Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
CAM の管理
CAM の管理
発行日;2012/02/22 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

CAM の管理

概要

ネットワーク

フェールオーバー

システム時刻の設定

CAM SSL 証明書の管理

SSL 証明書管理のための Web コンソール ページ

CAM での一般的な SSL 証明書のセットアップ

フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備

フェーズ 2:CAM と CAS での CA 署名付き証明書の準備(実動環境)

フェーズ 3:既存の実動環境への新しい CAM または CAS の追加

一時証明書の生成

証明要求の生成およびエクスポート

署名付き証明書/秘密鍵の管理

署名付き証明書/秘密鍵のインポート

証明書および秘密鍵のエクスポート

信頼できる認証局の管理

信頼できる認証局のインポート/エクスポート

現在の秘密鍵/証明書と認証局情報の表示

証明書に関する問題のトラブルシューティング

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密鍵が CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書が再生成される

証明書関連ファイル

システムのアップグレード

ライセンス

ポリシーのインポート/エクスポート

ポリシー同期ポリシー

ポリシー同期から除外されるポリシー

シナリオの例

ポリシー同期設定の要約

始める前に

マスターでのポリシー同期のイネーブル化

マスターの設定

レシーバでのポリシー同期のイネーブル化

レシーバの設定

ポリシー同期の実行

手動同期の実行

自動同期の実行

ポリシー同期の確認

履歴ログの表示

手動同期エラーのトラブルシューティング

サポート ログ

管理ユーザ

管理グループ

カスタム管理グループの追加

管理ユーザ

管理ユーザのログイン/ログアウト

管理ユーザの追加

管理ユーザの編集

管理ユーザ セッションのアクティブ化

システム パスワードの管理

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM/CAS の root パスワードの回復

CAM/CAS の root パスワードの回復(リリース 3.5.x 以前)

CAM データベースのバックアップ

日次データベース バックアップの自動化

Web コンソールからの手動バックアップ

手動バックアップの作成

FTP を介したスナップショットの別のサーバへのバックアップ

CAM/CAS 許可設定のバックアップと復元

CAM スナップショットからの設定の復元:スタンドアロン CAM

CAM スナップショットからの設定の復元:HA-CAM または HA-CAS

データベース回復ツール

SSH からの手動データベース バックアップ

API サポート

CAM の管理

この章では、Clean Access Manager の [Administration] ページについて説明します。この章の内容は次のとおりです。

「概要」

「ネットワーク」

「フェールオーバー」

「システム時刻の設定」

「CAM SSL 証明書の管理」

「システムのアップグレード」

「ライセンス」

「ポリシーのインポート/エクスポート」

「サポート ログ」

「管理ユーザ」

「システム パスワードの管理」

「CAM データベースのバックアップ」

「API サポート」

User Pages モジュールの詳細については、「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

ハイ アベイラビリティ設定の詳細については、「ハイ アベイラビリティ(HA)の設定」を参照してください。

概要

インストール時には、初期設定スクリプトによって、インターフェイス アドレス、DNS サーバ、その他のネットワーク情報など、Clean Access Manager の内部管理設定が多数行われます。Administration モジュール(図 16-1)を使用すると、インストール実行後にこれらの設定にアクセスしたり、変更したりすることができます。

図 16-1 Administration モジュール

 

Administration モジュールの [CCA Manager] ページでは、次の管理タスクを実行できます。

Clean Access Manager のネットワーク設定の変更。「ネットワーク」を参照してください。

Clean Access Manager のハイ アベイラビリティ モードの設定。「ハイ アベイラビリティ(HA)の設定」を参照してください。

Clean Access Manager システム時刻の管理。「システム時刻の設定」を参照してください。

Clean Access Manager SSL 証明書の管理。「CAM SSL 証明書の管理」を参照してください。

コンソール/SSH アップグレードの実行前にソフトウェア アップグレード イメージを Clean Access Manager にアップロード。『 Release Notes for Cisco NAC Appliance Version 4.5(1)』 の「Upgrading to a New Software Release」の項を参照してください。

Clean Access Manager のライセンス ファイルの管理。「ライセンス」を参照してください。

カスタマー サポートに送信する CAM のサポート ログの作成。「サポート ログ」を参照してください。

Administration モジュールの [User Pages] タブでは、次の管理タスクを実行できます。

デフォルト ログイン ページの追加、およびすべての Web ユーザ ログイン ページの作成または変更。「ユーザ ログイン ページとゲスト アクセスの設定」を参照してください。

Clean Access Manager へのリソース ファイルのアップロード。「リソース ファイルのアップロード」を参照してください。

Administration モジュールの [Admin Users] ページ(「管理ユーザ」を参照してください)では、次の管理タスクを実行できます。

新しい管理グループおよび管理ユーザ/パスワードの追加と管理

新しい機能が追加された場合の管理者権限の設定および管理

Administration モジュールの [Backup] ページでは、CAM の設定をバックアップするために Clean Access Manager の手動スナップショットを作成できます。「CAM データベースのバックアップ」を参照してください。

また、CAM には API インターフェイスも備わっています(「API サポート」を参照)。

ネットワーク

Clean Access Manager のネットワーク設定を表示または変更するには、[Administration] > [CCA Manager] > [Network] ページを使用します。

通常、ネットワーク設定を変更するには、Clean Access Manager マシンをリブートして変更を有効にする必要があります。したがって、運用マシンを変更する場合は、マシンのリブートがユーザに与える影響が最小となる時期に変更を行ってください。


service perfigo config 設定ユーティリティ スクリプトを使用すると、CAM ネットワーク設定を変更できます。この設定ユーティリティはコマンドラインから使用するため、ネットワーク設定や VLAN 設定が不正なために管理コンソール Web サーバが応答しない場合に、特に役立ちます。詳細については、「初期設定の実行」を参照してください。


CAM ネットワーク設定を変更するには


ステップ 1 [Administration] > [CCA Manager] > [Network] に移動します。

図 16-2 CAM Network

 

ステップ 2 [Network] ページで、次のフィールド/コントロールの設定を必要に応じて変更します。

[IP Address]:CAM マシンの eth0 IP アドレス。

[Subnet Mask]:IP アドレスのサブネット マスク。

[Default Gateway]:CAM のデフォルト IP ゲートウェイ。

[Host Name]:CAM のホスト名。この名前は、ハイ アベイラビリティ モードの場合に必要です。

[Host Domain]:ドメイン名サフィックスに関するオプション フィールド。ホスト名を IP アドレスに解決するには、DNS に完全修飾ホスト名が必要です。ネットワーク環境において、ユーザは次のようにドメイン名サフィックスを省略したホスト名をブラウザに入力することがあります。

http://siteserver
 

ホスト ドメイン値は、アドレスを完成させる場合に使用されます。たとえば、サフィックス値が cisco.com の場合、要求 URL は次のようになります。

http://siteserver.cisco.com
 

[DNS Servers]:環境内の DNS(Domain Name Service)サーバの IP アドレス。複数のアドレスを指定する場合は、カンマで区切ります。複数の DNS サーバを指定した場合、Clean Access Manager はサーバに 1 つずつ接続を試み、応答を受信したら停止します。

ステップ 3 [Reboot] をクリックして、Clean Access Manager を新しい設定で再起動します。


 

フェールオーバー

Clean Access Manager のフェールオーバー設定を表示または変更するには、[Administration] > [CCA Manager] > [Failover] ページを使用します。

通常、ネットワーク設定を変更するには、Clean Access Manager マシンをリブートして変更を有効にする必要があります。したがって、運用マシンを変更する場合は、マシンのリブートがユーザに与える影響が最小となる時期に変更を行ってください。


service perfigo config 設定ユーティリティ スクリプトを使用すると、CAM ネットワーク設定を変更できます。この設定ユーティリティはコマンドラインから使用するため、ネットワーク設定や VLAN 設定が不正なために管理コンソール Web サーバが応答しない場合に、特に役立ちます。詳細については、「初期設定の実行」を参照してください。


CAM フェールオーバー設定の変更手順


ステップ 1 [Administration] > [CCA Manager] > [Failover] に移動します。

図 16-3 CAM Failover

 

ステップ 2 [Network] ページで、[Clean Access Manager Mode] メニューを使用して CAM の動作モードを変更します。

[Standalone Mode]:Clean Access Manager が単独で動作している場合

[HA-Primary Mode]:フェールオーバー設定のプライマリ Clean Access Manager 用

[HA-Standby Mode]:セカンダリ Clean Access Manager 用

HA(ハイ アベイラビリティ)オプションのいずれかを選択すると、追加フィールドが表示されます。フィールドおよびハイ アベイラビリティ設定の詳細については、「ハイ アベイラビリティ(HA)の設定」を参照してください。

ステップ 3 [Update] ボタンをクリックします。


 

システム時刻の設定

ロギングおよびその他の時間依存タスク(SSL 証明書の生成など)のために、Clean Access Manager および Clean Access Server の時刻は正確に同期する必要があります。[System Time] タブを使用すると、Clean Access Manager の時刻を設定したり、Clean Access Manager オペレーティング システムのタイム ゾーン設定を変更したりすることができます。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、その後で Certificate Signing Request(CSR)のベースとなる一時証明書を再生成する必要があります。最も簡単な方法は、タイム サーバと時刻を同期することです([Sync Current Time] ボタン)。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。


CAS の時刻は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Time] で変更できます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』を参照してください。

現在時刻を表示するには

1. [Administration] > [CCA Manager] > [System Time] に移動します。

2. Clean Access Manager のシステム時刻は [Current Time] フィールドに表示されます。

図 16-4 System Time

 

新しい時刻を入力してシステム時刻を手動で調整する方法と、外部タイム サーバと同期して自動で調整する方法の 2 とおりがあります。

システム時刻を手動で変更するには

1. [System Time] フォームで、次のいずれかの処理を実行します。

2. [Date & Time] フィールドに時刻を入力し、[Update Current Time] をクリックします。時刻は、 mm / dd / yy hh : ss PM/AM の形式である必要があります。

3. または、[Sync Current Time] ボタンをクリックして、[Time Servers] フィールドに表示されたタイム サーバを使用して時刻を更新させます。

自動的にタイム サーバと同期する手順

デフォルト タイム サーバは、 time.nist.gov にある National Institute of Standards and Technology(NIST)で管理されているサーバです。別のタイム サーバを指定する手順は、次のとおりです。

1. [System Time] フォームの [Time Servers] フィールドに、サーバの URL を入力します。指定したサーバは、NIST 標準フォーマットの時刻を提供する必要があります。複数のサーバを区切るには、スペースを使用します。

2. [Update Current Time] をクリックします。

複数のタイム サーバがリストされる場合、CAM は同期中にリストの最初のサーバと接続を試みます。このサーバを使用できる場合は、そこから時刻が更新されます。このサーバが使用できない場合、CAM は目的のサーバに到達するまで、次のサーバを順に試みます。

