Cisco Secure ACS Appliance ユーザガイド 3.2
システムの設定:上級
システムの設定:上級
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

システムの設定:上級

CiscoSecure データベース複製

CiscoSecure データベース複製について

複製プロセス

複製の頻度

実装に関する重要な検討事項

データベース複製とデータベース バックアップの比較

データベース複製のロギング

複製オプション

複製コンポーネント オプション

発信複製オプション

着信複製オプション

Cisco Secure ACS でのプライマリおよびセカンダリ複製セットアップの実装

セカンダリ Cisco Secure ACS の設定

即時複製

複製のスケジューリング

CiscoSecure データベース複製の使用不可設定

データベース複製イベント エラー

RDBMS の同期

RDBMS の同期について

ユーザ

ユーザ グループ

ネットワーク設定

カスタム RADIUS ベンダーと VSA

RDBMS 同期のコンポーネント

CSDBSync について

accountActions ファイルについて

accountActions テーブルを使用した Cisco Secure ACS データベースの復旧

RDBMS 同期の使用準備

RDBMS 同期オプション

FTP セットアップ オプション

同期スケジューリング オプション

同期パートナー オプション

RDBMS 同期の即時実行

RDBMS 同期のスケジューリング

スケジューリングされた RDBMS 同期の使用不可設定

IP プール サーバ

IP プール サーバについて

IP プールのオーバーラップの許可または一意のプール アドレス範囲の強制

AAA Server IP Pools テーブルのリフレッシュ

新規 IP プールの追加

IP プール定義の編集

IP プールのリセット

IP プールの削除

IP プール アドレスの回復

IP プール アドレス回復の使用可能設定

システムの設定:上級

この章では、Cisco Secure ACS Appliance の System Configuration セクションにある CiscoSecure データベース複製機能および RDBMS 同期機能について説明します。この章は、次の項で構成されます。

この章では、次のトピックについて取り上げます。

「CiscoSecure データベース複製」

「RDBMS の同期」

「IP プール サーバ」

「IP プール アドレスの回復」

CiscoSecure データベース複製

このセクションでは、CiscoSecure データベース複製機能について、この機能を実装する手順およびそれに関連した Cisco Secure ACS の設定手順も含めて説明します。

この項では、次のトピックについて取り上げます。

「CiscoSecure データベース複製について」

「実装に関する重要な検討事項」

「データベース複製とデータベース バックアップの比較」

「データベース複製のロギング」

「複製オプション」

「Cisco Secure ACS でのプライマリおよびセカンダリ複製セットアップの実装」

「セカンダリ Cisco Secure ACS の設定」

「即時複製」

「複製のスケジューリング」

「CiscoSecure データベース複製の使用不可設定」

「データベース複製イベント エラー」

CiscoSecure データベース複製について

データベース複製は、AAA 環境の耐障害性を強化するために役立ちます。データベース複製は、プライマリ Cisco Secure ACS セットアップの一部を 1 つまたは複数のセカンダリ Cisco Secure ACS に複製することで、Cisco Secure ACS のミラー システムを作成する場合に有効です。プライマリ Cisco Secure ACS に障害が発生するか、または到達不能になった場合に、これらのセカンダリ Cisco Secure ACS を使用するように AAA クライアントを設定できます。プライマリ Cisco Secure ACS の CiscoSecure データベースを複製したデータベースを備えたセカンダリ Cisco Secure ACS があると、プライマリ Cisco Secure ACS が停止した場合に、着信要求はネットワークのダウンタイムなしに認証されます。ただし、AAA クライアントがセカンダリ Cisco Secure ACS へのフェールオーバーを行うように設定されている必要があります。

データベース複製では、次の操作が可能です。

プライマリ Cisco Secure ACS の設定のどの部分を複製するかの選択

スケジュール作成などの複製プロセスのタイミングの制御

選択した設定項目のプライマリ システムからのエクスポート

プライマリ Cisco Secure ACS から 1 つまたは複数のセカンダリ Cisco Secure ACS への、選択した設定データのセキュアな転送

セカンダリ Cisco Secure ACS の更新による設定の一致

データベース複製機能では、次に示す複製はサポートされません。

IP プール定義(詳細については、「IP プール サーバについて」を参照)。IP プール定義を複製すると、複数の Cisco Secure ACS が同じ IP アドレスを異なるクライアントに割り当てる可能性が生じます。それぞれの Cisco Secure ACS に対して手作業で IP プール定義を作成する必要があります。手作業による作成が終了した後で、ユーザおよびグループ IP プールの設定の複製がサポートされます。

異なるバージョンの Cisco Secure ACS 間での複製。同じバージョンを使用する Cisco Secure ACS 間の複製だけがサポートされます。複製に関わるすべての Cisco Secure ACS では、パッチ レベルも同じものを使用することを強く推奨します。

Cisco Secure ACS の証明書ファイルと秘密キー ファイル。これらは Cisco Secure ACS ごとにインストールされている必要があります。

ユーザ定義の RADIUS ベンダーと Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。ユーザ定義の RADIUS ベンダーと VSA は、Cisco Secure ACS ごとに手作業で追加する必要があります。その作業が完了した後で、ユーザ定義の RADIUS ベンダーと VSA を使用している設定の複製がサポートされます。

データベース複製に関して、Cisco Secure ACS は次のように区別されています。

プライマリ Cisco Secure ACS :複製した CiscoSecure データベース コンポーネントを他の Cisco Secure ACS に送信する Cisco Secure ACS です。

セカンダリ Cisco Secure ACS :複製した CiscoSecure データベース コンポーネントをプライマリ Cisco Secure ACS から受信する Cisco Secure ACS です。HTML インターフェイスでは、これらは複製パートナーとして識別されます。

Cisco Secure ACS は、プライマリ Cisco Secure ACS にもセカンダリ Cisco Secure ACS にもなることができます。ただし、ある Cisco Secure ACS に対してプライマリとして動作している Cisco Secure ACS が、同じ Cisco Secure ACS に対してセカンダリとなるような設定はできません。


) Cisco Secure ACS が同じリモート Cisco Secure ACS に対してデータベース コンポーネントの送信と受信を行う双方向の複製はサポートされていません。



) 複製に関わるすべての Cisco Secure ACS が、同じリリースの Cisco Secure ACS ソフトウェアを実行している必要があります。たとえば、プライマリ Cisco Secure ACS で Cisco Secure ACS バージョン 3.2 を実行している場合は、すべてのセカンダリ Cisco Secure ACS で Cisco Secure ACS バージョン 3.2 を実行している必要があります。パッチ リリースによって CiscoSecure データベースに大幅な変更が加えられる場合があります。このため、複製に関わるすべての Cisco Secure ACS で、使用するパッチ レベルも一致させておくことを強く推奨します。


複製プロセス

この項では、データベース複製のプロセスについて、プライマリ Cisco Secure ACS と各セカンダリ Cisco Secure ACS との相互動作を含めて説明します。データベース複製は次の手順で行われます。

1. プライマリ Cisco Secure ACS は、前回の複製が正常に実行された後にデータベースが変更されたかどうかを判別します。変更が行われていた場合は、複製が続行されます。変更が行われていない場合は、複製が打ち切られます。プライマリとセカンダリの Cisco Secure ACS のデータベースの比較は行われません。


ヒント パスワードの変更や RADIUS アトリビュートの修正など、ユーザまたはグループ プロファイルに何か変更を加えることで、強制的に複製を実行することができます。


2. プライマリ Cisco Secure ACS がセカンダリ Cisco Secure ACS に接続します。この初期接続では、次の 4 つのイベントが発生します。

a. 2 つの Cisco Secure ACS の間で、プライマリ Cisco Secure ACS の共有秘密情報に基づく相互認証が行われます。認証に失敗すると、複製が失敗します。


) セカンダリ Cisco Secure ACS 上にある AAA Servers テーブルの、プライマリ Cisco Secure ACS に対応するエントリに保持されている共有秘密情報は、プライマリ Cisco Secure ACS が自己の AAA Servers テーブルのエントリに保持する共有秘密情報と一致している必要があります。セカンダリ Cisco Secure ACS の共有秘密情報は複製には無関係です。


b. セカンダリ Cisco Secure ACS は、自分がプライマリ Cisco Secure ACS に対して複製を行うように設定されていないことを確認します。そのように設定されている場合は、複製が打ち切られます。Cisco Secure ACS は、双方向複製をサポートしていません。双方向複製とは、1 つの Cisco Secure ACS が、同一のリモート Cisco Secure ACS のプライマリとセカンダリの両方として動作することです。

c. プライマリ Cisco Secure ACS は、自分が実行している Cisco Secure ACS のバージョンと、セカンダリ Cisco Secure ACS が実行している Cisco Secure ACS のバージョンが一致していることを確認します。バージョンが一致していない場合、複製は失敗します。

d. プライマリ Cisco Secure ACS は、自分が送信するように設定されているデータベース コンポーネントのリストと、セカンダリ Cisco Secure ACS が受信するように設定されているデータベース コンポーネントのリストを比較します。プライマリ Cisco Secure ACS が送信するように設定されているコンポーネントを、セカンダリ Cisco Secure ACS が受信するように設定されていない場合は、データベース複製は失敗します。

