-
null
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ACS 5.3 展開モデルは ACS 4.x と似ており、単一のプライマリ ACS サーバと複数のセカンダリ ACS サーバから構成され、設定の変更はプライマリ ACS サーバで行います。これらの設定はセカンダリ ACS サーバに複製されます。
すべてのプライマリおよびセカンダリ ACS サーバで AAA 要求を処理できます。プライマリ ACS サーバは Monitoring and Report Viewer のデフォルトのログ コレクタでもありますが、任意の ACS サーバをログ コレクタに設定することができます。
1 台の ACS サーバで管理できますが、複数の ACS サーバを使用して、AAA 要求の処理の冗長性を備えることをお勧めします。ACS 5.3 は外部ログ用の syslog のサポートと、自動およびバッチ設定プロビジョニング用のインターフェイスを備えています。
ACS 展開は、セカンダリ サーバを追加することによって、AAA 要求の処理容量の増加に合わせて拡大できます。大規模な展開では、セカンダリ サーバを特定機能専用にすることができます。たとえば、プライマリ ACS サーバを設定の変更専用に使用し、AAA 要求の処理に使用しないようにすることもできます。セカンダリ ACS サーバをログ コレクタとしてのみ指定することができます。
大規模環境では、ロード バランサを使用して、展開内の ACS サーバ間で AAA 要求を分散し、AAA クライアント管理を簡単にして、高可用性を実現できます。
ACS サーバは一般にデータセンターや地域のサイトなどのユーザ クラスタの近くに配置します。
その他の展開情報については、『 Installation and Upgrade Guide for the Cisco Secure Access Control System 5.3 』の「 Understanding the ACS Server Deployment 」を参照してください。
表 1-1 にさまざまな ACS サーバの役割について説明します。
|
|
---|---|
プライマリ ACS サーバで実行した設定の変更は、展開内のすべてのセカンダリ ACS サーバに複製されます。プライマリ サーバとして使用できる ACS サーバは一度に 1 台だけです。 |
|
Monitoring and Report Viewer のログ コレクタでもある ACS プライマリまたはセカンダリ サーバ。展開に配置できるログ コレクタは 1 台だけです。 |
次の項では、ACS 4.x と ACS 5.3 の展開の違い、および ACS 5.3 を展開する場合のいくつかの考慮事項について説明します。
• 「Windows と Linux ベースのアプリケーション」
• 「ID ストア」
• 「ロギング」
• 「設定」
• 「ライセンス」
ACS 3.x および 4.x リリースは Windows サーバ プラットフォームにインストール可能な Windows ベースのアプリケーションとして使用できます。これらのアプリケーションは ACS Solution Engine と呼ばれるアプライアンスでも使用できます。このアプライアンスは ACS と Windows オペレーティング システムが事前ロードされているハードウェア プラットフォームです。
ACS 5.3 は Linux フレーバーのアプリケーションで Linux オペレーティング システムにパッケージされています。アプリケーションとオペレーティング システム パッケージはアプライアンスに同梱されており、VMware ESX Server 上の仮想マシンにもインストールできます。
ACS for Windows と ACS Solution Engine には機能と展開の違いがありますが、ACS 5.3 ハードウェア アプライアンスと仮想マシンにインストールされた ACS 5.3 には機能の違いがありません。ACS 5.3 ハードウェア アプライアンスと ACS 5.3 仮想マシンから構成される展開もサポートされます。
ACS 3.x および 4.x は緩いレプリケーション モデルを提供します。ACS 3.x および 4.x レプリケーション モデルの特性を次に示します。
• 設定ブロックは ACS 設定の論理領域を表します。たとえば、ユーザとユーザグループ、ユーザグループのみ、ネットワーク デバイス、配布テーブル、インターフェイス設定、インターフェイス セキュリティ設定、パスワード検証設定、EAP-FAST 設定、ネットワーク アクセス プロファイル、ログ設定などです。
• プライマリ サーバからセカンダリ サーバに 1 つ以上の設定ブロックを複製するオプション。
• 設定の変更のサイズに関係なく、ブロック全体が複製されます。
• カスケード レプリケーション。これは、セカンダリ ACS サーバがレプリケーションの更新を別の ACS サーバにプッシュする機能です。
• レプリケーションは手動またはスケジュールに従って起動できます。
• TACACS+ パスワードの更新は、プライマリ サーバでのみ受け取ります。
この緩いレプリケーション モデルでは、プライマリ サーバとセカンダリ サーバ間で複製されたブロックが同期されますが、設定の他の部分は異なることがあり、ローカル環境に合わせてカスタマイズできます。
ACS 5.3 のレプリケーション モデルは単純で効率的かつ堅牢です。ACS 5.3 レプリケーション モデルの特性を次に示します。
• セカンダリ サーバをプライマリ サーバにプロモートする機能。
• TACACS+ パスワードの更新は任意の ACS インスタンスで受け取ることができます。
ACS 5.3 ネットワーク アクセス ポリシー設定で地域固有のアクセス ポリシーを実装する必要があります。これは、ACS 5.3 の設定がプライマリ サーバとセカンダリ サーバで完全に同期され、直接セカンダリ サーバに対して設定を変更することができないためです。
