Active Directory エージェント
ISE-PICから、ネイティブ 32 ビット アプリケーション、ドメイン コントローラ(DC)エージェントを、(設定に応じて)Active Directory(AD)ドメイン コントローラ(DC)またはメンバー サーバ上の任意の場所にインストールし、AD からユーザ ID 情報を取得して、設定したサブスクライバにこれらの ID を送信します。エージェント プローブは、ユーザ ID 情報に Active Directory を使用する場合の簡単で効率的なソリューションです。エージェントは個別のドメインまたは AD ドメインにインストールできます。インストールされたエージェントは、1 分ごとに ISE-PIC にステータス更新情報を提供します。
エージェントは ISE-PIC が自動的にインストールおよび設定するか、またはユーザが手動でインストールすることができます。インストールが完了すると、次のようになります。
-
エージェントとその関連ファイルはパス Program Files/Cisco/Cisco ISE PassiveID Agent にインストールされています。
-
エージェントのロギング レベルを指定する PICAgent.exe.config という設定ファイルがインストールされます。この設定ファイル内でロギング レベルを手動で変更できます。
-
CiscoISEPICAgent.log ファイルにはすべてのロギング メッセージが保存されます。
-
nodes.txt ファイルには、展開内でエージェントが通信できるすべてのノードのリストが含まれています。エージェントはリストの最初のノードと通信します。このノードと通信できない場合、エージェントはリストのノード順序に従ってノードとの通信を試行します。手動でのインストールの場合、このファイルを開き、ノード IP アドレスを入力する必要があります。(手動または自動での)インストールの完了後にこのファイルを変更するには、このファイルを手動で更新する必要があります。ファイルを開き、ノード IP アドレスを必要に応じて追加、変更、または削除します。
-
Cisco ISE PassiveID Agent サービスはマシン上で稼働します。このサービスは [Windows サービス(Windows Services)] ダイアログボックスから管理できます。
-
ISE-PIC は最大 100 個のドメイン コントローラをサポートでき、それぞれのエージェントは最大 10 個のドメイン コントローラをモニタできます。
(注)
100 個のドメイン コントローラをモニタするには、10 個のエージェントを設定する必要があります。
(注) |
Active Directory エージェントは、Windows Server 2008 以降でのみサポートされます。 エージェントをインストールできない場合、パッシブ ID サービスには Active Directory プローブを使用します。詳細については、プローブおよびプロバイダーとしての Active Directoryを参照してください。 |
Active Directory エージェントの自動インストールおよび展開
始める前に
-
サーバ側からの関連 DNS サーバの逆引き参照を設定します。ISE-PIC の DNS サーバ設定要件の詳細については、DNS サーバを参照してください。
-
エージェント用に指定されたマシンで Microsoft .NET Framework がバージョン 4.0 以上に更新されていることを確認します。.NET フレームワークの詳細については、https://www.microsoft.com/net/frameworkを参照してください。
-
AD 参加ポイントを作成し、1 つ以上のドメイン コントローラを追加します。参加ポイントの作成の詳細については、プローブおよびプロバイダーとしての Active Directoryを参照してください。
AD、エージェント、SPAN、および syslog プローブで AD ユーザ グループを使用します。AD グループの詳細については、Active Directory ユーザ グループの設定を参照してください。
手順
ステップ 1 |
現在設定されているすべてのドメイン コントローラ(DC)エージェントを表示し、既存のエージェントを編集、削除し、新しいエージェントを設定するには、 を選択します。 |
ステップ 2 |
新しいエージェントを追加するには、テーブルの上部で [追加(Add)] をクリックします。既存のクライアントを編集または変更するには、テーブルでエージェントをオンにし、テーブル上部で [編集(Edit)] をクリックします。 |
ステップ 3 |
新しいエージェントを作成し、この設定で指定するホストに自動的にインストールするには、[新規エージェントの展開(Deploy New Agent)] を選択します。 |
ステップ 4 |
クライアントを正しく設定するため、すべての必須フィールドに入力します。詳細については、Active Directory エージェントの設定を参照してください。 |
ステップ 5 |
[展開(Deploy)] をクリックします。 |
ステップ 6 |
を選択し、現在選択されているすべての参加ポイントを表示します。 |
ステップ 7 |
作成したエージェントを有効にする参加ポイントのリンクをクリックします。 |
ステップ 8 |
前提条件の一部として追加したドメイン コントローラを使用するため、[パッシブ ID(Passive ID)] タブを選択します。 |
ステップ 9 |
作成したエージェントを使用してモニタするドメイン コントローラをオンにし、[編集(Edit)] をクリックします。 |
ステップ 10 |
表示されるダイアログボックスで、必須フィールドに値が入力されていることを確認し、[プロトコル(Protocol)] ドロップダウンから [エージェント(Agent)] を選択します。表示される [エージェント(Agent)] フィールドのドロップダウンリストから、作成したエージェントを選択します。エージェントのユーザ名およびパスワードのクレデンシャルを作成している場合は、このクレデンシャルを入力して [保存(Save)] をクリックします。 |