3. プライマリ Cisco Secure ACS がどのコンポーネントをセカンダリ Cisco Secure ACS に送信するかを決定した後、プライマリ Cisco Secure ACS で複製プロセスが次のように続けられます。

a. プライマリ Cisco Secure ACS は認証を停止し、複製するように設定されている CiscoSecure データベース コンポーネントのコピーを作成します。この手順の間、AAA クライアントが正しく設定されていると、通常はこのプライマリ Cisco Secure ACS を使用する AAA クライアントが、別の Cisco Secure ACS にフェールオーバーします。

b. プライマリ Cisco Secure ACS は認証サービスを再開します。また、セカンダリ Cisco Secure ACS への送信のために、自分のデータベース コンポーネントのコピーを圧縮し、暗号化します。

c. プライマリ Cisco Secure ACS は、圧縮、暗号化した自分のデータベース コンポーネントのコピーをセカンダリ Cisco Secure ACS に送信します。 この送信は、ポート 2000 を使用して TCP 接続で行われます。TCP セッションでは、Cisco 独自の 128 ビット暗号化プロトコルが使用されます。

4. プライマリ Cisco Secure ACS で上記のイベントが行われた後、セカンダリ Cisco Secure ACS でデータベース複製プロセスが次のように続けられます。

a. セカンダリ Cisco Secure ACS は、プライマリ Cisco Secure ACS から圧縮、暗号化された CiscoSecure データベース コンポーネントのコピーを受信します。データベース コンポーネントの受信が完了した後、セカンダリ Cisco Secure ACS はデータベース コンポーネントを圧縮解除します。

b. セカンダリ Cisco Secure ACS は、認証サービスを停止し、自分のデータベース コンポーネントを、プライマリ Cisco Secure ACS から受信したデータベース コンポーネントで置き換えます。この手順の間、AAA クライアントが正しく設定されていると、通常はこのセカンダリ Cisco Secure ACS を使用する AAA クライアントが、別の Cisco Secure ACS にフェールオーバーします。

c. セカンダリ Cisco Secure ACS が認証サービスを再開します。

Cisco Secure ACS は、プライマリ Cisco Secure ACS としても、セカンダリ Cisco Secure ACS としても動作できます。図 9-1にカスケード複製シナリオの例を示します。サーバ 1 はプライマリ Cisco Secure ACS としてのみ動作し、セカンダリ Cisco Secure ACS として動作するサーバ 2 とサーバ 3 への複製を行います。 サーバ 1 からサーバ 2 への複製が完了すると、サーバ 2 はプライマリ Cisco Secure ACS として動作しながら、サーバ 4 とサーバ 5 への複製を行います。同様に、サーバ 3 はプライマリ Cisco Secure ACS として動作しながら、サーバ 6 とサーバ 7 への複製を行います。


) カスケード複製を使用してネットワーク設定デバイス テーブルを複製する場合、プライマリ Cisco Secure ACS に、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS を設定する必要があります。プライマリ Cisco Secure ACS から複製を直接的に受信するか、間接的に受信するかは関係ありません。図 9-1では、サーバ 1 の AAA Servers テーブル内に、他の 6 つの Cisco Secure ACS のそれぞれに対応するエントリが必要です。そうでない場合、複製の終了後に、サーバ 2 とサーバ 3 の AAA Servers テーブルには サーバ 4 ~ 7 に対応するエントリがないため、複製は失敗します。


サーバ 2 が、サーバ 1 から複製を受信することに加えて、サーバ 1 へ複製するように設定されていた場合、サーバ 2 への複製は失敗します。Cisco Secure ACS は、双方向複製と呼ばれるこのような設定をサポートしていません。このような複製が行われるのを防ぐため、セカンダリ Cisco Secure ACS は、Replication リストに自分のプライマリ Cisco Secure ACS が含まれている場合は複製を打ち切ります。

図 9-1 カスケード データベース複製

 

複製の頻度

Cisco Secure ACS が複製を行う頻度は、AAA の全体的なパフォーマンスに重要な影響を与えます。複製の頻度を高くするほど、セカンダリ Cisco Secure ACS はプライマリ Cisco Secure ACS の最新の状態に近くなります。頻度を高くすることによって、プライマリ Cisco Secure ACS で障害が発生した場合に、より最新状態に近いセカンダリ Cisco Secure ACS を使用できます。

複製の頻度を高くすることには負担も伴います。複製の頻度を高くするほど、多重 Cisco Secure ACS アーキテクチャとネットワーク環境にかかる負荷が大きくなります。複製を頻繁に実行するようにスケジューリングすると、ネットワーク トラフィックが大幅に増加します。また、複製システムにかかる処理負荷が増大します。複製によってシステム リソースが消費され、認証が少しの間中断されるため、複製を繰り返す頻度を高くすると、Cisco Secure ACS の AAA パフォーマンスへの影響が大きくなります。


) スケジュールされている複製の頻度にかかわらず、前回の複製が正常に実行された後にプライマリ Cisco Secure ACS のデータベースが変更されている場合にだけ、複製が実行されます。


この問題は、大規模データベースや頻繁に変更されるデータベースで顕著に現れます。データベース複製は、差分型ではなく破壊型バックアップです。言い換えると、実行するたびにセカンダリ Cisco Secure ACS のデータベースと設定は完全に置き換わります。したがって、データベースが大規模な場合は、転送されるデータの量が膨大になり、処理によるオーバーヘッドも大きくなる可能性があります。

実装に関する重要な検討事項

CiscoSecure データベース複製機能を実装する場合は、次の点を十分に検討してください。

Cisco Secure ACS では、他の Cisco Secure ACS へのデータベース複製だけがサポートされます。CiscoSecure データベース複製に関わる Cisco Secure ACS はすべて、同じバージョンの Cisco Secure ACS を実行している必要があります。複製に関わるすべての Cisco Secure ACS では、パッチ レベルも同じものを使用することを強く推奨します。

複製に関わるすべての Cisco Secure ACS の AAA Servers テーブルを正しく設定する必要があります。

プライマリ Cisco Secure ACS の AAA Servers テーブル内には、セカンダリ Cisco Secure ACS のそれぞれに対応するエントリを正確に設定しておく必要があります。


) カスケード複製を使用してネットワーク設定デバイス テーブルを複製する場合、プライマリ Cisco Secure ACS に、複製データベース コンポーネントを受信するすべての Cisco Secure ACS を設定する必要があります。それらがそのプライマリ Cisco Secure ACS から複製を直接的に受信するか、間接的に受信するかは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS への複製を行い、次に、それらの各々が 2 つの Cisco Secure ACS への複製を行う場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべての AAA サーバ情報を持つ必要があります。


セカンダリ Cisco Secure ACS の AAA Servers テーブル内には、それぞれのプライマリ Cisco Secure ACS に対応するエントリを正確に設定しておく必要があります。

プライマリ Cisco Secure ACS とそのすべてのセカンダリ Cisco Secure ACS では、AAA Servers テーブル内のプライマリ Cisco Secure ACS に対応するエントリに、同一の共有秘密情報が保持されている必要があります。

適切な設定がされている場合にだけ、有効な Cisco Secure ACS がセカンダリ Cisco Secure ACS になることができます。データベースの複製に対応するようにセカンダリ Cisco Secure ACS を設定するには、「セカンダリ Cisco Secure ACS の設定」を参照してください。

スケジュールされている複製の頻度にかかわらず、前回の複製が正常に実行された後にプライマリ Cisco Secure ACS のデータベースが変更されている場合にだけ、複製が実行されます。前回の複製が正常に実行された後にデータベースの変更が行われていない場合は、複製がスケジュールに従って、または手動で起動されたとき、プライマリ Cisco Secure ACS は自動的にその複製を打ち切ります。


ヒント パスワードの変更や RADIUS アトリビュートの修正など、ユーザまたはグループ プロファイルに何か変更を加えることで、強制的に複製を実行することができます。


セカンダリ Cisco Secure ACS への複製は、CiscoSecure Database Replication ページの Replication Partners の下にある Replication リストに表示されている順番に従って、順に行われます。

複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、プライマリ Cisco Secure ACS からデータベース複製を受け取るように設定されている必要があります。データベースの複製に対応するようにセカンダリ Cisco Secure ACS を設定するには、「セカンダリ Cisco Secure ACS の設定」を参照してください。

Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け取ります。含まれている場合は、そのコンポーネントを拒否します。

