Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
管理
管理
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

管理

概要

Network & Failover

システム時刻の設定

CAM SSL 証明書の管理

一時証明書の生成

CSR/秘密鍵/証明書のエクスポート

現在インストールされている秘密鍵および証明書の確認

署名付き証明書のインポート

インポートのためにアップロードされた証明書ファイルの表示

証明書に関する問題のトラブルシューティング

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

CAS 内の秘密鍵が CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書が再生成される

証明書関連ファイル

システムのアップグレード

ライセンス

サポート ログ

管理ユーザ

Admin Groups

カスタム管理グループの追加

管理ユーザ

管理ユーザのログイン/ログアウト

管理ユーザの追加

管理ユーザの編集

管理ユーザ セッションのアクティブ化

システム パスワードの管理

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM/CAS の root パスワードの回復(リリース 4.1.x/4.0.x/3.6.x)

CAM/CAS の root パスワードの回復(リリース 3.5.x 以前)

CAM データベースのバックアップ

日次データベース バックアップの自動化

Web コンソールからの手動バックアップ

手動バックアップの作成

FTP を介したスナップショットの別のサーバへのバックアップ

CAM スナップショットからの設定の復元

データベース回復ツール

SSH からの手動データベース バックアップ

API サポート

管理

この章では、Clean Access Manager(CAM)の管理ページについて説明します。この章の内容は次のとおりです。

「概要」

「Network & Failover」

「システム時刻の設定」

「CAM SSL 証明書の管理」

「システムのアップグレード」

「ライセンス」

「サポート ログ」

「管理ユーザ」

「システム パスワードの管理」

「CAM データベースのバックアップ」

「API サポート」

User Pages モジュールの詳細については、 第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

ハイ アベイラビリティ設定の詳細については、 第 15 章「ハイ アベイラビリティ(HA)の設定」 を参照してください。

概要

インストール時には、初期設定スクリプトによって、インターフェイス アドレス、Domain Name Service(DNS)サーバ、その他のネットワーク情報など、CAM の内部管理設定が多数行われます。Administration モジュール(図14-1)を使用すると、インストール実行後にこれらの設定にアクセスしたり、変更したりすることができます。

図14-1 Administration モジュール

 

Administration モジュールの CCA Manager ページでは、次の管理タスクを実行できます。

CAM のネットワーク設定の変更。「Network & Failover」を参照してください。

CAM のハイ アベイラビリティ モードの設定。 第 15 章「ハイ アベイラビリティ(HA)の設定」 を参照してください。

CAM のシステム時刻および Secure Socket Layer(SSL)証明書の管理。「システム時刻の設定」および「CAM SSL 証明書の管理」を参照してください。

CAM のソフトウェアの完全アップグレード。『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(x) 』の「Upgrading to a New Software Release」を参照してください。

CAM のライセンス ファイルの管理。「ライセンス」を参照してください。

カスタマー サポートに送信する CAM のサポート ログの作成。「サポート ログ」を参照してください。

Administration モジュールの User Pages タブでは、次の管理タスクを実行できます。

デフォルト ログイン ページの追加、およびすべての Web ログイン ページの作成または変更。 第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

CAM へのリソース ファイルのアップロード。「リソース ファイルのアップロード」を参照してください。

Administration モジュールの Admin Users ページ(管理ユーザを参照)では、次の管理タスクを実行できます。

新しい管理グループおよび管理ユーザ/パスワードの追加と管理

新しい機能が追加された場合の管理者権限の設定および管理

Administration モジュールの Backup ページでは、CAM の設定をバックアップするために CAM の手動スナップショットを作成できます。「CAM データベースのバックアップ」を参照してください。

また、CAM には API インターフェイスも備わっています(API サポートを参照)。

Network & Failover

CAM のネットワーク設定を表示または変更するには、 Administration > CCA Manager > Network & Failover ページを使用します。

通常、ネットワーク設定を変更するには、CAM マシンをリブートして変更を有効にする必要があります。したがって、運用マシンを変更する場合は、マシンのリブートがユーザに与える影響が最小となる時期に変更を行ってください。


service perfigo config 設定ユーティリティ スクリプトを使用すると、CAM ネットワーク設定を変更できます。この設定ユーティリティはコマンドラインから使用するため、ネットワーク設定や VLAN 設定が不正なために管理コンソール Web サーバが応答しない場合に、特に役立ちます。詳細については、「初期設定の実行」を参照してください。


CAM ネットワーク設定の変更手順

1. Administration > CCA Manager > Network & Failover に移動します。

図14-2 CAM Network & Failover

 

2. Network & Failover ページで、次のフィールド/コントロールの設定を必要に応じて変更します。

IP Address ― CAM マシンの eth0 IP アドレス

Subnet Mask ― IP アドレスのサブネット マスク

Default Gateway ― CAM のデフォルト IP ゲートウェイ

Host Name ― CAM のホスト名。この名前は、ハイ アベイラビリティ モードの場合に必要です。

Host Domain ― ドメイン名サフィックスに関するオプション フィールド。ホスト名を IP アドレスに対して解決するには、DNS に完全修飾ホスト名が必要です。ネットワーク環境において、ユーザは次のようにドメイン名サフィックスを省略したホスト名をブラウザに入力することがあります。

http://siteserver

ホスト ドメイン値は、アドレスを完成させる場合に使用されます。たとえば、サフィックス値が cisco.com の場合、要求 URL は次のようになります。

http://siteserver.cisco.com

DNS Servers ― 環境内の DNS サーバの IP アドレス。複数のアドレスを指定する場合は、カンマで区切ります。複数の DNS サーバを指定した場合、CAM はサーバに 1 つずつ接続を試み、応答を受信したら停止します。

High-Availability Mode ― CAM の動作モード

Standalone Mode ― CAM が単独で稼働している場合

HA-Primary Mode ― フェールオーバー構成のプライマリ CAM 用

HA-Standby Mode ― セカンダリ CAM 用

HA(ハイ アベイラビリティ)オプションのいずれかを選択すると、追加フィールドが表示されます。フィールドおよびハイ アベイラビリティ設定の詳細については、 第 15 章「ハイ アベイラビリティ(HA)の設定」 を参照してください。

3. Update ボタンをクリックします。

4. Reboot をクリックして、CAM を新しい設定で再起動します。

システム時刻の設定

ロギングおよびその他の時間依存タスク(SSL 証明書の生成など)のために、CAM および Clean Access Server(CAS)の時刻は正確に同期する必要があります。 System Time タブを使用すると、CAM の時刻を設定したり、CAM OS(オペレーティング システム)のタイム ゾーン設定を変更することができます。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、そのあとで Certificate Signing Request(CSR)のベースとなる一時証明書を再生成する必要があります。最も簡単な方法は、タイム サーバと時刻を同期することです( Sync Current Time ボタン)。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。


CAS の時刻は、 Device Management > CCA Servers > Manage [CAS_IP] > Misc > Time で変更できます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

現在時刻の表示手順:

1. Administration > CCA Manager > System Time に移動します。

2. CAM のシステム時刻は Current Time フィールドに表示されます。

図14-3 時間フォーム

 

システム時刻の調整方法には、新しい時刻を入力して手動で調整する方法と、外部タイム サーバと同期して自動で調整する方法の 2 通りがあります。

システム時刻を手動で変更する手順:

1. System Time フォームで、以下のいずれかの処理を実行します。

2. Date & Time フィールドに時刻を入力し、 Update Current Time をクリックします。フォームでの時刻の入力形式は、 mm / dd / yy hh : ss PM/AM です。

3. または、 Sync Current Time ボタンをクリックして、 Time Servers フィールドに表示されたタイム サーバを使用して時刻を更新させます。

自動的にタイム サーバと同期する手順:

デフォルト タイム サーバは、 time.nist.gov にある National Institute of Standards and Technology(NIST)で管理されているサーバです。別のタイム サーバを指定する手順は、次のとおりです。

