Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
Clean Access Manager のインストール
Clean Access Manager のインストール
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Clean Access Manager のインストール

概要

CAM NAC アプライアンスのセットアップ

シリアル接続による CAM へのアクセス

CD-ROM からの CAM ソフトウェアのインストール

CD からのインストール手順

NAC-3310 のインストールに関する特記事項

初期設定の実行

コンフィギュレーション ユーティリティ スクリプト

SSL 証明書に関する重要事項

CLI の使い方

ネットワーク カード ドライバ サポート問題に関するトラブルシューティング

ファイアウォール経由の Cisco NAC アプライアンス接続

CAM Web コンソールへのアクセス

概要

Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスです。

Cisco NAC アプライアンス ソフトウェアはインストール CD-ROM として配布され、CAM または CAS アプリケーション、オペレーティング システム、および関連するすべてのコンポーネントが 1 台の専用マシンにインストールされます。オペレーティング システムは、Fedora Core をベースにした Hardened Linux カーネルで構成されています。ソフトウェアの専用サーバへのインストール後(CAM または CAS)は、Cisco NAC アプライアンスは他のパッケージおよびアプリケーションの CAS または CAM へのインストールをサポートしません。

ディストリビューション CD-ROM として CAM を入手した場合は、次の手順でご使用のマシンにインストールする必要があります。


ステップ 1 サーバ マシンを物理的にネットワークに接続します。

ステップ 2 モニタとキーボードをサーバに接続するか、またはシリアル ケーブルでワークステーションとサーバを接続します。

ステップ 3 CD-ROM からインストールする場合は、CD-ROM を挿入し、インストレーション プログラムを実行します。

ステップ 4 サーバの初期設定を行います。CD-ROM からインストールする場合、サーバの初期設定はインストール手順に含まれています。


 

以下の各項に記載する手順に従って、インストール作業を進めてください。インストールが完了すれば、Web ベースの管理コンソールを通じて、インストールした要素を管理できるようになります。


ヒント CAM をインストールする前に、まず Cisco Clean Access Server(CAS)をインストールしてください。そうすれば、CAM のインストール後すぐに続けて Web 管理コンソールを設定できます。CAS のインストールについは、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) を参照してください。



注意 Cisco NAC アプライアンス(Cisco Clean Access)ソフトウェアは、同じマシン上に他のソフトウェアまたはデータがあることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。インストールを開始する前に、ターゲット マシンに保持する必要があるデータやアプリケーションが格納されていないことを確認してください。

CAM NAC アプライアンスのセットアップ

ここでは、CCA-3140-H1 Cisco Clean Access 3140 NAC アプライアンス サーバ ハードウェアに CAM をセットアップする手順を説明します。ほかのハードウェアを使用している場合は、コネクタが以下で説明するものと異なる場合もあります。必要に応じて、ご使用のサーバ マシンの付属マニュアルを参照し、同等のシリアル コネクタおよびイーサネット コネクタを探してください。

1. CAM サーバには、背面パネルにある 2 つの 10/100/1000BASE-TX インターフェイス コネクタの 1 つを使います。CAT 5 イーサネット ケーブルを使用して、サーバ マシンのネットワーク インターフェイス(図2-3 の 7 番)を LAN に接続します。

2. AC 電源コードの一端をサーバ マシンの背面に、反対側の端を電源コンセントに差し込みます。

3. サーバの前面にある電源ボタンを押して、サーバ マシンの電源をオンにします。LED 診断テストの実行中、診断 LED が数回点滅します。サーバが起動すると、コンソールにステータス メッセージが表示されます。

図2-1 前面図 -- CCA-3140-H1

 

 

1

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

6

NIC アクティビティ LED

2

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

7

ディスク アクティビティ LED

3

オプションの CD-ROM または DVD ドライブ

8

電源スイッチ

4

UID LED

9

USB ポート

5

システム ヘルス モニタ LED

図2-2 前面詳細図 -- CCA-3140-H1

 

 

図2-3 背面図 -- CCA-3140-H1

 

 