ユーザ定義の RADIUS ベンダーと VSA が使用されているユーザ設定とグループ設定を複製するには、そのユーザ定義の RADIUS ベンダーおよび VSA の定義をプライマリおよびセカンダリ Cisco Secure ACS 上で手作業で追加し、ユーザ定義の RADIUS ベンダーが占有する RADIUS ベンダー スロットが、それぞれの Cisco Secure ACS 上で同一であることを確認する必要があります。その作業が完了した後で、ユーザ定義の RADIUS ベンダーと VSA を使用している設定の複製がサポートされます。ユーザ定義の RADIUS ベンダーと VSA の詳細については、「カスタム RADIUS ベンダーと VSA」を参照してください。

データベース複製とデータベース バックアップの比較

データベース複製とシステム バックアップを混同しないようにしてください。データベース複製は、システム バックアップの代用には なりません 。どちらの機能もサーバの部分的または全面的な損失を防ぎますが、それぞれの機能は問題への対処方法が異なっています。

システム バックアップでは、システムに障害が発生したりデータが破壊された場合に、後で設定を復元するために使用できる形式にデータがアーカイブされます。バックアップ データはローカルのハード ドライブに保存されるので、コピーしてシステムから取り出し、長期保管することが可能です。データベース バックアップ ファイルは複数の世代を保存できます。

CiscoSecure データベース複製は、CiscoSecure データベースのさまざまなコンポーネントを別の Cisco Secure ACS にコピーするときに便利です。この機能は、フェールオーバー AAA アーキテクチャを計画したり、設定タスクと保守タスクの複雑さを軽減するために役立ちます。ごくまれに、CiscoSecure データベース複製によって、破壊されたデータベースが、バックアップ ファイルを生成する Cisco Secure ACS に伝搬される可能性があります。


注意 CiscoSecure データベース複製を使用するかどうかにかかわらず、破壊されたデータベースをバックアップしてしまう可能性があります。小さいながらもこのようなリスクがあるため、基幹となるシステム環境で Cisco Secure ACS を使用している場合は、この可能性を考慮に入れたバックアップ計画を実施することを強く推奨します。Cisco Secure ACS システムまたは CiscoSecure データベースのバックアップの詳細については、「Cisco Secure ACS のバックアップ」を参照してください。

ローカル設定の必要上、複製では IP プール定義は処理されません(ただし、IP プール割り当ては、ユーザまたはグループ プロファイルの一部として複製されます)。したがって、該当する場合は、異なるアドレス範囲を設定するときに共通プール名を使用するやり方で、共通 IP プール定義を手作業で設定する必要があります。認証情報はそれぞれの Cisco Secure ACS に特有なものなので、認証の設定内容も複製の対象にはなりません。

また、Network Device Group(NDG; ネットワーク デバイス グループ)設定を使用している場合は、Cisco Secure ACS 間でその設定を一定に保つ必要があります。つまり、プライマリ Cisco Secure ACS が、セカンダリ Cisco Secure ACS で定義されていない NDG を呼び出すユーザまたはグループ プロファイルを送信するのを防ぐ必要があります。

データベース複製のロギング

Cisco Secure ACS は、複製イベントが成功したかどうかに関係なく、すべての複製イベントを、HTML インターフェイスの Reports and Activity セクションにある Database Replication レポートにロギングします。Cisco Secure ACS のレポートの詳細については、「概要」を参照してください。

複製オプション

Cisco Secure ACS の HTML インターフェイスには、CiscoSecure データベース複製の設定に次の 3 つのオプションが用意されています。

この項では、次のトピックについて取り上げます。

「複製コンポーネント オプション」

「発信複製オプション」

「着信複製オプション」

複製コンポーネント オプション

Cisco Secure ACS がプライマリ Cisco Secure ACS として送信する CiscoSecure データベース コンポーネントと、セカンダリ Cisco Secure ACS として受信する CiscoSecure データベース コンポーネントの両方を指定できます。


セカンダリ Cisco Secure ACS が受信した CiscoSecure データベース コンポーネントは、セカンダリ Cisco Secure ACS 上の CiscoSecure データベース コンポーネントに上書きされます。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。


CiscoSecure Database Replication ページの Replication Components テーブルには、複製されたコンポーネントを管理する次のオプションが表示されます。

User and group database :グループおよびユーザの情報を複製します。

Network Configuration Device tables :Network Configuration セクションの AAA Servers テーブル、AAA Clients テーブル、および Remote Agent テーブルを複製します。

Distribution table :Network Configuration セクションの Proxy Distribution Table を複製します。

Interface configuration :Interface Configuration セクションから、Advanced Options 設定のほとんどを複製します。

Interface security settings :Cisco Secure ACS HTML インターフェイスのセキュリティ情報を複製します。

Password validation settings :パスワード確認設定を複製します。

データベース全体をミラーリングすると Proxy Distribution Table のような機密情報がセカンダリ Cisco Secure ACS に送信される可能性がある場合には、特定カテゴリのデータベース情報だけを送信するようにプライマリ Cisco Secure ACS を設定できます。

発信複製オプション

CiscoSecure Database Replication ページの Outbound Replication テーブルで、複製の送信をスケジューリングしたり、このプライマリ Cisco Secure ACS に対するセカンダリ Cisco Secure ACS を指定したりできます。

Scheduling Options :CiscoSecure データベースの複製を実行するタイミングを指定できます。複製を実行するタイミングを制御するオプションは、Outbound Replication テーブルの Scheduling セクションに次のように表示されます。

Manually :Cisco Secure ACS は自動データベース複製を実行しません。

Automatically Triggered Cascade :Cisco Secure ACS は、プライマリ Cisco Secure ACS からのデータベース複製が完了すると、リストに設定されているセカンダリ Cisco Secure ACS へのデータベース複製を実行します。このオプションによって、Cisco Secure ACS の伝搬階層を構築し、複製したコンポーネントを他のすべての Cisco Secure ACS に伝搬するプライマリ Cisco Secure ACS の負荷を軽減できます。カスケード複製の図解は、図 9-1を参照してください。


) カスケード複製を使用してネットワーク設定デバイス テーブルを複製する場合、プライマリ Cisco Secure ACS に、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS を設定する必要があります。プライマリ Cisco Secure ACS から複製を直接的に受信するか、間接的に受信するかは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS への複製を行い、次に、それらの各々が 2 つの Cisco Secure ACS への複製を行う場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべての AAA サーバ情報を持つ必要があります。


Every X minutes :Cisco Secure ACS は、設定された頻度で、リストに設定されているセカンダリ Cisco Secure ACS へのデータベース複製を実行します。時間の単位は分で、デフォルトの更新頻度は 60 分です。

At specific times... :Cisco Secure ACS は、日付と時刻のグラフに指定されている時刻に、リストに設定されているセカンダリ Cisco Secure ACS へのデータベース複製を実行します。最小インターバルは 1 時間で、指定した時刻に複製が実行されます。

Partner Options :このプライマリ Cisco Secure ACS のセカンダリ Cisco Secure ACS を指定できます。このオプションは、プライマリ Cisco Secure ACS の複製先となるセカンダリ Cisco Secure ACS を管理するもので、Outbound Replication テーブルの Partners セクションに表示されます。


) AAA Server リストと Replication リストに含まれている項目は、Network Configuration の AAA Servers テーブルに設定されている AAA サーバを反映しています。特定の Cisco Secure ACS をセカンダリ Cisco Secure ACS として利用できるようにするには、まず、その Cisco Secure ACSをプライマリ Cisco Secure ACS の AAA Servers テーブルに追加する必要があります。


AAA Server :このプライマリ Cisco Secure ACS が複製コンポーネントを送信 しない セカンダリ Cisco Secure ACS のリストです。

Replication :このプライマリ Cisco Secure ACS が複製コンポーネントを送信 する セカンダリ Cisco Secure ACS のリストです。


) Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け取ります。含まれている場合は、そのコンポーネントを拒否します。


着信複製オプション

セカンダリ Cisco Secure ACS がどのプライマリ Cisco Secure ACS から複製を受け取るかを指定できます。このオプションは、CiscoSecure Database Replication ページの Inbound Replication テーブルに表示されます。

Accept replication from リストは、現在の Cisco Secure ACS がどの Cisco Secure ACS から複製コンポーネントを受け取るかを制御します。このリストには、次のオプションがあります。

Any Known CiscoSecure ACS Server :このオプションを選択すると、
Cisco Secure ACS は、Network Configuration の AAA Servers テーブルに設定されているどの Cisco Secure ACS からも複製コンポーネントを受け取ります。

Other AAA servers :このリストには、Network Configuration の AAA Servers テーブルに設定されている AAA サーバがすべて表示されています。特定の AAA サーバ名を選択すると、Cisco Secure ACS は、指定した Cisco Secure ACS からの複製コンポーネントだけを受け取ります。


) Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け取ります。含まれている場合は、そのコンポーネントを拒否します。


Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバ設定」を参照してください。

Cisco Secure ACS でのプライマリおよびセカンダリ複製セットアップの実装

カスケード複製を使用する複製方式を実装している場合、別の Cisco Secure ACS から複製コンポーネントを受信したときにだけ複製を実行するように設定された Cisco Secure ACS は、プライマリ Cisco Secure ACS としてもセカンダリ Cisco Secure ACS としても動作します。最初はセカンダリ Cisco Secure ACS として動作して複製コンポーネントを受信し、次にプライマリ Cisco Secure ACS として動作して別の Cisco Secure ACS にコンポーネントを複製します。カスケード複製の図解は、図 9-1を参照してください。

Cisco Secure ACS でプライマリおよびセカンダリ複製セットアップを実装するには、次の手順に従います。


ステップ 1 それぞれのセカンダリ Cisco Secure ACS で、次の手順に従います。

a. Network Configuration セクションで、プライマリ Cisco Secure ACS を AAA Servers テーブルに追加します。

AAA Servers テーブルにエントリを追加する方法については、「AAA サーバ設定」を参照してください。

b. 複製コンポーネントを受信するようにセカンダリ Cisco Secure ACS を設定します。方法については、「セカンダリ Cisco Secure ACS の設定」を参照してください。

ステップ 2 プライマリ Cisco Secure ACS で、次の手順に従います。

a. Network Configuration セクションで、それぞれのセカンダリ Cisco Secure ACS を AAA Servers テーブルに追加します。


) カスケード複製を使用してネットワーク設定デバイス テーブルを複製する場合、プライマリ Cisco Secure ACS に、複製されたデータベース コンポーネントを受信するすべての Cisco Secure ACS を設定する必要があります。プライマリ Cisco Secure ACS から複製を直接的に受信するか、間接的に受信するかは関係ありません。たとえば、プライマリ Cisco Secure ACS が 2 つのセカンダリ Cisco Secure ACS への複製を行い、次に、それらの各々が 2 つの Cisco Secure ACS への複製を行う場合、プライマリ Cisco Secure ACS は、複製されたデータベース コンポーネントを受信する 6 つの Cisco Secure ACS すべての AAA サーバ情報を持つ必要があります。


AAA Servers テーブルにエントリを追加する方法については、「AAA サーバ設定」を参照してください。

b. スケジュールに従って複製する方法、一定のインターバルで複製する方法、またはプライマリ Cisco Secure ACS が別の Cisco Secure ACS から複製コンポーネントを受信した時点で複製する方法については、「複製のスケジューリング」を参照してください。

c. 複製をすぐに開始する方法については、「即時複製」を参照してください。


 

セカンダリ Cisco Secure ACS の設定


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがまだオンになっていない場合は、オンにしてください。


CiscoSecure データベース複製機能を利用するには、特定の Cisco Secure ACS をセカンダリ Cisco Secure ACS として動作するように設定しておく必要があります。プライマリ Cisco Secure ACS の場合と同様に、そのセカンダリ Cisco Secure ACS が受信するコンポーネントは明示的に指定する必要があります。

複製は、常にプライマリ Cisco Secure ACS から起動されます。複製コンポーネントの送信の詳細については、「即時複製」または「複製のスケジューリング」を参照してください。


セカンダリ Cisco Secure ACS が受信した CiscoSecure データベース コンポーネントは、セカンダリ Cisco Secure ACS 上の CiscoSecure データベース コンポーネントに上書きされます。上書きされたデータベース コンポーネントに固有な情報はすべて失われます。


始める前に

セカンダリ Cisco Secure ACS の AAA Servers テーブルが正しく設定されていることを確認します。このセカンダリ Cisco Secure ACS の AAA Servers テーブルには、それぞれのプライマリ Cisco Secure ACS に対応するエントリが必要です。また、AAA Servers テーブルの 各プライマリ Cisco Secure ACS に対応するエントリに保持されている共有秘密情報は、プライマリ Cisco Secure ACS が自分の AAA Servers テーブル エントリに保持している共有秘密情報と一致している必要があります。AAA Servers テーブルの詳細については、「AAA サーバ設定」を参照してください。

Cisco Secure ACS がセカンダリ Cisco Secure ACS になるように設定するには、次の手順に従います。


ステップ 1 セカンダリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルで、プライマリ Cisco Secure ACS から受信する各データベース コンポーネントに対応する Receive チェックボックスをオンにします。

複製コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 セカンダリ Cisco Secure ACS への複製コンポーネントの送信元となるCisco Secure ACS が、Replication リストに含まれていないことを確認します。含まれている場合は、Replication リストでそのプライマリ Cisco Secure ACS を選択してから、 <-- (左矢印)を選択して AAA Servers リストに移動します。


) Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け取ります。含まれている場合は、複製が打ち切られます。


ステップ 6 セカンダリ Cisco Secure ACS が複製コンポーネントを 1 つの プライマリ Cisco Secure ACS だけから受信する場合は、Accept replication from リストでそのプライマリ Cisco Secure ACS の名前を選択します。

Accept replication from リストで選択できるプライマリ Cisco Secure ACS は、Network Configuration セクションの AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバ設定」を参照してください。


) プライマリ Cisco Secure ACS とそのすべてのセカンダリ Cisco Secure ACS では、AAA Servers テーブル内のプライマリ Cisco Secure ACS に対応するエントリに、同一の共有秘密情報が保持されている必要があります。


ステップ 7 セカンダリ Cisco Secure ACS が複製コンポーネントを 複数の プライマリ Cisco Secure ACS から受信する場合は、Accept replication from リストで Any Known CiscoSecure ACS Server を選択します。

Any Known CiscoSecure ACS Server オプションの適用対象は、Network Configuration の AAA Servers テーブルのリストに表示されている Cisco Secure ACS に限られます。


) このセカンダリ Cisco Secure ACS のそれぞれのプライマリ Cisco Secure ACS について、プライマリとセカンダリの両方の Cisco Secure ACS 上で、AAA Servers テーブル内のプライマリ Cisco Secure ACS に対応するエントリに同一の共有秘密情報が保持されている必要があります。


ステップ 8 Submit をクリックします。

Cisco Secure ACS は、複製設定を保存します。そして、指定した頻度で、または指定した時刻に、Cisco Secure ACS は、指定した他の Cisco Secure ACS からの複製コンポーネントの受信を開始します。


 

即時複製

データベース複製は手動で開始できます。


) 少なくとも 1 つのセカンダリ Cisco Secure ACS を設定するまでは、複製を実行できません。セカンダリ Cisco Secure ACS の設定方法の詳細については、「セカンダリ Cisco Secure ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ Cisco Secure ACS の設定が正しいことを確認します。詳しい手順については、「Cisco Secure ACS でのプライマリおよびセカンダリ複製セットアップの実装」を参照してください。

この Cisco Secure ACS が複製コンポーネントを送信するセカンダリ Cisco Secure ACS のそれぞれに対して、「セカンダリ Cisco Secure ACS の設定」の手順が完了していることを確認します。

データベース複製をすぐに開始するには、次の手順に従います。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがまだオンになっていない場合は、オンにしてください。


Database Replication Setup ページが表示されます。

ステップ 4 セカンダリ Cisco Secure ACS に複製する CiscoSecure データベース コンポーネントのそれぞれに対して、Replication Components の下で、対応する Send チェックボックスをオンにします。

ステップ 5 プライマリ Cisco Secure ACS が選択した複製コンポーネントを送信するセカンダリ Cisco Secure ACS のそれぞれに対して、AAA Servers リストでそのセカンダリ Cisco Secure ACS を選択してから --> (右矢印ボタン)をクリックします。


ヒント セカンダリ Cisco Secure ACS を Replication リストから削除するには、そのセカンダリ Cisco Secure ACS を Replication リストで選択してから、<--(左矢印ボタン)をクリックします。


) Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製コンポーネントを受け取ります。含まれている場合は、そのコンポーネントを拒否します。


ステップ 6 ブラウザ ウィンドウの一番下にある Replicate Now をクリックします。

Cisco Secure ACS で複製設定が保存されます。Cisco Secure ACS はただちに、指定されたセカンダリ Cisco Secure ACS に対して、複製したデータベース コンポーネントの送信を開始します。


) 複製が実行されるのは、前回の複製が正常に実行された後にプライマリ Cisco Secure ACS のデータベースが変更されている場合だけです。パスワードまたは RADIUS アトリビュートの変更など、ユーザまたはグループ プロファイルに何か変更を加えることで、強制的に複製を実行することができます。



 

複製のスケジューリング

プライマリ Cisco Secure ACS が自分の複製データベース コンポーネントをセカンダリ Cisco Secure ACS に送信するタイミングをスケジューリングできます。複製スケジューリングのオプションの詳細については、「発信複製オプション」を参照してください。


) セカンダリ Cisco Secure ACS が正しく設定されるまでは、複製を実行できません。詳細については、「セカンダリ Cisco Secure ACS の設定」を参照してください。


始める前に

プライマリおよびセカンダリ Cisco Secure ACS の設定が正しいことを確認します。詳しい手順については、「Cisco Secure ACS でのプライマリおよびセカンダリ複製セットアップの実装」を参照してください。