1. System Time フォームの Time Servers フィールドに、サーバの URL を入力します。指定したサーバは、NIST 標準フォーマットの時刻を提供する必要があります。複数のサーバを区切るには、スペースを使用します。

2. Update Current Time をクリックします。

複数のタイム サーバを指定した場合、CAM は同期中にリストの最初のサーバと接続を試みます。このサーバを使用できる場合は、そこから時刻が更新されます。このサーバが使用できない場合、CAM は目的のサーバに到達するまで、次のサーバを順に試みます。

CAM は定期的に、時刻を設定済みの NTP サーバと自動的に同期します。

サーバ システム時刻のタイム ゾーンの変更手順:

1. Administration > CCA Manager ページの Current Time タブの Time Zone ドロップダウン リストで、新しいタイム ゾーンを選択します。

2. Update Time Zone をクリックします。

CAM SSL 証明書の管理

Cisco NAC アプライアンスの各要素は、SSL 接続を介してセキュアに通信します。Cisco NAC アプライアンスは SSL 接続を次の場合に使用します。

CAM と CAS 間の接続

CAM と、CAM Web 管理コンソールにアクセスしているブラウザ間の接続

CAS と、CAS に接続しているエンド ユーザ間の接続

CAS と、CAS ダイレクト アクセス Web コンソールにアクセスしているブラウザ間の接続

インストール中に、CAM と CAS の両方の設定ユーティリティ スクリプトから、インストール中のサーバの一時 SSL 証明書を生成するように要求されます。対応する秘密鍵も、一時証明書を使用して生成されます。

運用配置の場合は、通常、 CAS の一時証明書を Certificate Authority(CA; 認証局)署名付き SSL 証明書で置き換える必要があります。CAS 証明書はエンド ユーザが参照できるためです。運用配置でない場合、CAS に一時証明書があれば、ネットワークにアクセスするユーザはログインするたびに、CAS からこの証明書を明示的に受け入れる必要があります。CAS の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。


) システム ソフトウェア内の Java バージョンとの依存関係のため、Cisco Clean Access は SSL 証明書では 1024 ビット長および 2048 ビット長の鍵だけをサポートします。


CAM では、CA 署名付き証明書を使用する必要はありません。必要に応じて、一時証明書を引き続き使用することができます。ここでは、CAM の SSL 証明書の管理方法について説明します。

「一時証明書の生成」

「CSR/秘密鍵/証明書のエクスポート」

「現在インストールされている秘密鍵および証明書の確認」

「署名付き証明書のインポート」

「インポートのためにアップロードされた証明書ファイルの表示」

「証明書に関する問題のトラブルシューティング」


) CAM 用に購入された CA 署名付き証明書は、CAS では使用できません。CAS ごとに個別の証明書を購入する必要があります。


SSL 証明書管理のための Web コンソール ページ

実際は、CAM SSL 証明書ファイルは CAM マシンに保持され、CAS SSL 証明書ファイルは CAS マシンに保持されます。インストール後、CAM および CAS 証明書はそれぞれ次の Web コンソール ページから管理できます。

CAM 証明書:

Administration > CCA Manager > SSL Certificate

CAS 証明書:

CAS 管理ページ: Device Management > CCA Servers > Manage [CAS_IP] > Network > Certs 、または

CAS ダイレクト アクセス コンソール: Administration > SSL Certificate

CAM Web 管理コンソールを使用すると、次の SSL 証明書関連処理を実行できます。

一時証明書(および対応する秘密鍵)の生成。

現在の一時証明書に基づく PEM エンコード PKCS #10 CSR の生成。

秘密鍵のインポートとエクスポート。エクスポート キー機能は、CSR のベースとなる秘密鍵のバックアップ コピーを保存する場合に使用します。CA 署名付き証明書が CA から戻されて、CAM にインポートされる場合は、この秘密鍵を併用する必要があります。

新規インストールの一般的な手順

新規インストールの場合に CAM 証明書を管理する一般的な手順は、次のとおりです。


) CAM の CA 署名付き証明書は不要です。


1. 時刻を同期します。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、そのあとで CSR のベースとなる一時証明書を再生成します。詳細については、「システム時刻の設定」を参照してください。

2. CAM の DNS 設定を確認します。

CA 署名付き証明書にサーバの IP アドレスでなく DNS 名を使用する場合は、CAM 設定を検証し、一時証明書を再生成する必要があります。詳細は、「IP でなく DNS 名に対応した証明書が再生成される」を参照してください。

3. 「一時証明書の生成」

一時証明書および秘密鍵は、CAM インストール中に自動的に生成されます。CAM の時刻または DNS 設定を変更する場合は、一時証明書および秘密鍵を再生成してから、CSR を作成します。

4. 保護またはバックアップのために、秘密鍵をローカル マシンにエクスポート(バックアップ)します。

CSR を生成およびエクスポートする前に、必ず、現在の一時証明書に対応する秘密鍵をローカル ハード ドライブにバックアップして保護することを推奨します。「CSR/秘密鍵/証明書のエクスポート」を参照してください。

5. CSR をローカル マシンにエクスポート(保存)します。「CSR/秘密鍵/証明書のエクスポート」を参照してください。

6. CSR ファイルを、信頼できる証明書の発行が許可された CA に送信します。

7. CA が署名し、証明書を戻したら、CA 署名付き証明書をサーバにインポートします。

CA 署名付き証明書を CA から受信したら、PEM エンコード ファイルとして CAM 一時ストアにアップロードします。「署名付き証明書のインポート」を参照してください。

8. 必要に応じて、必要な中間 CA 証明書をすべて、単一の PEM エンコード ファイルとして CAM 一時ストアにアップロードします。

9. Verify and Install Uploaded Certificates をクリックして、一時ストア内の証明書チェーンおよび秘密鍵全体を検証し、検証済み証明書を CAM にインストールします。

10. テストするため、CAM にアクセスします。


) インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開鍵の組み合わせが作成されます。また、(保護のため、および秘密鍵を使いやすくするために)署名用の CSR を生成する場合は、必ず秘密鍵を安全な場所にエクスポートし、保存してください。


詳細については、「証明書に関する問題のトラブルシューティング」も参照してください。

一時証明書の生成

次に、CAM の新しい一時証明書の生成手順を示します。一時証明書を生成すると、この証明書に基づいて CSR を生成できます。

1. Administration > CCA Manager> SSL Certificate に移動します(図14-4)。

2. Choose an action ドロップダウン リストで、 Generate Temporary Certificate (デフォルト)を選択します。

図14-4 SSL 証明書:一時証明書の生成

 

3. 次のフィールドに適切な値を入力します。

Full Domain Name or IP ― 証明書を適用する CAM の完全修飾ドメイン名または IP アドレス。たとえば次のように入力します。camanager.< your_domain_name >

Organization Unit Name ― 企業内の単位名(適用可能な場合)

Organization Name ― 企業の正式名称

City Name ― 企業の正式な所在都市

State Name ― 企業の正式な所在国(フルネーム)

2-letter Country Code ― 2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

4. 終了したら、 Generate をクリックします。これで、新しい一時証明書および新しい秘密鍵が生成されます。


) 各フォームの下部にある Current SSL Certificate Domain: <IP or domain name> フィールドには、表示された Web コンソール ページにアクセスするために使用されている、現在の SSL 証明書の IP アドレスまたはドメイン名が表示されます。たとえば、CAS の SSL 証明書管理ページにアクセスしている場合は、該当する CAS の SSL 証明書に記載されたドメイン名または IP アドレスが表示されます。CAM の SSL 証明書管理ページにアクセスしている場合は、CAM の SSL 証明書に記載されたドメイン名/IP が表示されます。


CSR/秘密鍵/証明書のエクスポート

CSR をエクスポートすると、CA への送信に適した PEM エンコード PKCS#10 フォーマットの CSR が生成されます。CSR は、キーストア データベースに現在格納されている一時証明書および秘密鍵に基づきます。

証明書要求の作成手順:

