セキュリティ : Cisco NAC アプライアンス(Clean Access)

Clean Access Manager に関する FAQ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、Cisco Clean Access Manager に関する FAQ について説明します。 このドキュメントは、2 部で構成されるドキュメント セットの第 1 部です。 第 2 部については、『Cisco Clean Access Manager FAQ 2』を参照してください。

製品名は変更されました。 この表は古い名前と新しい名前の両方をリストしています。

旧名称 新名称
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPI Clean Access API

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q. どのように別の登録 ページに最初にリダイレクトし、次にログイン ページに戻ってリダイレクトされて得ることができますか。

A. 2 つのソリューションがあります:

  • 未登録か新規 ユーザ向けにリンクをログイン ページからクリックするために提供します。 登録 ページは右のフレームに出て来ることができます。 ユーザは最初に登録でき次にログオン資格情報を得ます。

  • マッピング する ユーザが登録されているかどうか示す LDAP でアトリビュートを利用して下さい。 ユーザが登録されていない場合、特定のロールにそれらを置いて下さい(LDAP からの応答に基づいて)。 それからロールに基づいてログオン資格情報を得るために登録 Webサイトにそれらをリダイレクトして下さい。

Q. どのように Windows アップデートのようなさまざまなアップデート サイトに等アクセスのための検疫ポリシーを、Symantec LiveUpdate 設定、できますか。

A. Cisco はこの順序でこれらのルール設定 される個々の Windows かウイルス対策アップデート IP アドレスを置く必要を軽減するためにアップデートすることを提案します:

  1. DNS が(DNS は内部または外部である場合もあります)アップデート サイトの DNS を解決するようにして下さい。

  2. 内部ネットワークにすべての TCP/UDP/ICMP 着信トラフィックをブロックして下さい。

  3. イネーブル アウトバウンドポート 80/443 そうトラフィックは Windows にアップデートを横断し、アップデートを行うことができます。

    ca-mgr-faq-1.gif

    Cisco はまた検疫セッション タイマーをそれに応じて設定 したことを推奨します(たとえば、20 分)。

    ca-mgr-faq-2.gif

    注:  ドメイン ベースのポリシー フィルタリングはバージョン 3.2 および それ 以降に追加されました(ポリシー割り当ての windowsupdate.microsoft.com を許可します)。

Q. ログファイルはどこに Cisco の Clean Access Manager ですか。

A. イベントログは log_info 表としてデータベーステーブル名前にあります。

他がログオンします Cisco Clean Access Manager をあります:

  • /var/log/messages -始動

  • /var/log/dhcplog - DHCPリレー、dhcp ログ

  • /tmp/perfigo-log0.log.か。 -ログを保守して下さい

  • /perfigo/control/apache/logs/ * - ssl、アパッシュ エラーログ

  • /perfigo/control/tomcat/logs/localhost *。 - Tomcat、リダイレクト、jsp ログ

Q. VPN を必要とするロールへの Web からの I ログインが、得るとき言うメッセージは接続するのに VPN クライアントを使用する必要があります。 VPN クライアントをダウンロードするためにリンクを追加するようにそれを編集したいと思います。 VPN ページはどこに見つけられますか。

A. それは Cisco Clean Access サーバに /perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp にあります。

Q. リモート バックアップ スクリプトはどこでスナップショットを奪取 し、特定のリモートサーバに転送できる FTP を使用していますか。

A. リモート バックアップ スクリプトは pg_backup として指名される /perfigo/control/bin ディレクトリの Cisco Clean Access Manager にあります。

パラメータなしでそれを実行する場合、どのように使用される必要があるか告げます。 スクリプトのための使用方法は次のとおりです:

  • pg_backup [FTP サーバ] [ユーザ名] [パスワード]

Q. Cisco Clean Access Manager は 00:00:00:00:00:00 としてすべての MAC アドレスを示します。 なぜでしょうか。

A. 次の原因が考えられます。

  • ルータ ダウンストリームがある場合、Cisco Clean Access Manager はルータが疑わしい IP アドレスのための ARPing である限り、ルータの MAC アドレスを示します(たとえば、ユーザの IP)。 ルータが(どういうわけか)なければ、ユーザの MAC アドレスとして 00:00:00:00:00:00 があります。

  • ユーザが信頼された側から(たとえば、信頼できない側のユーザ向けの ARPエントリがありません)入れば、Cisco Clean Access Manager はすべてのゼロを示します。

Q. Cisco Clean Access Manager のための署名された SSL 認証を受け取りました。 クライアントが認証プロセスを始めるときこれが現われることから認証警告を停止すると考えました。 まだ警告する認証は現われます。 これはどのように解決すればよいですか。