このプライマリ Cisco Secure ACS の各セカンダリ Cisco Secure ACS に対して、「セカンダリ Cisco Secure ACS の設定」の手順が完了していることを確認します。

プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS への複製を実行するタイミングをスケジューリングするには、次の手順に従います。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、CiscoSecure ACS Database Replication チェックボックスをオンにします。Distributed System Settings チェックボックスがまだオンになっていない場合は、オンにしてください。


Database Replication Setup ページが表示されます。

ステップ 4 プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に送信する CiscoSecure データベース コンポーネントを指定するには、Replication Components の下で、送信するデータベース コンポーネントのそれぞれに対応する Send チェックボックスをオンにします。

複製データベース コンポーネントの詳細については、「複製コンポーネント オプション」を参照してください。

ステップ 5 プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に複製データベース コンポーネントを一定のインターバルで送信するようにするには、Replication Scheduling の下で Every X minutes オプションを選択し、Cisco Secure ACS が複製を実行するインターバルを X ボックスに入力します(最大 7 文字)。


) Cisco Secure ACS は複製中に一時的にシャットダウンされるため、複製のインターバルを短くすると、AAA クライアントが他の Cisco Secure ACS に頻繁にフェールオーバーすることがあります。AAA クライアントが別の Cisco Secure ACS にフェールオーバーするように設定されていない場合は、認証サービスが短時間中断して、ユーザが認証できなくなることがあります。詳細については、「複製の頻度」を参照してください。


ステップ 6 プライマリ Cisco Secure ACS がそのセカンダリ Cisco Secure ACS に複製データベース コンポーネントを送信する時刻をスケジューリングする場合は、次の手順に従います。

a. Outbound Replication テーブルで At specific times オプションを選択します。

b. 日付と時刻のグラフで、Cisco Secure ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックしてすべての時間の選択を解除したり、Set All をクリックしてすべての時間を選択することもできます。

ステップ 7 この Cisco Secure ACS が、他の Cisco Secure ACS から複製データベース コンポーネントを受信した時点でただちに複製データベース コンポーネントを送信するようにする場合は、 Automatically triggered cascade オプションを選択します。


) Automatically triggered cascade オプションを指定する場合は、他の Cisco Secure ACS がこの Cisco Secure ACS に対するプライマリ Cisco Secure ACS として動作するように設定する必要があります。その設定がされない場合、この Cisco Secure ACS はセカンダリ Cisco Secure ACS への複製を行いません。


ステップ 8 この Cisco Secure ACS の複製先となるセカンダリ Cisco Secure ACS を指定する必要があります。これを行うには、次の手順に従います。


) Cisco Secure ACS は、双方向データベース複製をサポートしていません。複製データベース コンポーネントを受信するセカンダリ Cisco Secure ACS は、自分の Replication リスト内にプライマリ Cisco Secure ACS が含まれていないことを確認します。含まれていない場合、セカンダリ Cisco Secure ACS は複製データベース コンポーネントを受け取ります。含まれている場合は、そのコンポーネントを拒否します。複製パートナーの詳細については、「着信複製オプション」を参照してください。


a. Outbound Replication テーブルの AAA Servers リストで、プライマリ Cisco Secure ACS が選択された複製データベース コンポーネントを送信するセカンダリ Cisco Secure ACS の名前を選択します。


) この AAA Servers リストで選択できるセカンダリ Cisco Secure ACS は、Network Configuration の AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバ設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択したセカンダリ Cisco Secure ACS が Replication リストに移動します。

c. プライマリ Cisco Secure ACS が選択された複製データベース コンポーネントを送信するセカンダリ Cisco Secure ACS のそれぞれに対して、手順 a と手順 b を繰り返します。

ステップ 9 Submit をクリックします。

Cisco Secure ACS は、作成された複製設定を保存します。


 

CiscoSecure データベース複製の使用不可設定

スケジューリングされた CiscoSecure データベース複製は、そのスケジュールを残したままで使用不可にできます。この操作によって、スケジューリングされた複製を一時的に中止して後で再開することができ、再開時にスケジュール情報を再入力する必要がありません。

CiscoSecure データベース複製を使用不可にするには、次の手順に従います。


ステップ 1 プライマリ Cisco Secure ACS の HTML インターフェイスにログインします。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 CiscoSecure Database Replication をクリックします。

Database Replication Setup ページが表示されます。

ステップ 4 Replication Components テーブルですべてのチェックボックスをオフにします。

ステップ 5 Outbound Replication テーブルで、 Manually オプションを選択します。

ステップ 6 Submit をクリックします。

この Cisco Secure ACS サーバとの間の複製が禁止されます。


 

データベース複製イベント エラー

データベース複製レポートには、複製中に発生したエラーを示すメッセージが含まれています。データベース複製レポートの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

RDBMS の同期

この項では、RDBMS 同期機能の Cisco Secure ACS 内と関係する外部データ ソースの両方での実装など、この機能に関する情報を説明します。

この項では、次のトピックについて取り上げます。

「RDBMS の同期について」

「ユーザ」

「ユーザ グループ」

「ネットワーク設定」

「カスタム RADIUS ベンダーと VSA」

「RDBMS 同期のコンポーネント」

「CSDBSync について」

「accountActions ファイルについて」

「accountActions テーブルを使用した Cisco Secure ACS データベースの復旧」

「RDBMS 同期の使用準備」

「RDBMS 同期オプション」

「FTP セットアップ オプション」

「同期スケジューリング オプション」

「同期パートナー オプション」

「RDBMS 同期の即時実行」

「RDBMS 同期のスケジューリング」

「スケジューリングされた RDBMS 同期の使用不可設定」

RDBMS の同期について

RDBMS 同期機能では、FTP サーバ上のテキスト ファイルから読み出した情報を使用して、CiscoSecure ユーザ データベースを更新できます。このテキスト ファイルは、サードパーティ製のアプリケーションで作成できます。Cisco Secure ACS は、FTP サーバからこのファイルを取得して、読み出し、ファイル内で指定されている設定アクションを実行します。RDBMS 同期を API とみなすこともできます。つまり、Cisco Secure ACS の HTML インターフェイスを使用して設定できるユーザ、グループ、またはデバイス関連の情報の多くは、代わりにこの機能を使用して保守できます。RDBMS 同期は、アクセス可能なすべてのデータ項目に対する追加、修正、および削除をサポートしています。

同期を定期的なスケジュールで実行するように設定できます。手動で同期を実行し、CiscoSecure ユーザ データベースを要求に応じて更新することもできます。

1 つの Cisco Secure ACS が実行する同期によって、他の Cisco Secure ACS の内部データベースを更新できます。このため、RDBMS 同期を設定する必要があるのは 1 つの Cisco Secure ACS だけです。RDBMS 同期を目的とした Cisco Secure ACS 間の通信は、Cisco 独自の暗号化プロトコルを使用して行われます。Cisco Secure ACS は、TCP ポート 2000 で同期データを受信します。

ユーザ

RDBMS 同期で実行できるユーザ関連の設定アクションには、次のものがあります。

ユーザの追加

ユーザの削除

パスワードの設定

ユーザ グループ メンバーシップの設定

Max Sessions パラメータの設定

ネットワーク使用クォータ パラメータの設定

コマンド許可の設定

ネットワーク アクセス制限の設定

時刻と曜日によるアクセス制限の設定

IP アドレスの割り当て

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期で実行できるすべてのアクションの詳細については、付録E「RDBMS 同期インポートの定義」を参照してください。


ユーザ グループ

RDBMS 同期で実行できるグループ関連の設定アクションには、次のものがあります。

Max Sessions パラメータの設定

ネットワーク使用クォータ パラメータの設定

コマンド許可の設定

ネットワーク アクセス制限の設定

時刻と曜日によるアクセス制限の設定

送信 RADIUS アトリビュート値の指定

送信 TACACS+ アトリビュート値の指定


) RDBMS 同期で実行できるすべてのアクションの詳細については、付録E「RDBMS 同期インポートの定義」を参照してください。


ネットワーク設定

RDBMS 同期で実行できるネットワーク デバイス関連の設定アクションには、次のものがあります。

AAA クライアントの追加

AAA クライアントの削除

AAA クライアントの詳細設定

AAA サーバの追加

AAA サーバの削除

AAA サーバの詳細設定

Proxy Distribution Table エントリの追加と設定


) RDBMS 同期で実行できるすべてのアクションの詳細については、付録E「RDBMS 同期インポートの定義」を参照してください。


カスタム RADIUS ベンダーと VSA

RDBMS 同期を使用して、カスタム RADIUS ベンダーと VSA を設定できます。Cisco Secure ACS は、事前定義済みの RADIUS ベンダーおよび Vendor-Specific Attributes(VSA; ベンダー固有アトリビュート)のセットの他に、ユーザが定義する RADIUS ベンダーおよび VSA もサポートします。ユーザが追加するベンダーは IETF に準拠している必要があるため、追加するすべての VSA は、IETF RADIUS アトリビュート番号 26 のサブアトリビュートにする必要があります。