1

通気孔

8

LED インジケータ付き UID ボタン(ブルー)
このボタンは前面パネルにある UID ボタンの機能をミラーリングします。

2

上面カバーの取り付けネジ

9

USB 2.0 ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ

10

ビデオ ポート(ブルー)

4

薄型 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

11

シリアル ポート(青緑)

5

標準サイズの 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

12

PS/2 キーボード ポート(パープル)

6

電源コード ソケット

13

PS/2 マウス ポート(グリーン)

7

NIC 1(eth0)用(左側)およびNIC 2(eth1)用(右側)の GbE LAN ポート(RJ-45)

14

IPMI 管理用 10/100 Mbps LAN ポート(RJ-45)


) CCA-3140-H1 Cisco Clean Access NAC アプライアンスは、HP ProLiant DL140 G2 サーバを基盤としています。


シリアル接続による CAM へのアクセス

CD-ROM からの CAM ソフトウェアのインストール、またはこのソフトウェアの初期設定を行うには、サーバのコマンドラインにアクセスする必要があります。そのためには、次のいずれかの方法を使用します。

1. 背面パネルのキーボード コネクタとビデオ モニタ/コンソール コネクタを通じて、モニタとキーボードを直接サーバ マシンに接続します。

2. シリアル ケーブルで外部ワークステーション(PCまたはラップトップ)とサーバ マシンを接続し、外部ワークステーションの端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、シリアル接続を開始します。

ここでは、シリアル接続を通じたサーバへのアクセス手順を説明します。


) シリアル接続を通じて直接サーバにアクセスする手順は、後述のトラブルシューティングにも使用できます。Web 管理コンソールからサーバに到達できない場合は、サーバへのシリアル接続を通じてサーバのネットワーク設定を修正し、到達可能な状態に復元します。


シリアル接続を使用するには、まず、管理ワークステーションとして使用するコンピュータを、サーバ マシンの使用可能なシリアル ポートにシリアル ケーブルで接続します。


) そのサーバがハイ アベイラビリティ(フェールオーバー)用に設定されている場合、シリアル ポートの 1 つはピア ハートビート接続に使用されている可能性があります。このような場合、シリアル接続を通じてサーバを管理するためには、サーバ マシンにシリアル ポートが 2 つ以上必要です。サーバにシリアル ポートが 1 つしかない場合は、ピア接続にイーサネット ポートを使用するという方法もあります。詳細は、第 15 章「ハイ アベイラビリティ(HA)の設定」を参照してください。


ワークステーションをサーバに物理的に接続すると、端末エミュレーション ソフトウェアを使用して、シリアル接続インターフェイスにアクセスできます。以下の説明は、Microsoft® HyperTerminal を使用する場合の接続手順です。ほかのソフトウェアを使用する場合は、手順が異なることもあります。

HyperTerminal での接続手順

1. Start > Programs > Accessories > Communications > HyperTerminal の順番にクリックすると、HyperTerminal ウィンドウが開きます。

2. セッションの名前を入力し、 OK をクリックします。

 

3. Connect using リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(通常は COM1 または COM2)を選択し、OK をクリックします。

 

4. Port Settings を次のように設定します。

Bits per second ― 9600

Data bits ― 8

Parity ― None

Stop bits ― 1

Flow control ― None

5. File > Properties に移動してセッションの Properties ダイアログを開きます。 Emulation の設定値を次のように変更します。

Emulation ― VT100

これで、サーバのコマンド インターフェイスにアクセスできるようになります。次の作業に進んでください。

「CD-ROM からの CAM ソフトウェアのインストール」

「初期設定の実行」


) すでに初期設定は実行済みで、設定値を変更する必要がある場合は、root としてログインし、service perfigo config を実行します。


CD-ROM からの CAM ソフトウェアのインストール

ここでは、CD-ROM から CAM ソフトウェアをインストールする手順を説明します。以下の手順では、「CAM NAC アプライアンスのセットアップ」の説明に従って、すでにサーバがネットワークに接続され、コンソールまたはシリアル接続を通じてサーバ上で作業をしていると想定しています。


