Cisco Secure ACS Appliance ユーザガイド 3.2
内部アーキテクチャ
内部アーキテクチャ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

内部アーキテクチャ

Cisco Secure ACS のサービス

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

モニタリング

記録

通知

応答

CSTacacs と CSRadius

内部アーキテクチャ

この付録では、Cisco Secure ACS Appliance のアーキテクチャを構成するコンポーネントについて説明します。この付録では、次のトピックについて取り上げます。

「Cisco Secure ACS のサービス」

「CSAdmin」

「CSAuth」

「CSDBSync」

「CSLog」

「CSMon」

「CSTacacs と CSRadius」

Cisco Secure ACS のサービス

Cisco Secure ACS は、単純なネットワークから大規模ネットワークまでのニーズに適応できるように、柔軟性の高いモジュラ構造になっています。この付録では、Cisco Secure ACS のアーキテクチャを構成するコンポーネントについて説明します。Cisco Secure ACS には、次のサービス モジュールがあります。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSTacacs

CSRadius

Cisco Secure ACS のサービスは、グループとして停止や再起動ができます。ただし、Cisco Secure ACS の HTML インターフェイスを使用する CSAdmin は例外です。詳細については、「サービスの制御」を参照してください。

Cisco Secure ACS サービスは、該当するシリアル コンソールから個別に起動、停止、および再起動できます。シリアル コンソールを使用したサービスの起動、停止、および再起動については、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

CSAdmin

CSAdmin は、Cisco Secure ACS の HTML インターフェイス対応の Web サーバを提供するサービスです。Cisco Secure ACS をインストールした後、その HTML インターフェイスから設定を行う必要があります。したがって、Cisco Secure ACS を設定するときに CSAdmin を実行している必要があります。

Cisco Secure ACS の Web サーバは、通常 HTTP トラフィックに関連付けられている標準ポート 80 ではなく、ポート 2002 を使用するため、同一マシン上で別の Web サーバを使用して他の Web サービスを提供することができます。他の Web サーバとの相互運用性テストは実施されていませんが、2 番目の Web サーバがポート 2002 か、HTTP ポート割り当て機能で指定された範囲内のポートを使用するように設定されていない限り、HTTP トラフィックにポートの競合は発生しません。HTTP ポート割り当て機能の詳細については、「アクセス ポリシー」を参照してください。


) HTML インターフェイスにアクセスする方法とネットワーク環境の詳細については、「ネットワーク環境と管理セッション」を参照してください。


Cisco Secure ACS の HTML インターフェイス内からサービスの起動や停止はできますが、CSAdmin の起動や停止はできません。CSAdmin が外部アクションが原因で異常停止した場合、このサービスの再起動には、該当するシリアル コンソールしか使用できません。シリアル コンソールを使用したサービスの起動、停止、および再起動については、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

CSAdmin は、複数の Cisco Secure ACS 管理者が同時にアクセスできるマルチスレッドのアプリケーションです。したがって、分散したマルチプロセッサ環境に適しています。

CSAuth

CSAuth は、認証および許可サービスです。このサービスは、認証要求と許可要求を処理することによって、ユーザへのアクセスを許可または拒否します。CSAuth はアクセスを許可するかどうかを決定し、特定のユーザの特権を定義します。CSAuth は、Cisco Secure ACS のデータベース マネージャです。

Cisco Secure ACS は、ユーザを認証するために、内部ユーザ データベースまたは外部データベースを使用できます。認証要求が着信すると、Cisco Secure ACS はそのユーザに対して設定されているデータベースをチェックします。ユーザが不明の場合は、未知のユーザに対して設定されているデータベースをチェックします。Cisco Secure ACS が未知のユーザの認証要求を処理する方法の詳細については、「未知のユーザの処理」を参照してください。

