Cisco 認証サーバ

Cisco ACS ver5 ログコレクタとレプリケーションの設定方法

投稿日:2015年12月13日 更新日:

今回は、Cisco ACSのログコレクタについてと、
レプリケーション(冗長化)の設定方法を説明します。

特に、レプリケーションの設定でうまくいっていない場合は是非参考にしてください。

 

ACS ログコレクタについて

ACS ログコレクタとは、言葉通りログを収集する機能のことを指します。

通常、ネットワーク機器は、自らでログの収集して保存するため、特に気にする必要はありません。
しかし、ACSは気にする場面があります。

 

どういうときにこの概念が必要になってくるかというと、
2台以上で冗長化しているときです。レプリケーションの機能を使い冗長構成をとっているときです。

 

ACS自らでログの収集をするのはその通りなのですが、
2台以上の冗長構成をとっている場合、ログコレクタを定義するのは、
一台のみで良いです。

 

ACSの冗長構成はActive-Standby構成であるため、
2台以上のACSが存在する場合でも実際に認証を行う機器は一台です。

ですが、ログの収集は別の一台で行うことが通常です。

 

ちなみに、認証を行うACSをプライマリサーバ
それ以外をセカンダリサーバと呼びます。

 

また、レプリケーションの仕様として、
設定変更はプライマリサーバでしかできませんので、

プライマリACSサーバで認証、設定変更を行い、
セカンダリACSサーバでログ管理を行います。

 

ciscoもこのように推奨しています。

 

では、どうしてログコレクタを分ける必要があるのかというと、

そもそも、ACS5.Xはログの管理をMonitoring and Report Viewerという機能で行っていますが、
この機能には、非常に多くのリソースを要します。
そのため、本来の機能である認証のパフォーマンスは50%も低下する可能性があります。

よって、2台以上でACSを構成するときは、
セカンダリ認証サーバ兼、ログコレクタ用に一台使用したほうが良いということです。

 

ちなみに、ログコレクタの設定は、レプリケーション後、「System Administration」 > 「Configuration」 > 「Log Configuration」 > 「Log Collector」から行います。

ACSログコレクタ

 

 

レプリケーションの設定方法について

レプリケーションとは2台以上のACSで冗長化することを指します。

初めて、レプリケーションの設定をしたとき、うまくいかなかったのでシェアしておきます。僕は、英語のサイトから問題がわかったのですが、うまくいかない場合、以下の方法を試してみてください。

 

レプリケーションの設定前に、「System Administration」 > 「Configuration」 > 「Global System Options」 > 「Trust Communication Settings」 から、「Enable Nodes Trust Communication」という項目のチェックを外します。

「Enable Nodes Trust Communication」は冗長構成をする際に証明書を使用するかというパラメータです。

ACSレプリケーション

 

その後、通常の設定です。
セカンダリサーバのブラウザにて、「System Administration」 > 「Operations」 > 「Local Operations」> 「Deployment Operations」から、プライマリサーバの情報を登録します。

【パラメータ】
・Primary Instance: プライマリACSサーバのIPアドレス
・Admin Username: プライマリACSサーバのWebログイン時のユーザ名
・Admin Password: プライマリACSサーバのWebログイン時のパスワード

以上、ありがとうございました。

 







-Cisco, 認証サーバ
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

ip helper addressとは?DHCPリレーを実現する。

  DHCPとは? →  DHCPとはなにか。   一言でいうと、自動でIP、アドレスを割り当てるプロトコルです。   しかし、DHCPのパケットは一つ問題がありました。

CentercomスイッチのRADIUS設定

  Centercom のRadius設定です。 (RadiusサーバはACSを想定しています。) telnetなどでリモートアクセスする際に、ローカルのパスワードではなく、外部認証サーバを …

CiscoルータでPPPoEサーバを設定する方法(複数拠点接続)

  EthernetのLAN環境から、企業に拠点があって通信業者のWAN網を使う場合、 または、インターネットに接続する際などに、「PPPoE」という技術を使います。 PPPoEとは、PPP …

ApresiaLightFMシリーズのTACACS+設定

  ApresiaLightFMシリーズのTACACS+の設定について。 TACACS+サーバはCiscoのACS ver5を想定しています。   telnetなどでリモートアクセ …

HP ProCurveスイッチのTACACS+設定

  HP(ProCurve)のTACACS+設定についてです。 (TACACS+サーバはACS ver5を想定しています。) telnetなどでリモートアクセスする際に、ローカルのパスワード …

Sponsored Link