ACS 3.x および 4.x と 5.3 の ID ストアのサポートに関する主な違いは、ACS 5.3 では、データベースへの認証に ODBC がサポートされないことと、TACACS+ 要求のプロキシ転送がサポートされないことです。ACS 5.3 では、認証に次の ID ストアがサポートされます。
ACS 5.3 では、Monitoring and Report Viewer 機能が ACS に含まれます。ACS 5.3 展開では、ACS サーバがレポートおよび監視機能のログ コレクタとして指定されます。その他のすべての ACS サーバは指定されたログ コレクタにログ メッセージを送信します。
ACS は外部サーバへのログ用に syslog をサポートしています。
ACS 5.3 は Monitoring and Report Viewer からユーザ認証情報を取得するための Cisco Wireless Control System(WCS)の Web サービス インターフェイスを備えています。
ACS 5.3 では、設定のプライマリ モードは Web ベースのユーザ インターフェイスです。ACS 5.3 にはシステム タスクとファイルベースの設定の更新を実行できるコマンドライン インターフェイス(CLI)もあります。
CLI には、コンソール ポート、キーボード、ビデオ、マウス(KVM)、SSH からアクセスできます。内部 ACS ユーザ向けにパスワード変更アプリケーションを開発するための Web サービス インターフェイスが提供されています。
表 1-2 に ACS でサポートされる内部ユーザとネットワーク デバイスの数を示します。ユーザとネットワーク デバイスは一般的に使われ、広く読み込まれる ACS オブジェクトです。
|
|
---|---|
ACS の 3.x および 4.x リリースには、キーまたはライセンス ファイルを適用する必要がありませんでした。しかし、5.x リリースにはライセンス ファイルの適用が必要です。ACS 5.3 ライセンスは、 http://cisco.com/go/license で入手できます。
表 1-3 に使用可能な ACS 5.3 ライセンスを示します。
|
|
---|---|
表 1-4 に ACS 3.x および 4.x から ACS 5.3 へのコンポーネントのマッピングを示します。
• ほとんどの場合に、1 対 1 の ACS サーバ置換が適切です。
ACS 5.3 の認証パフォーマンスは以前のバージョンと同じです。
• 冗長性を提供するために、少なくとも 2 つの ACS インスタンスを展開します。
• 認証パフォーマンスを拡張するには、ACS サーバを追加します。
1 台の ACS サーバでその AAA クライアントと、バックアップ AAA サーバとしてそれに依存するすべての AAA クライアントのピークの認証レートを処理できることを確認します。
• 展開環境を拡大するために、AAA 要求のみを処理するセカンダリ ACS サーバを使用することができます。プライマリは設定の更新とログの収集にのみ使用します。
ログ コレクタには最も強力なハードウェアを使用します。たとえば、1120 アプライアンスよりも 1121 アプライアンスを使用します。
• ロード バランサを使用して、AAA 要求を受け取り、AAA クライアントの管理を簡単にし、耐障害性を向上して、ACS 認証容量を有効に利用します。
• 実行中のリソースの使用状況を監視します。これは、図 1-1 に示すように、Monitoring and Report Viewer の ACS システム健全性アラームしきい値を有効にすることによって実行できます。
ログ コレクタとして動作しない単一の ACS 5.3 サーバは 1 秒あたり 100 を超える認証を処理できます。AAA 要求を処理する単一の ACS サーバでピーク時間の負荷を管理できることを確認する必要があります。ピーク時間は、一般にユーザの始業時やネットワーク機器の再起動時に発生します。これにより、大量の認証要求が作成されます。
たとえば、15 分間に 50,000 人の社員がネットワークに均等にログインします。これは、ピーク認証レートとして、1 秒あたり約 56 の認証に換算されます。この場合、ログ コレクタとして動作しない単一の ACS サーバでこのピーク認証レートをサポートできます。
表 1-5 に、最小レートが 1 秒あたり 100 認証として、さまざまな期間での 1 台の ACS サーバでサポートできる認証数を示します。
ACS 認証パフォーマンスに影響する要因は、設定サイズ、ポリシーの複雑さ、外部サーバとの通信、認証プロトコルの複雑さなどたくさんあります。
表 1-6 にさまざまな認証環境での ACS のパフォーマンスを示します。このパフォーマンス データは、複雑な設定を使用する ACS をテストした場合に観察された低い範囲の認証レートを示しています。簡単な設定の場合はパフォーマンスが高くなります。
|
|
||
---|---|---|---|
|
|
|
|
(注) 上の数値は、該当する EAP モジュールに高速再接続およびセッション再開が使用されていることを前提としています。
ACS サーバを Monitoring and Report Viewer のログ コレクタとしても使用する場合、認証パフォーマンスは約 50 % 低下します。
CSACS 1121 アプライアンスでは、 表 1-6 に示す数値よりもパフォーマンスが約 10 % ~ 15 % 向上します。
仮想マシンでのパフォーマンスは、仮想マシンのオーバーヘッドのため、実際の 1120 アプライアンスよりも低くなります。CPU リソースを増やすと、仮想マシンのパフォーマンスが向上します。
仮想マシン環境での最小要件は 1121 アプライアンスと似ています。仮想マシン環境の詳細については、『 Installation and Upgrade Guide for the Cisco Secure Access Control System 5.3 』を参照してください。