Cisco Clean Access (NAC アプライアンス) Server インストレーション アドミニストレーション ガイド Release 4.1(1)
CAS NAC アプライアンスの インストール
CAS NAC アプライアンスのインストール
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

CAS NAC アプライアンスのインストール

概要

CAS NAC アプライアンスのセットアップ

バーチャル ゲートウェイ モード接続の要件

CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)

シリアル接続による CAS へのアクセス

端末エミュレーション コンソール接続の設定

CD-ROM からの CAM ソフトウェアのインストール

CD からのインストール手順

初期設定の実行

コンフィギュレーション ユーティリティ スクリプト

SSL 証明書に関する重要事項

CLI の使用法

ファイアウォールを通じた CAM/CAS の接続

NAT ファイアウォールの背後にある CAS の設定

NIC カードの追加設定

インストールに関するトラブルシューティング

NIC ドライバがサポートされていない

CAS の設定のリセット

概要

Cisco NAC アプライアンスは、Linux ベースのネットワーク ハードウェア アプライアンスです。

Cisco NAC アプライアンス ソフトウェアは、Clean Access Manager(CAM)と Clean Access Server(CAS)のいずれかのアプリケーション、オペレーティング システム、および関連するすべてのコンポーネントを専用サーバマシンにインストールできる CD-ROM で配布されます。オペレーティング システムには、Fedora Core に基づく強化 Linux カーネルが組み込まれています。Cisco NAC アプライアンスでは、専用サーバにソフトウェア(CAM または CAS)をインストールすると、CAS または CAM にほかのパッケージやアプリケーションをインストールできなくなります。

配布 CD-ROM として CAS を入手した場合は、次の手順でご使用のマシンにインストールする必要があります。


ステップ 1 サーバ マシンを物理的にネットワークに接続します。CAS をバーチャル ゲートウェイ モードに設定する場合は、サーバを物理的にネットワークに接続する前に、「バーチャル ゲートウェイ モード接続の要件」を参照してください。

ステップ 2 モニタとキーボードをサーバ マシンに接続するか、またはシリアル ケーブルでワークステーションとマシンを接続します。

ステップ 3 CD-ROM からインストールする場合は、CD-ROM を挿入し、インストール プログラムを実行します。

ステップ 4 初期設定を実行します。CD-ROM からインストールする場合、初期設定はインストール手順に含まれています。

ステップ 5 CAS を CAM の管理対象サーバ リストに追加します(『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照)。

ステップ 6 CAM Web 管理コンソールを使用して、CAS を設定します。


 

これらの手順については、以下で説明します。終了したら、CAM の Web 管理コンソールを介して、CAS を管理できます。


ヒント CAM をインストールする前に、まず CAS をインストールしてください。そうすると、CAM のインストール後すぐに Web 管理コンソールの設定を続けることができます。CAS の設定に関する詳細は、『Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1)』を参照してください。



注意 Cisco NAC アプライアンス(CAS)ソフトウェアは、ターゲット マシン上に他のソフトウェアまたはデータが共存していることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。インストールを開始する前に、必要なデータやアプリケーションがターゲット マシン内に残されていないかどうかを必ず確認してください。


) • CAS は、ルートのアドバタイズは行いません。そのため、管理対象のサブネットへのトラフィックが CAS の信頼できるインターフェイスにリレーされるように、ネクスト ホップ ルータにスタティック ルートを追加しなければなりません。

Real-IP ゲートウェイ モードの CAS は DHCP サーバまたは DHCP リレーとして機能できます。DHCP 機能がイネーブルになっていると、CAS は該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイスの IP アドレス)をクライアントに提供します。CAS が DHCP リレーとして機能している場合は、ネットワーク内の DHCP サーバが管理対象のクライアントに該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイス IP アドレス)を提供するように設定しなければなりません。


 

CAS NAC アプライアンスのセットアップ

ここでは、CCA-3140-H1 Cisco Clean Access NAC アプライアンス サーバ ハードウェアに CAS をセットアップする手順を説明します。ほかのハードウェアを使用している場合は、コネクタが以下で説明するものと異なる場合もあります。必要に応じて、ご使用のサーバ マシンの付属マニュアルを参照し、同等のシリアル コネクタおよびイーサネット コネクタを探してください。

1. CAS マシンには、背面パネルにある 2 つの 10/100/1000BASE-TX インターフェイス コネクタの 1 つを使います。CAT5 イーサネット ケーブルを使用して、サーバ マシンのネットワーク インターフェイス(図4-3 の 7 番)を LAN に接続します。

2. AC 電源コードの一端をサーバ マシンの背面に、反対側の端を電源コンセントに差し込みます。

3. サーバの前面にある電源ボタンを押して、サーバ マシンの電源をオンにします。LED 診断テストの実行中、診断 LED が数回点滅します。サーバが起動すると、コンソールにステータス メッセージが表示されます。

