Cisco Secure ACS Remote Agents インストレーション コンフィギュレーション ガイド 4.2
Cisco Secure ACS Remote Agents の 概要
Cisco Secure ACS Remote Agents の概要
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 678KB) | フィードバック

目次

Cisco Secure ACS Remote Agents の概要

概要

制限事項

リモート エージェントの概念

コンフィギュレーション ツール

コンフィギュレーション プロバイダー

ロギングの概要

認証の概要

リモート エージェント サービス

CSAgent

CSLogAgent

CSWinAgent

ACS SE でのリモート エージェントの設定

Cisco Secure ACS Remote Agents の概要

この章では、Cisco Secure Access Control Server(ACS)Remote Agent for Windows および Cisco Secure ACS Remote Agent for Solaris について紹介します。

この章は、次の項で構成されます。

概要

制限事項

リモート エージェントの概念

リモート エージェント サービス

ACS SE でのリモート エージェントの設定

概要

ACS Remote Agent for Windows および ACS Remote Agent for Solaris は、Cisco Secure ACS Solution Engine(ACS SE)のリモート ロギングをサポートするアプリケーションです。すべてのアカウンティング データをアプライアンスからリモート エージェントに転送することによって、アプライアンスのディスク領域を確保できます。また、アプライアンスのローカル ロギングに必要とされる、頻度が高く、時間のかかるディスク書き込みをなくすことで、AAA パフォーマンスを向上させます。

Windows リモート エージェントは、Microsoft Windows 認証もサポートします。ACS SE で Microsoft Windows 認証をサポートする場合は、ACS Remote Agent for Windows を使用する必要があります。Windows 認証要求は、信頼できる Microsoft Windows ドメインのメンバーであるコンピュータから送信される必要があります。ACS SE は、Microsoft Windows ドメインのメンバーになれないので、ACS 4.2 には ACS Remote Agent for Windows が用意されています。これを使用すると、リモート エージェントは信頼できる Microsoft Windows ドメインに属するコンピュータで実行されているアプリケーションとして認識され、正常に認証要求をドメインに渡すことができます。リモート エージェントは、Microsoft Windows にアプライアンスから受信した各認証要求を送信します。リモート エージェントが認証応答を受信すると、要求を発信したアプライアンスに応答を転送します。

リモート エージェントと ACS SE 間のすべての通信は、Blowfish アルゴリズムおよび 128 ビット キーを使用して暗号化されます。さらに、暗号化セッション キーは、公開キー交換プロトコルを使用して、リモート エージェントとアプライアンスの間でランダムに交換されます。

詳細については、「 リモート エージェントの概念 」を参照してください。

制限事項

ACS Remote Agent の設計には、次の制限事項が盛り込まれています。

ACS SE だけをサポート :ACS for Windows はサポートされていません。

複数のアプライアンスをサポート :1 つの ACS Remote Agent が、多数の ACS SE アプライアンスをサポートできます。ただし、サポートするアプライアンスに対して同時接続数は最大 5 つに制限されます。たとえば、3 つのプライマリ ACS アプライアンスと 3 つのセカンダリ ACS アプライアンスをフェールオーバー目的で設置する場合、リモート エージェントは、6 つのアプライアンスすべてにサービスを提供しますが、同時接続数は最大 5 つに保ちます。

リモート エージェントの概念

この項では、リモート エージェントの動作とコンフィギュレーションの基礎となる概念について説明します。

この項は、次のトピックで構成されます。

コンフィギュレーション ツール

コンフィギュレーション プロバイダー

ロギングの概要

認証の概要

コンフィギュレーション ツール

ACS Remote Agent には、Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)も Command-Line Interface(CLI; コマンドライン インターフェイス)もありません。その代わりに、次の情報源に基づいてコンフィギュレーションが生成されます。

CSAgent.ini :リモート エージェントが起動設定に使用するコンフィギュレーション値が含まれたテキスト ファイル。「 リモート エージェントの設定 」を参照してください。