CAM は定期的に、時刻を設定済みの NTP サーバと自動的に同期します。

サーバ システム時刻のタイム ゾーンの変更手順

1. [Administration] > [CCA Manager] ページの [Current Time] タブの [Time Zone] ドロップダウン リストで、新しいタイム ゾーンを選択します。

2. [Update Time Zone] をクリックします。

CAM SSL 証明書の管理

Cisco NAC アプライアンスの各要素は、Secure Socket Layer(SSL)接続を介してセキュアに通信します。Cisco NAC アプライアンスでは、次の場合を含む多数の目的で、SSL 接続を使用します。

CAM と CAS 間のセキュア通信

ポリシー同期マスター CAM とポリシー同期レシーバ CAM 間のポリシーのインポート/エクスポート操作

[User Management] > [Auth Servers] > [New] | [Edit] ページの [Security Type] オプションを使用して、 LDAP 認証プロバイダーで SSL をイネーブルにした、CAM と LDAP 認証サーバ間の通信

CAS と、CAS に接続しているエンド ユーザ間の接続

CAM/CAS と、CAM/CAS Web 管理コンソールにアクセスしているブラウザ間の接続

インストール中に、CAM と CAS の両方の設定ユーティリティ スクリプトから、インストール中のアプライアンス(CAM または CAS)の一時 SSL 証明書を生成するように要求されます。対応する秘密鍵も、一時証明書を使用して生成されます。

試験環境で正確に動作している Clean Access Manager と Clean Access Server では、CA 署名付き証明書を使用する必要はありません。必要に応じて、一時証明書を引き続き使用できます。ただし運用配置では、セキュリティ上の理由から、CAM と CAS の一時次証明書をサードパーティの CA 署名付き SSL 証明書で置き換える必要があります。

CAS の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』 を参照してください。


) Cisco Clean Access では、SSL 証明書では 1024 ビット長および 2048 ビット長の RSA 鍵だけがサポートされます。


ここでは、CAM の SSL 証明書の管理方法について説明します。

「一時証明書の生成」

「証明要求の生成およびエクスポート」

「署名付き証明書/秘密鍵の管理」

「信頼できる認証局の管理」

「現在の秘密鍵/証明書と認証局情報の表示」

「証明書に関する問題のトラブルシューティング」


) Clean Access Manager 用に購入した CA 署名付き証明書は、Clean Access Server では使用できません。Clean Access Server ごとに個別の証明書を購入する必要があります。


SSL 証明書管理のための Web コンソール ページ

実際は、CAM SSL 証明書ファイルは CAM マシンに保持され、CAS SSL 証明書ファイルは CAS マシンに保持されます。インストール後、CAM 証明書はそれぞれ次の Web コンソール ページから管理します。

Clean Access Manager 証明書

[Administration] > [CCA Manager] > [SSL] > [X509 Certificate]:一 時証明書または CA 署名付き証明書と秘密鍵をインポートおよびエクスポートして、新しい一時証明書を生成するには、この設定ウィンドウを使用します。

[Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] :CAM で認証局を表示、追加、および削除するには、この設定ウィンドウを使用します。

[Administration] > [CCA Manager] > [SSL] > [X509 Certification Request] :CAM の新しい CA 署名付き証明書要求を生成するには、この設定ウィンドウを使用します。

CAM Web 管理コンソールを使用すると、次の SSL 証明書関連の操作を実行できます。

PEM エンコード PKCS #10 Certificate Signing Request(CSR)の生成。

秘密鍵のインポートとエクスポート。この機能を使用すると、CSR に基づいた秘密鍵のバックアップ コピーを保存できます。CA 署名付き証明書が認証局から戻されて、CAM にインポートされる場合は、この秘密鍵を併用する必要があります。そうしないと、CAM は、SSL を介して関連するマシンと通信できません。

CAM ローカル トラストストア内の信頼できる CA の表示、削除、およびインポート/エクスポート。

一時証明書(および対応する秘密鍵)の生成。一時証明書は、試験環境専用に設計されています。実動環境に CAM と CAS を配置する場合は、ネットワーク セキュリティを確実に確保できるよう、サードパーティの認証局からの信頼できる証明書を使用することを強くお勧めします。


) 「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」認証局が CAS に存在する場合は、CAS Web コンソール(図 16-5)に、この認証局によって CAS と関連するクライアント マシンがセキュリティ攻撃を受けやすくなる可能性があることを警告するメッセージが表示されます。この認証局を見つけて CAS データベースから削除するには、「信頼できる認証局の管理」の手順を使用してください。


図 16-5 信頼できる認証局を取得して、既存の「www.perfigo.com」証明書を削除するよう警告する、管理者の Web コンソール メッセージ

 

CAM での一般的な SSL 証明書のセットアップ

CAM 証明書を管理するための一般的な手順は、次のとおりです。

フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備


ステップ 1 時刻を同期します。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、その後で Certificate Signing Request のベースとなる一時証明書を再生成します。詳細については、「システム時刻の設定」を参照してください。

ステップ 2 CAM の DNS 設定を確認します。

CA 署名付き証明書にサーバの IP アドレスでなく DNS 名を使用する場合は、CAM 設定を検証し、一時証明書を再生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書が再生成される」を参照してください。

ステップ 3 「一時証明書の生成」

一時証明書および秘密鍵は、CAM のインストール中に自動的に生成されます。CAM の時刻または DNS 設定を変更する場合は、一時証明書および秘密鍵を再生成します。

フェーズ 2:CAM と CAS での CA 署名付き証明書の準備(実動環境)


警告 前の配置で不完全であるか、適切ではない SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に CAM/CAS 通信が失敗することがあります。リリース 4.5 に正常にアップグレードするには、証明書チェーンを訂正する必要があります。リリース 4.5 へのアップグレード後に CAM/CAS で証明書エラーを訂正する方法の詳細については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 4 保護のために、証明書と秘密鍵をローカル マシンにエクスポート(バックアップ)します。

Cisco NAC アプライアンスの SSL 設定を変更する場合は、保護のために、証明書と、現在の証明書に対応する秘密鍵を必ずローカル ハード ドライブにバックアップすることをお勧めします。「証明要求の生成およびエクスポート」を参照してください。

ステップ 5 Certificate Signing Request(CSR)をローカル マシンにエクスポート(保存)します。「証明要求の生成およびエクスポート」を参照してください。

ステップ 6 CSR ファイルを、信頼できる証明書の発行が許可された認証局(CA)に送信します。

ステップ 7 CA が署名し、証明書を戻したら、CA 署名付き証明書をサーバにインポートします。

CA 署名付き証明書を CA から受信したら、PEM エンコード ファイルとして CAM 一時ストアにアップロードします。「署名付き証明書/秘密鍵の管理」を参照してください。


) CAM と CAS では、通信を暗号化する必要があります。そのため、実動環境で Cisco NAC アプライアンスを配置する前に、CAM には、すべての管理対象 CAS の証明書の取得元である信頼できる認証局が必要であり、さらにすべての CAS には、CAM 証明書の取得元である信頼できる同一の認証局が必要です。


ステップ 8 「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc." L=San Francisco, ST=California, C=US」認証局が CAM 上に存在する場合は、「信頼できる認証局の管理」の手順を使用して、この認証局を見つけて、CAM データベースから削除してください。


) 実動環境に CAM を配置する前に、この認証局を削除することを強くお勧めします。実動環境に CAM を配置しない場合は、この認証局を削除するかどうかを選択できます。


ステップ 9 必要に応じて、必要な中間 CA 証明書をすべて、単一の PEM エンコード ファイルとして CAM 一時ストアにアップロードします。

ステップ 10 Clean Access Manager へのアクセスをテストします。


) インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開鍵の組み合わせが作成されます。また、(保護のため、および秘密鍵を使いやすくするために)署名用の CSR を生成する場合は、必ず秘密鍵を安全な場所にエクスポートし、保存してください。


詳細については、「証明書に関する問題のトラブルシューティング」も参照してください。


 

フェーズ 3:既存の実動環境への新しい CAM または CAS の追加

実動環境では、CA 署名付き証明書が排他的に使用され、「www.perfigo.com」認証局は完全に削除されます。初期インストールには一時的な「www.perfigo.com」CA が必要であるため、新しいアプライアンス(CAM または CAS)を実動環境に導入する際には次の手順を使用してください。新しいサードパーティの CA 署名付き証明書を要求して、インポートできるようになるまで、新しいアプライアンスを配置に追加できません。


ステップ 1 「Clean Access Manager のインストール」の説明に従って、新しいアプライアンスをインストールして初期設定します。

ステップ 2 「フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備」の手順に従います。

ステップ 3 「証明要求の生成およびエクスポート」の説明に従って、新しいアプライアンス用の CSR を生成します。

ステップ 4 「署名付き証明書/秘密鍵のインポート」の説明に従って、CA 署名付き証明書を取得してインストールします。

ステップ 5 「信頼できる認証局の管理」の説明に従って、新しいアプライアンスから「www.perfigo.com」認証局を削除します。

ステップ 6 アプライアンスを既存の実動環境に追加します。


 

一時証明書の生成

次に、CAM の新しい一時証明書の生成手順を示します。CAM で基本的な設定値(日付、時刻、関連する DNS サーバなど)を変更する場合は常に、新しい一時証明書を生成する必要があります。


注意 CA 署名付き証明書を使用している場合は、新しい秘密鍵を生成する前に、現在の証明書の現在の秘密鍵をバックアップすることをお勧めします。新しい証明書を生成すると、新しい秘密鍵も生成されるためです。詳細については、「証明要求の生成およびエクスポート」を参照してください。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します。

ステップ 2 一時証明書を作成するために必要なフィールドを表示するには、[Generate Temporary Certificate] をクリックします(図 16-6)。

図 16-6 一時証明書の生成

 

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する Clean Access Manager の完全修飾ドメイン名または IP アドレス。たとえば、 camanager.< your_domain_name > などです。

[Organization Unit Name]:企業内の単位名(適用可能な場合)。

[Organization Name]:企業の正式名称。

[City Name]:企業の正式な所在都市。

[State Name]:企業の正式な所在州(フルネーム)。

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など) 。

ステップ 4 新しい一時証明書で 1024 ビットと 2048 ビットの RSA 鍵サイズ のどちらを使用するかを指定します。

ステップ 5 終了したら、[Generate] をクリックします。これで、新しい一時証明書および新しい秘密鍵が生成されます。


) 証明書表示テーブルの上部にある [CCA Manager Certificate] エントリでは、現在の CAM SSL 証明書の完全識別名を指定します。CAM と CAS 間の許可をセットアップする場合は、CAS Web コンソールに CAM の完全識別名を入力する必要があります。詳細については、「Clean Access Manager から Clean Access Server への許可の設定」を参照してください。



 

証明要求の生成およびエクスポート

CSR を生成すると、認証局への送信に適した PEM エンコード PKCS#10 フォーマットの Certificate Signing Request(CSR)が作成されます。CSR を送信する前に、保護のために、必ず既存の証明書と秘密鍵をローカル マシンにエクスポートして、バックアップしてください。