図4-1 前面図-- CCA-3140-H1

 

 

1

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

6

NIC アクティビティ LED

2

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

7

ディスク アクティビティ LED

3

オプションの CD-ROM または DVD ドライブ

8

電源スイッチ

4

UID LED

9

USB ポート

5

システム ヘルス モニタ LED

図4-2 前面詳細図-- CCA-3140-H1

 

図4-3 背面図-- CCA-3140-H1

 

 

1

通気孔

8

LED インジケータ付き UID ボタン(ブルー)
このボタンは前面パネルにある UID ボタンの機能をミラーリングします。

2

上面カバーの取り付けネジ

9

USB 2.0 ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ

10

ビデオ ポート(ブルー)

4

薄型 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

11

シリアル ポート(青緑)

5

標準サイズの 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

12

PS/2 キーボード ポート(パープル)

6

電源コード ソケット

13

PS/2 マウス ポート(グリーン)

7

NIC 1(eth0)用(左側)およびNIC 2(eth1)用(右側)の GbE LAN ポート(RJ-45)

14

IPMI 管理用 10/100 Mbps LAN ポート(RJ-45)


) CCA-3140-H1 Cisco Clean Access NAC アプライアンスは、HP ProLiant DL140 G2 サーバを基盤としています。


バーチャル ゲートウェイ モード接続の要件

CAS をバーチャル ゲートウェイ モード(In-Band [インバンド] または Out-Of-Band[OOB; アウトオブバンド])に設定する場合は、Web 管理コンソールを通じて、CAM への CAS の追加が完了するまで、その CAS の信頼できないインターフェイス(eth1)をディセーブルにするか、またはケーブルを外しておく必要があります。eh1 インターフェイスが接続された状態のままバーチャル ゲートウェイ モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。

CAS をバーチャル ゲートウェイ モードで設定する場合は、CLI(コマンドライン インターフェイス)を介して CAS の初期インストールを実行している間に、信頼ネットワーク インターフェイス(eth0)と非信頼ネットワーク インターフェイス(eth1)に同じ IP アドレスを指定する必要があります。インストールのこの時点で、CAS は自身をバーチャル ゲートウェイであると認識しません。両方のインターフェイスを使用してネットワークを接続しようとすると、競合が発生し、スイッチによってポートがディセーブルになることがあります。バーチャル ゲートウェイ モードで CAM に CAS を追加するまで、信頼できないインターフェイスのコードを外しておくか、ディセーブルにしておくと、これらの接続問題を回避できます。バーチャル ゲートウェイ モードで CAS を CAM に追加してから、信頼できないインターフェイスを再びイネーブルにしたり、接続したりすることができます。

バーチャル ゲートウェイの中央配置を正しく設定するには、次の手順に従って作業を進める必要があります。CAS の両方のインターフェイスをスイッチに接続する際に、中央/コアのスイッチのどれにもループが生じないようにするため、次の手順を実行してください。

1. CASの両方のインターフェイスをスイッチに接続する前に、物理的に eth1 インターフェイスを外します。

2. CAS の eth0 インターフェイスをネットワークに物理的に接続します。

3. CAM Web コンソールで、 Device Management > CCA Servers > New Server の順番に進み、CAS を CAM に追加します( CAM への CAS の追加を参照)。

4. CAS の eth1 インターフェイスをスイッチに物理的に接続します。

5. Device Management > CCA Servers > Manage [CAS_IP] の順番に進み、CAS 管理ページにアクセスして、CAS を管理します( CAS 管理ページの操作を参照)。

6. VLAN マッピングを設定します(中央配置の場合のみ)。CAM Web コンソールに CAS を追加後、必ず、 Device Management > CCA Servers > Manage [CAS_IP] > Advanced > VLAN Mapping で VLAN のマッピングを設定してください。さらに、 Enable VLAN Mapping チェックボックスにチェックを入れて、 Update をクリックします。「バーチャル ゲートウェイ モードでの VLAN マッピング」を参照してください。

7. スイッチの 802.1q ポートの設定では、CAS のeh0 および eth1 にトランク接続しているスイッチの VLAN のうち、CAS 管理 VLAN とユーザ VLAN に使用されているもの以外のすべての VLAN を除外してください。

8. CAS の eth0 および eth1 のインターフェイスに接続しているスイッチ ポートの VLAN 1 を除外します。詳細については、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/12122ea7/scg/swvlan.htm#wp1150302

9. 前述の手順が完了したら、CAS の CLI に SSH で接続し、CLI コマンドを使用して、CAS の eth1 をイネーブルにします。

ifconfig eth1 up

CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)

