シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASAのAAA server group内server選択方法に関して

ASAのaaa-server commandで設定されたserverの選択方法に関して説明します。
以下の設定を例とします。

    aaa-server GROUP-A protocol radius
    aaa-server GROUP-A (inside) host 192.168.100.1
           key cisco123
    aaa-server GROUP-A (inside) host 192.168.100.2
           key cisco123   
    aaa-server GROUP-A (inside) host 192.168.100.3
           key cisco123   

上記設定は例えばtunnel-groupのgeneral-attibutes内で使用するauthentication-server-group commandで

    authentication-server-group GROUP-A

のように設定され、このgroup内に実際は3台のradius serverが登録されていることを意味します。
aaa-server commandにはreactivation-modeという概念があり、timed/depletionの2つから選択できます。defaultはdepletionであり、上記設定は実際は

    aaa-server GROUP-A protocol radius
       reactivation-mode depletion deadtime 10
    aaa-server GROUP-A (inside) host 192.168.100.1

という設定になっております。

各サーバの状況はshow aaa-server commandで以下のように確認できます。

ciscoasa# show aaa-server
Server Group:    LOCAL
Server Protocol: Local database
Server Address:  None
Server port:     None
Server status:   ACTIVE, Last transaction at 19:40:55 JST Fri Oct 17 2014
Number of pending requests              0
Average round trip time                 0ms
Number of authentication requests       3
Number of authorization requests        0
(snip)
Server Group:    GROUP-A
Server Protocol: radius
Server Address:  192.168.100.1
Server port:     1645(authentication), 1646(accounting)
Server status:   ACTIVE, Last transaction at 12:06:01 JST Fri Oct 17 2014
Number of pending requests              0
Average round trip time                 222ms
Number of authentication requests       9
Number of authorization requests        0
(snip)
Server Group:    GROUP-A
Server Protocol: radius
Server Address:  192.168.100.2
Server port:     1645(authentication), 1646(accounting)
Server status:   ACTIVE, Last transaction at unknown
Number of pending requests              0
Average round trip time                 0ms
Number of authentication requests       0
Number of authorization requests        0
Number of accounting requests           0
(snip)

 

 

上記の各serverのServer Status欄がACTIVE, FAILEDのように変わります。

depletionでは一度Failed判定されたserverはgroup内の全てのserverがFAILED判定されるまではACTIVEに戻りません。従って192.168.100.1のRADIUS serverが例えば再起動等でFailed判定された場合、その後server自体は復旧したとしても全てのserverがASAでFAILED判定されるまではASAから見てACTIVEにならずRADIUS serverとしては使用されません。

Server自体は復旧したはずなのにFAILEDのままで使用されないといった場合はこちらにご注意下さい。depletionはreactivation-modeのdefault設定であり、show running-configでは表示されませんがshow running-config allでは確認できます。
   
timedではFAILED判定されたserverはserver自体が復旧したかどうかに関わらず30秒後にACTIVEに戻ります。
   
   http://www.cisco.com/en/US/docs/security/asa/command-reference/qr1.html#wp1834955

に詳細がありますのでご確認下さい。

633
閲覧回数
0
いいね!
0
コメント