|
◆ Cisco Secure ACS - Patchのインストール
ACS5.1のソフトウェアは約600MBと、ルータやスイッチのIOSに比べるとかなりのサイズなのですが、
Patchも結構なサイズとなります。また、ACSパッチのインストールまたは削除を行う場合は、ACSの
再起動が必要です。先ず、最新のPatchをCiscoソフトウェアダウンロードセンターでダウンロードします。
次にFTPのRepositoryを新たに作成します。このPatchインストール作業はTFTPで行う場合は上手く動作
しないのでFTPを使用しましょう。設定画面は以下の通り「System Administration」 ⇒ 「Operations」
⇒ 「Software Repositories」で「Create」を選択します。
192.168.0.1 の管理PCでFTPサーバを起動して、ユーザ名:cisco1234、パスワード:cisco1234 とACSで
設定した上記内容を、FTPサーバにも設定します。FTPサーバ上でこのcisco1234はフル特権とします。次に
ACSにConsole接続を行い、acs patch install コマンドを入力します。例えば、Patchが 5-1-0-44-5 の場合
以下のように入力します。ちなみに、CiscoダウンロードセンターからPatchをダウンロードすると拡張子が
.pgp ではなく.tarとなります。しかしマニュアルでは以下の通り最後の拡張子が .gpg と表示されているので
ファイルをダウンロードした後、そのPatchのファイル名の拡張子を .tar から .pgp に“当方は”変更してます。
ACS01/admin# acs patch install 5-1-0-44-5.tar.gpg repository FTP-REPOSIT
ファイル転送が完了すると Installing ACS patch requires a restart of ACS Services.
Continue? (yes/no)
と表示されるので「yes」と入力します。その後、ACSは自動的にサービスの再起動を行います。サービスが
立ちあがった後、show version にて Patch: の適用を確認することができます。
◆ Cisco Secure ACS - レプリケーションの設定
ACSを複数台導入して冗長化を行う場合、1台をプライマリとして、その他をセカンダリとして実装させます。
そしてプライマリのACSで設定したアプリ上の設定を、自動的にセカンダリのACSにレプリケーション(複製)
させます。ここではそのレプリケーション(Replication)設定を紹介します。※証明書などは複製されません。
先ず、ACS間ではデータベース複製の際に"2638"のTCPポートを使用するだけでなく、その他にも色々と
使用しているので、ポート番号によるフィルタリングはないようにします。(同一セグメントが望ましい)
次に、セカンダリで「System Administration」⇒「Operations」⇒「Local Operations」⇒「Deployment
Operations」の画面で「Primary Instance」にプライマリサーバのホスト名またはIPアドレスを入力します。
「Admin Username」と「Admin Password」では、管理者アカウントのユーザ名とパスワードを入力します。
次に、「Register to Primary」ボタンを選択します。基本的な設定は以上です。
次に、プライマリ上の「System Administration」⇒「Operations」⇒「Distributed System Management」
にて、Secondary Instanceに先ほどのセカンダリサーバが登録されいてることを確認します。仮にセカンダリ
サーバがActiveされていなければ、該当するセカンダリサーバをチェックして「Active」ボタンを選択します。
ただしこの操作は、Primary Instanceに表示されているACSサーバ上で、"Enable Auto Activation
for Newly
Registered Instances"がチェックされていない場合に必要な操作です。チェックされているかどうかはPrimary
InstanceのACSをチェックして「Edit」ボタンを選択して以下の画面で確認することができます。
最後に、Distributed System Managementで確認できるレプリケーションステータス値の意味を紹介します。
| Replication Status |
説明 |
| UPDATED |
セカンダリインスタンスで複製が完了した状態。 |
| PENDING |
完全な複製の要求が開始しているか、プライマリの設定変更がセカンダリに伝播されていない状態。 |
| REPLICATING |
プライマリからセカンダリへのレプリケーションの処理中の状態。 |
| LOCAL MODE |
セカンダリインスタンスは、プライマリからの複製を受信しておらず、ローカル設定を維持している状態。 |
| DEREGISTERED |
セカンダリインスタンスがプライマリインスタンスから登録解除されている状態。 |
| INACTIVE |
セカンダリインスタンスが非アクティブな状態。「Activate」ボタンを選択する必要がある状態。 |
| N/A |
プライマリインスタンスの複製がない状態。 |
※ 正常にレプリケーションした場合でもPENDING状態は長く表示されますが1分以内で"UPDATED"へ以降します。"Refresh"で確認。
※ 無駄にRegister、Deregisterなどを繰り返すと、セカンダリ側の再起動後にライセンスを求める画面が表示される場合があります。
その場合、show application status acs では「management」が "Initiate"
状態だと思いますが、再度、再起動すれば復旧します。
|