マルチテナンシーTACACSサーバー

7

Cisco ACS 5.4（またはその他のバージョン）をマルチテナント環境で動作させることは可能ですか？

プライマリが1つ、セカンダリが1つ、ルーティングがまったく異なる2つのACSサーバーが必要です（ただし、レプリケーションのために相互にアクセスできることは明らかです）。

これにより、ACSの集中管理が可能になりますが、重複する可能性のあるIPアドレスからのクライアントデバイス要求を受け入れるには、ACSが必要です。

ACS5.4を試してみると、2番目のクライアントデバイスのIPが最初のクライアントデバイスと競合していると警告されます。

cisco

— スティーブ・ライト
ソース

何か回答がありましたか？もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。

— Ron Maupin

3

オープンソースのTACACSデーモンしか使用していないので、ACSについて話すことはできませんが、SQLバックエンドを利用することで、さまざまなボックスで完全に異なるルーティング/ポリシーを使用しながら、一貫したユーザーDBを維持できます。

— デビッドロセラ
ソース

この場合でも、2つのTACACSデーモンを実行しているでしょう。私たちはtac_plusを使用していますが、異なるポートに複数のレルムを設定せずにクライアントに重複IPアドレスを許可する簡単な方法はありません。これにより、統一されたユーザーデータベースが可能になりますが、デフォルト以外のポートと通信するには、クライアントでのカスタマイズが必要になります。

— smithian 2013年

2つのクライアントデバイスセット（私の基本的な例では）が1つのTACACSサーバーに接続するため、これは私には関係ありません。したがって、DBが保持できる限り：CustArouter1 = IP 192.168.1.1 CustBrouter1 = IP 192.168.1.1であり、ルーターに基づいたポリシー（またはルーターが属しているグループ？）があり、私にとっては有効です。私はCiscoのACSの使用に縛られているのではないかと思います...

— Steve Wright

0

私が見る限り：

1）重複するIPアドレスにポリシーNATを使用します。デバイスを追加するときに、NAT以前のアドレスとNAT後のアドレスを含めます。ここでのライセンスについては知りませんが、私の経験では、2つの異なるデバイスを追加するのと同じコストがかかります。

2）重複するIPには共通の共有シークレットを使用します。ポリシールールに違反するため、悪い考えです。

— セルゲイブ
ソース

1）デバイスの量が多いため、NATを選択できない場合があります。2）別の共有シークレットを使用しても問題ありません。

— スティーブライト