9 はシスコシステムズに対応しています。

ベンダー ID には、その ID に関連付けられ、application-id の値によって識別されるアプリケーションが 1 つ以上あります。

vendor-name :文字列。vendor-name は、ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、vendor-name が 9 のアトリビュート定義はすべて、ベンダー名が Cisco となります。


) 同じ vendor-id を共有するアトリビュートごとに、異なるベンダー名を指定することはできません。たとえば、vendor-name が Cisco ではない場合、vendor-id が 9 のアトリビュートは追加できません。


application-id :符号なし整数。application-id は、ポスチャ確認アトリビュートに関連付けられたベンダーのアプリケーションを一意に識別します。たとえば、vendor-id が 9 で application-id が 1 の場合、ポスチャ確認アトリビュートは、application-id が 1 の Cisco アプリケーションに関連付けられます。このアプリケーションは Cisco Trust Agent(CTA)で、Posture Agent(PA; ポスチャ エージェント)とも呼ばれます。

application-name :文字列。application-name は、ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、vendor-id が 9 で application-id が 1 の場合、application-name は PA となります。これは、ポスチャ エージェントの省略形で、CTA の別の表現です。


) application-name は、同じ vendor-id と application-id のペアを共有するアトリビュートごとに別の名前にすることはできません。たとえば、vendor-id が 9 で application-id が 1 のアトリビュートは、application-name が PA でない場合は追加できません。


attribute-id :1 ~ 65535 の範囲の符号なし整数。attribute-id は、指定された vendor-id と application-id のポスチャ確認アトリビュートを一意に識別します。


) アトリビュート 1 と 2 は各アプリケーションで予約されています。新しいアプリケーションを示すアトリビュートを追加すると、CSUtil.exe により、アトリビュート 1 が Application-Posture-Token として、アトリビュート 2 が System-Posture-Token として自動的に作成されます。


attribute-name :文字列。attribute-name は、ACS の Web インターフェイスと、関連付けられたポスチャ確認アトリビュートのログに表示されます。たとえば、vendor-id が 9、application-id が 1、attribute-id が 1 の場合、attribute-name は Application-Posture-Token になります。

attribute-profile :文字列。アトリビュート プロファイルは、ACS がポスチャ確認応答でアトリビュートを送信できるかどうか、ポスチャ確認要求でアトリビュートを受信できるかどうか、またはポスチャ確認時にアトリビュートの送信と受信の両方が可能かどうかを指定します。attribute-profile の有効な値は次のとおりです。

in :ACS はポスチャ確認要求でアトリビュートを受け入れ、アトリビュートのログを記録できます。ユーザはアトリビュートを内部ポリシー規則の定義で使用できます。attribute-profile が in のアトリビュートは、受信アトリビュートとも呼ばれます。

out :ACS はアトリビュートをポスチャ確認応答で送信できますが、このアトリビュートを内部ポリシー規則の定義で使用することはできません。attribute-profile が out のアトリビュートは、送信アトリビュートとも呼ばれます。ログに記録されるように ACS を設定できる唯一の送信アトリビュートは、Application Posture Tokens および System Posture Tokens のアトリビュートです。ただし、これらはユーザが修正できないシステム定義アトリビュートです。

in out :ACS はポスチャ確認要求でアトリビュートを受け入れ、ポスチャ確認応答でアトリビュートを送信することができます。attribute-profile が in out のアトリビュートは、送受信両対応アトリビュートとも呼ばれます。

attribute-type :文字列。attribute-type は、関連付けられているアトリビュートで有効なデータの種類を指定します。attribute-profile が in または in out になっているアトリビュートの場合は、attribute-type により、そのアトリビュートを使用する内部ポリシー規則の定義で使用可能な演算子の型が決まります。受信アトリビュートの例には、CTA が送信する ServicePacks アトリビュートがあります。送信アトリビュートの例には、CTA に送信される System-Posture-Token アトリビュートがあります。

attribute-type の有効な値は次のとおりです。

boolean

string

integer

unsigned integer

ipaddr

date

version

octet-array

アトリビュートのデータ型の詳細については、「ポスチャ確認アトリビュートのデータ タイプ」を参照してください。

ポスチャ確認アトリビュート定義のエクスポート

-dumpAVP オプションを使用すると、現在のポスチャ確認アトリビュートがアトリビュート定義ファイルにエクスポートされます。ポスチャ確認アトリビュート定義ファイルの内容については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