CSR/秘密鍵をエクスポートして、CAM Web コンソールから証明書要求を作成する手順を実行します。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certification Request] に移動します(図 16-7)。

図 16-7 CSR/秘密鍵のエクスポート

 

ステップ 2 証明書要求を作成するために必要なフィールドを表示するには、[Generate Certification Request] をクリックします。

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する Clean Access Manager の完全修飾ドメイン名または IP アドレス。たとえば、 camanager.< your_domain_name > などです。

[Organization Unit Name]:企業内の単位名(適用可能な場合) 。

[Organization Name]:企業の正式名称。

[City Name]:企業の正式な所在都市。

[State Name]:企業の正式な所在州(フルネーム)。

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 新しい一時証明書で 1024 ビットと 2048 ビットの RSA 鍵サイズ のどちらを使用するかを指定します。


) Cisco Clean Access では、SSL 証明書では 1024 ビット長および 2048 ビット長の RSA 鍵だけがサポートされます。


ステップ 5 [Generate] をクリックして、証明書要求を生成します。これらが、認証局に送信する CSR に対応した証明書および秘密鍵であることを確認してください。

ステップ 6 新しい CSR を認証局に送信する前に、[Certification Request] と [Private Key] のチェックボックスをクリックして、[Export] をクリックすることによって、要求の生成に使用した新しい証明書要求と秘密鍵をローカル マシンに保存します。ファイルを保存するか、または開くように要求されます(「エクスポートされたファイルのデフォルトのファイル名」を参照)。ファイルは安全な場所に保存します。CSR ファイルを使用して、認証局に対して証明書を要求します。証明書をオーダーすると、CSR ファイルの内容をオーダー フォームの CSR フィールドにコピー アンド ペーストするように要求されることがあります。

または、証明書要求フォームに入力する準備ができている場合は、[Open] をクリックしてワードパッドなどのテキスト エディタですぐに CSR を開くこともできます。しかし、要求処理で CSR の送信と CA 署名付き証明書の受信の間に何らかの障害や CAM 基本設定の変更が発生した場合に、CSR と秘密鍵を保持できるように、これらのローカル コピーを保存することを強くお勧めします。

認証局から CA 署名付き証明書を受信したら、「署名付き証明書/秘密鍵の管理」の説明に従って、Clean Access Manager にインポートできます。CA 署名付き証明書をインポートすると、「Currently Installed Certificate」が CA 署名付き証明書になります。また、後でこの証明書のバックアップにアクセスする必要がある場合は、オプションで [Export] をクリックして、いつでも [Currently Installed Certificate] をエクスポートできます。


 

エクスポートされたファイルのデフォルトのファイル名

CAM からエクスポートできる SSL 証明書ファイルのデフォルトのファイル名は、次のとおりです。ローカル マシンにファイルを実際に保存するときに、ファイルに別の名前を指定できます。たとえば、証明書チェーン情報が記載された chain.pem ファイルが上書きされないようにするには、秘密鍵ファイル名に、より適した名前( priv_key.pem など)を指定できます。

 

デフォルトのファイル名 1
説明

cert_request.pem

CAM の Certificate Signing Request(CSR)

chain.pem2

CAM の Currently Installed Certificate と Currently Installed Private Key

1.リリース 3.6.0.1 以前のファイル名拡張子は、.pem でなく .csr です。

2.リリース 3.6(1) の場合に限り、ファイル名は smartmgr_crt.pem です。

署名付き証明書/秘密鍵の管理

署名付き証明書/秘密鍵のインポート

CAM Web コンソールを使用して、CA 署名付き PEM エンコード X.509 証明書と秘密鍵をインポートできます (通常、秘密鍵の再インポートが必要なのは、現在の秘密鍵が CA 署名付き証明書のベースとなる元の CSR の作成に使用された秘密鍵と一致しない場合だけです)。CA 署名付き証明書、秘密鍵、および関連する認証局情報を Cisco NAC アプライアンスにインポートするために管理者が使用できる方法には、次の 2 つがあります。

1. 認証局とエンド エンティティ証明書/秘密鍵を別個にインポートします。

a. 「信頼できる認証局の管理」の手順を使用して、認証局をトラストストアにインポートします。

b. 次の手順を使用して、CAM のエンド エンティティ証明書と秘密鍵をインポートします。

2. PEM エンコード X.509 証明書チェーン(秘密鍵、エンド エンティティ、ルート CA 証明書、および中間 CA 証明書を含む)を作成して、次の手順を使用して、チェーン全体を一度にインポートします。

Clean Access Manager の CA 署名付き PEM エンコード X.509 証明書を受信した場合は、ここに記載されている説明に従って、この証明書を Clean Access Manager にインポートすることもできます。

作業を開始する前に、ルートおよび CA 署名付き証明書ファイルがアクセス可能なファイル ディレクトリに格納されていること、および CAM と CAS の両方のためのサードパーティの証明書を取得したことを確認してください。中間 CA 証明書が必要な認証局を使用している場合は、これらのファイルが存在し、アクセスできるようにしてください(CAM 上に現時点で存在しない場合)。


) パブリック CA によって提供されない証明書や、自己署名証明書ではない証明書は、CAM/CAS によって非標準証明書であると見なされます。証明書を CAM にインポートする際は、認証サーバ用に CA 署名付き証明書を取得してください。


CAM の証明書と秘密鍵をインポートする手順


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します(図 16-8)。

図 16-8 証明書のインポート(CAM)

 

ステップ 2 [Browse] をクリックして、ローカル マシンで証明書ファイルと秘密鍵を見つけます。


) ファイルをインポートする場合は、ファイル名にスペースが含まれていないか確認してください(下線は使用できます)。


ステップ 3 [Import] をクリックします。


) CAM および CAS はどちらも、証明できない証明書チェーンをインストールしません。1 つのファイルに複数の証明書を含める場合は、デリミタ(Begin/End Certificate)が必要です。ただし、これらのファイルはインストール前に一時ストア内で検証されるため、特定の順番で証明書ファイルをアップロードする必要はありません。

CAM トラストストアに証明書チェーンの他のメンバがすでにある場合は、再インポートする必要はありません。CAM では、新たにインポートした部分と既存の部分の組み合わせから証明書チェーンを作成できます。


リスト内の既存の CAM のルート/中間 CA 証明書をアップロードしようとすると、「This intermediate CA is not necessary」というエラー メッセージが表示されることがあります。この場合は、重複したファイルをすべて削除するために、アップロードしたルート/中間 CA を削除する必要があります。


 

証明書および秘密鍵のエクスポート

システム障害やその他の損失に備えて証明書と秘密鍵をバックアップするには、証明書と秘密鍵情報をエクスポートして、ローカル マシンにコピーを保存します。この作業は、CAM HA ペアの証明書/秘密鍵情報を管理する場合にも役立ちます。HA-Primary CAM から証明書情報をエクスポートして、HA-Secondary CAM にインポートするだけで、CAM/CAS がスタンバイ CAM に通信するために必要な証明書の正確な複製をプッシュできます。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します(図 16-8)。

ステップ 2 既存の 証明書/秘密鍵 情報をエクスポートするには

a. 証明書リストに表示されている 1 つ以上の証明書または秘密鍵を、対応する左側のチェックボックスをクリックして選択します。

b. [Export] をクリックして、生成されるファイルを保存するローカル マシン上の場所を指定します。


 

信頼できる認証局の管理

[Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] CAM Web コンソール ページを使用して、CAM データベースの信頼できる CA を検索、削除、およびインポート/エクスポートできます。信頼できる一連の認証局を簡単に管理できる状態にするには、Cisco NAC アプライアンスの操作にとって重要な信頼できる認証局の情報だけを CAM トラストストアに格納することをお勧めします。

この機能を使用して、ルートおよび中間認証局をインポートすることもできます。


) Cisco NAC アプライアンス ネットワーク内の CAM と CAS の両方で PEM エンコード CA 署名付き証明書をアップロードする必要があります。

複数の中間 CA ファイルがある場合は、「署名付き証明書/秘密鍵の管理」の手順を使用して、CAM にアップロードするために、これらのファイルをコピーして単一の中間 CA PEM エンコード ファイルに貼り付けることもできます。



注意 「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc." L=San Francisco, ST=California, C=US」認証局が CAM 上に存在する場合は、この認証局によって、CAM がセキュリティ攻撃を受けやすくなる可能性があります。実動環境に CAM を配置する前に、CAM データベースからこの認証局を削除する必要があります。この認証局を迅速に見つけるために、後で説明する [Filter] オプションを使用して文字列「www.perfigo.com」を検索して、CAM から削除することをお勧めします。

信頼できる CA を表示して CAM から削除するには


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] に移動します(図 16-9)。

図 16-9 CAM Trusted Certificate Authorities

 

信頼できる CA の表示

ステップ 2 CAM Web コンソールに表示される、信頼できる CA のリストを改良するには

a. [Filter] ドロップダウン メニューからオプションを選択します。

[Distinguished Name]:信頼できる CA 名に特定のテキスト文字列が含まれているかどうかに応じて、信頼できる CA のリストを改良するには、このオプションを使用します。

[Time]:信頼できる CA が現在有効であるか無効であるかに応じて、表示を改良するには、このオプションを使用します。

これらの 2 つのオプションを組み合せて、信頼できる CA の表示を改良することもできます。

b. 基準と一致するすべての信頼できる CA の改良済みリストを表示するには、検索オプションのパラメータを選択して定義した後で、[Filter] ボタンをクリックします。

[Filter] ドロップダウン メニューからオプションの検索基準を無効にして、信頼できる CA の表示をデフォルトの設定値に戻すには、[Reset] をクリックします。

c. また、信頼できる CA のリストに表示可能な項目の数を増やしたり減らしたりするには、リストの左上部にあるドロップダウン メニューでオプションを 1 つ選択します。オプションは 10、25、または 100 項目です。

d. 既存の信頼できる CA に関する詳細を表示するには、図 16-10に示すように、[View] ボタン(一番右にある虫眼鏡のアイコン)をクリックして、特定の認証局に関する情報を表示します。

図 16-10 Certificate Authority Information

 

信頼できる CA の削除

ステップ 3 リストで信頼できる CA それぞれのチェックボックスをクリックして、削除対象の信頼できる CA を 1 つ以上選択します (信頼できる CA の表示の上部にある空のチェックボックスをクリックすると、表示可能リストで「すべて」、10、25、または 100 個の信頼できる CA が自動的に選択または選択解除されます)。

ステップ 4 [Delete Selected] をクリックします。選択した表示可能項目がすべて削除されます。たとえば、表示可能項目のドロップダウンから 25 個の項目を選択して、Trusted CAs ウィンドウの上部にある空のチェックボックスをクリックした場合は、25 個の表示可能項目が削除されます。

CAM で、選択した信頼できる CA がデータベースから削除されると、更新を完了するために CAM によって自動的にサービスが再起動されます。


 