インバンド(IB)またはアウトオブバンド(OOB)配置の CAS のバーチャル ゲートウェイ VLAN マッピング機能に対する Cisco Catalyst スイッチ モデル/NME によるサポートについては、『 Switch Support for Cisco NAC Appliance 』を参照してください。

シリアル接続による CAS へのアクセス

CD-ROM からの CAS ソフトウェアのインストール、またはこのソフトウェアの初期設定を行うには、サーバ マシンのコマンドラインにアクセスする必要があります。そのためには、次の 2 つの方法のいずれかを使用します。

1. 背面パネルのキーボード コネクタとビデオ モニタ/コンソール コネクタを通じて、モニタとキーボードを直接マシンに接続します。

2. シリアル ケーブルで外部ワークステーション(PCまたはラップトップ)とサーバ マシンを接続し、外部ワークステーションの端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、シリアル接続を開始します。

ここでは、シリアル接続を通じたサーバ マシンへのアクセス手順を説明します。


) シリアル接続を通じて直接サーバにアクセスする手順は、後述のトラブルシューティングにも使用できます。Web 管理コンソールからサーバに到達できない場合は、サーバへのシリアル接続を通じてサーバのネットワーク設定を修正し、到達可能な状態に復元します。


シリアル接続を使用するには、まず、ワークステーションとして使用するコンピュータを、サーバ マシンの使用可能なシリアル ポートにシリアル ケーブルで接続します。


) サーバがハイ アベイラビリティ用に設定されている場合、シリアル ポートはピア接続に使用されている可能性があります。このような場合、シリアル接続を通じてサーバを管理するためには、コンピュータにシリアル ポートが 2 つ以上必要です。この条件を満たさない場合は、ピア接続にイーサネット接続を使用して、シリアル ポートを解放することができます。詳細は、第14章「ハイ アベイラビリティ(HA)の設定」を参照してください。


ワークステーションをサーバに物理的に接続すると、端末エミュレーション ソフトウェアを使用して、シリアル接続インターフェイスにアクセスできます。以下の説明は、Microsoft® HyperTerminal を使用する場合の接続手順です。ほかのソフトウェアを使用する場合は、手順が異なることもあります。

端末エミュレーション コンソール接続の設定

以下の説明は、Microsoft® HyperTerminal を使用する場合の接続手順です。ほかのソフトウェアを使用する場合は、手順が異なることもあります。

1. Start > Programs > Accessories > Communications > HyperTerminal の順番にクリックすると、HyperTerminal ウィンドウが開きます。

2. セッションの名前を入力して、 OK をクリックします。

 

3. Connect using ドロップダウン リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(通常は COM1 または COM2 )を選択し、 OK をクリックします。

 

4. Port Settings を次のように設定します。

Bits per second -- 9600

Data bits -- 8

Parity -- None

Stop bits -- 1

Flow control -- None

5. File > Properties の順番にクリックするか、Properties のアイコンをクリックします。そのセッションの Properties ダイアログが開きます。 Emulation の設定値を次のように変更します。

Emulation -- VT100

これで、サーバのコマンド インターフェイスにアクセスできるようになります。次の作業に進んでください。

「CD-ROM からの CAM ソフトウェアのインストール」

「初期設定の実行」

すでに初期インストールが実行済みで、元の設定値を変更する必要がある場合は、 root としてログインし、 service perfigo config コマンドを実行します。

CD-ROM からの CAM ソフトウェアのインストール

ここでは、配布 CD-ROM からソフトウェアをインストールする手順を説明します。以下の手順では、「CAS NAC アプライアンスのセットアップ」の説明に従って、すでにサーバがネットワークに接続され、コンソールまたはシリアル接続による端末エミュレーション ソフトウェアを通じてサーバ上で作業をしていると想定しています(シリアル接続による CAS へのアクセスを参照)。


注意 CAS ソフトウェアは、ターゲット マシン上に他のソフトウェアまたはデータが共存していることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。インストールを開始する前に、必ず、必要なデータやアプリケーションがターゲット コンピュータ内に残されていないかどうか確認してください。

CD からのインストール手順

「初期設定の実行」に記載されている設定手順も含めて、全体のインストール プロセスには約 15 分の時間がかかります。

1. CAS の .iso ファイルが入っている配布 CD-ROM を、ご使用のサーバ マシンの CD-ROM ドライブに入れます。

2. マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.1-1 Installer (C) 2007 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.1-1 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
 
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

3. boot: プロンプトで、次のいずれかを行います。

モニタとキーボードが直接マシンに接続されている場合は、Enter キーを押します。

シリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

4. Package Group Selection 画面が表示され、CCA Manager ソフトウェアまたは CCA Server ソフトウェアを選択する必要があります。次の画面のプロンプトで、 CCA Server を選択し、さらに OK を選択すると、CAS のインストールが開始されます。スペース キーと「+」および「-」のキーを使用して、適切なパッケージ タイプを選択します。タブ キーを使用して OK フィールドへ移動し、Enter キーを押して選択したパッケージ タイプのインストールを開始します。