ポスチャ確認アトリビュートをエクスポートするには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 2 次のように入力します。

CSUtil.exe -dumpavp filename

ここで、 filename には、 CSUtil.exe がすべてのアトリビュート定義を書き込むファイルの名前を入力します。

Enter キーを押します。


ヒント filename を指定する場合は、相対パスか絶対パスをファイル名のプレフィックスとして使用することもできます。たとえば、CSUtil.exe -dumpavp c:\temp\allavp.txt と指定すると、c:\temp にあるファイル allavp.txt に書き込まれます。

ステップ 3 ステップ 2 で指定したパスと名前のファイルに上書きすることを確認するプロンプトが表示された場合は、次のいずれかを実行します。

ファイルに上書きするには、 Y と入力して Enter キーを押します。


ヒント CSUtil.exe によって強制的に既存ファイルに上書きするには、-q オプションを使用して、CSUtil.exe -q -dumpavp filename と指定します。

ファイルを保持するには、 N と入力して Enter キーを押し、ステップ 2 に戻ります。

CSUtil.exe により、すべてのポスチャ確認アトリビュート定義が指定したファイルに書き込まれます。ファイルの内容を表示するには、任意のテキスト エディタを使用します。


 

ポスチャ確認アトリビュート定義のインポート

-addAVP オプションを使用すると、アトリビュート定義ファイルのポスチャ確認アトリビュート定義が ACS にインポートされます。ポスチャ確認アトリビュート定義ファイルの内容については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。アトリビュート定義ファイルの例については、「デフォルトのポスチャ確認アトリビュート定義ファイル」を参照してください。

始める前に

この手順を完了するには、 CSAuth サービスを再起動する必要があり、このため認証サービスを一時的に停止しなければならないため、この手順は、ACS サービスに対する要求が少ないときに実行してください。

「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、現在のポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、およびアトリビュート ID を二重に確認することもできます。

ポスチャ確認アトリビュートをインポートするには、次の手順を実行します。


ステップ 1 「ポスチャ確認アトリビュート定義ファイル」の説明に従って、正しくフォーマットされたアトリビュート定義ファイルを作成します。作成したファイルは、 CSUtil.exe が格納されているディレクトリか、または ACS を実行しているコンピュータからアクセス可能なディレクトリに配置します。

ステップ 2 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 3 次のように入力します。

CSUtil.exe -addavp filename

ここで、 filename には、 CSUtil.exe がすべてのアトリビュート定義を書き込むファイルの名前を入力します。

Enter キーを押します。


ヒント filename を指定する場合は、相対パスか絶対パスをファイル名のプレフィックスとして使用することもできます。たとえば、CSUtil.exe -addavp c:\temp\addavp.txt と指定すると、c:\temp にあるファイル addavp.txt に書き込まれます。

CSUtil.exe により、ファイルで指定されたアトリビュートが追加または変更されます。次の例では、9 つのポスチャ確認アトリビュートが正常に追加されています。

C:.../Utils 21: csutil -addavp myavp.txt
...
Attribute 9876:1:11 (Calliope) added to dictionary
Attribute 9876:1:3 (Clio) added to dictionary
Attribute 9876:1:4 (Erato) added to dictionary
Attribute 9876:1:5 (Euterpe) added to dictionary
Attribute 9876:1:6 (Melpomene) added to dictionary
Attribute 9876:1:7 (Polyhymnia) added to dictionary
Attribute 9876:1:8 (Terpsichore) added to dictionary
Attribute 9876:1:9 (Thalia) added to dictionary
Attribute 9876:1:10 (Urania) added to dictionary

