セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX Device Manager のトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 1 月 14 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX Device Manager(PDM)ソフトウェアの問題を解決する手順について説明しています。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 ただし、この内容は最新バージョンのコード(ドキュメント執筆時点では 6.3.3)まで有効です。

  • Cisco PIX Firewall ソフトウェア リリース 6.1(1)

  • PDM バージョン 1.1(2)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PDM へのアクセスに関する問題の解決

PDM ソフトウェアのインストールの確認

PDM にアクセスするには、次の 2 つの要件を満たしている必要があります。

  • Data Encryption Standard(DES; データ暗号規格)または Triple Data Encryption Standard(3DES; トリプル DES)のアクティベーション キーが PIX で有効になっている。

  • PDM 固有のソフトウェア イメージが PIX のフラッシュにロードされている。

これらの要件が満たされていることを確認するには、PIX のコマンドラインから show version コマンドを入力ます。 PIX ファイアウォールのバージョンは 6.0 以降である必要があります。 次の情報が表示されます。

pixfirewall#show version
Cisco Secure PIX Firewall Version 6.1(1)
PIX Device Manager Version 1.1(2)   
<snip>
Licensed Features:
Failover:   Enabled
VPN-DES:    Enabled
VPN-3DES:   Disabled

PIX または PDM のバージョンを示す行が欠落していて、DES と 3DES の両方が無効になっている場合は、PDM ソフトウェアにアクセスできません。 DES キーがない場合は、Cisco ダウンロード サイトから PIX 56 ビット ライセンス アップグレード キー登録ユーザ専用)を入手できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。 DES キーがなく、登録ユーザでもない場合は、PIX で show version コマンドを発行したときに表示される PIX のシリアル番号を電子メールに記載して licensing@cisco.com 宛てに送信すると、無償の DES キーを入手できます。

キーをインストールする必要がある場合は、PIX ソフトウェアをリロードする必要があります。 DES キーまたは 3DES キーをインストールする方法は、これ以外にありません。 PIX ソフトウェアのリロード手順については、『Cisco PIX ファイアウォールのソフトウェアのアップグレード』の「PIX ファイアウォールの Boothelper またはモニタ モードからのアップグレード」セクションを参照してください。

PDM ソフトウェアのインストール

インストールされるまだ PDM ソフトウェアがあっていない場合 copy tftp flash とそれをロードして下さい: pdm コマンド。 copy tftp flash コマンドは使用しないでください。

次に、『PIX ファイアウォールへの PDM のインストール』の手順に従い、PIX ファイアウォールに PDM ソフトウェアをインストールして実行します。

PDM ソフトウェアのセットアップ

PDM ソフトウェアをインストールして DES または 3DES を有効にしたら、PIX コマンドラインから setup を実行し、PIX 上で稼働するように PDM をセットアップして、PDM へのアクセスを許可する特定のホストまたはネットワークを有効にします。 セットアップ中の質問に答える際には、年が正しく設定されていることを確認してください。年が間違っていると、無効な証明書が生成されます。 セットアップで使用されるドメイン名はキーマネージメントのために使用する <text.text> の形にドメインまたは任意に選択されたストリングの名前である場合もあります; 名前解決ははたらく必要はありません。 また、デフォルト値を選択するために ENTERIN 順序を押して下さい。

次に、セットアップ プロセスの例を示します。

pixfirewall(config)#setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]:
Clock (UTC):
  Year [2001]:
  Month [Dec]:
  Day [7]:
  Time [17:43:35]:
Inside IP address [127.0.0.1]: 172.16.1.2
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [pixfirewall]:
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

The following configuration will be used:
Enable password: <current password>
Clock (UTC): 17:43:35 Dec 7 2001
Inside IP address: 172.16.1.2
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: e6dd475b 322e8674 1dc237c3 543afdef
[OK]
pixfirewall(config)#

PDM ソフトウェアへのアクセス

PDM ソフトウェアにアクセスするには、ブラウザで https://<pix_interface_ip_address> と入力します。 たとえば、https://172.16.1.2 のように入力します。

ユーザ名とパスワードのボックスが表示され、AAA 認証がオフになっている場合は、PIX の Telnet パスワードをパスワード ボックスに入力します。 AAA 認証がオンになっている場合(PIX に Telnet 接続するときに、PIX からユーザ名とパスワードの両方を要求される場合)は、PIX のユーザ名をユーザ名ボックスに、パスワードをパスワード ボックスに入力する必要があります。