Welcome to Cisco Clean Access
 
++ Package Group Selection ++
| |
| Total install size: 679 |
| |
| [ ] CCA Manager # |
| [*] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +--------+ |
| | OK | | Cancel | |
| +----+ +--------+ |
| |
| |
+---------------------------+
 
 
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen
 

注意 1 枚の CD で CAS と CAM のソフトウェア インストールを行います。インストール スクリプトでは、目的のサーバにインストールするソフトウェアとして CAS または CAM の自動検出は行われません。Package Group Selection は、デフォルトでは、CCA Manager に設定されます。インストールするマシンに該当するタイプ(CAS と CAM のどちらか)を選択する必要があります。その後、タブを使用して OK フィールドに移動し、Enter を押すと、インストールが開始されます。

5. CAS Package Installation が実行されます。インストールには数分かかります。インストールが完了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。この画面に表示される一連の質問に従ってサーバの初期設定を行います(コンフィギュレーション ユーティリティ スクリプトを参照)。

インストール後に CAS の設定値(eth0 IP アドレスなど)をリセットする必要がある場合は、シリアル接続または SSH を通じて CAS のマシンに接続し、 service perfigo config コマンドを実行すれば、値を変更できます。詳細については、「コンフィギュレーション ユーティリティ スクリプト」を参照してください。


) その他の設定値のほとんども、あとで Web 管理コンソールから変更できます。


初期設定の実行

CD-ROM から CAS をインストールする場合は、ソフトウェア パッケージのインストール後に自動的に コンフィギュレーション ユーティリティ スクリプト が表示され、サーバの初期設定を進めることができます。


コンフィギュレーション ユーティリティ スクリプトは、必要に応じていつでも手動で起動できます。起動方法は次のとおりです。

1. サーバ マシンへのシリアル接続または直接接続を通じ、デフォルト パスワード cisco123 を使用し、ユーザ root としてサーバにログオンします。

2. 次のコマンドを入力すると、初期設定のスクリプトが実行します。

service perfigo config
 

service perfigo config コマンドを実行すると、Web 管理コンソールから到達できなくても、サーバの設定を変更できます。CLI コマンドの詳細は、「CLI の使用法」を参照してください。


 

コンフィギュレーション ユーティリティ スクリプト

1. コンフィギュレーション ユーティリティ スクリプトでは、特定のパラメータのデフォルト値が示されます。設定する際には、以下のように、デフォルト値を受け入れるか、または新しい値を入力します。

2. CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Server quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
 

3. まず、信頼できるインターフェイス(eth0)を設定するように要求されます。信頼できるインターフェイスは、保護されたバックエンド ネットワークに接続されたインターフェイスです。

Configuring the network interfaces:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.12
You entered 10.201.240.12 Is this correct? (y/n)? [y] y
 

プロンプトで、CAS の eth0 IP アドレスを入力して、Enter キーを押します。確認のプロンプトで、 y を入力してエントリを受け入れるか、または n を入力してエントリを変更し、信頼できる eth0 ネットワーク インターフェイスの別のアドレスを入力します。プロンプトが表示されたら、Enter キーを押して、値を確認します。


) CAS の eth0 の IP アドレスは、Management IP アドレスと同じです。


4. eth0 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

5. 信頼できるインターフェイスのデフォルト ゲートウェイ アドレスを指定して、Enter キーを押します。プロンプトに従って値を確認します。

Please enter the IP address for the default gateway [10.201.240.1]:
You entered 10.201.240.1 Is this correct? (y/n)? [y]
 

6. VLAN ID パススルー動作を指定します。デフォルト動作を受け入れる場合は、プロンプトで n を入力して Enter キーを押すか、または単に Enter キーを押します(VLAN パススルーがディセーブルになり、インターフェイスを経由するトラフィックから VLAN ID が除去されます)。信頼ネットワークから非信頼ネットワークに送信されるトラフィックの VLAN ID パススルーをイネーブルにする場合は、 y を入力します。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

デフォルトでは、VLAN ID はパススルーされません。CAS を通過するパケットは、VLAN ID が除去されます(図4-4 を参照)。この ID は CAS によって保持され、非信頼ネットワークから信頼ネットワークに返信される応答メッセージに付加されます。

図4-4 VLAN ID の終了

 

VLAN ID パススルーの場合、インターフェイスを通過するトラフィックの ID は維持されます。

図4-5 VLAN ID パススルー

 


) • ほとんどの場合、VLAN パススルーをイネーブルにする必要はありません。必要に応じてイネーブルにしてください。この時点でイネーブルにしない場合は、あとで Web コンソールまたは service perfigo config ユーティリティを使用して、オプションを変更できます。

VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

7. 次のプロンプトが表示されたら、管理 VLAN タギング動作を指定します。管理 VLAN タギングをディセーブル(デフォルト)のままにするには、 N を入力して Enter キーを押します(あるいは単に Enter キーを押します)。管理 VLAN タギングをイネーブルにするには、 Y を入力して Enter キーを押し、使用する VLAN ID を入力します。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

管理 VLAN ID は、独自の VLAN ID がない場合、または ID が隣接インターフェイスで除去された場合に、パケットに追加されるデフォルト VLAN ID です。プロンプトでの設定は、非信頼ネットワークから信頼ネットワークに送信されるトラフィックに適用されます。

図4-6 管理 VLAN ID タギングを使用した場合の eth0 出力パケット

 


) • ほとんどの場合、管理 VLAN タギングをイネーブルにする必要はありません。必要に応じてイネーブルにする必要があります。この時点でイネーブルにしない場合は、あとで Web コンソールまたは service perfigo config ユーティリティを使用して、オプションを変更できます。

また、VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

8. 次に、信頼できないインターフェイスを設定します。信頼できないインターフェイスは、信頼できない(管理対象)ネットワークに接続されたインターフェイスです。プロンプトで、信頼できないインターフェイス(eth1)に使用するアドレスを入力し、Enter キーを押します。CAS をブリッジ(バーチャル ゲートウェイ)構成に導入する場合を除き、信頼できるインターフェイスと信頼できないインターフェイスは異なるサブネット上になければなりません。プロンプトに従って値を確認します。

Please enter the IP address for the untrusted interface eth1 [192.168.0.1]:
You entered 192.168.0.1 Is this correct? (y/n)? [y]

9. eth1 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 [255.255.255.0]: 255.255.0.0
You entered 255.255.0.0, is this correct? (y/n)? [y]
 

10. 信頼できないインターフェイスのデフォルト ゲートウェイ アドレスを入力します。

CAS が Real-IP ゲートウェイまたは NAT ゲートウェイとして機能する場合は、CAS の信頼できないインターフェイス eth1 の IP アドレスを設定する必要があります。

CAS がバーチャル ゲートウェイ(ブリッジ)として機能する場合、信頼できる側で使用されるデフォルト ゲートウェイ アドレスと同じアドレスを設定できます。

Please enter the IP address for the default gateway [192.168.0.1]:
You entered 192.168.0.1 Is this correct? (y/n)? [y]
 

11. 非信頼ネットワークから信頼ネットワークに送信されるトラフィックの VLAN パススルー動作を指定します。デフォルト動作(ディセーブル)を受け入れる場合は、プロンプトで n を入力し、Enter キーを押します(または単に Enter キーを押します)。非信頼ネットワークからのトラフィックに対して VLAN ID パススルーをイネーブルにする場合は、 y を入力します。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

図4-7 VLAN ID パススルー

 

12. 次のプロンプトで、信頼ネットワークから非信頼ネットワークに送信されるトラフィックの管理 VLAN タギング動作を指定します。管理 VLAN タギングをディセーブル(デフォルト)のままにするには、 N を入力して Enter キーを押します(あるいは単に Enter キーを押します)。管理 VLAN タギングをイネーブルにするには、 Y を入力して Enter キーを押し、使用する VLAN ID を入力します。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

図4-8 管理 VLAN ID タギングを使用した場合の eth1 出力パケット

 

13. CAS のホスト名を指定します(デフォルトは caserver )。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the hostname [caserver]: caserver10
You entered caserver10 Is this correct? (y/n)? [y]
 

14. 使用環境内の Domain Name System(DNS; ドメイン ネーム システム)サーバの IP アドレスを指定します。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the IP address for the name server: [172.68.226.120]:
You entered 172.68.226.120 Is this correct? (y/n)? [y]
 

15. 1 つの配置内の CAM および CAS は、共有秘密を使用して相互に認証します。共有秘密は、その配置の内部パスワードとして使用されます。プロンプトが表示されたら、共有秘密を入力して確認します。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123.
 