Cisco Secure ACS がサポートする各種のデータベース タイプの詳細については、「ユーザ データベース」を参照してください。

ユーザが認証されると、Cisco Secure ACS は、ユーザ プロファイルおよびそのユーザが割り当てられたグループから一連の許可を取得します。この情報は、ユーザ名とともに CiscoSecure ユーザ データベースに保存されます。許可には、ユーザに許可されているサービス(IP over PPP など)、IP アドレスの供給源となる IP プール、アクセス リスト、およびパスワード エージング情報があります。許可は、認証の許可とともに CSTacacs モジュールまたは CSRadius モジュールに渡され、さらに要求元デバイスに転送されます。

CSDBSync

CSDBSync は、Cisco Secure ACS データベースを CSV ファイルのデータと同期化するために使用するサービスです。CSDBSync は、AAA クライアント、AAA サーバ、Network Device Group(NDG; ネットワーク デバイス グループ)、およびプロキシ テーブル情報との同期をとります。RDBMS 同期機能については、「RDBMS の同期」を参照してください。

CSLog

CSLog は、ロギング情報を取り込んで、格納するために使用するサービスです。CSLog は、TACACS+ パケットまたは RADIUS パケットと、CSAuth からデータを収集し処理した後で、Comma-Separated Value(CSV; カンマ区切り値)ファイルにデータを保存します。CSV ファイルは、CSV ファイル形式をサポートしているスプレッドシートにインポートできます。

Cisco Secure ACS により生成されるログについては、「概要」を参照してください。

CSMon

CSMon は、リモート アクセス ネットワーク環境においてダウンタイムを最短に抑えるために役立つサービスです。CSMon は TACACS+ と RADIUS のどちらに対しても動作し、使用中のプロトコルを自動的に検出します。

CSMon サービスは、Cisco Secure ACS の HTML インターフェイスを使用して設定できます。Cisco Secure ACS アクティブ サービス管理機能には、CSMon の動作を設定するオプションがあります。詳細については、「Cisco Secure ACS Active Service Management」を参照してください。


) CSMon は、システム、ネットワーク、またはアプリケーションに対する管理アプリケーションの代替として使用することは目的としていません。汎用性の高い他のシステム管理ツールと併用できる、アプリケーション固有のユーティリティとして提供されています。


CSMon は、次のトピックに示す 4 つの基本的なアクティビティを実行します。

「モニタリング」

「記録」

「通知」

「応答」

モニタリング

CSMon は、Cisco Secure ACS およびそれが動作しているシステムのステータス全体を監視します。CSMon は、次に示す基本的なシステム パラメータをアクティブに監視します。

ホスト システムの一般的な状態 :CSMon は次の主要なシステムしきい値を監視します。

ハード ディスクの空き容量

プロセッサ使用率

物理メモリの使用率

ホスト システムの一般的な状態に関連するイベントはすべて「警告イベント」に分類されます。

アプリケーション特有のパフォーマンス

アプリケーションの実行可能性 :CSMon では、特殊な組み込みテスト用アカウントを使用して、ログインのテストを定期的に実行します(デフォルトの間隔は 1 分)。この認証で発生した問題を利用して、サービスに問題が発生していないかどうかを判別できます。

アプリケーションのパフォーマンスしきい値 :CSMon は、各テスト認証要求の待ち時間(肯定応答を受信するまでの時間)を監視および記録します。テストが実行されるたびに、CSMon は平均応答時間の値が含まれている変数を更新します。さらに、応答に成功するまで再試行が必要であったかどうかも記録します。テストごとに認証が得られるまでの平均時間をトラッキングすることにより、テスト対象となっているシステムでの予想応答時間の「状況」を把握して蓄積できます。そのようにして、認証ごとに再試行を余分に実行する必要があるかどうか、または 1 回の認証に要する応答時間が通常の平均時間に対するしきい値(%)を超えているかどうかを検出できます。

Cisco Secure ACS によるシステム リソースの消費:CSMon は、Cisco Secure ACS が使用している一部の主要システム リソースの使用状況について監視と記録を定期的に実行し、その結果を事前設定されたしきい値と比較して、不規則な動作を示していないかどうかを調べます。監視対象のパラメータには、次のものがあります。