AVPs from ’myavp.txt’ were successfully added

ステップ 4 インポートされたアトリビュート定義を有効にする準備ができたら、 CSAuth サービスと CSAdmin サービスを再起動します。


注意 CSAuth サービスが停止している間、ユーザ認証は行われません。

CSAuth CSLog 、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコマンドを入力し、コンピュータが各コマンドを実行するようにします。

net stop csauth
net start csauth
net stop cslog
net start cslog
net stop csadmin
net start csadmin

ACS は、インポートされたポスチャ確認アトリビュートの使用を開始します。アトリビュート タイプが in または in out のアトリビュートは、内部ポリシー規則を定義するときに Web インターフェイスで使用できます。


 

外部監査ポスチャ確認サーバのインポート

ACS ディクショナリにインポートする監査ベンダー ファイルを作成するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、\ bin ディレクトリ( CSUtil.exe が格納されているディレクトリ)に移動します。

ステップ 2 次のように入力します。

CSUtil.exe -addavp filename

ここで、 filename には、監査サーバのベンダー データが書き込まれているファイルの名前を入力します。ファイルが \bin ディレクトリ内にない場合は、フル パス名を追加する必要があります。

ファイルの形式は次のとおりです。

[attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
 

ステップ 3 Enter キーを押します。

ステップ 4 CSAdmin、CSAuth、および CSLog の各サービスを再起動します。サービスは、コマンド プロンプトから手動で再起動するか、Windows で Programs > Administrative Tools > Services を選択します。


 

ポスチャ確認アトリビュート定義の削除

-delAVP オプションを使用すると、ACS からポスチャ確認アトリビュートが 1 つ削除されます。

始める前に

この手順を完了するには、 CSAuth サービスを再起動する必要があり、このため認証サービスを一時的に停止しなければならないため、この手順は、ACS サービスに対する要求が少ないときに実行してください。

「ポスチャ確認アトリビュート定義のエクスポート」で説明した手順に従って、ポスチャ確認アトリビュート定義のバックアップを作成します。エクスポートしたアトリビュート定義ファイルを使用して、削除するポスチャ確認アトリビュートのベンダー ID、アプリケーション ID、およびアトリビュート ID を二重に確認することもできます。

ポスチャ確認アトリビュートを削除するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 2 次のように入力します。

CSUtil.exe -delavp vendor-ID application-ID attribute-ID

ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。

CSUtil.exe により、アトリビュートの削除について確認するプロンプトが表示されます。

ステップ 3 確認プロンプトの内容を確認してから、次のいずれかを実行します。

確認プロンプトに表示されているアトリビュートを削除する場合は、 Y と入力して Enter キーを押します。


ヒント -q オプションを使用すると、確認プロンプトを非表示にすることができます。

確認プロンプトに示されているアトリビュートを削除しない場合は、 N と入力して Enter キーを押し、ステップ 2 に戻ります。

CSUtil.exe により、指定したポスチャ確認アトリビュートが内部データベースから削除されます。次の例は、 CSUtil.exe でベンダー ID が 9876、アプリケーション ID が 1、およびアトリビュート ID が 1 のアトリビュートが 1 つ削除された状態を示しています。

Are you sure you want to delete vendor 9876; application 1; attribute 1? (y/n)
y

Vendor 9876; application 1; attribute 1 was successfully deleted

ステップ 4 アトリビュートの削除を有効にするには、 CSAuth サービスと CSAdmin サービスを再起動します。


注意 CSAuth サービスが停止している間、ユーザ認証は行われません。

CSAuth CSLog 、および CSAdmin の各サービスを再起動するには、コマンド プロンプトで次のコマンドを入力し、コンピュータが各コマンドを実行するようにします。

net stop csauth
net start csauth
net stop cslog
net start cslog
net stop csadmin
net start csadmin