カスタム RADIUS ベンダーは 10 個まで定義できます。Cisco Secure ACS は、どのベンダーについても 1 つのインスタンスだけが許可されます。このインスタンスは、一意のベンダー IETF ID 番号とベンダー名で定義されます。


ユーザ定義の RADIUS ベンダーおよび VSA 設定を複製する場合、複製するユーザ定義 RADIUS ベンダーおよび VSA の定義は、ユーザ定義の RADIUS ベンダーが占有するスロットも含めて、プライマリおよびセカンダリ Cisco Secure ACS 上で一致している必要があります。データベース複製の詳細については、「CiscoSecure データベース複製」を参照してください。


RDBMS 同期で実行できるすべてのアクションの詳細については、 付録E「RDBMS 同期インポートの定義」 を参照してください。

RDBMS 同期のコンポーネント

RDBMS の同期機能は、次の 2 つのコンポーネントで構成されています。

CSDBSync :Cisco Secure ACS に対するユーザおよびグループ アカウントの自動管理サービスを実行します。

accountActions File :CSDBSync が CiscoSecure ユーザ データベースを更新するために使用する情報が保持されているファイルです。

CSDBSync について

CSDBSync サービスは、accountActions ファイルを読み取ります。accountActions ファイルのデフォルト名は「accountActions.csv」ですが、ファイル名は自由に変更できます。CSDBSync が accountActions ファイルにアクセスできないと、同期イベントは失敗します。

CSDBSync は、accountActions ファイルから各レコードを読み取り、レコード内のアクション コードの指定に従って CiscoSecure ユーザ データベースを更新します。たとえば、レコード内の指示によって、CSDBSync は、ユーザを追加したりユーザ パスワードを変更します。

CSDBSync または Cisco Secure ACS が使用するその他の Windows サービスの詳細については、「概要」を参照してください。

accountActions ファイルについて

accountActions ファイルには、CSDBSync が CiscoSecure ユーザ データベースで実行するアクションを定義した行のセットが含まれています。accountActions ファイルの各行には、ユーザ、ユーザ グループ、または AAA クライアントの情報が保持されています。 最初の行を除き(最初の行は、フィールド ヘッダーに使用されるため、同期時には無視されます)、各行にはアクション フィールドと他のいくつかのフィールドが含まれています。これらのフィールドは、CiscoSecure ユーザ データベースの更新に必要な情報を CSDBSync に提供します。

accountActions ファイルのフォーマットおよび使用できるアクションの詳細については、 付録E「RDBMS 同期インポートの定義」 を参照してください。

accountActions テーブルを使用した Cisco Secure ACS データベースの復旧

accountActions ファイルのすべてのインスタンスを、RDBMS 同期によって処理された順序で組み合せると、結果的に、トランザクション キューが作成されます。RDBMS の同期機能では、トランザクション ログや監査証跡は維持されません。ログが必要な場合は、accountActions ファイルを生成する外部システムがログを作成する必要があります。外部システムが accountActions ファイル内に完全なトランザクション履歴を再作成できない場合は、復旧用にトランザクション ログ ファイルを作成することを推奨します。この場合、安全な場所に保存し、定期的にバックアップされるトランザクション ログ ファイルを作成します。この第 2 のファイルに、accountActions ファイルのレコードに対して行われるすべての追加内容と更新内容をミラーリングしてください。そのため、トランザクション ログ ファイルには、RDBMS 同期で処理された accountActions ファイルの多数のインスタントに記録されているすべてのアクションが連結されることになります。

データベースが大規模である場合、システムの履歴全体のトランザクション ログを再現することによって CiscoSecure ユーザ データベースを再作成するのは、現実的な方法ではありません。その代わりに、CiscoSecure ユーザ データベースを定期的にバックアップし、最近のバックアップの時刻からのトランザクション ログを再現して、CiscoSecure ユーザ データベースを外部システムと同期します。バックアップ ファイルの作成方法については、「Cisco Secure ACS のバックアップ」を参照してください。

チェックポイントよりも少し前の時点のトランザクション ログを再現すると、CiscoSecure ユーザ データベースが損害を受けることはありませんが、一部のトランザクションが無効となり、エラーがレポートされる場合があります。トランザクション ログ全体を再現すれば、CiscoSecure ユーザ データベースと外部システムのデータベースとの一貫性が保たれます。

RDBMS 同期の使用準備

accountActions ファイルのデータを使用して CiscoSecure ユーザ データベースの同期をとるには、Cisco Secure ACS の外部でいくつかの重要な手順を実行してから、Cisco Secure ACS 内部で RDBMS の同期機能を設定する必要があります。

RDBMS の同期を準備するには、次の手順に従います。


ステップ 1 次の項目を決定します。

accountActions ファイルの作成方法。accountActions ファイルの詳細については、「accountActions ファイルについて」を参照してください。accountActions ファイルのフォーマットと内容の詳細については、 付録E「RDBMS 同期インポートの定義」 を参照してください。

accountActions ファイルを Cisco Secure ACS からアクセスするために使用する FTP サーバ。

Cisco Secure ACS が accountActions ファイルを取得することになっている FTP サーバ上のディレクトリとは別のディレクトリに accountActions ファイルが作成されている場合は、accountActions ファイルを FTP サーバ上の該当のディレクトリにコピーする方法。

ステップ 2 accountActions ファイルを定期的に生成するようにサードパーティ製システムを設定します。ユーザの accountActions ファイルを保守するメカニズムは、そのユーザの実装に固有のものです。accountActions ファイルの更新に使用するサードパーティ製システムが市販の製品である場合は、そのサードパーティ製システムのベンダーが提供するマニュアルを参照してください。

accountActions ファイルのフォーマットと内容については、 付録E「RDBMS 同期インポートの定義」 を参照してください。

ステップ 3 必要であれば、accountAction ファイルをその生成場所から FTP サーバ上の該当のディレクトリにコピーするようにメカニズムを設定します。

ステップ 4 サードパーティ製システムが accountActions ファイルを適切に更新することを確認します。accountActions ファイルに生成される行は有効なものである必要があります。accountActions ファイルのフォーマットと内容の詳細については、 付録E「RDBMS 同期インポートの定義」 を参照してください。


) サードパーティ製システムが accountActions ファイルを適切に更新することを確認するテストを行った後、ステップ 5 が完了するまで、accountActions ファイルの更新は中断してください。


ステップ 5 Cisco Secure ACS で RDBMS 同期をスケジューリングします。手順については、「RDBMS 同期のスケジューリング」を参照してください。

ステップ 6 CiscoSecure ユーザ データベースにインポートされる情報を使用して
accountActions ファイルの更新を開始するように、サードパーティ製システムを設定します。必要であれば、accountAction ファイルを FTP サーバ上の該当するディレクトリにコピーするメカニズムを有効にします。

ステップ 7 Reports and Activity セクションで RDBMS 同期レポートを監視して、RDBMS の同期が正しく動作していることを確認します。RDBMS 同期ログの詳細については、「Cisco Secure ACS システム ログ」を参照してください。

CSDBSync サービス ログも監視してください。CSDBSync サービス ログの詳細については、「サービス ログ」を参照してください。


 

RDBMS 同期オプション

System Configuration から選択できる RDBMS Synchronization Setup ページでは、RDBMS の同期機能を制御できます。 このページには 3 つのテーブルが含まれ、それぞれのオプションについてはこの項で説明します。

この項では、次のトピックについて取り上げます。

「FTP セットアップ オプション」

「同期スケジューリング オプション」

「同期パートナー オプション」

FTP セットアップ オプション

FTP Setup For Account Actions Download テーブルでは、Cisco Secure ACS が accountActions テーブルにアクセスする方法が定義されます。この章は、次の項で構成されます。

Actions File :accountActions ファイルの名前です。デフォルトのファイル名は「actions.csv」です。指定するファイル名は、FTP サーバ上の accountActions ファイルの名前と一致する必要があります。

FTP Server :FTP サーバの IP アドレスまたはホスト名です。Cisco Secure ACS は、FTP サーバから accountActions ファイルを取得します。ホスト名を指定する場合は、ネットワークで DNS が稼動している必要があります。

Directory :FTP サーバのルート ディレクトリから、accountActions ファイルがあるディレクトリへの相対パスです。FTP のルート ディレクトリを指定するには、先頭にピリオド(ドット)を 1 つ置きます。

Username :Cisco Secure ACS が FTP サーバにアクセスするための有効なファイル名です。

Password :Login ボックスに入力したユーザ名のパスワードです。

同期スケジューリング オプション

Synchronization Scheduling テーブルでは、同期を行う時期が定義されます。 このテーブルは、次のスケジューリング オプションで構成されています。