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
 
Please enter the shared secret: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]
 

注意 同じ配置内の CAM とすべての CAS に、同じ共有秘密を設定しなければなりません。共有秘密が異なっていると、相互に通信できません。

16. CAS の時間設定を指定します。

a. 大陸と海洋のリストからタイムゾーン地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら、 2 )を入力し、Enter キーを押します。 GST-10 のような Posix TZ フォーマットでタイム ゾーンを入力する場合は、11 を入力します。

>>> Configuring date and time:
 
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
11) none - I want to specify the time zone using the Posix TZ format.
#? 2
 

b. 選択したタイムゾーンに対応する国を選択します。国のリストから該当する国(米国なら 45 を選択し、Enter キーを押します。

Please select a country.
1) Anguilla 18) Ecuador 35) Paraguay
2) Antigua & Barbuda 19) El Salvador 36) Peru
3) Argentina 20) French Guiana 37) Puerto Rico
4) Aruba 21) Greenland 38) St Kitts & Nevis
5) Bahamas 22) Grenada 39) St Lucia
6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon
7) Belize 24) Guatemala 41) St Vincent
8) Bolivia 25) Guyana 42) Suriname
9) Brazil 26) Haiti 43) Trinidad & Tobago
10) Canada 27) Honduras 44) Turks & Caicos Is
11) Cayman Islands 28) Jamaica 45) United States
12) Chile 29) Martinique 46) Uruguay
13) Colombia 30) Mexico 47) Venezuela
14) Costa Rica 31) Montserrat 48) Virgin Islands (UK)
15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US)
16) Dominica 33) Nicaragua
17) Dominican Republic 34) Panama
#? 45
 

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーン領域が表示されます。リストから該当するタイム ゾーン領域を選択し(太平洋標準時なら 16 )、Enter キーを押します。

Please select one of the following time zone regions.
1) Eastern Time
2) Eastern Time - Michigan - most locations
3) Eastern Time - Kentucky - Louisville area
4) Eastern Time - Kentucky - Wayne County
5) Eastern Standard Time - Indiana - most locations
6) Eastern Standard Time - Indiana - Crawford County
7) Eastern Standard Time - Indiana - Starke County
8) Eastern Standard Time - Indiana - Switzerland County
9) Central Time
10) Central Time - Michigan - Wisconsin border
11) Central Time - North Dakota - Oliver County
12) Mountain Time
13) Mountain Time - south Idaho & east Oregon
14) Mountain Time - Navajo
15) Mountain Standard Time - Arizona
16) Pacific Time
17) Alaska Time
18) Alaska Time - Alaska panhandle
19) Alaska Time - Alaska panhandle neck
20) Alaska Time - west Alaska
21) Aleutian Islands
22) Hawaii
#? 16
 

d. 選択内容を確認するか(1 を入力)、または選択内容をキャンセルしてやり直します(2 を入力)。

The following information has been given:
 
United States
Pacific Time
 
Is the above information OK?
1) Yes
2) No
#? 1
 
Updating timezone information...
 

17. 次のプロンプトが表示されたら、Enter キーを押して現在の日時を確認するか、次のフォーマットで正しい日時を入力します。プロンプトに従って値を確認します。

Current date and time hh:mm:ss mm/dd/yy [04:08:29 02/15/06]: 18:08:29 02/15/06
You entered 18:08:29 02/15/06 Is this correct? (y/n)? [y]
Wed Feb 15 18:08:29 PST 2006
 

18. Enter キーを押して、一時 SSL 証明書を設定します。証明書を使用すると、CAS と信頼できない(管理対象)クライアント間のログイン交換が保護されます。証明書は次のように設定します。

a. 次のプロンプトで、証明書を発行する IP アドレスまたはドメイン名を入力します。

You must generate a valid SSL certificate in order to use the Clean Access Serv er's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.240.12
 

b. 組織単位名には、その証明書を管理する組織のグループを入力します( IT または engineering など)。

Enter organization unit name: engineering

c. 組織名には、証明書を受領する組織名または会社名を入力し、Enter キーを押します。

Enter organization name: Cisco Systems
 

d. その組織の法的所在地となっている市または郡の名前を入力し、Enter キーを押します。

Enter city name: San Jose
 

e. その組織の所在地を表す 2 文字の州コード(CA または NY など)を入力し、Enter キーを押します。

Enter state code: CA
 

f. 2 文字の国コードを入力し、Enter キーを押します。

Enter 2 letter country code: US
 

g. 入力した値のリストが表示されます。表示された値で間違いがなければ、Enter キーを押します。設定し直す場合は、 N を入力します。

You entered the following:
Domain: 10.201.240.12
Organization unit: qa
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y]
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
 
Done
 

値を確認すると、証明書が生成され、CAS データベースが初期化されます。

19. root ユーザ アカウント(SSH ユーザ)、および CAS ダイレクト アクセス Web コンソールのパスワードを CAS に設定します。CAS Web コンソールでは、CAS 固有の設定の一部に直接アクセスできます。主な用途は、ハイ アベイラビリティの設定です。設定する具体的なパスワードは、次のとおりです。

a. 最初のパスワードは、インストールされた Linux オペレーティング システムの root ユーザのパスワードです。シリアル接続を介して CAS にアクセスする場合に、このアカウントを使用できます。

For security reasons, it is highly recommended that you change the default password for the root user.
User: root
Changing password for user root.
New UNIX password:
 

b. 次に、CAS ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。 admin Web ユーザ アカウントは admin Linux OS ユーザ アカウントとは異なります。

Would you like to change the default password for the web console admin user password? (y/n)? [y]
Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.
 