信頼できる認証局のインポート/エクスポート

[Trusted Certificate Authorities] Web コンソール ページを使用して、CAM の認証局をインポートおよびエクスポートできます。


) 証明書のインポートおよびエクスポートの標準のガイドラインについては、「証明要求の生成およびエクスポート」「署名付き証明書/秘密鍵の管理」を参照してください。



ステップ 1 [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] に移動します(図 16-9)。

ステップ 2 信頼できる認証局 をインポートするには

a. 適切な証明書ファイルがネットワーク内の CAM からアクセス可能になっていることを確認して、[Browse] をクリックします。

b. ディレクトリ システムで証明書ファイルを見つけて選択し、[Open] をクリックします。

c. [Import] をクリックして、[Trusted Certificate Authority] の情報を CAM にアップロードします。

ステップ 3 [Trusted Certificate Authority] の既存の情報をエクスポートするには

a. [Trusted Certificate Authorities] リストに表示されている 1 つ以上の信頼できる CA を、対応する左側のチェックボックスをクリックして選択します。

b. [Export] をクリックして、生成される「caCerts」ファイルを保存するローカル マシン上の場所を指定します。


 

現在の秘密鍵/証明書と認証局情報の表示

次のファイルを検証するには、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate](図 16-6)でこれらのファイルを表示します。

Currently Installed Private Key

Currently Installed Certificate、エンド エンティティ、ルート CA、および中間 CA 証明書

Certificate Authority Information


) 秘密鍵または証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


Currently Installed Private Key の表示

CAM 秘密鍵を表示するには、エクスポート済みの秘密鍵ファイルをエクスポートしてワードパッドなどのテキスト エディタ ツールで開いて、図 16-11(BEGIN PRIVATE KEY/END PRIVATE KEY)のようなダイアログを起動します。

図 16-11 Currently Installed Private Key の表示

 

この方法を使用して、アップロードした秘密鍵を表示してから、CAM にインポートすることもできます。

Currently Installed Certificate または証明書チェーンの表示

CAM 秘密鍵とエンド エンティティ、ルート CA、および中間 CA 証明書を表示するには、保存済みのファイルをエクスポートしてワードパッドなどのテキスト エディタ ツールで開いて、図 16-12(BEGIN CERTIFICATE/END CERTIFICATE)のようなダイアログを起動します。

図 16-12 Currently Installed Certificate の表示

 

この方法を使用して、アップロードした証明書を表示してから、CAM にインポートすることもできます。

Certificate Authority Information の表示

CAM エンド エンティティ、ルート、および中間 CA 証明書の認証局情報を表示するには、右側のカラムにあるそれぞれの View アイコン(虫眼鏡)をクリックして、図 16-13 のようなダイアログを起動します。

図 16-13 Certificate Authority Information の表示

 

証明書に関する問題のトラブルシューティング

Cisco NAC アプライアンス証明書の管理中に、証明書チェーン内の SSL 証明書が一致しないなどの問題が発生することがあります。SSL 証明書の一般的な問題は、時間によるもの(CAM および CAS のクロックが同期していない場合、認証に失敗する)、IP によるもの(不正なインターフェイスに対して証明書が作成される)、情報によるもの(不正な、または入力ミスの証明書情報がインポートされる)などです。ここでは、次の項目について説明します。

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密鍵が CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書が再生成される

証明書関連ファイル


警告 前の配置で不完全であるか、適切ではない SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に CAM/CAS 通信が失敗することがあります。リリース 4.5 に正常にアップグレードするには、証明書チェーンを訂正する必要があります。リリース 4.5 へのアップグレード後に CAM/CAS で証明書エラーを訂正する方法の詳細については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

次のクライアント接続エラーは、CAS が CAM の証明書を信頼していない場合、またはその逆の場合に発生します。

Web ログイン後にリダイレクトされない:ユーザ証明書を入力した後も引き続きログイン ページが表示されます。

ログインを試みている Agent ユーザに「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain>」のエラーが表示される(図 16-14

これらのエラーは、通常、次の証明書関連の問題のいずれかを示しています。

CAM と CAS 間に 5 分を超える時差がある。

IP アドレスが無効である。

ドメイン名が無効である。

CAM に到達できない。

共通の問題を特定するには

1. CAM の証明書を調べ、CAS の IP アドレスを使用して生成されていないかどうかを確認します。

2. CAM および CAS に設定されている時刻を確認します。CAM および CAS に設定された時刻の差は、5 分以内でなければなりません。

これらの問題を解決するには

1. まず、CAM および CAS の時刻を正しく設定します(「システム時刻の設定」を参照してください)。

2. 正しい IP アドレスまたはドメインを使用して、CAS 上で証明書を再生成します。

3. CAS をリブートします。

4. 正しい IP アドレスまたはドメインを使用して、CAM 上で証明書を再生成します。

5. CAM をリブートします。

図 16-14 トラブルシューティング:「CAS が CAM とのセキュアな接続を確立できない」

 


) CAS で nslookup および date をチェックし、CAS の DNS と TIME の両方の設定が正しい場合、CAS の caCerts ファイルが破損していることを示している可能性があります。この場合は、/usr/java/j2sdk1.4/lib/security/caCerts の既存の caCerts ファイルをバックアップしてから、/perfigo/common/conf/caCerts のファイルで上書きし、CAS で「service perfigo restart」を実行することをお勧めします。



) クライアントのエラー メッセージが「Clean Access Server is not properly configured, please report to your administrator」の場合は、通常、証明書に関する問題ではなく、デフォルト ユーザ ログイン ページが CAM に追加されていないことを示しています。詳細については、「デフォルト ログイン ページの追加」を参照してください。


詳細については、次の項目も参照してください。

「Clean Access Server 追加時のトラブルシューティング」

「Agent のトラブルシューティング」

Clean Access Server 内の秘密鍵が CA 署名付き証明書と一致しない

この問題は、新しい一時証明書が生成されたにもかかわらず、古い一時証明書および秘密鍵ペアから生成された Certificate Signing Request(CSR)に対応する CA 署名付き証明書が戻された場合に発生することがあります。

たとえば、管理者は CSR を生成し、秘密鍵をバックアップしてから、CSR を VeriSign などの CA に送信します。

CSR が送信された後で、別の管理者が一時証明書を再生成します。CA 署名付き証明書が CA から戻された場合、CA 証明書のベースとなる秘密鍵は、Clean Access Server 内の秘密鍵と一致しません。

この問題を解決するには、古い秘密鍵を再インポートしてから、CA 署名付き証明書をインストールします。

IP でなく DNS 名に対応した証明書が再生成される

サーバの IP アドレスでなく DNS 名に基づいて証明書を再作成する場合は、次のようにします。

インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開鍵の組み合わせが作成されます。また、(秘密鍵を使いやすくするために)署名用の CSR を生成する場合は、必ず秘密鍵をエクスポートし、保存してください。

特定の CA 署名付き証明書をインポートすると、CA 署名付き証明書への署名に使用されるルート証明書(CA のルート証明書)をインポートする必要があること、または場合によっては中間ルート証明書をインポートする必要があることを通知する警告が表示されることがあります。

DNS サーバに DNS エントリがあることを確認します。

Clean Access Server 内の DNS アドレスが正しいことを確認します。

ハイ アベイラビリティ(フェールオーバー)設定の場合、サービス IP の DNS 名を使用します(仮想 DNS)。

新しい証明書を生成したり、CA 署名付き証明書をインポートしたりした場合は、リブートすることを推奨します。

使用している DNS ベース証明書が CA 署名付きでない場合は、証明書を受け入れるように求めるプロンプトが表示されます。

証明書関連ファイル

表 16-1 に、トラブルシューティング用の、Clean Access Manager の証明書関連ファイルを示します。たとえば、CA 証明書/秘密鍵の組み合わせが一致しないために管理コンソールにアクセスできない場合、Clean Access Manager のファイル システム内にあるこれらのファイルを直接変更しなければならないことがあります。

 

表 16-1 Clean Access Manager の証明書関連ファイル

ファイル
説明

/root/.tomcat.key

秘密鍵

/root/.tomcat.crt

証明書

/root/.tomcat.req

Certificate Signing Request

/root/.chain.crt

中間証明書

/root/.perfigo/caCerts

ルート CA バンドル

Clean Access Manager ファイルの詳細については、「Cisco NAC アプライアンスのログ ファイル」を参照してください。

システムのアップグレード

コンソール/SSH を介してアップグレード ファイルを抽出してインストールする前に、CAM Web コンソールを使用して、ソフトウェア アップグレード イメージをアップロードできます。Clean Access Manager とすべての Clean Access Server(NAC ネットワーク モジュールを含む)を同時にアップグレードする必要があります。Cisco NAC アプライアンスのアーキテクチャは、異機種混合(たとえば、一部の Clean Access Server で 4.5 ソフトウェアを実行し、その他の CAS で 4.1(x) または 4.0(x) ソフトウェアを実行する)をサポートするよう設計されていません。

あるリリースが CAM および CAS にインストールされている場合は、パッチ アップグレード イメージが入手可能になったら、CAM 上で最新のリリースへのマイナー リリース アップグレードを実行できます。

ここでは、スタンドアロン CAM の [Software Upload] Web コンソール ページについて説明します。HA CAM のアップグレードと SSH を介したアップグレードの手順を含む、アップグレードの詳細については、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「Upgrading to a New Software Release」の項を参照してください。


ステップ 1 CAM アップグレード ページにアクセスするには、[Administration] > [CCA Manager] > [Software Upload](図 16-15)に移動します。

図 16-15 CAM Software Upload

 

1. [Browse] をクリックし、Cisco Secure Software からダウンロードした cca_upgrade-4.5.x-NO-WEB.tar.gz ファイルを見つけます。アップグレード メカニズムは、マシンが Clean Access Server であるか、Lite/Standard/Super Clean Access Manager であるかを自動的に判別して、それに従って実行します。

2. [Upload] をクリックして、CAM へ .tar.gz アップグレード ファイルをアップロードします。アップグレード イメージをアップグレードしたら、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』に記載されているコンソール/SSH のアップグレード手順を使用して、アップグレード プロセスを完了する必要があります。

3. 重要なアップグレード情報と、新機能、機能拡張、該当するリリースで解決された警告の要約を表示するには、 notes リンクをクリックします(図 16-16 を参照してください)。

図 16-16 CAM Software Upload:Notes

 

ステップ 2 [List of Upgrade Logs] の下にあるリンクをクリックすると、実行された日付と時刻など、アップグレード プロセスの要約が表示されます。

ステップ 3 [List of Upgrade Details] の下にあるリンクをクリックすると、アップグレード プロセスの詳細が次の形式で表示されます。

アップグレード前の状態

アップグレード プロセスの詳細

アップグレード後の状態

通常は、「アップグレード前の状態」に警告/エラー メッセージ(「INCORRECT」など)がいくつか含まれています。「アップグレード後の状態」は、警告またはエラー メッセージがない状態である必要があります。


 