1. Administration > CCA Manager> SSL Certificate に移動します(図14-5)。

2. Choose an action ドロップダウン リストで、 Export CSR/Private Key/Certificate を選択します。

図14-5 SSL 証明書:CSR/秘密鍵/証明書のエクスポート

 

3. Export CSR/Private Key/Certificate Request フォームの Currently Installed Private Key (A)の Export ボタンをクリックして、要求の生成に使用する秘密鍵のバックアップを作成します。ファイルを保存するか、または開くように要求されます(エクスポートされるファイルのファイル名を参照)。ファイルは安全な場所に保存します。


) Cisco Clean Access は、SSL 証明書では 1024 ビット長および 2048 ビット長の鍵だけをサポートします。


4. Export CSR (B)をクリックします。CAS の CSR ファイルが生成され、ダウンロードに使用できるようになります(エクスポートされるファイルのファイル名を参照)。


) この手順では、現在インストールされている(一時)証明書および秘密鍵のペアに基づいて、証明書要求が生成されます。これらが、CA に送信する CSR に対応した証明書および秘密鍵であることを確認してください。


5. Save をクリックして、CSR ファイルをハード ドライブに保存します(または、証明書要求フォームに記入する準備ができたら、 Open をクリックしてテキスト エディタ内ですぐに開きます。CSR ファイルを使用して、CA に対して証明書を要求します。証明書をオーダーすると、CSR ファイルの内容をオーダー フォームの CSR フィールドにコピー アンド ペーストするように要求されることがあります。

6. CA から CA 署名付き証明書を受信したら、CAM にインポートできます(署名付き証明書のインポートを参照)。

CA 署名付き証明書をインポートすると、CA 署名付き証明書が [Currently Installed Certificate] になります。また、あとでこの証明書のバックアップにアクセスする必要がある場合は、 Export をクリックして、いつでも Currently Installed Certificate をエクスポートすることもできます。


) 各フォームの下部にある Current SSL Certificate Domain: <IP or domain name> フィールドには、表示された Web コンソール ページにアクセスするために使用されている、現在の SSL 証明書の IP アドレスまたはドメイン名が表示されます。たとえば、CAS の SSL 証明書管理ページにアクセスしている場合は、該当する CAS の SSL 証明書に記載されたドメイン名または IP アドレスが表示されます。CAM の SSL 証明書管理ページにアクセスしている場合は、CAM の SSL 証明書に記載されたドメイン名/IP が表示されます。


エクスポートされるファイルのファイル名

CAM からエクスポートできる SSL 証明書ファイルのファイル名は、次のとおりです。

 

ファイル名 1
説明

smartmgr_csr.pem

CAM の CSR

smartmgr_key.pem

CAM の Currently Installed Private Key

smartmgr_crt.cer 2

CAM の Currently Installed Certificate

1.リリース 3.6.0.1 以前のファイル名拡張子は、.pem でなく .csr です。

2.リリース 3.6(1) の場合のみ、ファイル名は smartmgr_crt.pem です。

現在インストールされている秘密鍵および証明書の確認

次のファイルを検証するには、 Administration > CCA Manager > SSL Certificate | Export CSR/Private Key/Certificate図14-5)でこれらを表示します。

Currently Installed Private Key

Currently Installed Certificate

Currently Installed Certificate Details

Currently Installed Root/Intermediate CA Certificate

Currently Installed Root/Intermediate CA Certificate Details


) 証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


CAM にこれらのファイルがインストールされていない(エクスポート用)、またはアップロードされていない(インポート用)場合、View/Details/Delete ボタンはディセーブルです(グレー表示)。たとえば、CAM に一時証明書のみが存在する場合、Import および Export フォームではそれぞれ [Root/Intermediate CA] および [Currently Installed Root/Intermediate CA] の View/Details/Delete ボタンがディセーブルになります。

[ Currently Installed Private Key ] の View をクリックすると、図14-6 に示されたダイアログが表示されます(BEGIN PRIVATE KEY/END PRIVATE KEY)。

図14-6 Currently Installed Private Key の表示

 

[ Currently Installed Certificate ] の View をクリックすると、図14-7 に示されたダイアログが起動します(BEGIN CERTIFICATE / END CERTIFICATE)。

図14-7 Currently Installed Certificate の表示

 

[ Currently Installed Certificate ] の Details をクリックすると、図14-8 に示されたダイアログが表示されます([Certificate:])。 Currently Installed Certificate Details フォームでは、一時証明書または CA 署名付き証明書があるかどうかを簡単に確認できます。確認する必要がある最も重要なフィールドは、次のとおりです。

Issuer ― 現在の証明書への署名者。インストール中に生成された一時証明書には、Issuer 情報が含まれます(図14-8 を参照)。

Validity ― 証明書の作成日([Not Before:])および満了日([Not After:])。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲に収まっていなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲に収まっていなければなりません。


Subject ― 一時証明書を生成したときに入力されたサーバおよび企業情報

Begin Certificate/End Certificate ― 実際の証明書が表示されます。この証明書は、[Currently Installed Certificate] の View をクリックした場合に表示される情報と同じです。

図14-8 Currently Installed Certificate Details の表示(一時証明書の例)

 

 

[ Currently Installed Root/Intermediate CA Certificate ] の View または Details をクリックすると、CAM にインストールしたルートまたは中間証明書に対する同様なダイアログが起動します。

署名付き証明書のインポート

CAM の CA 署名付き PEM エンコード X.509 証明書を受信したら、ここの説明に従って、この証明書を CAM にインポートできます。作業を開始する前に、ルートおよび CA 署名付き証明書ファイルがアクセス可能なファイル ディレクトリに格納されているか確認してください。中間 CA が必要な CA を使用している場合は、これらのファイルが存在していて、アクセス可能であることも確認してください。

1. Administration > CCA Manager> SSL Certificate に移動します(図14-9)。

2. Choose an action ドロップ ダウン リストで、 Import Certificate を選択します。

図14-9 SSL 証明書:証明書のインポート(CAM)

 

3. Certificate File フィールドの横にある Browse ボタンをクリックして、ディレクトリ システムの証明書ファイルを特定します。


) ファイルをインポートする場合は、ファイル名にスペースが含まれていないか確認してください(下線は使用できます)。


4. ドロップダウン メニューで、 File Type を選択します。

CA-signed PEM-encoded X.509 Cert ― PEM エンコード CA 署名付き証明書をアップロードする場合に選択します。

Root/Intermediate CA ― PEM エンコード中間 CA 証明書またはルート証明書をアップロードする場合に選択します。


) 複数の中間 CA ファイルがある場合は、これらを単一の中間 CA PEM エンコード ファイルにコピー アンド ペーストして、CAM にアップロードする必要があります。CAM にアップロードできる中間 CA ファイルは 1 つのみです。


Private Key ― CAM の秘密鍵を(バックアップから)アップロードする必要がある場合に選択します。通常、この処理が必要なのは、現在の秘密鍵が、CA 署名付き証明書のベースとなる元の CSR の作成に使用された秘密鍵と一致しない場合のみです。

Trust Non-Standard CA ― CAM で、CAM と外部サーバ(LDAP 認証サーバなど)間の通信に必要な、非標準機関によって署名された証明書をアップロードする場合に選択します。たとえば、ユーザの所属機関(大学など)によって署名された、LDAP サーバ用の非標準証明書が存在する場合があります。認証サーバ証明書が不明な CA によって署名されている場合は、 Trust Non-Standard CA オプションを使用してこの CA 証明書をインポートし、受け入れます。この証明書を有効にするには、CAM をリブートする必要があります。

5. Upload をクリックして、CAM の一時ストアに証明書ファイルをアップロードします。

6. Verify and Install Uploaded Certificates をクリックして、一時ストア内の証明書チェーンおよび秘密鍵全体を検証し、検証済み証明書ファイルを CAM 内の正しい場所にインストールします。失われているファイルがある場合は、アップロードする必要があるファイルを示すエラーが表示されます。たとえば、使用している CA で中間 CA 証明書が必要な場合は、この証明書を CAM 一時ストアにアップロードして、証明書チェーンを検証し、CAM にインストールします。