20. CD-ROM からインストールした場合は、設定完了時に Enter キーを押して CAS をリブートします。

Configuration is complete.
Done
Install has completed. Press <ENTER> to reboot.
 

21. service perfigo config 設定ユーティリティを実行する場合は、次のコマンドを実行して、サーバをリブートします。

service perfigo reboot
 

22. これで、初期設定は完了です。CAM のインストールおよび初期設定が完了したら、CAM Web 管理コンソールを使用して、CAM に CAS を追加します( 第5章「CAS の管理対象ドメイン」 を参照)。

SSL 証明書に関する重要事項

SSL 証明書は、CAS のインストール中に作成しなければなりません。そうしないと、エンド ユーザとしてサーバにアクセスできなくなります。

CAM および CAS のインストール後、Certificate Signing Request(CSR; 証明書署名要求)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。CAS についての詳細は、以下を参照してください。

「システム時刻の同期」

「CAS SSL 証明書の管理」

CAM についての詳細は、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。

実働環境にサーバを導入する前に、CA(認証局)から信頼できる証明書を取得し、一時証明書と取り替えることができます(これによってユーザ ログイン中にエンド ユーザにセキュリティ警告が表示されるのを防ぐことができます)。

CLI の使用法

CAM Web 管理コンソールを使用すれば、Cisco NAC アプライアンスの導入に必要なタスクをほとんど実行できます。ただし、ネットワークや VLAN の設定に問題があって Web 管理コンソールが使用できない場合など、CAS のコンフィギュレーションに直接アクセスしなければならないこともあります。Cisco NAC アプライアンスの CLI を使用すれば、CAS 上で直接、基本的な動作パラメータを設定できます。

CLI コマンドを実行するには、SSH を使用して CAS にアクセスし、 root ユーザ(デフォルト パスワードは cisco123 )としてログインします。すでにサーバにシリアル接続している場合は、 root としてログインしたあと、端末エミュレーション コンソールから CLI コマンドを実行できます(シリアル接続による CAS へのアクセスを参照)。コマンドラインからコマンドを入力する際には、 service perfigo <command> の形式を使用します。 表4-1 に、よく使用されるCisco NAC アプライアンスの CLI コマンドを示します。

 

表4-1 CLI コマンド

コマンド
説明
service perfigo start

サーバを起動します。サーバがすでに稼働している場合は、警告メッセージが表示されます。このコマンドを実行するには、サーバを停止しなければなりません。

service perfigo stop

Clean Access のサービスをシャットダウンします。


) 管理 VLAN が設定されている場合、このコマンドを実行すると、CAS のネットワーク接続が切断されます。


service perfigo maintenance

この CAS 専用コマンドによって、CAS はメンテナンス モードになります。メンテナンス モードでは、基本的な CAS ルータだけが実行され、VLAN タグ付きパケットの処理が継続されます。このコマンドを使用すると、管理 VLAN を通じた通信が可能になります。このコマンドは、CAS がトランク モードで、ネイティブ VLAN が管理 VLAN とは異なる環境での使用を想定しています。

service perfigo restart

Clean Access のサービスをシャットダウンし、再起動します。このコマンドは、稼働中のサービスを再起動する場合に使用します。


) ハイ アベイラビリティ(フェールオーバー)をテストする際には、service perfigo restart は使用しないでください。フェールオーバーをテストするマシンには、代わりに「シャットダウン」または「再起動」を推奨します。CLI コマンド を使用する場合も、service perfigo stopservice perfigo start の使用を推奨します。


service perfigo reboot

マシンをシャットダウンし、再起動します。Linux の reboot コマンドも使用できます。

service perfigo config

コンフィギュレーション スクリプトを起動します。このスクリプトでサーバ コンフィギュレーションを変更できます。 service perfigo config が完了したら、サーバを再起動する必要があります。スクリプトの使用法については、「初期設定の実行」を参照してください。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。

ファイアウォールを通じた CAM/CAS の接続

CAM と CAS の間の通信を可能にするためにファイアウォール内のどのポートをオープンするかについての詳細は、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.1(1) 』を参照してください。

NAT ファイアウォールの背後にある CAS の設定

CAS をファイアウォールの背後に導入する(CAS と CAM の間に NAT ルータがある)場合は、次のステップを実行して CAS にアクセスできるようにする必要があります。