A. エンドユーザに認証警告が表示されてほしくない場合 Cisco Clean Access サーバのための認証を、ない Cisco Clean Access Manager 得て下さい。

Q. Cisco Clean Access Manager のための署名入り認証がある場合、また Cisco Clean Access サーバでそれをインポートし、共有できますか。

A. いいえ、Cisco Clean Access サーバの Cisco Clean Access Manager のために買った認証を使用できません。 各 Cisco Clean Access サーバのための別途の認証を買う必要があります。

Q. 証明されたデバイス クリア タイマーを消す方法

A. 日付を将来選択し、証明されたタイマーをディセーブルにするために有効または無効にボックスをクリックして下さい。

Q. 2 人のフェールオーバー Clean Access マネージャがあります。 ライセンスキーをプライマリ マネージャに、そして http://<sm2>/admin/main.jsp によって第 2 に行くことを試みられたセカンダリ マネージャに同じキーを追加することを追加しました。 I が「押したときにライセンスキー」ボタンを、得ますエラーを加えて下さい。 なぜこのエラーが表示されるのですか。

A. これをする必要はありません。 ライセンスキーはデータベースで保存されます。 それはデータベース複製を通してセカンダリ マネージャに方法を作ります。

Q. 認証サーバ フェールオーバー サポートがありますか。

A. Cisco は将来のリリースの認証サーバ フェールオーバー調べるために現在 認証サーバ クラスタ処理および計画をサポートします。

Q. Bandwidth Burst 設定はどうすれば機能しますか。

A. バースト性ファクタがバケットの「キャパシティ」を確認するのに使用されています。 一例として帯域幅が 100 キロビット/秒であり、ファクタが 2.であることを、仮定して下さい。 従って、バケットのキャパシティは 100 Kb * 2=200 Kb です。

ユーザがパケットをしばらくの間送信 しない場合、それらにバケットで最高で 200 の Kb トークンがあります。 パケットを送信することをユーザーのニーズ ユーザは 200 の Kb パケットをすぐに送信できます。 その後、100 キロビット/秒の比率に入って来るように追加パケットを送信することをトークンを待つことをユーザーのニーズ。

範囲について考える 1 つの方法は平均レートが 100 キロビット/秒である、最大レートはおよそ 200 キロビット/秒ですことであり。 従って、それは Web ブラウジングのようなバースト性アプリケーションに有効です。

Q. Cisco Clean Access Manager の Network Interface Cards (NIC)を変更するとき影響とは何か。

A. 非サイト ライセンスがある場合、新しい ライセンス キー発行のための MAC アドレスの変更を Cisco テクニカル サポートに知らせて下さい。 フェールオーバー ペアに関しては、両方の MAC アドレスを提供して下さい。 サイト ライセンスをお持ちの場合は、シスコのテクニカルサポートへの連絡は必要ありません。

Q. ネットワーク インターフェース カード(NIC)はきちんとアップしないし、トラフィックを通過させません。 どうすればよいのですか。

A. これは Broadcom NIC として認識されない NIC の例である場合もあります。 に試みて下さい:

  • ボックスにコンソール接続を行って下さい。

  • cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700 コマンドを発行して下さい。

  • insmod ./bcm5700.o コマンドを発行して下さい。

これらのコマンドが No エラーという結果に終る場合、VI /etc/modules.conf コマンドを発行し、これら二つのラインを追加して下さい:

alias eth0 bcm5700

alias eth1 bcm5700

Q. データベースからのユーザ情報を直接問い合わせる方法

A. ルート プロンプトからの Cisco プライマリ Clean Access Manager で、このコマンドを入力して下さい:

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

データベース シェルに- controlsmartdb=# 今あります。

例:

  • Cisco Clean Access サーバごとにログオンされるユーザの数を得るためにこのコマンドを入力して下さい:

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    注: 追跡セミコロンを入力するために確かめて下さい。 他の Cisco Clean Access サーバのための情報を得るために IP アドレスを変更して下さい。

  • ロールごとにログオンされるユーザの数を得るためにこのコマンドを入力して下さい:

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    注: 他のロールに関連情報のロール名を取り替えて下さい。

  • イベントログを得るためにこのコマンドを入力して下さい:

    select * from report_info;
    

Q. NAC アプライアンスの iPhone のための認証をバイパスする方法

A. iPhone の場合、デバイス管理 > フィルター > デバイスの下で > 新しいデバイス フィルター オプションを設定できます。 バイパスしたいと思う MAC アドレスのリストを含んでいれば、それらの特定のデバイスにアクセス タイプ割り当てを可能にをアクセス 規定 して下さい。 設定します詳細についてはデバイス フィルターを参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63592