) CAM および CAS はどちらも、証明できない証明書チェーンをインストールしません。1 つのファイルに複数の証明書を含める場合は、デリミタ(Begin/End Certificate)が必要です。ただし、これらのファイルはインストール前に一時ストア内で検証されるため、特定の順番で証明書ファイルをアップロードする必要はありません。


7. リスト内の既存の CAM のルート/中間 CA 証明書をアップロードしようとすると、 Verify and Install Uploaded Certificates ボタンをクリックしたあとに、[this intermediate CA is not necessary] というエラーメッセージが表示されます。重複ファイルを削除するには、 Delete をクリックして、アップロードされた Root/Intermediate CA を削除する必要があります。


) 各フォームの下部にある Current SSL Certificate Domain: <IP or domain name> フィールドには、表示された Web コンソール ページにアクセスするために使用されている、現在の SSL 証明書の IP アドレスまたはドメイン名が表示されます。たとえば、CAS の SSL 証明書管理ページにアクセスしている場合は、該当する CAS の SSL 証明書に記載されたドメイン名または IP アドレスが表示されます。CAM の SSL 証明書管理ページにアクセスしている場合は、CAM の SSL 証明書に記載されたドメイン名/IP が表示されます。


インポートのためにアップロードされた証明書ファイルの表示

CAM にインポートするために一時ストアにアップロードされた証明書ファイルは、 Administration > CCA Manager> SSL Certificate | Import Certificate図14-9)で検証できます。

Uploaded Private Key

Uploaded CA-Signed Certificate

Uploaded CA-Signed Certificate Details

Uploaded Root/Intermediate CA Certificate

Uploaded Root/Intermediate CA Certificate Details


) 証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


CAM にこれらのファイルがインストールされていない(エクスポート用)、またはアップロードされていない(インポート用)場合、View/Details/Delete ボタンはディセーブルです(グレー表示)。たとえば、CAM に一時証明書のみが存在する場合、Import および Export フォームではそれぞれ [Root/Intermediate CA] および [Currently Installed Root/Intermediate CA] の View/Details/Delete ボタンがディセーブルになります。

証明書に関する問題のトラブルシューティング

Cisco NAC アプライアンス証明書の管理中に、証明書チェーン内の SSL 証明書が一致しないなどの問題が発生することがあります。SSL 証明書の一般的な問題は、時間によるもの(CAM および CAS のクロックが同期していない場合、認証に失敗する)、IP によるもの(不正なインターフェイスに対して証明書が作成される)、情報によるもの(不正な、または入力ミスの証明書情報がインポートされる)などです。ここでは、次の項目について説明します。

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

CAS 内の秘密鍵が CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書が再生成される

証明書関連ファイル

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

次のクライアント接続エラーは、CAS が CAM の証明書を信頼していない場合、またはその逆の場合に発生します。

Web ログイン後にリダイレクトされない ― ユーザ証明書を入力したあとも引き続きログイン ページが表示されます。

ログインを試行した Agent ユーザは、次のエラーを受け取ります。[Clean Access Server could not establish a secure connection to the Clean Access Manager at <IP アドレスまたはドメイン>](図14-10

これらのエラーは、通常、次の証明書関連の問題のいずれかを示しています。

Clean Access Manager(CAM)と Clean Access Server(CAS)間に 5 分を超える時差がある。

IP アドレスが無効である。

ドメイン名が無効である。

CAM に到達できない。

共通の問題を特定する手順:

1. CAM の証明書を調べ、CAS の IP アドレスを使用して生成されていないかどうかを確認します。

2. CAM および CAS に設定されている時刻を確認します。CAM および CAS に設定された時刻の差は、5 分以内でなければなりません。

これらの問題の解決手順:

1. まず、CAM および CAS の時刻を正しく設定します(システム時刻の設定を参照)。

2. 正しい IP アドレスまたはドメインを使用して、CAS 上で証明書を再生成します。

3. CAS をリブートします。

4. 正しい IP アドレスまたはドメインを使用して、CAM 上で証明書を再生成します。

5. CAM をリブートします。

図14-10 トラブルシューティング:「CAS が CAM とのセキュアな接続を確立できない」

 


) CAS で nslookup および date を実行し、CAS の DNS および TIME 設定が正しい場合、CAS の CA 証明書ファイルが破損している可能性があります。この場合は、/usr/java/j2sdk1.4/lib/security/cacerts の既存の CA 証明書をバックアップしてから、/perfigo/common/conf/cacerts のファイルで上書きし、CAS で [service perfigo restart] を実行します。



) クライアントのエラー メッセージが [Clean Access Server is not properly configured, please report to your administrator] の場合は、通常、証明書に関する問題ではなく、デフォルト ユーザ ログイン ページが CAM に追加されていません。詳細は、「デフォルト ログイン ページの追加」を参照してください。


追加情報について、次の項も参照してください。

「CAS 追加時のトラブルシューティング」

「Agent のトラブルシューティング」

CAS 内の秘密鍵が CA 署名付き証明書と一致しない

この問題は、新しい一時証明書が生成されたにもかかわらず、古い一時証明書および秘密鍵ペアから生成された CSR に対応する CA 署名付き証明書が戻された場合に発生することがあります。

たとえば、管理者は CSR を生成し、秘密鍵をバックアップしてから、CSR を VeriSign などの CA に送信します。

CSR が送信されたあとに、別の管理者が一時証明書を再生成します。CA 署名付き証明書が CA から戻された場合、CA 証明書のベースとなる秘密鍵は、CAS 内の秘密鍵と一致しません。

この問題を解決するには、古い秘密鍵を再インポートしてから、CA 署名付き証明書をインストールします。

IP でなく DNS 名に対応した証明書が再生成される

サーバの IP アドレスでなく DNS 名に基づいて証明書を再作成する場合は、次のようにします。

インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開鍵の組み合わせが作成されます。また、(秘密鍵を使いやすくするために)署名用の CSR を生成する場合は、必ず秘密鍵をエクスポートし、保存してください。

特定の CA 署名付き証明書をインポートすると、CA 署名付き証明書への署名に使用されるルート証明書(CA のルート証明書)をインポートする必要があること、または場合によっては中間ルート証明書をインポートしなければならないことを通知する警告が表示されることがあります。

DNS サーバに DNS エントリがあることを確認します。

CAS 内の DNS アドレスが正しいことを確認します。

ハイ アベイラビリティ(フェールオーバー)構成の場合、サービス IP の DNS 名を使用します(仮想 DNS)。

新しい証明書を生成したり、CA 署名付き証明書をインポートした場合は、リブートすることを推奨します。

使用している DNS ベース証明書が CA 署名付きでない場合は、証明書を受け入れるように促すプロンプトが表示されます。

証明書関連ファイル

表14-1 に、トラブルシューティング用の、CAM の証明書関連ファイルを示します。たとえば、CA 証明書/秘密鍵の組み合わせが一致しないために管理コンソールに到達できない場合、CAM のファイル システム内にあるこれらのファイルを直接変更しなければならないことがあります。

 

表14-1 CAM の証明書関連ファイル

ファイル
説明

/root/.tomcat.key

秘密鍵

/root/.tomcat.crt

証明書

/root/.tomcat.csr

CSR

/root/.chain.crt

中間証明書

/perfigo/common/conf/perfigo-ca-bundle.crt

ルート CA バンドル

CAM ファイルの詳細については、「ログ ファイル」を参照してください。

システムのアップグレード

CAM および CAS にリリース 4.1(1) 以上がインストールされている場合は、Web コンソールを通じて、CAM 上でその後の 4.1(1) のマイナー リリース アップグレードを実行できます。ここでは、CAM の System Upgrade ページについて説明します。

詳細については、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(1) 』の「Upgrading to a New Software Release」を参照してください。