Active Directory エージェントの手動インストールおよび展開
始める前に
-
サーバ側からの関連 DNS サーバの逆引き参照を設定します。ISE-PIC の DNS サーバ設定要件の詳細については、DNS サーバを参照してください。
-
エージェント用に指定されたマシンで Microsoft .NET Framework がバージョン 4.0 以上に更新されていることを確認します。.NET フレームワークの詳細については、https://www.microsoft.com/net/frameworkを参照してください。
-
AD 参加ポイントを作成し、1 つ以上のドメイン コントローラを追加します。参加ポイントの作成の詳細については、プローブおよびプロバイダーとしての Active Directoryを参照してください。
AD、エージェント、SPAN、および syslog プローブで AD ユーザ グループを使用します。AD グループの詳細については、Active Directory ユーザ グループの設定を参照してください。
手順
ステップ 1 |
現在設定されているすべてのドメイン コントローラ(DC)エージェントを表示し、既存のエージェントを編集、削除し、新しいエージェントを設定するには、 を選択します。 |
ステップ 2 |
[エージェントのダウンロード(Download Agent)] をクリックし、手動でインストールするための picagent-installer.zip ファイルをダウンロードします。 |
ステップ 3 |
ZIP ファイルを指定のホスト マシンに保存してインストールを実行します。 |
ステップ 4 |
ISE-PIC GUI で をもう一度選択します。 |
ステップ 5 |
新しいエージェントを設定するには、テーブルの上部で [追加(Add)] をクリックします。既存のクライアントを編集または変更するには、テーブルでエージェントをオンにし、テーブル上部で [編集(Edit)] をクリックします。 |
ステップ 6 |
すでにホスト マシンにインストールしているエージェントを設定するには、[既存のエージェントの登録(Register Existing Agent)] を選択します。 |
ステップ 7 |
クライアントを正しく設定するため、すべての必須フィールドに入力します。詳細については、Active Directory エージェントの設定を参照してください。 |
ステップ 8 |
[保存(Save)] をクリックします。 |
ステップ 9 |
を選択し、現在選択されているすべての参加ポイントを表示します。 |
ステップ 10 |
作成したエージェントを有効にする参加ポイントのリンクをクリックします。 |
ステップ 11 |
前提条件の一部として追加したドメイン コントローラを使用するため、[パッシブ ID(Passive ID)] タブを選択します。 |
ステップ 12 |
作成したエージェントを使用してモニタするドメイン コントローラをオンにし、[編集(Edit)] をクリックします。 |
ステップ 13 |
表示されるダイアログボックスで、必須フィールドに値が入力されていることを確認し、[プロトコル(Protocol)] ドロップダウンから [エージェント(Agent)] を選択します。表示される [エージェント(Agent)] フィールドのドロップダウンリストから、作成したエージェントを選択します。エージェントのユーザ名およびパスワードのクレデンシャルを作成している場合は、このクレデンシャルを入力して [保存(Save)] をクリックします。 |
エージェントのアンインストール
手順
ステップ 1 |
[Windows] ダイアログで [プログラムと機能(Programs and Features)] に移動します。 |
ステップ 2 |
インストールされているプログラムのリストで [Cisco ISE PassiveID エージェント(Cisco ISE PassiveID Agent)] を見つけて選択します。 |
ステップ 3 |
[アンインストール(Uninstall)] をクリックします。 |
Active Directory エージェントの設定
ISE-PIC が、さまざまなドメイン コントローラ(DC)からユーザ ID 情報を取得し、その情報を ISE-PIC サブスクライバに配信するために、ネットワーク内の指定されたホストにエージェントを自動的にインストールすることを許可します。
エージェントを作成および管理するには、Active Directory エージェントの自動インストールおよび展開を参照してください。
を選択します。[エージェント(Agents)] テーブルで現在のエージェントのステータスを確認します。
を選択します。フィールド | 説明 |
---|---|
[名前(Name)] |
設定したエージェント名。 |
ホスト(Host) |
エージェントがインストールされているホストの完全修飾ドメイン名。 |
モニタリング(Monitoring) |
指定されたエージェントがモニタするドメイン コントローラのカンマ区切りリストです。 |
フィールド | 説明 |
---|---|
新規エージェントの展開(Deploy New Agent)または既存のエージェントの登録(Register Existing Agent) |
|
名前(Name) |
エージェントを容易に把握できる名前を入力します。 |
説明(Description) |
エージェントを容易に把握できる説明を入力します。 |
ホスト FQDN(Host FQDN) |
エージェントがインストールされているホスト(既存のエージェントの登録の場合)またはインストールされるホスト(自動展開の場合)の完全修飾ドメイン名です。 |
ユーザ名(User Name) |
エージェントをインストールするホストにアクセスするためのユーザ名を入力します。ISE-PICは、これらのクレデンシャルを使用してエージェントをインストールします。 |
パスワード(Password) |
エージェントをインストールするホストにアクセスするためのユーザ パスワードを入力します。ISE-PICは、これらのクレデンシャルを使用してエージェントをインストールします。 |