処理回数

メモリ使用率

プロセッサ使用率

使用スレッド

ログイン失敗回数

CSMon は CSAuth と連携して、失敗回数が最大数を超えたために使用不可になるユーザ アカウントを監視します。この機能は、システムの実行可能性よりも、むしろセキュリティおよびユーザ サポートを対象にしています。この機能が設定されている場合は、大量のアカウントが使用不可になることを示す警報を管理者に通知することによって、「力ずくの」不正侵入に対するすばやい警告を行います。さらに、アクセスする個々のユーザに関する問題をサポート技術者が予測するために役立ちます。

記録

CSMon は、問題の診断に使用できる例外イベントを CSV ログに記録します。このロギングによるリソースの消費量は比較的小さいため、CSMon によるロギングを使用不可にはできません。

通知

CSMon は、次の場合にシステム管理者への通知を行うように設定できます。

例外イベント

応答

応答の結果

例外イベントおよび結果の通知には、メッセージ発信時の Cisco Secure ACS の状態が含まれます。デフォルトの通知方式は Simple Mail-Transfer Protocol(SMTP; シンプル メール転送プロトコル)による電子メールですが、スクリプトを作成して他の方式を使用することもできます。

応答

CSMon は、サービスの整合性に影響を与える例外イベントを検出し、イベントに応答することができます。監視対象イベントについては、「モニタリング」を参照してください。これらのイベントはアプリケーション特有のものであり、Cisco Secure ACS にハードコードされています。次の 2 つのタイプの応答があります。

警告イベントサービスは維持されますが、監視対象の値の一部がしきい値を超過しています。

障害イベント1 つまたは複数の Cisco Secure ACS コンポーネントがサービスの提供を停止しています。

CSMon は、イベントのロギングおよび通知の送信(設定されている場合)によってイベントに応答し、そのイベントがサービス障害であれば、それに対するアクションを実行します。CSMon には、サービス障害に応答するための、いくつかのオプションが用意されています。これらのアクションはプログラムにハードコードされており、トリガー イベントが検出されると必ず実行されます。応答オプションの詳細については、「システム モニタリングのオプション」を参照してください。

イベントが警告イベントである場合は、そのイベントがロギングされて、管理者に通知されます。それ以上のアクションは実行されません。CSMon でも、一連の再試行後に障害の発生原因の修正が試みられ、個々のサービスが再起動されます。

CSTacacs と CSRadius

CSTacacs サービスと CSRadius サービスは、CSAuth モジュールと、認証および許可サービスを要求するアクセス デバイスと間の通信サービスを提供します。CSTacacs と CSRadius が適切に運用されるためには、システムが次の条件を満たしている必要があります。

CSTacacs および CSRadius サービスが、CSAdmin から設定されること。

CSTacacs および CSRadius サービスがアクセス サーバ、ルータ、スイッチ、ファイアウォールなどのアクセス デバイスと通信できること。

Cisco Secure ACS とアクセス デバイスの両方で同一の共有秘密情報(キー)が設定されていること。

アクセス デバイスの IP アドレスが Cisco Secure ACS 内で指定されていること。

使用するセキュリティ プロトコルのタイプが、Cisco Secure ACS で指定されていること。

TACACS+ デバイスとの通信には CSTacacs が使用され、RADIUS デバイスとの通信には CSRadius が使用されます。両方のサービスを同時に実行できます。一方のセキュリティ プロトコルだけが使用されている場合は、該当するサービスだけを実行する必要があります。ただし、もう一方のサービスは正常な動作の妨げにはならないので、使用不可にする必要はありません。 TACACS+ AV ペアの詳細については、 付録B「TACACS+ のアトリビュートと値のペア」 を参照してください。RADIUS+ AV ペアの詳細については、 付録C「RADIUS アトリビュート」 を参照してください。