コンフィギュレーション プロバイダー :追加のコンフィギュレーションを提供する ACS SE。特にリモート エージェント のロギング サービスに利用されます。詳細については、「 コンフィギュレーション プロバイダー 」を参照してください。

コンフィギュレーション プロバイダー

リモート エージェントは多数のアプライアンスからの通信を受信できますが、コンフィギュレーション命令は CSAgent.ini ファイルに指定された 1 つのアプライアンスからしか受け取りません。この特別なアプライアンスを、コンフィギュレーション プロバイダーと呼びます。

リモート エージェントが起動すると、リモート エージェントは CSAgent.ini ファイルを読み取り、どのサービスが使用可能である必要があり、どのアプライアンスがコンフィギュレーション プロバイダーかを判別します。次に、コンフィギュレーション プロバイダーと交信し、コンフィギュレーションを要求します。

コンフィギュレーション プロバイダーからコンフィギュレーションを受信した後、リモート エージェントは CSAgent.ini に設定されたサービスを提供できるようになります。中核となるサービスである CSAgent は、リモート エージェント起動の全般とサービスのアベイラビリティを管理します。図1-1を参照してください。 CSAgent サービスの詳細については、「 CSAgent 」を参照してください。

図1-1 コンフィギュレーション プロバイダーおよびリモート エージェント

 

ロギングの概要

リモート エージェントのロギング コンフィギュレーションは、コンフィギュレーション プロバイダーによって大きく異なります。これは、コンフィギュレーション プロバイダーによって、各ログの内容が決まるからです。リモート エージェントのロギング設定は、コンフィギュレーション プロバイダー HTML インターフェイスの System Configuration 項の Logging ページで行えます。詳細については、『 User Guide for Cisco Secure ACS Solution Engine 4.2 』を参照してください。

リモート エージェントを使用するすべての ACS SE アプライアンスは、リモート エージェントのロギング サービスである CSLogAgent にロギング データを直接送信します。 CSLogAgent は、ロギング データをコンフィギュレーション プロバイダーによって指定されたハードディスクの所定の場所に書き込みます。ログには、コンフィギュレーション プロバイダーによって指定されたカラムが含まれます。図1-2を参照してください。 CSLogAgent サービスの詳細については、「 CSLogAgent 」を参照してください。

図1-2 1 つのリモート エージェントにロギングする複数のアプライアンス

 

認証の概要

Microsoft Windows 認証サービスである CSWinAgent は、ACS Remote Agent for Windows でだけ使用可能です。 CSWinAgent は、アプライアンスからの複数のタイプの認証関連要求を処理します。これらには、ユーザ認証の要求、Extensible Authentication Protocol - Transport Layer Security(EAP-TLS)サポートのためのユーザ検索、ユーザ グループ メンバーシップ検索、ユーザ ダイヤルイン権限検索、およびグループの列挙(アプライアンスのコンフィギュレーション グループ マッピングに使用)が含まれます。リモート エージェントを使用するすべてのアプライアンスは、Microsoft Windows 認証関連要求を CSWinAgent に送信します。図1-3を参照してください。

図1-3 Windows 認証用のリモート エージェントを使用する複数のアプライアンス

 

CSWinAgent は、仲介役として動作し、複数のアプライアンスの要求を処理します。CSWinAgent は、オペレーティング システムに要求を渡します。オペレーティング システムは、CSWinAgent に要求の結果を戻します。次に、CSWinAgent が要求を発信したアプライアンスに要求の結果を渡します。図1-4を参照してください。CSWinAgent の詳細については、「 CSWinAgent 」を参照してください。

図1-4 Windows 認証メッセージング

 