ライセンス

Clean Access Manager および Clean Access Server を機能させるには、有効な製品ライセンスが必要です。Clean Access のライセンス モデルには、FlexLM ライセンス標準が組み込まれています。


) Clean Access Manager ライセンスを最初にインストールする手順、および永続ライセンス、評価ライセンス、レガシー ライセンスの詳細については、『 Cisco NAC Appliance Service Contract / Licensing Support』を参照してください。


Clean Access Server 用の FlexLM ライセンスのインストール

Clean Access Manager の初期製品ライセンスをインストールすると、[Licensing] ページを使用して、ライセンス(CAS ライセンス、HA-CAM の 2 番目の CAM ライセンスなど)を追加または管理できます。

1. [Administration] > [CCA Manager] > [Licensing] に移動します。

図 16-17 Licensing ページ

 

2. [Clean Access Manager License File] フィールドで、Clean Access Server または Server バンドル用のライセンス ファイルを参照し、[Install License] をクリックします。ライセンスが正常にインストールされると、ページ上部にグリーンの確認テキスト文字列、および CAS の増分数が表示されます(たとえば、「License added successfully.Out-of-Band Server Count is now 10.」など)。

3. インストールする必要のある Clean Access Server ライセンス ファイルごとに、この手順を行います(カスタマー登録中に送信した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部には、ステータス情報として、ライセンス ファイルの正常インストールによって利用可能となった Clean Access Server の合計数が表示されます。

製品ライセンスの削除

1. [Administration] > [CCA Manager] > [Licensing] に移動します。

2. [Remove All Licenses] ボタンをクリックして、システム内の FlexLM ライセンス ファイルをすべて削除します。

3. Clean Access Manager License フォームがブラウザに再表示され、Clean Access Manager のライセンス ファイルをインストールするように要求されます。


) Clean Access Manager のライセンス ファイルが入力されるまで、Web 管理コンソールの管理ユーザ ログイン ページにリダイレクトされません。



) • FlexLM ライセンス ファイルは個別に削除できません。ファイルを削除するには、すべてのライセンス ファイルを削除する必要があります。

永続的 FlexLM ライセンスをインストールすると、評価版 FlexLM ライセンスは無効になります。

FlexLM ライセンス(永続または評価版のいずれか)をインストールすると、(レガシー キーがまだインストールされている場合でも)レガシー ライセンスのキーは無効になります。

評価版 FlexLM の削除後または有効期限の終了後には、既存のレガシー ライセンス キーが再び有効になります。


 

レガシー ライセンス キーの削除

1. [Administration] > [CCA Manager] > [Licensing] に移動します。

2. (リリース 3.5 よりも前のリリース用の)古いレガシー ライセンス キーを削除するには、[Perfigo Product License Key] フィールドのライセンス キーをスペース(またはライセンス文字列ではない任意の文字セット)で置き換えてから、[Apply Key] をクリックします。これによって、ライセンス キーが入力された文字列で置き換えられて、CAM で有効なライセンスとして認識されなくなるため、ライセンスは無効になります。

ポリシーのインポート/エクスポート

ポリシーのインポート/エクスポート機能を使用すると、管理者は、デバイス フィルタ、トラフィック ポリシーと修復ポリシー、および OOB ポート プロファイルを 1 つの CAM から複数の CAM に伝播できます。単一の CAM でポリシーを定義して、ポリシー同期マスターとして構成できます。その後、最大で 10 個の CAM または 10 個の CAM HA ペアをポリシー同期レシーバとして設定することができます。ポリシーを手動でエクスポートするか、 x 日ごとに 1 回適用するよう自動ポリシー同期をスケジュールできます。

CAM は、ポリシー同期のマスターまたはレシーバのいずれかにすることができます。また、特定のレシーバ セットのポリシーをプッシュできるのは、1 つのマスター CAM だけです。ポリシー同期を実行するには、マスター CAM とレシーバ CAM が、各 CAM または CAM HA ペアの SSL 証明書の DN を使用して相互に許可する必要があります。実動環境では、CA 署名付き SSL 証明書を使用する必要があります。CAM HA ペアでは、ポリシー同期設定の HA ペア内の各 CAM を許可するために使用されるこの証明書の DN を使用して、ペアのサービス IP の SSL 証明書を生成する必要があります。

ポリシー同期中に、マスター設定は、ポリシー同期について設定されたポリシーの既存のレシーバ設定(OOB プロファイルやユーザ ロールなど)を完全に上書き(および削除)します。ポリシー同期が適用されないポリシー/設定は、ポリシー同期後にレシーバ CAM にそのまま残されます。


) • ポリシー同期をイネーブルにするには、すべての CAM でリリース 4.5 以降を実行する必要があります。

CAM HA ペアでは、スタンバイ CAM のポリシー同期設定はディセーブルになります。


 

ポリシー同期ポリシー

ポリシー同期を使用すると、次のグローバル設定をマスター CAM から伝播できます。

ロールベースのポリシー

関連するトラフィック制御ポリシー(IP ベース、ホストベース、L2 イーサネット)とセッション タイマーが設定されたユーザ ロール


) これには、マスター CAM 上にある、Cisco Updates から取得したカスタマイズ済みのポリシー、デフォルトのホスト ポリシー、およびデフォルトの L2 ポリシーが含まれます。


アクセス タイプに Role または Check が指定されたグローバル デバイス フィルタ

Clean Access Agent の規則(Cisco および AV/AS)、要件、規則と要件のマッピング、およびロールと要件のマッピング


) これには、マスター CAM にあり、規則と要件に関連付けられている、Cisco Updates から取得したカスタマイズ済みのチェックと規則、シスコのチェックおよび規則、および Supported AV/AS Product List(Windows と Macintosh)が含まれます。


ロールベース以外のポリシー

アクセス タイプに Allow、Deny、または Ignore が指定されたグローバル デバイス フィルタ

OOB ポリシー (スイッチ情報(たとえば、デバイス/SNMP)は除外)

ポート プロファイル

VLAN プロファイル


) ポリシー同期を実行する前に、マスター CAM に最新の Cisco Updates がインストールされていることを確認するために、マスター CAM で自動更新設定を行う([Device Management] > [Clean Access] > [Updates] > [Update])ことをお勧めします。



) ポリシー同期によって、マスター CAM で作成されたグローバル デバイス フィルタがすべてレシーバ CAM にエクスポートされます。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。



) マスターが OOB に対して設定されていない場合は、ポリシー同期に OOB ポリシーを選択しないでください。選択すると、レシーバ CAM ですべての OOB ポリシーが削除されます。OOB の詳細については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。


ポリシー同期から除外されるポリシー

「ポリシー同期ポリシー」 にリストされていないポリシー/設定にはポリシー同期が適用されず、ポリシー同期後にレシーバ CAM にそのまま残されます。次の網羅的でないリストで、ポリシー同期に 含まれない ポリシー/設定の種類について説明します。

Cisco NAC アプライアンス Agent。マスター CAM とレシーバ CAM では、すでに存在する Agent バージョン、Agent ダウンロード、および配布ポリシーが保持されます。それでも、各 CAM でロールとオペレーティング システムに Agent を使用する必要があります(たとえば、Agent Login/Distribution ページ)。

CAS 固有のトラフィック ポリシーまたはデバイス フィルタなど、レシーバ CAM 上のローカル設定。ローカル ポリシーはレシーバ CAM では同じままになり、ポリシー同期後に削除されません。

[Device] Profiles 設定や [SNMP Receiver] 設定などの OOB スイッチ設定

Cisco NAC アプライアンス Agent、OS 検出フィンガープリント、およびスイッチ OID の Clean Access Agent Updates

User Login ページ、ローカル ユーザ、またはユーザ ロールに関連付けられた帯域幅ポリシー

サブネット フィルタ

認証サーバ設定

Certified Device リストまたはタイマー

ネットワーク スキャン(Nessus)設定

シナリオの例

マスターが設定され、レシーバが設定されていない場合:

マスター CAM の場合:

ロール A は、トラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Clean Access Agent を使用する必要があります。

レシーバ CAM の場合:

ロールは設定されません。

ポリシー同期後:

レシーバ CAM の場合:

ロール A は、マスター CAM のトラフィック ポリシーとポスチャ評価ポリシーを使用して作成および設定されます。

管理者は、ロール A に Clean Access Agent を使用する必要があるため、Agent Login 設定を引き続きマップする必要があります。

マスターが設定され、レシーバが設定されている場合:

マスター CAM の場合:

ロール A は、トラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、すべての Windows に Clean Access Agent を使用する必要があります。

レシーバ CAM の場合:

ロール A は、別のトラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Vista にだけ Clean Access Agent を使用する必要があります。

ロール B が設定されます。

ポリシー同期後:

レシーバ CAM の場合:

ロール A は、マスター CAM のトラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Vista にだけ Clean Access Agent を使用する必要があります。

ロール B は削除されます。

始める前に


ステップ 1 ポリシー同期に使用するすべての CAM が次の項目に該当することを確認します(マスターとレシーバ)。

リリース 4.5 アップグレード要件を満たしていること、およびリリース 4.5(以降)を実行していること。

正しく設定された SSL 証明書があること。実動環境では、SSL 証明書が CA 署名付きであることを確認します。

ステップ 2 ポリシー同期マスターとして指定する CAM を特定します。

ステップ 3 始める前に、指定したマスター CAM で次のものが正しく設定されていることを確認します。

Clean Access Updates

ユーザ ロール

ユーザ ロールのトラフィック ポリシーとセッション タイマー

Clean Access Agent の規則、要件、規則と要件のマッピング、および要件とロールのマッピング

デバイス フィルタ(role/check と allow/deny/ignore)

OOB 配置では、ポートと VLAN プロファイル設定を含め、マスター CAM が OOB に対して正しく設定されていることを確認します。マスター CAM が OOB に対して設定されていないが、レシーバ CAM は設定されている場合は、マスター CAM から OOB ポリシーをプッシュしないようにしてください。プッシュすると、レシーバで OOB ポリシーが失われます。

マスター CAM ユーザ ロール/オペレーティング システムの Agent Login/Distribution/Installation プロパティ。これらの設定はポリシー同期によってエクスポートされないことに注意してください。ポリシー同期によって追加されたすべての新しいロールについて、レシーバ CAM でこれらの設定を行う必要があります。

ステップ 4 レシーバとして指定する CAM 上のポリシーがポリシー同期によって上書き可能であることを確認します。


 

マスターでのポリシー同期のイネーブル化


ステップ 1 ポリシー同期マスターとして指定する Clean Access Manager の Web コンソールで、 [Administration] > [CCA Manager] > [Policy Sync] > [Enable] に移動します(図 16-18)。

図 16-18 マスター CAM でのポリシー同期のイネーブル化

 

ステップ 2 [Enable Policy Sync] チェックボックスをオンにします。

ステップ 3 [Master (Allow policy export)] ラジオボタンをクリックします。

ステップ 4 [Update] をクリックします。これによって、現在の CAM がポリシー同期マスターとして設定され、この CAM の [Configure Master]、[Manual Sync]、および [Auto Sync] の各ページがイネーブルになります([Configure Receiver] ページはディセーブルになります)。