注意 CAM ソフトウェアは、同じマシン上に他のソフトウェアまたはデータがあることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。インストールを開始する前に、ターゲット マシンに保持する必要があるデータやアプリケーションが格納されていないことを確認してください。

CD からのインストール手順

「初期設定の実行」に記載されている設定手順も含めて、全体のインストール プロセスには約 15 分の時間がかかります。

1. Clean Access Manager .iso ファイルが入っている CD-ROM を、ご使用のサーバ マシンの CD-ROM ドライブに入れます。


) Cisco NAC 3390 Super Manager アプライアンスには別個の .iso インストーラが必要です。


2. マシンを起動します。マシンの起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.1-1 Installer (C) 2007 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.1-1 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
 
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

3. [boot:] プロンプトで、次のいずれかを行います。

モニタとキーボードが直接マシンに接続されている場合は、Enter キーを押します。

シリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。


) システム ソフトウェアを NAC-3310 アプライアンスにインストールする場合は、「NAC-3310 のインストールに関する特記事項」で指定されている特別な手順に注意してください。


4. Package Group Selection 画面が表示され、CCA Manager ソフトウェアまたは CCA Server ソフトウェアを選択する必要があります。次の画面のプロンプトで、 CCA Manager を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して OK フィールドに移動し、Enter キーを押して、選択したパッケージ タイプのインストールを開始します。

 
Welcome to Cisco Clean Access
 
++ Package Group Selection ++
| |
| Total install size: 679M |
| |
| [*] CCA Manager # |
| [ ] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +--------+ |
| | OK | | Cancel | |
| +----+ +--------+ |
| |
| |
+---------------------------+
 
 
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen

注意 1 つの CD で CAS と CAM のソフトウェア インストールを行います。Package Group Selection は、デフォルトでは CCA Manager に設定されています。ただし、インストール スクリプトは、目的のサーバにインストールするソフトウェアとして CAS または CAM を自動的に検出しません。そのマシンにインストールしようとしている適切なパッケージ タイプとして、CAS と CAM のいずれか一方を選択しなければなりません。その後、OK フィールドで Enter キーを押してインストールを開始します。

5. Clean Access Manager Package Installation が実行されます。インストールには数分かかります。インストールが完了すると、CAM クイック コンフィギュレーション ユーティリティの初期画面が表示されます。この画面に表示される一連の質問に従ってサーバの初期設定を行います(コンフィギュレーション ユーティリティ スクリプトを参照)。

インストール後に CAM の設定値(eth0 IP アドレスなど)をリセットする必要がある場合は、シリアル接続または SSH を通じて CAM のマシンに接続し、 service perfigo config コマンドを実行すれば、値を変更できます。詳細は、「CLI の使い方」を参照してください。


) その他の設定値のほとんども、あとで Web 管理コンソールから変更できます。


NAC-3310 のインストールに関する特記事項

上述の CD-ROM システム ソフトウェアのインストール手順に従って、CD-ROM からリリース 4.0(x) を NAC-3310 アプライアンス(MANAGER と SERVER の両方)にインストールする際、インストール プロセスで次のプロンプトが表示されます。

Cisco Clean Access 4.1-1 Installer (C) 2007 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.1-1 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
 
- To install a Cisco Clean Access device over a serial console, enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

標準手順では Enter キーを押すように求められます。シリアル コンソール接続によるインストールの場合は boot: プロンプトで serial を入力します。ただし、リリース 4.0(x) では、NAC-3310 ユーザは、次のいずれかを入力する必要があります。

DL140 ― NAC-3310 に直接接続されている場合(モニタ、キーボード、マウス)

serial_DL140 ― シリアル コンソール接続によってソフトウェアをインストールしている場合

上述のいずれかのコマンドを入力すると、Package Group Selection 画面が表示されます。この画面で CAM または CAS のどちらをセットアップするかを指定し、標準インストール プロセスに従ってシステム ソフトウェアをインストールできます。