PIX バージョン 6.2 以降で PIX コマンド認可が有効になっていて、特定のユーザが一部のコマンド(write terminalwrite memoryconfigure terminal など)の実行を制限されている場合、それらのユーザは PDM 内でも制限を受けます(たとえば、監視の対象が PIX だけに限定されたり、一部のコマンドの実行が制限されます)。 PIX 6.2 以降では、特定のユーザとして PIX に Telnet 接続し、イネーブル モードで show curpriv コマンドを発行することで、そのユーザに最高の特権(15)が付与されているかどうかを確認できます。

トラブルシューティング

上記の方法を実行しても PDM に関連する問題が解決しない場合は、次の方法を試してください。

  • PDM が正しくインストールされていることを確認する。

    show version
    .
    Cisco PIX Firewall Version 6.1(1)
    Cisco PIX Device Manager Version 1.0(2)
    .
  • DES アクティベーション キーが有効になっていることを確認する。

    show version
    .
    VPN-DES: Enabled
    .
  • ブラウザでプロキシが無効になっていることを確認する。

  • show clock コマンドを発行して、ソフトウェアに正しい年が設定されていることを確認する。 年を修正する必要がある場合は、次のコマンドを使用します。

    clock set <hh:mm:ss> <month> <day> <year> 
    
  • 通常の動作環境では、PIX に正しい時間が設定されていると、PDM に接続したときに証明書が生成されます。この証明書は show ca mypubkey rsa コマンドで確認できます。 最初の接続時に時計が正しく設定されていたかどうかが不明な場合は、上記の手順で時計をリセットします。 次に、ca zeroize rsa コマンドを発行して既存の証明書を削除し、PDM に再接続してキーを再生成します。

  • https:// を使用して接続できることを確認する。

  • PIX に PDM ソフトウェアをダウンロードするときに、PDM ソフトウェアをバイナリ モードで FTP 転送する。バイナリ転送を指定するには、FTP 転送のコマンドラインで bin と入力します。 ASCII モードで転送した場合や、PDM ファイルが何らかの理由で破損している場合は、「PDM is not installed」というメッセージが表示されます。

  • ブラウザに適切なバージョンの Java がインストールされていることを確認する。

    • Microsoft Internet Explorer の場合は、Windows システムで Start > Run の順に選択し、wjview と入力して(または、DOS プロンプトで wjview と入力して)、バージョンを確認します。 次に出力例を示します。

      Microsoft (R) VM for Java, 5.0 Release 5.0.0.3802

      PDM を実行するためには、最後の 4 桁が 3167 以上の値になっている必要があります。

      PC にインストールされている Java のバージョンは、Control Panel > Java > About でも確認できます。 必要な Java ソフトウェアが PC にインストールされていない場合は、Sun 社の Web サイトからダウンロードしてください。leavingcisco.com 必要なバージョンの Java をインストールしたら、すべてのブラウザ ウィンドウを閉じて(または、リブートし)、PDM へのアクセスを試みてください。

    • Netscape 4.5.x または 4.7.x を使用していて、Java プラグインがインストールされている場合は、Java プラグインのオプションを無効にする必要があります。 Java プラグインを無効にするには、Edit > Preferences > Advanced の順に選択し、Enable Java Plug-in オプションを disable に設定します。 このチェックボックスが表示されない場合、Java プラグインはデフォルトで使用されていません。

  • 実行しているブラウザが、現在使用している PDM のバージョンでサポートされていることを確認する。 テストされていないバージョンのブラウザや Java は機能しない可能性があります。

  • 一部の端末からは PIX に接続して管理できるのに、他の端末からは接続できない場合は、PIX の管理に使用する各ユニットの IP アドレスのエントリが存在していることを確認する。

    http <ip_address> [netmask] [if_name]
    http server enable
    
  • 「The PIX has a version number of unknown」というメッセージが表示される場合は、このドキュメントに記載されているいずれかの条件が満たされていない可能性があります。たとえば、次のような原因が考えられます。

    • PDM のバージョンが PIX のバージョンでサポートされていない(PDM のマニュアルで前提条件を確認してください)。

    • ブラウザのバージョンがサポートされていない(PDM のマニュアルで前提条件を確認してください)。

    • Java のバージョンが正しくない、または Java プラグインが有効になっている。

これでも問題が解決しない場合は、Cisco テクニカルサポートにお問い合せください。 PIX からの show tech コマンドと debug ssl コマンドの出力、ブラウザからの Java コンソール出力、ブラウザのバージョン情報など、問題の解決に役立つ情報を提出できるように準備しておいてください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 7104