1. SSH またはシリアル コンソールを使用して CAS に接続します。 root ユーザとしてログインします。

2. /perfigo/agent/bin/ にディレクトリを変更します。

3. ファイル startagent を編集します。

4. ファイル内で JAVA_OPTS 変数の定義を検索します。

5. 変数に -Djava.rmi.server.hostname=< caserver1_hostname > を追加し、 caserver1_hostname を変更対象サーバのホスト名で置き換えます。次の例を参考にしてください。

JAVA_OPTS=”-server -Djava.util.logging.config.file=/perfigo/agent/conf/logging.properties -Dperfigo.jmx.context= ${PERFIGO_SECRET} -Xms40m -Xmx40m -Xincgc
-Djava.rmi.server.hostname=caserver1”
 

6. service perfigo restart コマンドを入力して、CAS を再起動します。

7. 配置内の CAS ごとに上記手順を繰り返します。

8. SSH またはシリアル コンソールを使用して CAM に接続します。 root としてログインします。

9. ディレクトリを /etc/ に変更します。

10. 次の行を追加して、ホスト ファイルを編集します。

<public_IP_address> <caserver1_hostname> <caserver2_hostname>
 

値は次のとおりです。

< public_IP_address > -- ファイアウォール外部からアクセス可能なアドレス

< caservern_hostname > -- ファイアウォールの背後にある各 CAS のホスト名

これで、ファイアウォールの背後にある CAS をアドレス指定できます。

NIC カードの追加設定

Configuration Utility スクリプトは、デフォルトでは、CAM と CAS のマシンに eth0(NIC1)と eth1(NIC2)のインターフェイスがあると想定しますが、この設定は初期インストール時に変更できます。ご使用のシステムにその他のネットワーク インターフェイス カード(NIC3、NIC4 など)がある場合は、次の手順で、これらのカード上のインターフェイス(eth2、eth3 など)を追加設定できます。CAS システムに HA(ハイ アベイラビリティ)を設定する場合は、通常 eth2 の設定が必要です。HA の場合、eth2(NIC3)インターフェイスに適切なアドレッシングを設定すれば、eth2 は HA-CAS 専用の UDP ハートビート インターフェイスとして設定されます。


) • 以下に示す手順では、Cisco NAC アプライアンス ハードウェアに NIC が装着され、「機能している」(BIOS および Linux によって認識されている)ことを想定しています。

NIC カードが BIOS に認識されていない場合(非アプライアンス サーバ マシンの場合など)は、メーカーの推奨に従って IRQ/メモリの設定を調整しなければならないこともあります。

BIOS が NIC を認識していれば、ソフトウェア(Linux)も自動的にその NIC を認識します。なんらかの理由で、NIC が BIOS に認識されているのに、Linux には認識されていない場合は、システムにログインし、kudzu を実行します。これによって、NIC の設定に役立つユーティリティが起動されます。


 

追加の NIC を設定する手順は、次のとおりです。

1. NIC が Linux に認識されているかどうかを確認するため、 ifconfig eth<n> と入力します( <n> はインターフェイス番号)。たとえば、すでに 2 つのイーサネット インターフェイスが組み込まれているシステムに NIC を 1 つ追加する場合、<n> は 2 になるので、次のように入力します。

ifconfig eth2
 

2. MAC アドレス、送信および受信のカウンタなど、そのインターフェイスに関する情報が表示されます。これは、そのインターフェイスが Linux に認識されていて、使用可能な状態であることを示しています。

3. 次のディレクトリに変更します。

cd /etc/sysconfig/network-scripts
 

4. vi を使用して、そのインターフェイスの ifcfg ファイルをたとえば、次のように編集します。

vi ifcfg-eth2
 

5. ファイルに次の行を追加します -- IPADDR NETMASK BROADCAST および NETWORK の値は、ご使用のネットワークに適した実際の値に置き換えてください。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
 

6. ファイルを保存し、システムをリブートします。

7. これで、このネットワーク インターフェイスを HA に使用する準備が整いました。


) 詳細については、「CAS ハイ アベイラビリティの要件」を参照してください。


インストールに関するトラブルシューティング


) トラブルシューティングに関する詳細は、最新版のリリース ノート を参照してください。


NIC ドライバがサポートされていない

詳細は、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「Troubleshooting Network Card Driver Support Issues」を参照してください。

CAS の設定のリセット

ネットワーク、共有秘密、または VLAN 設定が不正なために CAM から CAS に到達できない場合は、CAS の設定をリセットできます。設定をリセットすると、CAS 設定がインストール時の状態に戻ります。インストール後に設定された設定値は失われます。

設定をリセットする手順は、次のとおりです。

1. SSH を使用して CAS に接続します。

2. env ファイルを削除します。

# rm /perfigo/access/bin/env
 

3. 次のコマンドを使用して、リブートします。

# service perfigo reboot
 

これで、CAM に CAS を追加できます。 第5章「CAS の管理対象ドメイン」 を参照してください。