初期設定の実行

CD-ROM から CAM をインストールする場合は、ソフトウェア パッケージのインストール後に自動的に コンフィギュレーション ユーティリティ スクリプト が表示され、サーバの初期設定を進めることができます。


コンフィギュレーション ユーティリティ スクリプトは、必要に応じていつでも手動で起動できます。起動方法は次のとおりです。

1. サーバ マシンへのシリアル接続または直接接続を通じ、デフォルト パスワード cisco123 を使用し、ユーザ root としてサーバにログオンします。

2. 次のコマンドを入力すると、初期設定のスクリプトが実行します。

service perfigo config

service perfigo config コマンドを実行すると、Web 管理コンソールから到達できなくても、サーバの設定を変更できます。CLI コマンドの詳細は、「CLI の使い方」を参照してください。


 

コンフィギュレーション ユーティリティ スクリプト

コンフィギュレーション ユーティリティ スクリプトでは、特定のパラメータのデフォルト値が示されます。設定する際には、以下のように、デフォルト値を受け入れるか、または新しい値を入力します。

1. CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Manager, (C) 2006 Cisco Systems, Inc.
 

2. まず、インターフェイス eth0 の IP アドレスを設定するプロンプトが表示されます。

Configuring the network interface:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.11
You entered 192.168.151.2 Is this correct? (y/n)? [y]
 

プロンプトに y と入力してデフォルトのアドレスを設定するか、または n と入力して別の IP アドレスを指定します。別のアドレスを指定する場合は、その信頼ネットワーク インターフェイスに使用するアドレスをドット区切り 10 進表記で入力します。プロンプトに従って値を確認します。

3. インターフェイスのサブネット マスクを入力するか、または Enter キーを押してデフォルト値を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

4. CAM のデフォルト ゲートウェイのアドレスを指定し、確認します。これは通常、CAM サブネットと CAS サブネットの間にあるルータの IP アドレスです。

Please enter the IP address for the default gateway [192.168.151.1]
 

5. CAM のホスト名を指定します。ホスト名は、Domain Name System(DNS; ドメイン ネーム システム)サーバ内のインターフェイス アドレスと照合され、ブラウザから CAM 管理コンソールにアクセスする際に使用できるようになります。デフォルトのホスト名は camanager です。

Please enter the hostname [camanager]:
 

6. 次のプロンプトでは、ご使用の環境の DNS サーバの IP アドレスを指定するか、またはデフォルト値を設定します。

The nameserver(s) is currently set to nameserver [192.168.1.1] Would you like to change this setting? (y/n)?
 
Please enter the IP address for the nameserver:
 

7. 1 つの構成内の CAM および CAS は、共有秘密鍵を通じて相互に認証します。共有秘密鍵は、その構成の内部パスワードとして使用されます。デフォルトの共有秘密鍵は、 cisco123 です。プロンプトに共有秘密鍵を入力し、確認します。


注意 同じ構成内の CAM とすべての CAS に、すべて同じ共有秘密鍵を設定しなければなりません。共有秘密鍵が異なっていると、相互に通信できません。

8. その CAM のタイム ゾーンを次のように指定します。

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら、 2 )を入力し、Enter キーを押します。GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 16 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

9. 次に、CAM と Web ベースの管理コンソールの間の接続のセキュリティを保証するために SSL セキュリティ証明書を設定します。

a. 次のようなプロンプトが表示されます。

Enter fully qualified domain name or IP [192.168.1.2]
 

発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、すでに指定した eth0 IP アドレス)を受け入れます。


) これは、Web サーバの応答先の IP アドレスまたはドメイン名でもあります。ドメイン名に DNS が設定されていない場合、CAM Web コンソールはロードされません。サーバに DNS エントリが作成されていることを確認します。作成されていない場合は、CAM の IP アドレスを使用します。


b. 組織単位名には、その証明書を管理する組織 のグループを入力します(information services または engineering など)。

c. 組織名には、証明書を受領する組織名または会社名(Cisco など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード(CA または NY など)を入力し、Enter キーを押します。

f. US など、2 文字の国コードを入力し、Enter キーを押します。

g. 入力した値の要約が表示されます。表示された値で間違いがなければ、Enter キーを押します。設定し直す場合は、 N を入力します。

10. インストールした CAM の Linux オペレーティング システム用の root ユーザ パスワードを設定します。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスする際に使用します。