Manually :Cisco Secure ACS は自動 RDBMS 同期を実行しません。

Every X minutes :Cisco Secure ACS は設定された頻度で同期を実行します。時間の単位は分で、デフォルトの更新頻度は 60 分です。

At specific times... :Cisco Secure ACS は日付と時刻のグラフで指定された時刻に同期を実行します。最小インターバルは 1 時間で、指定した時刻に同期が実行されます。

同期パートナー オプション

Synchronization Partners テーブルは、どの Cisco Secure ACS が accountActions テーブルのデータと同期するのかを定義します。 テーブルには次のオプションが用意されています。

AAA Server :このリストは、Network Configuration の AAA Servers テーブルに設定されている AAA サーバのうち、Cisco Secure ACS による RDBMS 同期の 対象とならない AAA サーバを表します。

Synchronize :Network Configuration の AAA Servers テーブルに設定されている AAA サーバのうち、Cisco Secure ACS による RDBMS 同期の 対象となる AAA サーバを表します。

Network Configuration の AAA Servers テーブルの詳細については、「AAA サーバ設定」を参照してください。

RDBMS 同期の即時実行

RDBMS 同期イベントは手動で開始できます。

手動で RDBMS 同期を実行するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、RDBMS Synchronization チェックボックスをオンにします。


RDBMS Synchronization Setup ページが表示されます。

CSDBSync サービスのステータスがページ タイトルの下に表示されます。

ステップ 3 FTP Setup For Account Actions Download テーブルでオプションを指定するには、次の手順に従います。


) FTP セットアップの詳細については、「FTP セットアップ オプション」を参照してください。


a. Actions Files ボックスに、Cisco Secure ACS の更新に使用する accountActions ファイルの名前を入力します。

b. FTP Server ボックスに、そこから Cisco Secure ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト名を入力します。

c. Directory ボックスに、accountActions ファイルがある FTP サーバ上のディレクトリまでの相対パスを入力します。

d. Username ボックスに、Cisco Secure ACS が FTP サーバにアクセスするための有効なユーザ名を入力します。

e. Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。

Cisco Secure ACS に、FTP サーバから accountActions ファイルを取得するために必要な情報が用意されます。


) Replication Scheduling の下の Manually を選択する必要はありません。詳細については、「スケジューリングされた RDBMS 同期の使用不可設定」を参照してください。


ステップ 4 この Cisco Secure ACS が accountActions ファイル内のアクションを使用して更新する Cisco Secure ACS のそれぞれに対して、AAA Servers リストでその Cisco Secure ACS を選択してから、 --> (右矢印ボタン)をクリックします。


) AAA Servers リストで選択できる Cisco Secure ACS は、Network Configuration 内の AAA Servers テーブルと、現在の Cisco Secure ACS サーバの名前によって決まります。AAA Servers テーブルの詳細については、「AAA サーバ設定のオプション」を参照してください。


選択した Cisco Secure ACS が Synchronize リストに表示されます。


) 少なくとも 1 つの Cisco Secure ACS が Synchronize リストに表示されている必要があります。このリストには、RDBMS 同期を設定している Cisco Secure ACS サーバが表示されています。RDBMS 同期は、現在の Cisco Secure ACS の内部データベースを、自動的には対象に含めません。


ステップ 5 Cisco Secure ACS を Synchronize リストから削除するには、Synchronize リストでその Cisco Secure ACS を選択してから、 <-- (左矢印ボタン)をクリックします。

選択した Cisco Secure ACS が AAA Servers リストに表示されます。

ステップ 6 ブラウザ ウィンドウの一番下にある Synchronize Now をクリックします。

Cisco Secure ACS は、同期イベントを即座に開始します。同期のステータスを確認するには、Reports and Activity で RDBMS Synchronization レポートを参照します。


 

RDBMS 同期のスケジューリング

Cisco Secure ACS が RDBMS 同期を実行するタイミングをスケジューリングできます。

Cisco Secure ACS が RDBMS 同期を実行するタイミングをスケジューリングするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、RDBMS Synchronization チェックボックスをオンにします。


RDBMS Synchronization Setup ページが表示されます。

CSDBSync サービスのステータスがページ タイトルの下に表示されます。

ステップ 3 FTP Setup For Account Actions Download テーブルでオプションを指定するには、次の手順に従います。


) FTP セットアップの詳細については、「FTP セットアップ オプション」を参照してください。


a. Actions Files ボックスに、Cisco Secure ACS の更新に使用する accountActions ファイルの名前を入力します。

b. FTP Server ボックスに、そこから Cisco Secure ACS が accountActions ファイルを取得する FTP サーバの IP アドレスまたはホスト名を入力します。

c. Directory ボックスに、accountActions ファイルがある FTP サーバ上のディレクトリまでの相対パスを入力します。

d. Username ボックスに、Cisco Secure ACS が FTP サーバにアクセスするための有効なユーザ名を入力します。

e. Password ボックスに、Login ボックスに入力したユーザ名のパスワードを入力します。

Cisco Secure ACS に、FTP サーバから accountActions ファイルを取得するために必要な情報が用意されます。

ステップ 4 この Cisco Secure ACS で RDBMS 同期を一定のインターバルで実行するには、Synchronization Scheduling の下で Every X minutes オプションを選択し、Cisco Secure ACS が同期を実行するインターバルを X ボックスに入力します(最大 7 文字)。

ステップ 5 Cisco Secure ACS が RDBMS 同期を実行する時刻をスケジューリングするには、次の手順に従います。

a. Synchronization Scheduling の下で At specific times オプションを選択します。

b. 日付と時刻のグラフで、Cisco Secure ACS が複製を実行する時刻をクリックします。


ヒント グラフの時刻をクリックすると、その時刻が選択されます。再度クリックすると解除されます。Clear All をクリックしてすべての時間を解除したり、Set All をクリックしてすべての時間を選択することもできます。

ステップ 6 accountActions ファイルを使用して同期を実行する Cisco Secure ACS のそれぞれに対して、次の手順に従います。


) 同期ターゲットの詳細については、「着信複製オプション」を参照してください。


a. Synchronization Partners テーブルの AAA Servers リストで、accountActions ファイルのデータを使用してこの Cisco Secure ACS で更新する Cisco Secure ACS の名前を選択します。


) AAA Servers リストで選択できる Cisco Secure ACS は、Network Configuration 内の AAA Servers テーブルと、現在の Cisco Secure ACS サーバの名前によって決まります。AAA Servers テーブルの詳細については、「AAA サーバ設定のオプション」を参照してください。


b. --> (右矢印ボタン)をクリックします。

選択した Cisco Secure ACS が Synchronize リストに移動します。


) 少なくとも 1 つの Cisco Secure ACS が Synchronize リストに表示されている必要があります。このリストには、RDBMS 同期を設定している Cisco Secure ACS サーバが表示されています。RDBMS 同期は、現在の Cisco Secure ACS の内部データベースを、自動的には対象に含めません。


ステップ 7 Submit をクリックします。

作成された RDBMS 同期スケジュールが保存されます。


 

スケジューリングされた RDBMS 同期の使用不可設定

スケジューリングされた RDBMS 同期イベントは、そのスケジュールを残したままで使用不可にできます。この操作によって、スケジューリングされた同期を終了した後で再開することができ、再開時にスケジュールを再作成する必要がありません。

スケジュールされた RDBMS 同期を使用不可にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 RDBMS Synchronization をクリックします。

RDBMS Synchronization Setup ページが表示されます。

ステップ 3 Synchronization Scheduling の下で Manually オプションを選択します。

ステップ 4 Submit をクリックします。

Cisco Secure ACS はスケジュールされた RDBMS 同期を実行しなくなります。


 

IP プール サーバ

この項では、IP プール機能について、IP プールの作成手順と保守手順を含めて説明します。

この項では、次のトピックについて取り上げます。

「IP プール サーバについて」

「IP プールのオーバーラップの許可または一意のプール アドレス範囲の強制」

「AAA Server IP Pools テーブルのリフレッシュ」

「新規 IP プールの追加」

「IP プール定義の編集」

「IP プールのリセット」

「IP プールの削除」

IP プール サーバについて

VPN を使用している場合は、IP アドレスの割り当てのオーバーラップが必要になることがあります。つまり、あるトンネル内の PPTP トンネル クライアントが、他のトンネル内の別の PPTP トンネル クライアントと同じ IP アドレスを使用すると好都合な場合があります。IP プール サーバ機能を使用すると、複数のユーザに同じ IP アドレスを割り当てることができます。ただし、それらのユーザがネットワークの境界を越えてルーティングするために、異なるホーム ゲートウェイにトンネリングされている必要があります。これによって、不正なアドレスを使用せずに、IP アドレス空間を節約できます。IP プール機能を有効にすると、Cisco Secure ACS は番号または名前によって定義された IP プールから IP アドレスをダイナミックに発行します。最大 999 個の IP プールを約 255,000 のユーザに対して設定できます。

