Cisco ACS ver4.xとver5.xの違いについて

 

ACSの勉強と構築する機会があったので、
今回はACS ver4.xとver5.xの違いを説明したいと思います。

ver4とver5の大きな違いは、
認証モデルレプリケーションの違いです。

 

認証モデル

ユーザ・グループベースから、ルールベースへと変更になりました。
こちらが最も大きな変更です。

 

ユーザ・グループベース

ユーザ・グループベースを図で説明するとこのような感じ。

ACSユーザ・グループベース

まず、ユーザは必ずグループに所属する必要があります。
ユーザが一つしかない場合もグループを作る必要があります。

そして、一つのグループに対して、一つの認証ポリシーを割り当てることができます。

つまり、ユーザ・グループベースの認証モデルでは、
ユーザ・グループに対する認証ポリシーは必ず一つだけということになります。

 

ルールベース

次に、ルールベースを図で説明するとこのような感じ。

ACSルールベース

ルールを作成して、そこにユーザ・グループや条件を設定していきます。
ファイアウォールのポリシーのような構成となっています。

これにより、一つのユーザ・グループに対して、
複数の認証ポリシーを設定できるようになり、ver4より柔軟な設定が可能となります。

 

レプリケーション

そして、もう一つ違いとしては「レプリケーション」です。

レプリケーションとは、日本語訳すると「複製」という意味で、
2台以上のACSで冗長化することを言います。

その挙動がver4とver5では異なるので説明したいと思います。

 

まず、ver4は以下です。

・データベースの同期内容はオプションである
・手動またはスケジュールに従い同期する
・セカンダリサーバが別のACSサーバへプッシュ同期(カスケードレプリケーション)
・TACACS+ パスワードの変更はプライマリサーバでのみ可能

 

次に、ver5は以下です。

・プライマリサーバとセカンダリサーバのデータベースを完全同期
・設定変更時、即座にリアルタイム同期
・設定の変更内容のみの差分同期
・プライマリサーバでのみ設定変更が可能

 

比べてみるとわかりますが、ver5のほうが単純化、
自動化されたことがわかると思います。

設定も細かなオプション設定はなく、プライマリサーバを登録するのみとなります。

ACS違い

 



コメントを残す