パスワード ルールに従うことは必須条件ではありませんが、パスワード推測攻撃に対するネットワークの脆弱性を軽減するために強力なパスワード(6 文字以上、文字と数字の混在など)を使用することを推奨します。


) CAM Web 管理コンソール(Cisco NAC アプライアンスの主要な管理インターフェイス)にアクセスするためのデフォルトのユーザ名/パスワードは、admin/cisco123 です。Web 管理コンソール ユーザのパスワード(デフォルト ユーザの admin を含む)の設定には、Web 管理コンソールを使用します。詳細は、「システム パスワードの管理」を参照してください。


11. CD からインストールした場合は、設定完了後に次のようなメッセージが表示されます。

Install has completed. Press <ENTER> to reboot.
 

a. CD からインストールした場合、Enter キーを押すとサーバが再起動します。

b. service perfigo config でコンフィギュレーション スクリプトを実行した場合は、設定完了後に次のコマンドを実行し、マシンを再起動する必要があります。

# service perfigo reboot
 

再起動後は、Web コンソールを通じて CAM にアクセスできるようになります。アクセス方法については、「CAM Web コンソールへのアクセス」を参照してください。

CAM の停止や起動を手動で行うためのコマンドについては、「CLI の使い方」を参照してください。

ネットワーク カードの設定に関する問題は、「ネットワーク カード ドライバ サポート問題に関するトラブルシューティング」を参照してください。

SSL 証明書に関する重要事項

SSL 証明書は、CAM のインストール中に作成しなければなりません。そうしないと、エンド ユーザとしてサーバにアクセスできなくなります。

CAM および CAS のインストール後、Certificate Signing Request(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。CAM についての詳細は、以下を参照してください。

「システム時刻の設定」

「CAM SSL 証明書の管理」

CAS の詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

実働環境でサーバを使用する前に、認証局から信頼できる証明書を取得し、一時証明書と取り替えることができます(これによって管理ログイン中、Web ユーザにセキュリティ警告が表示されるのを防ぐことができます)。

CLI の使い方

動作の設定など、Clean Access Manager のほとんどの管理作業、そしてサーバの起動や再起動などの操作も Web 管理コンソールから実行できます。ただし、ネットワークや VLAN の設定に問題があって Web 管理コンソールが使用できない場合など、サーバのコンフィギュレーションに直接アクセスしなければならないこともあります。Cisco NAC アプライアンスの CLI を使用すれば、サーバ上で直接、基本的な動作パラメータを設定できます。

CLI コマンドを実行するには、SSH を使用し、 root ユーザ(デフォルト パスワードは cisco123 )としてログインします。すでにサーバにシリアル接続している場合は、 root としてログイン後、端末エミュレーション コンソールから CLI コマンドを実行できます(シリアル接続による CAM へのアクセスを参照)。コマンドラインからコマンドを入力する際には、service perfigo <command> の形式を使用します。よく使用される Cisco Clean Access(NAC アプライアンス)の CLI コマンドを 表2-1 に示します。

 

表2-1 CLI コマンド

コマンド
説明
service perfigo start

サーバを起動します。サーバがすでに稼働している場合は、警告メッセージが表示されます。このコマンドを実行するには、サーバを停止しなければなりません。

service perfigo stop

Cisco NAC アプライアンスのサービスをシャットダウンします。

service perfigo restart

Cisco NAC アプライアンスのサービスをシャットダウンし、再起動します。このコマンドは、稼働中のサービスを再起動する場合に使用します。


) ハイ アベイラビリティ(フェールオーバー)をテストする際には、service perfigo restart は使用しないでください。フェールオーバーをテストするマシンには、代わりに「シャットダウン」または「再起動」を推奨します。CLI コマンドを使用する場合も、service perfigo stopservice perfigo start の使用を推奨します。


service perfigo reboot

マシンをシャットダウンし、再起動します。Linux の reboot コマンドも使用できます。

service perfigo config

コンフィギュレーション スクリプトを起動します。このスクリプトでサーバ コンフィギュレーションを変更できます。 service perfigo config が完了したら、サーバを再起動する必要があります。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。