) • System Upgrade を使用して、スタンドアロン CAM をリリース 4.1 にアップグレードできます。

システムを 3.5(x) から 4.1 にアップグレードする場合は、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(x) 』の「Upgrading to a New Software Release」で詳しく説明されているインプレース アップグレードの手順に従う必要があります。


 

1. CAM アップグレード ページにアクセスするには、 Administration > CCA Manager > System Upgrade に移動します。

図14-11 CAM の System Upgrade

 

2. Browse をクリックし、Cisco Secure Software からダウンロードした .tar.gz アップグレード ファイルを見つけます。通常、アップグレード ファイルの名前は、次の表記規則に従っています。

cca_upgrade _4.1.x.tar.gz ― CAM/CAS リリース アップグレード ファイル(4.1.0 など)

cam_upgrade _4.1.x.tar.gz ― CAM 専用パッチ アップグレード ファイル

cas_upgrade _4.1.x.tar.gz ― CAS 専用パッチ アップグレード ファイル。CAS 管理ページからアップロードする必要があります。詳細については、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(1) 』の「Upgrading to a New Software Release」を参照してください。

3. Upload をクリックして、CAM へ .tar.gz アップグレード ファイルをアップロードします。

4. CAA セットアップ インストール ファイルおよびパッチ インストール ファイルを、リリースにバンドルされた最新の Agent バージョン(リリース 4.1(1) の場合、Agent 4.1.1.0 など)にアップグレードする場合は、アップグレード ファイルがリストに表示されたあと、[ Upgrade Agent ] チェックボックスをクリックします。

このオプションは、通常、マイナー リリース間のアップグレード時にだけ使用可能です。メジャー リリース間のアップグレード(4.0(5) から 4.1(1) など)の場合は、[ Upgrade Agent ] がイネーブルかどうかに関係なく、CAM 内の CAA セットアップ/パッチ ファイルは自動的にアップグレードされます(たとえば 4.1.1.0 へ)。

5. 赤い Apply アイコンをクリックします。次のダイアログが表示されます。

This will schedule a system upgrade in two minutes. Are you sure you wish to do this?
 

OK をクリックして、CAM のアップグレードを開始します。この時点でアップグレードしない場合は、 Cancel をクリックします。

6. notes リンクをクリックすると、新機能、機能拡張、該当するリリースで解決された警告の概要が表示されます。

7. Upgrade Log をクリックすると、実行された日付と時刻など、アップグレード プロセスの概要が表示されます。

8. Upgrade Details をクリックすると、アップグレード プロセスの詳細が次の形式で表示されます。

アップグレード前の状態

アップグレード プロセスの詳細

アップグレード後の状態

通常は、「アップグレード前の状態」に警告/エラー メッセージ([INCORRECT] など)がいくつか含まれます。「アップグレード後の状態」は、警告またはエラー メッセージがない状態である必要があります。

ライセンス

CAM および CAS を機能させるには、有効な製品ライセンスが必要です。Clean Access のライセンス モデルには、FlexLM ライセンス標準が組み込まれています。


) CAM ライセンスを最初にインストールする方法、および永続ライセンス、評価ライセンス、レガシー ライセンスの詳細については、『Cisco NAC Appliance Service Contract / Licensing Support』を参照してください。


CAS 用の FlexLM ライセンスのインストール

CAM の初期製品ライセンスをインストールすると、 Licensing ページからライセンス(CAS ライセンス、HA-CAM の 2 番めの CAM ライセンスなど)を追加または管理できます。

1. Administration > CCA Manager > Licensing に移動します。

図14-12 Licensing ページ

 

2. Clean Access Manager License File フィールドで、CAS または CAS バンドル用のライセンス ファイルを参照し、 Install License をクリックします。ライセンスが正常にインストールされると、ページ上部にグリーンの確認テキスト、および CAS の増分数が表示されます([License added successfully.Out-of-Band Server Count is now 10.] など)。

3. インストールする必要のある CAS ライセンス ファイルごとに、この手順を行います(Costomer Registration Form に入力した各 PAK につきライセンス ファイルが 1 つ届いているはずです)。このページの下部には、ステータス情報として、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます

製品ライセンスの削除

1. Administration > CCA Manager > Licensing に移動します。

2. Remove All Licenses ボタンをクリックして、システム内の FlexLM ライセンス ファイルをすべて削除します。

3. Clean Access Manager License フォームがブラウザに再表示され、CAM のライセンス ファイルをインストールするように要求されます。


) CAM のライセンス ファイルが入力されるまで、Web 管理コンソールの管理ユーザ ログイン ページにリダイレクトされません。



) • FlexLM ライセンス ファイルは個別に削除できません。ファイルを削除するには、すべてのライセンス ファイルを削除する必要があります。

永続的 FlexLM ライセンスをインストールすると、評価版 FlexLM ライセンスは無効になります。

FlexLM ライセンス(永続または評価版)をインストールすると、(レガシー キーがインストールされている場合でも)レガシー ライセンスのキーは無効になります

評価版 FlexLM の削除後または有効期限の終了後には、既存のレガシー ライセンス キーが再び有効になります。


 

レガシー ライセンス キーの変更

1. Administration > CCA Manager > Licensing に移動します。

2. リリース 3.5 より前のリリースのライセンス キーを変更するには、ライセンス キーを Product License Key フィールドにコピーして、 Apply Key をクリックします。

サポート ログ

CAM の Support Logs ページは、お客様に問題が発生した場合に TAC が円滑にサポートできるようにするためのものです。管理者は Support Logs ページ上で、さまざまなシステム ログ(開いているファイル、開いているハンドル、パッケージの情報など)を 1 つの tarball に結合し、サポート事例に追加するために TAC に送信することができます。管理者は、カスタマー サポート要求の送信時に、これらのサポート ログをダウンロードする必要があります。

CAM Web コンソールおよび CAS ダイレクト アクセス Web コンソールの Support Logs ページには、トラブルシューティングを目的として /perfigo/logs に記録するログの詳細レベルを設定するための Web ページ制御機能があります。これらの Web 制御機能は、トラブルシューティング時にシステム情報を収集するために、CLI loglevel コマンドとパラメータの代わりに簡単に使用できる代替方法として提供されています。Support Logs ページで設定されたログ レベルは、CAM の Monitoring > Event Log ページの表示には影響しません。

通常の動作時には、ログ レベルは常にデフォルト設定(severe)のままにしておいてください。ログ レベルは、一定のトラブルシューティング期間だけ(通常は、カスタマー サポート/TAC エンジニアの要求時にだけ)一時的に変更します。多くの場合は一定の期間、設定値を [Severe] から [All] に切り替え、データの収集が終了したら、[Severe] に再設定されます。CAM/CAS をリブートしたあと、または、 service perfigo restart コマンドを実行したあとは、ログ レベルはデフォルト設定(Severe)に戻ります。


注意 ログ レベルを [All] または [Info] に設定したままにしないでください。そのままにしておくと、ログ ファイルのサイズが急速に大きくなってしまいます。

CAM サポート ログのダウンロード手順:

1. Administration > CCA Manager > Support Logs に移動します。

図14-13 CAM Support Logs

 

2. Download ボタンをクリックして、 cam_logs.<cam-ip-address>.tar.gz ファイルをローカル コンピュータにダウンロードします。

3. この .tar.gz ファイルをカスタマー サポート要求とともに送信します。


) CAS の圧縮済みサポート ログ ファイルを取得するには、Device Management > CCA Servers > Manage [CAS_IP] > Misc > Support Logs に移動します。詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) を参照してください。


CAM ログのログ レベルの変更手順:

1. Administration > CCA Manager > Support Logs に移動します。

2. 変更する CAM ログ カテゴリを選択します。

CCA Manager General Logging :このカテゴリには、システムの大半のロギング イベントが含まれます。以下のほかの 4 つのカテゴリに含まれないログ イベントは、CCA Manager General Logging の下に表示されます(認証の失敗など)。