マスターの設定


ステップ 1 [Policy Sync] タブで、[Configure Master] リンクをクリックします(図 16-19)。

図 16-19 Configure Master

 

ステップ 2 ポリシー同期に含める一連の各ポリシーに対応したチェックボックスをクリックします。

ロールベース:

[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules (all)]
[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements (all)]
[Device Management] > [Clean Access] > [Clean Access Agent] > [Role-Requirements]
[Device Management] > [Filters] > [Devices (Access Type ROLE and CHECK only)]
[User Management] > [Traffic Control] > [IP (any global, no local)]
[User Management] > [Traffic Control] > [Host (any global, no local)]
[User Management] > [Traffic Control] > [Ethernet (any global, no local)]
[User Management] > [User Roles] > [List of Roles/Schedule]

ロールベース以外のデバイス フィルタ:

[Device Management] > [Filters] > [Devices (all Access Types other than ROLE and CHECK)]

OOB ポートと VLAN プロファイル:

[OOB Management] > [Profiles] > [Port] > [List]

[OOB Management] > [Profiles] > [VLAN] > [List]

ステップ 3 [Update] ボタンをクリックします。ポリシー同期に含める一連のポリシーを変更するたびに、[Update] をクリックする必要があります。

ステップ 4 次のようにして、各レシーバをマスターに追加します。

a. [Receiver Host Name/IP] テキストボックスに、レシーバ CAM のドメイン名または IP アドレスを入力します。HA-CAM の場合は、CAM HA ペアのサービス IP を入力します。

b. (任意)[Receiver Description] に、説明を入力します。

c. [Add] ボタンをクリックします (レシーバを削除するには、[Action] カラムの「X」アイコンをクリックします)。


) ポリシー同期では、最大で 10 個の CAM または 10 個の HA-CAM ペアがサポートされます。


ステップ 5 次の手順に従って、各レシーバ CAM を許可します。許可では、マスター CAM とレシーバ CAM 間の通信がセキュアで、これらの CAM に制限されることを確認するために、これらの CAM の SSL 証明書で識別名を検査できます。

a. 次のようにして、レシーバ CAM の DN を取得します。

レシーバ CAM コンソールで [Administration] > [CCA Manager] > [SSL] > [x509 Certificate] に移動します。

[View] ボタンをクリックして、[Certificate Authority Information] ダイアログを起動します。

[DN] エントリをコピーします(図 16-20)。

図 16-20 レシーバ CAM からの DN 情報のコピー

 

b. マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Master] に移動します。

c. レシーバ CAM の SSL 証明書の DN を [List of Authorized Receivers by Certificate Distinguished Name] テキストボックスに貼り付けます(図 16-21)。

図 16-21 マスター CAM でのレシーバの許可

 

d. [Add] ボタンをクリックします (レシーバを削除するには、[Action] カラムの「X」アイコンをクリックします)。


) ポリシー同期では、最大で 10 個の CAM または 10 個の HA-CAM ペアがサポートされます。



) マスターがポリシーを正常にプッシュして、レシーバがこれらのポリシーを受け入れるには、マスターとレシーバの両方の CAM で許可を設定する必要があります。



 

レシーバでのポリシー同期のイネーブル化

ポリシー同期レシーバとして設定されている CAM は、赤色の製品バナーで識別され、マスター CAM 設定はレシーバ CAM ではディセーブルになります。赤いバナーは、ポリシー同期が適用されているレシーバ CAM でポリシーを変更しないよう管理者に警告することを目的としています。


ステップ 1 レシーバ CAM の Web コンソールで、[Administration] > [CCA Manager] > [Policy Sync] > [Enable] に移動します(図 16-22)。

図 16-22 レシーバ CAM でのポリシー同期のイネーブル化

 

 

ステップ 2 [Enable Policy Sync] チェックボックスをオンにします。

ステップ 3 [Receiver (Allow policy import)] ラジオボタンをクリックします。

ステップ 4 [Update] をクリックします。これによって、現在の CAM がポリシー同期レシーバとして設定されます。図 16-23 に示すように、CAM に「Policy Sync Receiver」のラベルが付けられ、Web コンソール製品バナーの色が赤に変更されます。また、この CAM の [Configure Receiver] ページがイネーブルになり、[Configure Master, Manual Sync] ページと [Auto Sync] ページがディセーブルになります。

図 16-23 Policy Sync Receiver(赤い製品バナーを表示)

 


 

レシーバの設定

この手順は、レシーバ CAM でのマスター CAM の許可で構成されています。


ステップ 1 レシーバ CAM の Web コンソールで、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動します(図 16-24)。

図 16-24 Configure Receiver

 

ステップ 2 次の手順を使用して、マスター CAM を許可します。

a. 次のようにして、マスター CAM の DN を取得します。

マスター CAM コンソールで [Administration] > [CCA Manager] > [SSL] > [x509 Certificate] に移動します。

[View] ボタンをクリックして、[Certificate Authority Information] ダイアログを起動します。

[DN] エントリをコピーします(図 16-25)。

図 16-25 マスター CAM からの DN 情報のコピー

 

 

b. レシーバ CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動します。

c. マスター CAM の SSL 証明書の DN を [Authorized Master] テキストボックスに貼り付けます(図 16-24)。

ステップ 3 [Update] をクリックします。


 

ポリシー同期の実行

x 日ごとに一度、特定の時間間隔でポリシーの自動同期をスケジュールできます。また、いつでもポリシーを手動で同期できます。自動または手動ポリシー同期を実行するには、Full-Control 管理ユーザとしてマスター CAM にログインする必要があります。

マスター設定は、ポリシー同期について設定されたポリシーの既存のレシーバ設定(OOB プロファイルやユーザ ロールなど)を完全に上書き(および削除)します。ポリシー同期が適用されないポリシー/設定は、ポリシー同期後にレシーバ CAM にそのまま残されます。

ポリシー同期中に規則がプッシュされると、関連するチェックもすべて自動的にプッシュされることに注意してください。

ポリシー同期結果(手動または自動)は、マスターとレシーバの各 CAM の [History] ページに記録されます。自動同期結果は、マスター CAM の [Event Logs] にも記録されます。


) マスター上の Cisco Updates によって、レシーバの更新はすべて上書きされます。そのため、ポリシー同期を実行する前に、マスターに最新の Cisco Updates がインストールされていることを確認するために、マスターで自動更新設定を行う([Device Management] > [Clean Access] > [Updates] > [Update])ことをお勧めします。


手動同期の実行


ステップ 1 マスター CAM で、手動で同期するポリシーだけが [Configure Master] ページでイネーブルになっていることを確認します(図 16-19)。設定を変更した場合は、忘れずに [Update] ボタンをクリックしてください。

ステップ 2 マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Manual Sync] に移動します(図 16-26)。

図 16-26 Manual Sync

 

ステップ 3 設定済みのすべてのポリシー レシーバが、このページの [Receiver Host Name/IP] カラムの下に表示されます。

ステップ 4 [Sync Description] テキストボックスに、実行する手動同期のオプションの説明を入力します。この説明によって、[History] ページの Logs に手動同期のラベルが付けられます。

ステップ 5 ポリシーをエクスポートするレシーバ CAM ごとに [Manual Sync] チェックボックスをクリックします。

ステップ 6 [Sync] ボタンをクリックします。同期前のチェック画面が表示されます(図 16-27)。

図 16-27 Manual Sync(許可チェック)

 

ステップ 7 [Continue] ボタンをクリックして、手動ポリシー同期を実行します。正常に完了すると、次の画面が表示されます(図 16-28)。

図 16-28 正常に完了した手動同期

 

ステップ 8 [OK] をクリックして、メイン画面に戻ります。


 

自動同期の実行


) 手動同期を実行して、正常に機能することを確認してから、Clean Access Manager 間の自動同期をイネーブルにすることを強くお勧めします。



ステップ 1 マスター CAM で、自動同期をイネーブルにするポリシーだけが [Configure Master] ページで選択されていることを確認します(図 16-19)。設定を変更した場合は、忘れずに [Update] ボタンをクリックしてください。

ステップ 2 マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Auto Sync] に移動します(図 16-29)。

図 16-29 Auto Sync

 

ステップ 3 設定済みのレシーバのリストが、このページの [Receiver Host Name /IP] カラムの下に表示されます。

ステップ 4 [Automatically sync starting from[]] のチェックボックスをクリックします。隣のテキストボックスに、自動ポリシー同期を開始して繰り返す初期時間を hh:mm:ss の形式で入力します(たとえば、22:00:00)。

ステップ 5 [every [] day(s)] テキストボックスに、自動同期を繰り返すまでの日数を入力します。最小の間隔は 1 日を表す 1 です。

ステップ 6 ポリシーをエクスポートするレシーバ CAM ごとに [Auto Sync] チェックボックスをクリックします。

ステップ 7 [Update] ボタンをクリックして、スケジュールを設定します。マスター CAM によって、指定した間隔で自動ポリシー同期が実行され、ログ結果が [History] ページに [Auto sync] と表示され、マスター CAM の Event Logs にも表示されます。


 

ポリシー同期の確認


ステップ 1 レシーバ CAM に移動して、マスター ポリシーがポリシー同期によってプッシュされたことを確認します。

ステップ 2 問題がある場合は、さらにトラブルシューティングを行うことができます。

「履歴ログの表示」

「手動同期エラーのトラブルシューティング」


 

履歴ログの表示

手動と自動の各ポリシー同期の詳細は、マスターとレシーバ の両方の CAM の [History] ページに記録されます。マスター CAM とレシーバ CAM にはそれぞれ、300 個までの履歴ログ エントリが保持されます。

自動同期がイネーブルになっている場合は、自動同期はマスター CAM の [Event Logs] にも記録されます。各自動同期の結果は、[Monitoring] > [Event Logs] に管理イベントとして、さらに [Policy Sync] > [History] ログに記録されます。追加情報については、「イベント ログの意味」を参照してください。


ステップ 1 ログを表示するには、マスター (図 16-30)またはレシーバ CAM(図 16-31)の [Administration] > [CCA Manager] > [Policy Sync] > [History] に移動します。

ステップ 2 表示されるカラムは次のとおりです。

[Sync ID]:ポリシー同期セッションの固有 ID。形式は [マスターでの開始時間]_[乱数].[0 から始まる、各レシーバの整数(1、2、3 などの順序)] です。

[Master DN]:[THIS CAM] これがマスターまたはマスターの IP/DN である場合。

[Receiver DN]:[THIS CAM] これがレシーバまたはレシーバの IP/DN である場合。

[Status]:succeeded または failed。ポリシー同期の失敗は、マスターからレシーバにポリシーが送信されなかったこと、およびいずれの CAM のデータベースも変更されなかったことを意味します。

[Start Time/End Time]:ポリシー同期セッションの期間

[Description]:説明を入力した場合を除き、[Auto sync] のラベルが付くか、手動同期の場合はブランク。

[Log]:個々のログ ファイルを表示するには、虫眼鏡アイコンをクリックします(マスターの例:図 16-32)(レシーバの例:図 16-33

[Action]:このログを削除するには、「X」アイコンをクリックします。

図 16-30 マスター CAM の履歴ログ

 

図 16-31 ポリシー同期レシーバの履歴ログ

 

図 16-32 マスターのログ ファイル

 

図 16-33 レシーバのログ ファイル

 


 

手動同期エラーのトラブルシューティング

Failed sanity check with [x.x.x.x].Receiver denied access.This CAM is not authorized as Policy Sync Master.