CAM の電源オフ

CAM の電源をオフにする場合は、SSH 接続中に以下のいずれかを実行します。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。

コンフィギュレーション スクリプトの再起動

コンフィギュレーション スクリプトを再起動するには、SSHを通じて接続中に、 service perfigo config と入力します。例:[root@camanager root]# service perfigo config

CAS と CAM のいずれの場合も、このコマンドを実行すると、コンフィギュレーション ユーティリティ スクリプトが起動されます。このスクリプトでは、サーバのネットワークに関するパラメータを設定できます(手順は初期設定の実行を参照してください)。 service perfigo config を実行し、設定が完了したら、必ず service perfigo reboot または reboot を使用してください。これによって、サーバは変更後の設定値にリセットされます。


) コマンドライン ユーティリティを使用して、自動または手動のバックアップ スナップショットからデータベースを復元する手順は、「データベース回復ツール」を参照してください。


ネットワーク カード ドライバ サポート問題に関するトラブルシューティング

詳細は『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「Troubleshooting Network Card Driver Support Issues」セクションを参照してください。

ファイアウォール経由の Cisco NAC アプライアンス接続

CAM は、CAS との接続の一部に Java Remote Method Invocation(RMI)を使用します。つまり、動的に割り当てられたポートを使用して接続します。CAS と CAM の間にファイアウォールがある場合は、CAS と CAM マシン間の接続を許可するルール、つまり、送信元が CAM で宛先が CAS(その反対も)であるようなトラフィックを許可するルールをファイアウォールに設定する必要があります。

表2-2 に、CAS と CAM 間の接続に必要なポートを示します(Cisco Clean Access のバージョン別)。

 

表2-2 CAM/CAS のポート接続

CCA バージョン
必須ポート
4.1(x)
4.0(x)

TCP ポート 443、1099、および 8995 ~ 8996

3.6(x)

TCP ポート 80、443、1099、および 8995 ~ 8996

3.5(x)

TCP ポート 80、443、1099、および 32768 ~ 61000(通常 32768 ~ 32999 で十分です)。

SSO 機能では、 表2-3 に示すように、Agent と Active Directory サーバ間の接続を可能にするために、別のポートが CAS およびファイアウォール(ある場合)で開かれている必要があります。

表2-3 は、Cisco NAC アプライアンスが適切に動作するためにポートを開く必要のあるデバイス、接続デバイス、開くポート、各ポートの目的を示します。

 

表2-3 ポートの使用方法

デバイス
接続デバイス
開くポート
目的

ファイアウォール(ある場合)

CAM と CAS

UDP 8995、8996

TCP 1099

事前接続および接続メッセージなど、CAM と CAS 間の Java Management Extension(JMX)接続

TCP 443

Agent によるエンド ユーザ マシンの修復など、Agent/CAS/CAM 間の HTTP over SSL 接続

TCP 80(バージョン 3.6.x 以前)

Agent/CAS/CAM 間の HTTP 接続。Agent を CAM からエンド ユーザ マシンにダウンロードします。

CAS と Agent

UDP 8905、8906

SWISS、Agent で CAS の UDP 検出に使用される独自の CAS-Agent 接続プロトコル。UDP 8905 はレイヤ 2 検出に使用され、8906 はレイヤ 3 検出に使用されます。

TCP 8910

Active Directory SSO(AD SSO)を容易にするための Microsoft Active Directory ルックアップ

TCP 443

Web ログイン ページへのユーザのリダイレクションなど、Agent/CAS/CAM 間の HTTP over SSL 接続

TCP 80(バージョン 3.6.x 以前)