CAM/CAS Communication Logging :このカテゴリには、CAM/CAS の設定エラーまたは通信エラーが含まれます。たとえば、CAM から CAS への情報のパブリッシュが失敗した場合には、そのイベントが記録されます。

Switch Management Logging :このカテゴリには、CAM とスイッチとの直接通信で発生することのある一般的な SNMP エラーが含まれます。たとえば、CAM がコミュニティ文字列の一致しない SNMP トラップを受信した場合が含まれます。

General OOB Logging :このカテゴリには、CAM の不正な設定が原因で発生することのある一般的な OOB エラーが含まれます。たとえば、システムが、CAM に設定されていないか過負荷のために、SNMP リンクアップ トラップを処理できない場合などが含まれます。

Low level Switch Communication Logging :このカテゴリには、特定のスイッチ モデルの OOB エラーが含まれます。

3. ログのカテゴリのログ レベルの設定値をクリックします。

All :最低のログ レベルです。すべてのイベントと詳細が記録されます。

Info :Severe ログ レベルより詳細です。たとえば、ユーザが正常にログインした場合には、Info メッセージが記録されます。

Severe :システムのロギングのデフォルト レベルです。システムが次のような重大なエラーを検出した場合にだけ、ログ イベントが /perfigo/logs に書き込まれます。

- CAM が CAS に接続できない

- CAM と CAS が通信できない

- CAM がデータベースと通信できない

イベント ログの詳細については、 第 13 章「モニタリング」 を参照してください。

管理ユーザ

ここでは、CAM の Web 管理コンソールの Administration > Admin Users モジュールで複数の管理者ユーザを追加する方法を示します。

Administration > Admin Users には、 Admin Groups Admin Users の 2 つのタブがあります。

新しい管理ユーザを作成し、それらを既存のデフォルト管理グループに関連付けることができます。また、専用のカスタム管理グループを作成することもできます。どちらの場合も、管理ユーザを管理グループに追加すると、そのグループに定義されたアクセス権が追加されたユーザに適用されます。

Admin Groups

システムにはデフォルトの 3 つの管理グループ(編集不可)と、編集可能で定義済みの 1 つのカスタム グループ([Help Desk])があります。さらに、 Administration > Admin Users > Admin Groups > New で、任意の数のカスタム管理グループを作成できます。

次の 4 つのデフォルトの管理グループ タイプがあります。

1. Hidden

2. Read-Only

3. Add-Edit

4. Full-Control(削除権限を含む)

3 つのデフォルト管理グループ タイプは、削除または編集できません。3 つの定義済みグループのいずれかにユーザを追加したり、新しいカスタム グループを設定して専用権限を作成することができます。カスタム管理権限を作成する場合は、まずカスタム管理グループのアクセス権を作成および設定してから、目的のグループにユーザを追加して、権限を設定します。

カスタム管理グループの追加

新しい管理グループの作成手順:


ステップ 1 Administration > Admin Users > Admin Groups に移動します。

図14-14 Admin Groups

 

ステップ 2 New リンクをクリックして、新しい Admin Group 設定フォームを起動します。

図14-15 新しい管理グループ

 

ステップ 3 最初に新しい管理グループを作成しても、まだアクティブにしない場合、または、既存の管理グループをディセーブルにする場合は、Disable this group チェックボックスをオンにします。

ステップ 4 Group Name に、カスタム管理グループのグループ名を入力します。

ステップ 5 Description に、グループのオプションの説明を入力します。

ステップ 6 個々の CAS の横にあるアクセス オプションを、no access、view only、add-edit、local admin のいずれかに設定します。この設定により、指定した管理グループについて個々の CAS へのアクセスを制限したり、管理グループの個々の CAS での表示権限をイネーブルにしたりすることができます。また、管理グループに 1 つまたは複数の CAS に対する完全な制御権限を提供するようにアクセス権を調整することもできます(削除/再起動機能を含む)。


) CAS オプションを no access に設定しても、その管理グループのメンバーは引き続き Device Management > CCA servers > List of Servers ページで指定されたサーバを表示できますが、そのサーバを管理、切断、再起動、または削除することはできません。


ステップ 7 個々のモジュールまたはサブモジュールについて、hidden、read only、add-edit、full control のいずれかのグループ アクセス権限を選択します。これによって、指定した管理グループだけが CAS モジュールおよびサブモジュールを使用できるように制限したり、指定した管理グループのモジュールおよびサブモジュールに対する管理制御に関する権限を調整したりできます。


) サブモジュール オプションを hidden に設定すると、その管理グループのメンバーは引き続き、左側の Web コンソール ペインでそのサブモジュールを表示できますが、テキストは「グレー」で表示され、そのサブモジュールにアクセスすることはできません。


ステップ 8 Create Group をクリックして、Admin Groups リストにグループを追加します。

グループをあとで編集するには、リスト内のグループの横にある Edit ボタンをクリックします。グループを削除するには、グループの横にある Delete アイコンをクリックします。管理グループを削除しても、そのグループ内のユーザは削除されないで、デフォルト Read-Only Admin グループに割り当てられます。


) 管理者が管理グループを編集して特定の管理グループの権限を変更した場合、次回ログイン以降は新しい権限だけが有効となるため、変更時にその管理グループに属するすべての管理ユーザを削除する必要があります。



 

管理ユーザ


) デフォルトの管理ユーザは、デフォルトの Full-Control Admin グループに属しており、CAM から削除できない完全な制御権限を持つ特別なシステム ユーザです。たとえば、Full-Control ユーザはログインして、自分のアカウントを削除することができますが、ユーザ admin としてログインし、admin アカウントを削除することはできません。


管理ユーザは Admin Group に従って分類されます。次の一般的な規則が適用されます。

すべての管理ユーザは Administration > Admin Users モジュールにアクセスして、自分のパスワードを変更できます。

管理ユーザ レベルで使用できない機能は、Web 管理コンソールではディセーブルになります。

Read-Only ユーザが Web 管理コンソールに表示できるのは、ユーザ、デバイス、および機能のみです。

Add-Edit ユーザは、Web 管理コンソールでローカル ユーザ、デバイス、または機能を追加および編集できますが、削除できません。Add-Edit 管理ユーザはその他の管理ユーザを作成できません。

Full-Control ユーザには、Web 管理コンソールのすべての適用可能な項目について追加、編集、および削除する権限があります。

その他の管理ユーザまたは管理グループを追加、編集、または削除できるのは、Full-Control 管理ユーザのみです。

カスタム グループ ユーザは、複数のアクセス権を組み合わせて保持するように設定できます(カスタム管理グループの追加を参照)。

管理ユーザのログイン/ログアウト

管理ユーザはセッションベースであるため、Web 管理コンソールの各ページの右上にある Logout アイコンを使用して、ログアウトする必要があります。管理者ログイン ページが表示されます。

図14-16 管理ログイン

 

また、ログアウト ボタンを使用して、いずれかのタイプの管理ユーザとしてログアウトしてから、別のタイプの管理ユーザとして再ログインすることもできます。

管理ユーザの追加

新しい管理ユーザの追加手順:

1. Administration > Admin Users > New に移動します。

図14-17 新しい管理ユーザ

 

2. 最初に新しい管理ユーザ プロファイルを作成しても、まだアクティブにしない場合、または、既存の管理ユーザをディセーブルにする場合は、Disable this account チェックボックスをオンにします。

3. Admin User Name を入力します。

4. Password および Confirm Password フィールドにパスワードを入力します。

5. Group Name ドロップダウン リストで、管理グループ タイプを選択します。デフォルト グループは Read-Only、Add-Edit、および Full-Control です。カスタム アクセス権グループにユーザを追加するには、まず目的のグループを追加します(カスタム管理グループの追加を参照)。

6. (任意) Description に説明を入力します。

7. Create Admin をクリックします。 Admin Users > List の下に、新しいユーザが表示されます。

管理ユーザの編集

既存の管理ユーザの編集手順:

1. Administration > Admin Users > List に移動します。

図14-18 管理ユーザ リスト

 

2. 管理ユーザの横にある Edit ボタンをクリックします。

図14-19 管理ユーザの編集

 

3. Password および Confirm Password フィールドを変更するか、または目的の別のフィールドを変更します。

4. Save Admin をクリックします。


) グループ タイプを除く、システム admin ユーザのすべてのプロパティを編集できます。


管理ユーザ セッションのアクティブ化

CAM Web 管理コンソールを使用している管理ユーザを表示するには、 Administration > Admin Users > Admin Users > Active Sessions を使用します。 Active Sessions リストに、現在アクティブな管理ユーザがすべて表示されます。管理ユーザはセッションベースです。管理ユーザが CAM Web サーバに接続するために開いたブラウザごとに、 Active Sessions リストにユーザ エントリが作成されます。

管理ユーザがブラウザを開いている場合に、ブラウザを閉じてから、新しいブラウザを開くと、 Active Session リストには一定期間 2 つのエントリが表示されます。終了したセッションの Last Access 時刻は変更されません。最終的に、エントリは自動ログアウト機能によって削除されます。

図14-20 管理ユーザのアクティブ セッション

 

Active Sessions ページには、次の情報が表示されます。

Admin Name ― 管理ユーザの名前

IP Address ― 管理ユーザのマシンの IP アドレス

Group Name ― 管理ユーザのアクセス権グループ

Login Time ― 管理ユーザ セッションの開始時刻

Last Access ― Web 管理コンソールのリンクを管理ユーザが最後にクリックした時刻。クリックするたびに、最終アクセス時刻はリセットされます。

[Auto-Logout Interval for Inactive Admins] ― この値は、アクティブな管理ユーザ セッションの Login Time 時刻と Last Access 時刻に対して比較されます。Login Time 時刻と Last Access 時刻の差が、設定された自動ログアウト インターバルよりも大きい場合、ユーザはログアウトします。この値の有効範囲は 1 ~ 120 分です。デフォルトでは、インターバルは 20 分に設定されています。

Kick ― このボタンをクリックすると、アクティブな管理ユーザはログアウトし、アクティブ セッション リストからセッションが削除されます。

システム パスワードの管理

Cisco NAC アプライアンス システム内のユーザ アカウントにセキュアなパスワードを設定し、ときどき変更して、システムのセキュリティを維持することが重要です。このスイートでは一般に、選択されたパスワードの基準を設けていませんが、文字、数字などを組み合わせた 6 文字以上の強力なパスワードの使用を推奨します。強力なパスワードを使用すると、システムへのパスワード予測攻撃の成功可能性が小さくなります。

Cisco NAC アプライアンスには、次に示す管理ユーザ アカウント パスワードが内蔵されています。

1. CAM インストールマシンの root ユーザ

2. CAS インストールマシンの root ユーザ

3. CAS Web コンソールの admin ユーザ

4. CAM Web コンソールの admin ユーザ

最初の 3 つのパスワードは、インストール時に最初に設定されます(デフォルト パスワードは cisco123 )。あとでこれらのパスワードを変更するには、SSH(セキュア シェル)を使用して CAM または CAS マシンにアクセスし、変更するパスワードを持つユーザとしてログインします。Linux の passwd コマンドを使用して、ユーザのパスワードを変更します。

ここでは、次の項目について説明します。

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM/CAS の root パスワードの回復(リリース 4.1.x/4.0.x/3.6.x)

CAM Web コンソール管理パスワードの変更

CAM Web コンソールの管理ユーザ パスワードを変更する手順は、次のとおりです。

1. Administration > Admin Users > List に移動します。

 

2. admin ユーザの Edit アイコンをクリックします。

 

3. Password フィールドに新しいパスワードを入力します。

4. Confirm Password フィールドに新しいパスワードを再入力します。

5. Save Admin ボタンをクリックします。新しいパスワードが有効になります。

CAS Web コンソール管理ユーザ パスワードの変更

ほとんどの設定タスクは CAM Web 管理コンソールで実行されます。ただし、ハイ アベイラビリティ モードの設定など、ローカル CAS 設定に固有のタスクを実行する場合は、CAS ダイレクト アクセス Web コンソールが使用されます。CAS Web コンソール管理パスワードを変更する場合は、次の手順に従ってください。

1. ブラウザで次のアドレスにナビゲートして、CAS 管理コンソールを開きます。

https://<CAS_IP>/admin

ここで、 <CAS_IP> は CAS の信頼できるインターフェイス IP アドレスです。たとえば、https://172.16.1.2/admin のようになります。

2. デフォルトのユーザ名およびパスワード( admin / cisco123 )を使用して、ログインします。

3. 左側のメニューで Admin Password リンクをクリックします。

4. Old Password フィールドに現在のパスワードを入力します。

5. New Password および Confirm Password フィールドに新しいパスワードを入力します。

6. Update をクリックします。

CAM/CAS の root パスワードの回復(リリース 4.1.x/4.0.x/3.6.x)

次の手順で、4.1/4.0/3.6 CAM または CAS マシンの root パスワードを回復できます。以下のパスワード回復手順は、キーボードとモニタを使用して、つまり、シリアル コンソールではなくコンソールまたは KVM コンソールを介して、CAM/CAS に接続していることを前提としています。

1. マシンに電源を投入します。

2. ブート ローダ画面に [Press any key to enter the menu...] メッセージが表示れたら、任意のキーを押します。

3. [Cisco Clean Access (2.6.11-perfigo)] リストに 1 つの項目が示された、GRUB メニューが表示されます。[ e ] キーを押し編集します。

4. 次の複数の選択肢が表示されます。

root (hd0,0)
kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 console=ttyS0,9600n8
Initrd /initrd-2.6.11-perfigo.img
 

5. 2 番めのエントリ([kernel...] で始まる)までスクロールし、[ e ] キーを押して行を編集します。

6. [console=ttyS0,9600n8] 行を削除し、行の終わりに [ single ] と言う単語を追加して、[ Enter ] を押します。行は次のように表示されます。

kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 single
 

7. 次に、[ b ] キーを押して、マシンをシングル ユーザ モードで起動します。起動すると、root シェル プロンプトが表示されます(パスワードの入力は要求されません)。

8. プロンプトで、[ passwd ] と入力し、[ Enter ] キーを押して、指示に従います。

9. パスワードを変更した後、[ reboot ] と入力して、ボックスを再起動します。

CAM/CAS の root パスワードの回復(リリース 3.5.x 以前)

リリース 3.5(x) で CAM/CAS のパスワードを回復するには、Linux プロシージャを使用してシングル ユーザ モードで起動し、root パスワードを変更します。

1. コンソールを介して CAM/CAS に接続します。

2. マシンの電源を一旦切り、再度投入します。

3. 電源を再投入すると、GUI モードが表示されます。Ctrl+x キーを押して、テキスト モードに切り替えます。[boot:] プロンプトが表示されます。

4. プロンプトで、 linux single と入力します。マシンがシングル ユーザ モードで起動します。

5. passwd と入力します。

6. パスワードを変更します。

7. reboot コマンドを実行して、マシンを再起動します。

CAM データベースのバックアップ

CAM データベースの手動バックアップ スナップショットを作成し、現在のリリースが実行している CAM/CAS 設定をバックアップできます。スナップショットを作成すると、それは CAM に保存されますが、保護目的で別のマシンにダウンロードすることもできます。バックアップする必要があるのは、CAM スナップショットだけです。CAM スナップショットには、CAM のすべてのデータベース設定データと、CAM のドメインに追加されたすべての CAS の設定情報が含まれます。スナップショットは標準の Postgres データ ダンプです。


) 製品ライセンスはデータベースに格納されるため、バックアップ スナップショットに含まれます。


CAS が一旦 CAM に追加されると、スナップショット設定を CAM にダウンロードしたあとも含め、CAS は CAM とやり取りするたびに CAM から自分の設定情報を取得します。