このメッセージは、レシーバでマスターの DN が設定されていないか、マスターの DN が [Configure Receiver] ページで誤って設定されている場合に、マスター CAM で表示されます。

このエラーを解決するには、レシーバ CAM で [Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動して、マスターの DN が存在すること、および正しく設定されていることを確認します。

Failed sanity check with [x.x.x.x].The certificate's subject DN of this receiver is not authorized.

このメッセージは、マスターでレシーバの DN が設定されていないか、レシーバの DN が Configure Master ページで誤って設定されている場合に、マスター CAM で表示されます。

このエラーを解決するには、マスター CAM で [Administration] > [CCA Manager] > [Policy Sync] > [Configure Master] に移動して、レシーバの DN が存在すること、および [List of Authorized Receivers by Certificate Distinguished Name] で正しく設定されていることを確認します。

Failed sanity check with [x.x.x.x].This host is not configured as policy sync receiver.

このメッセージは、ポリシー同期がレシーバでイネーブルになっていない場合に、マスター CAM で表示されます。

このエラーを解決するには、レシーバでポリシー同期をイネーブルにします。

サポート ログ

Clean Access Manager の [Support Logs] ページは、お客様に問題が発生した場合に TAC が円滑にサポートできるようにするためのものです。管理者は [Support Logs] ページ上で、さまざまなシステム ログ(開いているファイル、開いているハンドル、パッケージの情報など)を 1 つの tarball に結合し、サポート事例に追加するために TAC に送信することができます。管理者は、カスタマー サポート要求の送信時に、これらのサポート ログをダウンロードする必要があります。

CAM Web コンソールおよび CAS ダイレクト アクセス Web コンソールの [Support Logs] ページには、トラブルシューティングを目的として /perfigo/control/tomcat/logs/nac_manager.log に記録するログの詳細レベルを設定するための Web ページ制御機能があります。これらの Web 制御機能は、トラブルシューティング時にシステム情報を収集するために、CLI loglevel コマンドとパラメータの代わりに簡単に使用できる代替方法として提供されています。Support Logs ページで設定されたログ レベルは、CAM の [Monitoring] > [Event Log] ページの表示には影響しないことに注意してください。

通常の動作時には、ログ レベルは常にデフォルト設定( INFO )のままにしておいてください。ログ レベルは、一定のトラブルシューティング期間だけ(通常は、カスタマー サポート/TAC エンジニアの要求時にだけ)一時的に変更します。多くの場合は一定の期間、設定値を INFO から DEBUG または TRACE に切り替え、データの収集が終了したら、 INFO に再設定されます。CAM/CAS をリブートした後、または service perfigo restart コマンドを実行した後は、ログ レベルはデフォルト設定( INFO )に戻ることに注意してください。


注意 DEBUG オプションと TRACE オプションは、非常に特殊な問題の場合に一時的にだけ使用することをお勧めします。CAM では、古いログを破棄する前に、ロギング情報が記録され一連の 9 個の 20MB のファイルに保存されますが、大量のロギング情報によって、比較的短時間で、CAM で使用できるログ記憶域がなくなることがあります。

 

CAM サポート ログをダウンロードするには


ステップ 1 [Administration] > [CCA Manager] > [Support Logs] に移動します。

図 16-34 CAM Support Logs

 

ステップ 2 シスコ カスタマー サポート要求のためにダウンロードするファイルに含めるデバッグ メッセージの日数を指定します。

ステップ 3 [Download] ボタンをクリックして、 cam_logs.<cam-ip-address>.tar.gz ファイルをローカル コンピュータにダウンロードします。

ステップ 4 この .tar.gz ファイルをカスタマー サポート要求とともに送信します。


) Clean Access Server の圧縮済みサポート ログ ファイルを取得するには、CAS Web コンソールにログインして、[Monitoring] > [Support Logs] に移動します。詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』を参照してください。



 

CAM ログのログレベルを変更するには


ステップ 1 [Administration] > [CCA Manager] > [Support Logs] に移動します。

ステップ 2 変更する CAM ログ カテゴリを選択します。

[CCA Manager General Logging]:このカテゴリには、システムの大半のロギング イベントが含まれます。次に示す他の 4 つのカテゴリに含まれないログ イベントは、[CCA Manager General Logging] の下に表示されます(認証の失敗など)。

[CAS/CAM Communication Logging]:このカテゴリには、CAM/CAS の設定エラーまたは通信エラーが含まれます。たとえば、CAM から CAS への情報のパブリッシュが失敗した場合は、そのイベントが記録されます。

[General OOB Logging]:このカテゴリには、CAM の不正な設定が原因で発生することのある一般的な OOB エラーが含まれます。たとえば、システムが、CAM に設定されていないか過負荷のために、SNMP リンクアップ トラップを処理できない場合などが含まれます。

[Switch Management Logging]:このカテゴリには、CAM とスイッチとの直接通信で発生することのある一般的な SNMP エラーが含まれます。たとえば、CAM がコミュニティ文字列の一致しない SNMP トラップを受信した場合が含まれます。

[Low-level Switch Communication Logging]:このカテゴリには、特定のスイッチ モデルの OOB エラーが含まれます。

ステップ 3 ログのカテゴリのログ レベルの設定値をクリックします。

[OFF]:このカテゴリのログ イベントは記録されません。

[ERROR]:システムで次のような重要なエラーが検出された場合に限り、ログ イベントが、CAS では /perfigo/access/tomcat/logs、CAM では /perfigo/control/tomcat/logs に書き込まれます。

CAM が CAS に接続できない

CAM と CAS が通信できない

CAM がデータベースと通信できない

[WARN]:特定のカテゴリのエラーと警告レベルのメッセージだけが記録されます。

[INFO]:[ERROR] と [WARN] ログ レベルより詳細です。たとえば、ユーザが正常にログインした場合には、Info メッセージが記録されます。システムのロギングのデフォルト レベルです。

[DEBUG]:CAM のデバッグ レベル ログがすべて記録されます。

[TRACE]:これは、CAM/CAS の問題のトラブルシューティングに役立つ、使用可能な最大量の情報です。


Debug オプションと Trace オプションは、非常に特殊な問題の場合に一時的にだけ使用することをお勧めします。CAM では、古いログを破棄する前に、ロギング情報が記録され一連の 9 個の 20MB のファイルに保存されますが、大量のロギング情報によって、比較的短時間で、CAM で使用できるログ記憶域がなくなることがあります。


イベント ログの詳細については、 「オンライン ユーザとイベント ログのモニタリング」 を参照してください。


 

管理ユーザ

ここでは、CAM の Web 管理コンソールの [Administration] > [Admin Users] モジュールで複数の管理者ユーザを追加する方法を示します。

[Administration] > [Admin Users] には、[Admin Groups] と [Admin Users] の 2 つのタブがあります。

新しい管理ユーザを作成し、それらを既存のデフォルト管理グループに関連付けることができます。また、専用のカスタム管理グループを作成することもできます。どちらの場合も、管理ユーザを管理グループに追加すると、そのグループに定義されたアクセス権が追加されたユーザに適用されます。

外部の Kerberos、LDAP、または RADIUS 認証サーバ(「認証プロバイダーの追加」の手順を使用して設定)またはローカル CAM データベースを使用して、CAM と CAS の両方に入力した管理ユーザの証明書を認証することもできます。詳細については、「管理ユーザの追加」を参照してください。

管理グループ

システムにはデフォルトの 3 つの管理グループ(編集不可)と、編集可能で定義済みの 1 つのカスタム グループ(「Help Desk」)があります。さらに、[Administration] > [Admin Users] > [Admin Groups] > [New] で、任意の数のカスタム管理グループを作成できます。

次の 4 つのデフォルトの管理グループ タイプがあります。

1. Hidden

2. Read-Only

3. Add-Edit

4. Full-Control(削除権限を含む)

3 つのデフォルト管理グループ タイプは、削除または編集できません。3 つの定義済みグループのいずれかにユーザを追加したり、新しいカスタム グループを設定して専用権限を作成したりすることができます。カスタム管理権限を作成する場合は、まずカスタム管理グループのアクセス権を作成および設定してから、目的のグループにユーザを追加して、権限を設定します。

カスタム管理グループの追加

新しい管理グループを作成するには


ステップ 1 [Administration] > [Admin Users] > [Admin Groups] に移動します。

図 16-35 Admin Groups

 

ステップ 2 [New] リンクをクリックして、新しい Admin Group 設定フォームを起動します。

図 16-36 新しい管理グループ

 

ステップ 3 最初に新しい管理グループを作成しても、まだアクティブにしない場合、または、既存の管理グループをディセーブルにする場合は、[Disable this group] チェックボックスをオンにします。

ステップ 4 [Group Name] に、カスタム管理グループのグループ名を入力します。

ステップ 5 [Description] に、グループのオプションの説明を入力します。

ステップ 6 個々の Clean Access Server の横にあるアクセス オプションを、[no access]、[view only]、[add-edit]、[local admin] のいずれかに設定します。この設定により、指定した管理グループについて個々の Clean Access Server へのアクセスを制限したり、管理グループの個々の Clean Access Server での表示権限をイネーブルにしたりすることができます。また、管理グループに 1 つ以上の Clean Access Server に対する完全な制御権限を提供するようにアクセス権を調整することもできます(削除/再起動機能を含む)。


) Clean Access Server オプションを [no access] に設定しても、その管理グループのメンバーは引き続き [Device Management] > [CCA servers] > [List of Servers] ページで指定されたサーバを表示できますが、そのサーバを管理、切断、再起動、または削除することはできません。


ステップ 7 個々のモジュールまたはサブモジュールについて、[hidden]、[read only]、[add-edit]、[full control] のいずれかのグループ アクセス権限を選択します。これによって、指定した管理グループだけが Clean Access Server モジュールおよびサブモジュールを使用できるように制限したり、指定した管理グループのモジュールおよびサブモジュールに対する管理制御に関する権限を調整したりできます。


) サブモジュール オプションを [hidden] に設定すると、その管理グループのメンバーは引き続き、左側の Web コンソール ペインでそのサブモジュールを表示できますが、テキストは「グレー」で表示され、そのサブモジュールにはアクセスできません。