Agent/CAS/CAM 間の HTTP 接続。Agent を CAM からエンド ユーザ マシンにダウンロードします。

CAS とファイアウォール(ある場合)

Agent と Active Directory サーバ

TCP 88、135、389、1025、1026

UDP 88、389

AD SSO では次のポートが開かれている必要があります。

TCP 88(Kerberos)

TCP 135(RPC)

TCP 389(LDAP)または TCP 636(SSL 使用する LDAP)

TCP 1025(RPC)― 非標準

TCP 1026(RPC)― 非標準

AD サーバが Kerberos を使用しているかどうかがわからない場合は、次の UDP ポートを開く必要があります。

UDP 88(Kerberos)

UDP 389(LDAP)または UDP 636(SSL 使用する LDAP)

注:構成で LDAP サービスが必要な場合は、TCP/UDP ポート 389(プレーン テキスト)ではなく TCP/UDP ポート 636(SSL 暗号化を使用する LDAP)を使用します。

AD SSO の詳細は、第 8 章「AD SSO」を参照してください。

CAM Web コンソールへのアクセス

CAM の Web 管理コンソールは、導入された Cisco Clean Access(NAC アプライアンス)を管理するための Web インターフェイスです。CAM には、あらかじめ Web サーバが設定されているので、この Web コンソールを起動するために Web サーバを設定する必要はありません。


警告 CAM/CAS および CAM Web コンソールにアクセスするには、製品ライセンスまたは評価ライセンスを取得しておく必要があります。製品ライセンスの入手およびインストール手順、および Cisco NAC アプライアンスのサービス契約へのサポートの詳細は、『Cisco NAC Appliance Service Contract / Licensing Supportを参照してください。


Web 管理コンソールの起動手順

ステップ 1 ネットワークを通じて CAM にアクセス可能なコンピュータで Web ブラウザを起動します。この Web コンソールは、Internet Explorer 6.0 または 7.0 をサポートしています。

ステップ 2 URL フィールドに、CAM マシンの IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。

ステップ 3 一時的な SSL 証明書を使用している場合は、セキュリティ警告と、証明書を受け入れるよう求めるプロンプトが表示されます。 Yes をクリックして証明書を受け入れます(署名つきの証明書を使用している場合は、このセキュリティ ダイアログは表示されません)。

ステップ 4 Clean Access Manager License Form が表示され(図2-4)、CAM FlexLM ライセンス ファイルをインストールするように要求されます。参考のために、フォーム上部に CAM マシンの eth0 MAC アドレスが表示されます。

図2-4 Clean Access Manager License Form

 

ステップ 5 Clean Access Manager License File フィールドで、受領したライセンス ファイルを探し、 Install License ボタンをクリックします。


) 製品ライセンスの入手およびインストール手順、および Cisco NAC アプライアンスのサービス契約へのサポートの詳細は、『Cisco NAC Appliance Service Contract / Licensing Support』を参照してください。



注意 大規模かつ継続的なご使用には、永久版ライセンスの取得を推奨します。評価版ライセンスは、試用を目的としたものであり、有効期間は 30 日です。ライセンスの期限が過ぎると、Cisco NAC アプライアンスを起動できなくなります。永久版ライセンスのご購入については、シスコの販売店にお問い合わせください。

12. ライセンスが受け入れられると、Web 管理コンソール ウィンドウ(図2-5)が開きます。ユーザ名 admin とデフォルトの Web 管理ユーザ パスワード cisco123 を入力し、 Login をクリックします。

図2-5 CAM Web 管理コンソールのログイン ページ

 

13. Monitoring summary ページが表示され、左側にナビゲーション ペインが表示されます(図2-6)。Web 管理コンソールのモジュールを通じて、設定を行うことができます。

図2-6 Monitoring Summary ページ

 

Web 管理コンソールからログアウトするには、 Logout ボタンをクリックするか、またはブラウザを閉じます。Web コンソールのさまざまな管理ユーザ レベルの作成については、「管理ユーザ」を参照してください。