IP プールとプロキシを使用している場合は、IP アドレスを割り当てる Cisco Secure ACS が、IP アドレスがすでに使用中であるかどうかを確認できるように、すべてのアカウンティング パケットがプロキシされます。


CiscoSecure データベース複製機能では、IP プール定義は複製されませんが、ユーザおよびグループの IP プールへの割り当ては複製されます。IP プール定義が複製されないのは、複製パートナーがすでに他のワークステーションに割り当てた IP アドレスを、Cisco Secure ACS が偶然に割り当てることを防ぐためです。複製を使用する AAA 環境で IP プールをサポートするには、プライマリ Cisco Secure ACS で定義されている IP プールと同じ名前を使用して、各セカンダリ Cisco Secure ACS に手作業で IP プールを設定する必要があります。


IP プールを使用するには、AAA クライアントで、ネットワーク許可(IOS では aaa authorization network )とアカウンティング(IOS では aaa accounting )を使用可能にしておく必要があります。


) IP プール機能を使用するには、同じプロトコル(TACACS+ または RADIUS のどちらか一方)を使用して認証とアカウンティングを実行するように AAA クライアントをセットアップする必要があります。


グループまたはユーザを IP プールに割り当てる方法については、「ユーザ グループの IP アドレス割り当て方式の設定」または「クライアント IP アドレスへのユーザの割り当て」を参照してください。

IP プールのオーバーラップの許可または一意のプール アドレス範囲の強制

Cisco Secure ACS は、プールのオーバーラップを自動検出する機能があります。


オーバーラップしたプールを使用するには、VPN で RADIUS を使用している必要があり、Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)は使用できません。


IP プールのオーバーラップが許可されているかどうかは、AAA Server IP Pools テーブルの下に、次のどちらのボタンが表示されているかによって判断できます。

Allow Overlapping Pool Address Ranges :IP プール アドレス範囲のオーバーラップが 許可されていない ことを表します。このボタンをクリックすると、プール間で IP アドレス範囲をオーバーラップできます。

Force Unique Pool Address Range :IP プール アドレス範囲のオーバーラップが 許可されている ことを表します。このボタンをクリックすると、IP アドレス範囲がプール間でオーバーラップしなくなります。

IP プールのオーバーラップを許可するか、または一意のプール アドレス範囲を強制するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、IP Pools チェックボックスをオンにします。


AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 IP プール アドレス範囲のオーバーラップを許可する場合は、次の手順に従います。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、そのボタンをクリックします。

Cisco Secure ACS は、IP プール アドレス範囲のオーバーラップを許可します。

b. Force Unique Pool Address Range ボタンが表示されている場合は、何も実行しません。

Cisco Secure ACS は、IP プール アドレス範囲のオーバーラップをすでに許可しています。

ステップ 4 IP プール アドレス範囲のオーバーラップを拒否する場合は、次の手順に従います。

a. Allow Overlapping Pool Address Ranges ボタンが表示されている場合は、何も実行しません。

Cisco Secure ACS は、IP プール アドレス範囲のオーバーラップをすでに禁止しています。

b. Force Unique Pool Address Range ボタンが表示されている場合は、そのボタンをクリックします。

Cisco Secure ACS は、IP プール アドレス範囲のオーバーラップを禁止します。


 

AAA Server IP Pools テーブルのリフレッシュ

AAA Server IP Pools テーブルをリフレッシュすることができます。それによって、IP プール使用状況の最新の統計情報を取得できます。

AAA Server IP Pools テーブルをリフレッシュするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 Refresh をクリックします。

プールされたアドレスの使用率が更新されます。


 

新規 IP プールの追加

IP アドレス プールは 999 個まで定義できます。

IP プールを追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、すでに設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 Add Entry をクリックします。

New Pool テーブルが表示されます。

ステップ 4 Name ボックスに、新規の IP プールに割り当てる名前(最大 31 文字)を入力します。

ステップ 5 Start Address ボックスに、新規プールの IP アドレス範囲の最小アドレス(最大 15 文字)を入力します。


) IP プール内のすべてのアドレスは同じクラス C ネットワーク上に存在する必要があるので、開始アドレスと終了アドレスの最初の 3 オクテットは同じにする必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 ~ 192.168.1.254 の範囲内にする必要があります。


ステップ 6 End Address ボックスに、新規プールの IP アドレス範囲の最大アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

新規の IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プール定義の編集

IP プール定義を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 編集する必要がある IP プールの名前をクリックします。

name プール テーブルが表示されます。 name は、選択した IP プールの名前です。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 プールの名前を変更するには、Name ボックスに、IP プールの変更後の名前(最大 31 文字)を入力します。

ステップ 5 IP アドレスのプール範囲の開始アドレスを変更するには、Start Address ボックスに、プールの新しいアドレス範囲の最小 IP アドレス(最大 15 文字)を入力します。


) IP プール内のすべてのアドレスは同じクラス C ネットワーク上に存在する必要があるので、開始アドレスと終了アドレスの最初の 3 オクテットは同じにする必要があります。たとえば、開始アドレスが 192.168.1.1 の場合、終了アドレスは 192.168.1.2 ~ 192.168.1.254 の範囲内にする必要があります。


ステップ 6 IP アドレスのプール範囲の終了アドレスを変更するには、End Address ボックスに、プールの新しいアドレス範囲の最大 IP アドレス(最大 15 文字)を入力します。

ステップ 7 Submit をクリックします。

編集された IP プールが AAA Server IP Pools テーブルに表示されます。


 

IP プールのリセット

リセット機能は、「不完全な」接続がある場合に IP プール内で IP アドレスを回復することができます。不完全な接続は、ユーザが接続を解除したが、Cisco Secure ACS が該当する AAA クライアントからアカウンティング停止パケットを受信していない場合に発生します。Reports and Activity の Failed Attempts ログに表示される「Failed to Allocate IP Address For User」メッセージの数が多くなっている場合は、リセット機能を使用して、この IP プールで割り当てられているアドレスをすべて再利用できるようにしてください。


) リセット機能を使用してプール内で割り当てられている IP アドレスをすべて再利用可能にすると、すでに使用中のアドレスがユーザに割り当てられることがあります。


IP プールをリセットしてすべての IP アドレスを再利用可能にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 リセットする必要がある IP プールの名前をクリックします。

name プール テーブルが表示されます。 name は、選択した IP プールの名前です。In Use フィールドには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available フィールドには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Reset をクリックします。

すでに使用中のアドレスがユーザに割り当てられる可能性があることを示すダイアログボックスが表示されます。

ステップ 5 IP プールのリセットを続けるには、 OK をクリックします。

IP プールがリセットされます。その IP プールのすべての IP アドレスが再利用可能になります。AAA Server IP Pools テーブルの In Use カラムに、ユーザに割り当てられている IP プール アドレスは 0 パーセントであることが示されます。


 

IP プールの削除


) ユーザが割り当てられている IP プールを削除する場合、ユーザ プロファイルを編集して IP 割り当て設定を変更するまで、それらのユーザは認証を行うことができなくなります。その代わり、それらのユーザがグループ メンバーシップに基づく IP 割り当てを受信する場合は、ユーザ グループ プロファイルを編集して、そのグループの IP 割り当て設定を変更できます。


IP プールを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Server をクリックします。

AAA Server IP Pools テーブルに、設定したすべての IP プール、そのアドレス範囲、およびプールされたアドレスの使用率が表示されます。

ステップ 3 削除する必要がある IP プールの名前をクリックします。

name プール テーブルが表示されます。 name は、選択した IP プールの名前です。In Use カラムには、このプールでユーザに割り当てられている IP アドレスの数が表示されます。Available カラムには、ユーザに割り当てられていない IP アドレスの数が表示されます。

ステップ 4 Delete をクリックします。

IP プールの削除を確認するダイアログボックスが表示されます。

ステップ 5 IP プールを削除するには、 OK をクリックします。

IP プールが削除されます。削除された IP プールは、AAA Server IP Pools テーブルに表示されなくなります。


 

IP プール アドレスの回復

IP プール アドレス回復機能を使用すると、割り当てられたものの、指定された期間使用されなかった IP アドレスを回復することができます。Cisco Secure ACS で IP アドレスを正しく再利用できるようにするためには、アカウンティング ネットワークを AAA クライアント上に設定する必要があります。

IP プール アドレス回復の使用可能設定

IP プール アドレス回復を使用可能にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 IP Pools Address Recovery をクリックします。


) この機能が表示されない場合は、Interface Configuration をクリックし、次に Advanced Options をクリックしてから、IP Pools チェックボックスをオンにします。


IP Address Recovery ページが表示されます。

ステップ 3 Release address if allocated for longer than X hours チェックボックスをオンにし、 X ボックスに、割り当てられたが一定の期間にわたって使用されていない IP アドレスを Cisco Secure ACS が回復するための、基準となる期間を時間単位で入力します(最大 4 文字)。

ステップ 4 Submit をクリックします。

Cisco Secure ACS で、IP プール アドレス回復の設定が実装されます。