削除されたポスチャ確認アトリビュートは、ACS では使用できなくなります。


 

拡張ポスチャ確認アトリビュート定義の削除

Cisco:Host アプリケーションの拡張ポスチャ確認プロパティ アトリビュートを削除するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 2 次のように入力します。

CSUtil.exe -delPropHPP <attribute ID> <property ID>

このコマンドにより、 Cisco:Host の下の拡張アトリビュートから、特定の PROPERTY が削除されます。

ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。


 

Cisco:Host アプリケーションの拡張ポスチャ確認 ENTITY アトリビュートを削除するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、 CSUtil.exe が格納されているディレクトリに移動します。

ステップ 2 次のように入力します。

CSUtil.exe -delEntHPP <attribute ID> <entity name>

このコマンドにより、 Cisco:Host の下の拡張アトリビュートから、特定の ENTITY が削除されます。

ベンダー ID、アプリケーション ID、およびアトリビュート ID の詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。


 


) 拡張アトリビュートは、Cisco:Host アプリケーションの下にある場合のみサポートされます。


デフォルトのポスチャ確認アトリビュート定義ファイル

例D-2 に、ACS で指定できるポスチャ確認アトリビュートの定義を示します。この例は、\ Utils フォルダのファイル acs4.0_avp.txt に保存されています。デフォルトのアトリビュートを元の定義にリセットする必要がある場合は、例D-2 の構文を使用してポスチャ確認アトリビュート定義ファイルを作成してください。アトリビュート定義ファイルのフォーマットの詳細については、「ポスチャ確認アトリビュート定義ファイル」を参照してください。

例D-2 デフォルトのポスチャ確認アトリビュート定義

[attr#0]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00001
attribute-name=Application-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
 
[attr#1]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00002
attribute-name=System-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
 
[attr#2]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00003
attribute-name=PA-Name
attribute-profile=in out
attribute-type=string
 
[attr#3]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00004
attribute-name=PA-Version
attribute-profile=in out
attribute-type=version
 
[attr#4]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00005
attribute-name=OS-Type
attribute-profile=in out
attribute-type=string
 
[attr#5]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00006
attribute-name=OS-Version
attribute-profile=in out
attribute-type=version
 
[attr#6]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00007
attribute-name=PA-User-Notification
attribute-profile=out
attribute-type=string
 
[attr#7]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00008
attribute-name=OS-Release
attribute-profile=in out
attribute-type=string
 
[attr#8]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00009
attribute-name=Kernel-Version
attribute-profile=in out
attribute-type=version
 
[attr#9]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00010
attribute-name=Action
attribute-profile=out
attribute-type=string
 
[attr#10]
vendor-id=9
vendor-name=Cisco
application-id=1
application-name=PA
attribute-id=00011
attribute-name=Machine-Posture-State
attribute-profile=in out
attribute-type=unsigned integer
 
[attr#11]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00001
attribute-name=Application-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
[attr#12]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00002
attribute-name=System-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
 
[attr#13]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00006
attribute-name=ServicePacks
attribute-profile=in
attribute-type=string
 
[attr#14]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00007
attribute-name=HotFixes
attribute-profile=in
attribute-type=string
 
[attr#15]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00008
attribute-name=HostFQDN
attribute-profile=in
attribute-type=string
 
[attr#16]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00100
attribute-name=Package
attribute-profile=in
attribute-type=string
 