リモート エージェント サービス

この項では、ACS Remote Agent を構成する次の 3 つの個別のサービスについて説明します。

CSAgent

CSLogAgent

CSWinAgent

CSAgent

CSAgent は、中核となるサービスです。CSAgent は、他のサービスである CSLogAgent および CSWinAgent(Windows リモート エージェント使用に限定)を管理します。アプライアンスが最初にリモート エージェントと交信するとき、アプライアンスは CSAgent.ini ファイルのコンフィギュレーションに定められたとおりに、 CSAgent に対して使用可能なサービスのクエリーを行います。Windows リモート エージェントを使用する場合、使用可能なサービスは、インストール時に Microsoft Windows サービスとして CiscoSecure ACS Agent という名称で登録されるものだけです。

ここでは、 CSAgent サービスの次の特徴について説明します。

サービスの集中管理 CSAgent は、他の 2 つのサービスを管理します。リモート エージェントを起動するには、 CSAgent を起動します。リモート エージェントを停止するには、 CSAgent を停止します。 CSAgent では、必要に応じて他のサービスの停止と起動ができます。詳細については、「 リモート エージェント サービスの停止および起動 」を参照してください。

モニタリング :CSAgent は、他のサービスの基本的なモニタリングを行います。CSLogAgent または CSWinAgent が突然停止した場合は、CSAgent が再起動を試みます。再起動に失敗した場合は、10 秒待機し、失敗したサービスを再起動します。

診断ログ :CSAgent は、CSAgent ディレクトリ内の Log サブディレクトリにあるサービス ログ ファイルにエラーを記録します。詳細については、「 ファイルおよびディレクトリ構造 」を参照してください。

ログ収集のサポート :アプライアンスによって要求された場合、CSAgent は診断ログを収集し、収集した診断ログを 1 つのキャビネット ファイルに圧縮します。詳細については、「 Support ログの取得 」を参照してください。

デバッグ モード :デバッグを行う場合は、MS-DOS プロンプトから CSAgent を実行すると、詳細な情報を出力できます。詳細については、「 デバッグ モードでの CSAgent の実行 」を参照してください。

設定可能な TCP ポート :デフォルトでは、 CSAgent は、TCP ポート 2004 でアプライアンスからの要求を受信します。システムが使用するポートは、ユーザが設定することもできます。詳細については、「 リモート エージェントの設定 」を参照してください。

制限可能なクライアント IP アドレスの範囲 :追加のセキュリティとして、リモート エージェントが要求を許可する IP アドレスを制限できます。詳細については、「 リモート エージェントの設定 」を参照してください。

CSLogAgent

CSLogAgent は、ロギング サービスです。 CSAgent はこのロギング サービスを管理してはいますが、ロギング データは直接アプライアンスから受信します。CSLogAgent が起動すると、CSLogAgent は CSAgent.ini ファイルに指定されたコンフィギュレーション プロバイダーからのコンフィギュレーションを要求します。コンフィギュレーションを受信すると、ロギング サービスを実行することができます。CSLogAgent がコンフィギュレーション プロバイダーからコンフィギュレーションを受信するときに障害が発生した場合、CSLogAgent はコンフィギュレーションを正常に受信できるまで繰り返し再起動されます。

ここでは、CSLogAgent サービスの次の特徴について説明します。

アカウンティング データの中央集中型収集 :CSLogAgent はロギング データを
Comma-Separated Value(CSV)ファイルに書き込みます。CSV ファイルは、スプレッドシートやリレーショナル データベースなど、一般的な多くのアプリケーションに簡単にインポートできます。サードパーティ製のレポーティング ツールを使用して、アカウンティング データを管理することもできます。たとえば、Extraxi 製の aaa-reports! は ACS をサポートしています。各レポート タイプに記録される値は、コンフィギュレーション プロバイダーによって決まります。レポートは、 CSAgent.ini ファイルに定義されたコンフィギュレーション プロバイダーの HTML インターフェイスを使用して設定します。ログの格納場所の詳細については、「 ファイルおよびディレクトリ構造 」を参照してください。コンフィギュレーション プロバイダー HTML インターフェイスのログ設定方法の詳細については、『 User Guide for Cisco Secure ACS Solution Engine 4.2 』を参照してください。