既に CAM に追加されている CAS の基礎となるマシンを交換した場合は、 service perfigo config ユーティリティを実行して、新しいマシンに CAS IP アドレスと証明書設定を設定する必要があります。その後、CAM はその他のすべての設定情報を CAS にプッシュします。CAM と CAS の間の共有秘密鍵が変更された場合は、再度、CAS を CAM に追加する必要が生じることがあります( Device Management > CCA Servers > New Server )。

Clean Access Agent(CAA)は、CAM データベース スナップショットの一部として必ず含まれます。次に示す場合、Agent は常に CAM データベースに格納されます。

Agent が Clean Access アップデート(Agent パッチ)として Web Updates から受信された場合

Agent が CAM に手動でアップロードされた場合

CAM を CD から新規にインストールした場合、または最新リリースにアップグレードした場合、CAA は CAM データベースにバックアップされません。この場合、CAM ソフトウェアには新しい Agent ソフトウェアが含まれますが、CAM データベースにはアップロードされません。Agent バックアップが開始するのは、新しい Agent がシステムに手動で、または Web Updates を介してアップロードされた場合のみです。


) CAM と同じバージョンの CAM スナップショットだけを復元できます(4.1(1) CAM の場合は 4.1(1) スナップショップのみ)。


日次データベース バックアップの自動化

Cisco NAC アプライアンスは CAM データベースの日次スナップショットを自動的に作成し、ここ 30 日間で最新のものを保持します。また、ソフトウェア アップグレードの前後、およびフェールオーバー イベントの前後で、自動的にスナップショットを作成します。アップグレードとフェールオーバーの場合、最新の 5 つのバックアップ スナップショットが保持されます。詳細は、「データベース回復ツール」を参照してください。

Web コンソールからの手動バックアップ

設定に重要な変更を加える前に、CAM のバックアップを作成することを推奨します。ときどき設定をバックアップしておくと、設定ミスのために誤作動した場合に、既知の良好な設定プロファイルの最新バックアップを使用することもできます。スナップショットを使用すると、設定データの消失が防止されるだけでなく、複数の CAM 間で設定を複製する作業を簡単に実行できます。

手動バックアップの作成

1. Administration > Backup ページの Database Snapshot Tag Name フィールドに、スナップショットの名前を入力します。フィールドには、現在の日付と時刻が組み込まれたファイル名が自動的に表示されます(MM_DD_YY-hh-mm_snapshot)。デフォルト名を受け入れるか、または別の名前を入力することができます。

2. Create Snapshot をクリックします。CAM はスナップショット ファイルを生成し、スナップショット リストに追加します。 Version 列に、スナップショットの CAM ソフトウェア バージョンが自動的に示されます。

図14-21 バックアップ スナップショット

 

 


) ファイルは引き続き、物理的に CAM マシン上に存在します。アーカイブのために、ファイルをその場所にとどめておくことができます。ただし、システム障害に備えてユーザの設定をバックアップするには、スナップショットを別のコンピュータにダウンロードする必要があります。


3. スナップショットを別のコンピュータにダウンロードするには、 Download アイコンをクリックするか、またはダウンロードするスナップショットの Tag Name をクリックします。

4. File Download ダイアログで、 Save をクリックし、ファイルをローカル コンピュータに保存します。

スナップショット リストからスナップショットを削除するには、 Delete ボタンをクリックします。

FTP を介したスナップショットの別のサーバへのバックアップ

CAM の /perfigo/control/bin/pg_backup スクリプトは、データ スナップショットを作成し、FTP を使用してそれを別のサーバへバックアップします。

定期的にこのスクリプトを実行する cron ジョブを設定し、バックアップ スナップショットの OFF-SERVER コピーを取得できます。スクリプトの実行手順:

1. SSH を介して CAM に接続します。

2. 次のスクリプトを実行します。

./pg_backup <FTPserver> Username Password
 

スクリプトは、Postgres pg_dump ユーティリティを使用して、インスタント データベース スナップショットを作成し、それを指定された FTP サーバへエクスポートします。このスナップショットは、基本的には、CAM Web コンソールを使用して手動で作成したスナップショットと同じです。このスクリプトを毎日実行する cron ジョブを設定できます。

CAM スナップショットからの設定の復元


) CAM と同じバージョンの CAM スナップショットだけを復元できます(4.1(1) CAM の場合は 4.1(1) スナップショットのみ)。


CAM のスナップショット リストからの復元

CAM をスナップショットの設定状態に復元する手順:

1. Administration > Backup に移動します。

2. リスト内の対象のスナップショットの Restore ボタンをクリックします。CAM を復元するスナップショットのバージョンが、CAM で実行中の現在のバージョンと同じであることを確認します。

3. 既存の設定は、スナップショットの設定で上書きされます。

ダウンロードされたスナップショットからの復元

リモート コンピュータにダウンロードされたスナップショットは、次の手順で、リストに再アップロードできます。

1. Administration > Backup に移動して、 Snapshot to Upload フィールドの横にある Browse ボタンをクリックします。ディレクトリ システムでファイルを検索します。

2. Upload Snapshot をクリックし、処理を確認します。スナップショットがスナップショット リストに表示されます。

3. スナップショットの横にある Restore ボタンをクリックして、現在の設定をスナップショットの設定で上書きします。

4. 処理を確認します。

これで、スナップショットに記録された設定状態に復元されました。

データベース回復ツール

データベース回復ツールは、次のタイプのバックアップ スナップショットからデータベースを復元する場合に使用できるコマンドライン ユーティリティです。

日次の自動バックアップ(最近の 30 個のコピー)

ソフトウェア アップグレード前後のバックアップ

フェールオーバー イベント前後のバックアップ

Web コンソールを介して管理者が作成した手動スナップショット

Web コンソールを使用してスナップショットを手動で作成し、アップロードすることができますが、( Administration > Backup を使用)、CLI(コマンドライン インターフェイス)ツールではさらに詳細に操作できます。このツールには復元元のスナップショット、および圧縮解除後のサイズやテーブル数を表示するメニューがあります。破損したファイルや、フォーマットが不適切なファイル(.tar.gz でないファイルなど)の場合は、圧縮解除後のサイズやテーブル数でなく、警告が表示されます。


注意 このユーティリティを実行する前に CAM を停止し、ユーティリティを実行したら再起動する必要があります。

コマンド ユーティリティの実行手順:

1. SSH を使用して CAM にアクセスします。

2. root パスワード(デフォルト パスワードは cisco123 )を使用して、ユーザ root としてログインします。

3. cd を実行し、データベース回復ツールのディレクトリに変更します。 cd /perfigo/dbscripts

4. service perfigo stop を実行して、CAM を停止します。

5. ./dbbackup.sh を実行して、ツールを起動します。

6. プロンプトに従って、データベースを復元します。

7. ユーティリティを実行したら、 reboot を実行して CAM をリブートします。


) CLI コマンドの一般情報については、「CLI の使い方」を参照してください。


SSH からの手動データベース バックアップ

Web 管理コンソールにアクセスできなくなった場合は、次の手順に従って、データベースを手動でバックアップできます。

1. CAM ボックスに root としてログインします。

2. 次のように入力して、ユーザを postgres に切り替えます。 su - postgres

3. 次のように入力して、データベースのダンプを作成します。 pg_dump -h 127.0.0.1 controlsmartdb -D -f sm_back_092004.sql

4. このコマンドにより、/var/lib/pgsql ディレクトリにファイル sm_back_092004.sql が作成されます。

5. ファイルは SCP で転送できます。

API サポート

Cisco NAC アプライアンスは、HTTPS POST を使用して特定の操作を実行できる cisco_api.jsp という名前のユーティリティ スクリプトがあります。CAM の Clean Access API には、次の方法で Web ブラウザからアクセスできます。
https://<ccam-ip-or-name>/admin/cisco_api.jsp

使用方法、認証要件、ゲスト アクセスのサポート、操作の概要については、 付録 B「API サポート」 を参照してください。