[attr#17 (extended)]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00100
attribute-name=Package
entities-list=acrobat;cpio;cups;curl;cvs;cyrus-sasl;emacs;enscript;ethereal;evolution;gaim;gd;gdk-pixbuf;glibc;gnome-vfs2;gnupg;gtk2;httpd;ia32el;imagemagick;imap;imlib;iproute;ipsec-tools;kdegraphics;kdelibs;kdenetwork;kdepim;kernel;krb5;less;lftp;lha;libpng;libtiff;libxml;libxml2;mailman;mod_python;mozilla;mutt;mysql;mysql-server;nasm;net-snmp;netpbm;nfs-utils;openmotif;openoffice.org;openssh;openssl;perl;perl-dbi;php;postgresql;pwlib;python;qt;realplayer;redhat-config-nfs;rh-postgresql;rsh;rsync;ruby;samba;sharutils;slocate;sox;spamassassin;squid;squirrelmail;sysstat;tcpdump;telnet;tetex;utempter;vim;xchat;xemacs;xfree86;xloadimage;xpdf;zip;
property-id=4
property-name=Version
attribute-profile=in
attribute-type=version
 
[attr#18 (extended)]
vendor-id=9
vendor-name=Cisco
application-id=2
application-name=Host
attribute-id=00100
attribute-name=Package
entities-list=acrobat;cpio;cups;curl;cvs;cyrus-sasl;emacs;enscript;ethereal;evolution;gaim;gd;gdk-pixbuf;glibc;gnome-vfs2;gnupg;gtk2;httpd;ia32el;imagemagick;imap;imlib;iproute;ipsec-tools;kdegraphics;kdelibs;kdenetwork;kdepim;kernel;krb5;less;lftp;lha;libpng;libtiff;libxml;libxml2;mailman;mod_python;mozilla;mutt;mysql;mysql-server;nasm;net-snmp;netpbm;nfs-utils;openmotif;openoffice.org;openssh;openssl;perl;perl-dbi;php;postgresql;pwlib;python;qt;realplayer;redhat-config-nfs;rh-postgresql;rsh;rsync;ruby;samba;sharutils;slocate;sox;spamassassin;squid;squirrelmail;sysstat;tcpdump;telnet;tetex;utempter;vim;xchat;xemacs;xfree86;xloadimage;xpdf;zip;
property-id=5
property-name=Version-String
attribute-profile=in
attribute-type=string
 
[attr#19]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00001
attribute-name=Application-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
 
[attr#20]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00002
attribute-name=System-Posture-Assessment
attribute-profile=out
attribute-type=unsigned integer
 
[attr#21]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00005
attribute-name=CSAVersion
attribute-profile=in
attribute-type=version
 
[attr#22]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=00009
attribute-name=CSAOperationalState
attribute-profile=in
attribute-type=unsigned integer
 
[attr#23]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32768
attribute-name=CSAMCName
attribute-profile=in
attribute-type=string
 
[attr#24]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32769
attribute-name=CSAStates
attribute-profile=in
attribute-type=string
 
[attr#25]
vendor-id=9
vendor-name=Cisco
application-id=5
application-name=HIP
attribute-id=32770
attribute-name=DaysSinceLastSuccessfulPoll
attribute-profile=in
attribute-type=unsigned integer

外部監査デバイス タイプ アトリビュートの追加

ACS ディクショナリにインポートする監査デバイス タイプ アトリビュート ファイルを作成するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータで、MS-DOS コマンド プロンプトを開き、\ bin ディレクトリ( CSUtil.exe が格納されているディレクトリ)に移動します。

ステップ 2 次のように入力します。

CSUtil.exe -addavp filename

ここで、 filename には、監査サーバのベンダー データが書き込まれているファイルの名前を入力します。ファイルが \bin ディレクトリ内にない場合は、フル パス名を追加する必要があります。

ファイルの形式は次のとおりです。

[attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
attribute-id=00012
attribute-name=Device-Type
attribute-profile=in out
attribute-type=string
 

ステップ 3 Enter キーを押します。

ステップ 4 CSAdmin、CSAuth、および CSLog の各サービスを再起動します。サービスは、コマンド プロンプトから手動で再起動するか、Windows で Programs > Administrative Tools > Services を選択します。