診断ログ :CSLogAgent は、CSLogAgent ディレクトリ内の Log サブディレクトリにあるサービス ログ ファイルにエラーを記録します。詳細については、「 ファイルおよびディレクトリ構造 」を参照してください。

デバッグ モード :デバッグ モードで CSAgent を実行すると、CSLogAgent もデバッグ モードで実行され、詳細な情報を出力できます。詳細については、「 デバッグ モードでの CSAgent の実行 」を参照してください。

設定可能な TCP ポート :デフォルトでは、CSLogAgent は、TCP ポート 2006 でコンフィギュレーション プロバイダーとの通信を受信し、TCP ポート 2007 で許可されたアプライアンスからのアカウンティング データを受信します。詳細については、「 リモート エージェントの設定 」を参照してください。

制限可能なクライアント IP アドレスの範囲 :追加のセキュリティとして、リモート エージェントがロギング関連要求またはデータを許可する IP アドレスを制限できます。詳細については、「 リモート エージェントの設定 」を参照してください。

CSWinAgent

CSWinAgent サービスは、Windows リモート エージェントだけに含まれます。CSWinAgent サービスは、Microsoft Windows 認証をサポートするサービスです。 CSAgent はこのサービスを管理していますが、受信設定がされているポートで、アプライアンスからの認証要求を直接受信します。CSWinAgentは、ユーザおよびマシンの認証、ユーザ パスワードの変更、およびグループ メンバーシップの取得をサポートします。ユーザ アクセスに対する応答はできません。その代わりに、クエリーを要求したアプライアンスに Microsoft Windows クエリーの結果を渡します。

CSWinAgent は、接続プールをオープンに保ちます。これによって、アプライアンスからの要求が増加したときにスループットが改善されます。

ACS SE は、PAP および EAP-GTC 認証要求を受信すると、リモート エージェントに要求を送信する前にプレーンテキストのパスワードを Microsoft-Challenge-Handshake Authentication Protocol(MS-CHAP)クレデンシャルに変換します。リモート エージェントとアプライアンスの間のすべての通信は 128 ビット暗号化なので、この変換は付加的なセキュリティとなります。

ここでは、 CSWinAgent サービスの次の特徴について説明します。

診断ログ CSWinAgent は、 CSWinAgent ディレクトリ内の Log サブディレクトリにあるサービス ログ ファイルにエラーを記録します。詳細については、「 ファイルおよびディレクトリ構造 」を参照してください。

デバッグ モード :デバッグ モードで CSAgent を実行すると、 CSWinAgent もデバッグ モードで実行され、詳細な情報を出力できます。詳細については、「 デバッグ モードでの CSAgent の実行 」を参照してください。

設定可能な TCP ポート :デフォルトでは、 CSWinAgent は、TCP ポート 2005 でコンフィギュレーション プロバイダーからの通信を受信します。詳細については、「 リモート エージェントの設定 」を参照してください。

制限可能なクライアント IP アドレスの範囲 :追加のセキュリティとして、リモート エージェントが認証関連要求を許可する IP アドレスを制限できます。詳細については、「 リモート エージェントの設定 」を参照してください。

ACS SE でのリモート エージェントの設定

ACS SE がリモート エージェントを使用する方法を設定することができます。コンフィギュレーション プロバイダーとして設定されているアプライアンスでは、ロギング コンフィギュレーションがリモート エージェントのロギング サービスの実行方法を決定します。

User Guide for Cisco Secure ACS Solution Engine 4.2 』には、次に関する情報が含まれています。

ACS SE のネットワーク コンフィギュレーションにリモート エージェントを追加する方法

リモート エージェントを使用した Windows 認証の実行方法

リモート エージェントを使用したロギング方法