ステップ 8 [Create Group] をクリックして、[Admin Groups] リストにグループを追加します。

グループを後で編集するには、リスト内のグループの横にある [Edit] ボタンをクリックします。グループを削除するには、グループの横にある [Delete] アイコンをクリックします。管理グループを削除しても、そのグループ内のユーザは削除されないで、デフォルト [Read-Only Admin] グループに割り当てられます。


) 管理者が管理グループを編集して特定の管理グループの権限を変更した場合、次回ログイン以降は新しい権限だけが有効となるため、変更時にその管理グループに属するすべての管理ユーザを削除する必要があります。



 

管理ユーザ


) デフォルトの admin ユーザは、デフォルトの [Full-Control Admin] グループに属しており、Clean Access Manager から削除できない完全な制御権限を持つ特別なシステム ユーザです。たとえば、Full-Control ユーザはログインして、自分のアカウントを削除できますが、ユーザ admin としてログインし、admin アカウントを削除することはできません。


管理ユーザは Admin Group に従って分類されます。次の一般的な規則が適用されます。

すべての管理ユーザは [Administration] > [Admin Users] モジュールにアクセスして、自分のパスワードを変更できます。

管理ユーザ レベルで使用できない機能は、Web 管理コンソールではディセーブルになります。

Read-Only ユーザが Web 管理コンソールに表示できるのは、ユーザ、デバイス、および機能だけです。

Add-Edit ユーザは、Web 管理コンソールでローカル ユーザ、デバイス、または機能を追加および編集できますが、削除できません。Add-Edit 管理ユーザはその他の管理ユーザを作成できません。

Full-Control ユーザには、Web 管理コンソールのすべての適用可能な項目について追加、編集、および削除する権限があります。

その他の管理ユーザまたは管理グループを追加、編集、または削除できるのは、Full-Control 管理ユーザだけです。

カスタム グループ ユーザは、複数のアクセス権を組み合わせて保持するように設定できます(「カスタム管理グループの追加」を参照してください)。

管理ユーザのログイン/ログアウト

管理ユーザはセッションベースであるため、Web 管理コンソールの各ページの右上にある Logout アイコンを使用して、ログアウトする必要があります。管理者ログイン ページが表示されます。

図 16-37 管理ログイン

 

また、ログアウト ボタンを使用して、いずれかのタイプの管理ユーザとしてログアウトしてから、別のタイプの管理ユーザとして再ログインすることもできます。

管理ユーザの追加

新しい管理ユーザを追加するには


ステップ 1 [Administration] > [Admin Users] > [New] に移動します。

図 16-38 新しい管理ユーザ

 

ステップ 2 最初に新しい管理ユーザ プロファイルを作成しても、まだアクティブにしない場合、または、既存の管理ユーザをディセーブルにする場合は、[Disable this account] チェックボックスをオンにします。

ステップ 3 [Admin User Name] を入力します。

ステップ 4 [Authentication Server] ドロップダウン メニューで、CAM または CAS に入力された管理者ユーザのログイン証明書を CAM で認証する方法を指定します。

管理者ユーザの証明書を、CAM データベースにローカルに格納されている情報と照合するには、[Built-in Admin Authentication] を選択します。

外部の認証サーバに対して管理ユーザ認証を行うには、設定済みの Kerberos、LDAP、または RADIUS 認証サーバのプロバイダー名を選択します。管理ユーザの場合は、Kerberos、LDAP、および RADIUS 認証サーバだけが [Authentication Server] ドロップダウンにリストされます。詳細については、「認証プロバイダーの追加」を参照してください。

ステップ 5 [Group Name] ドロップダウン リストで、管理グループ タイプを選択します。デフォルト グループは Read-Only、Add-Edit、および Full-Control です。カスタム アクセス権グループにユーザを追加するには、まず目的のグループを追加します(「カスタム管理グループの追加」を参照してください)。

ステップ 6 [Password] および [Confirm Password] フィールドにパスワードを入力します。

ステップ 7 (任意)[Description] に、スイッチの説明を入力します。

ステップ 8 [Create Admin] をクリックします。[Admin Users] > [List] の下に、新しいユーザが表示されます。


 

管理ユーザの編集

既存の管理ユーザを編集するには


ステップ 1 [Administration] > [Admin Users] > [List] に移動します。

図 16-39 管理ユーザ リスト

 

ステップ 2 管理ユーザの横にある [Edit] ボタンをクリックします。

図 16-40 管理ユーザの編集

 

ステップ 3 [Password] および [Confirm Password] フィールドを変更するか、または目的の別のフィールドを変更します。

ステップ 4 [Save Admin] をクリックします。


) グループ タイプを除く、システム「admin」ユーザのすべてのプロパティを編集できます。



 

管理ユーザ セッションのアクティブ化

Clean Access Manager Web 管理コンソールを使用している管理ユーザを表示するには、[Administration] > [Admin Users] > [Admin Users] > [Active Sessions] を使用します。[Active Sessions] リストに、現在アクティブな管理ユーザがすべて表示されます。管理ユーザはセッションベースです。管理ユーザが Clean Access Manager Web サーバに接続するために開いたブラウザごとに、[Active Sessions] リストにユーザ エントリが作成されます。

管理ユーザがブラウザを開いている場合に、ブラウザを閉じてから、新しいブラウザを開くと、[Active Session] リストには一定期間 2 つのエントリが表示されます。終了したセッションの Last Access 時刻は変更されません。最終的に、エントリは自動ログアウト機能によって削除されます。

図 16-41 管理ユーザのアクティブ セッション

 

[Active Sessions] ページには、次の情報が表示されます。

[Admin Name]:管理ユーザの名前

[IP Address]:管理ユーザのマシンの IP アドレス

[Group Name]:管理ユーザのアクセス権グループ

[Login Time]:管理ユーザ セッションの開始時刻

[Last Access]:Web 管理コンソールのリンクを管理ユーザが最後にクリックした時刻。クリックするたびに、最終アクセス時刻はリセットされます。

[Auto-Logout Interval for Inactive Admins]:この値は、アクティブな管理ユーザ セッションの Login Time と Last Access の時刻と比較されます。Login Time 時刻と Last Access 時刻の差が、設定された自動ログアウト インターバルよりも大きい場合、ユーザはログアウトします。この値の有効範囲は 1 ~ 120 分です。デフォルトでは、インターバルは 20 分に設定されています。

[Kick]:このボタンをクリックすると、アクティブな管理ユーザはログアウトし、アクティブ セッション リストからセッションが削除されます。

システム パスワードの管理


) Cisco NAC アプライアンスの新規インストールの場合は、ルート管理者ユーザ パスワードは、後で説明する強力なパスワードのガイドラインに準拠している必要があります。既存のルート管理者ユーザ パスワードは、アップグレード中に保存されます。

デフォルトの cisco123 CAM Web コンソール パスワードはなくなりました。管理者は、ソフトウェアのインストールと初期設定中に CAM Web コンソールの固有のパスワードを指定する必要があります。ただし、既存の CAM Web コンソール パスワード(古いデフォルトの cisco123 を含む)はアップグレード中に保存されます。


Cisco NAC アプライアンス システム内のユーザ アカウントにセキュアなパスワードを設定し、ときどき変更して、システムのセキュリティを維持することが重要です。Cisco NAC アプライアンスによって、次に示す管理ユーザ アカウント パスワードを指定するよう求められます。

1. Clean Access Manager インストールマシンの root ユーザ

2. Clean Access Server インストールマシンの root ユーザ

3. Clean Access Server Web コンソールの admin ユーザ

4. Clean Access Manager Web コンソールの admin ユーザ

パスワードはインストール時に初期設定します。後でこれらのパスワードを変更するには、SSH を使用して CAM または CAS マシンにアクセスし、変更するパスワードを持つユーザとしてログインします。Linux の passwd コマンドを使用して、ユーザのパスワードを変更します。

どの場合も、ネットワーク セキュリティを最大限強化するために強力なパスワードを使用することをお勧めしていますが、CAM と CAS のルート管理者パスワードだけは、強力なパスワード基準(つまり、次の 4 つの各カテゴリの文字を少なくとも 2 文字含む、8 文字以上を使用したパスワード)に準拠している必要があります。

小文字

大文字

数字

特殊文字(!@#$%^&*~ など)

たとえば、パスワード 10-9=One は、各カテゴリの文字が 2 文字使用されていないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。


) パスワードの先頭文字が大文字の場合は、パスワードに正しい文字数が存在しているかどうかを判別する際に、その文字は必要な大文字の最小数(2)にカウントされません。

パスワードの最後の文字が数字の場合は、パスワードに正しい文字数が存在しているかどうかを判別する際に、その文字は必要な数字の最小数(2)にカウントされません。


ここでは、次の項目について説明します。

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM/CAS の root パスワードの回復

CAM Web コンソール管理パスワードの変更

Clean Access Manager Web コンソールの管理ユーザ パスワードを変更する手順は、次のとおりです。


ステップ 1 [Administration] > [Admin Users] > [List] に移動します。

 

ステップ 2 admin ユーザの「Edit」アイコンをクリックします。

 

ステップ 3 [Password] フィールドに新しいパスワードを入力します。

ステップ 4 [Confirm Password] フィールドに新しいパスワードを再入力します。

ステップ 5 [Save Admin ]ボタンをクリックします。新しいパスワードが有効になります。


 

CAS Web コンソール管理ユーザ パスワードの変更

ほとんどの設定タスクは CAM Web 管理コンソールで実行されます。ただし、ハイ アベイラビリティ モードの設定など、ローカル CAS 設定に固有のタスクを実行する場合は、CAS ダイレクト アクセス Web コンソールが使用されます。CAS Web コンソール管理パスワードを変更する場合は、次の手順に従ってください。


ステップ 1 ブラウザで次のアドレスにナビゲートして、Clean Access Server 管理コンソールを開きます。

https://<CAS_IP>/admin

ここで、 <CAS_IP> は CAS の信頼できるインターフェイス IP アドレスです。次の例を参考にしてください。

ステップ 2 admin ユーザ名とパスワードを使用してログインします。

ステップ 3 左側のメニューで [Admin Password] リンクをクリックします。

ステップ 4 [Old Password] フィールドに現在のパスワードを入力します。

ステップ 5 [New Password] および [Confirm Password] フィールドに新しいパスワードを入力します。

ステップ 6 [Update] をクリックします。


 

CAM/CAS の root パスワードの回復

リリース 4.5/4.1/4.0/3.6 CAM または CAS マシンの root パスワードを回復するには、次の手順を使用します。次のパスワード回復手順では、キーボードとモニタを使用して、つまり、シリアル コンソールではなくコンソールまたは KVM コンソールを介して、CAM/CAS に接続していることを前提としています。


ステップ 1 マシンに電源を投入します。

ステップ 2 ブート ローダ画面に「 Press any key to enter the menu」メッセージが表示されたら、任意のキーを押します。

ステップ 3 Cisco Clean Access (2.6.11-perfigo) リストに 1 つの項目が示された、GRUB メニューが表示されます。編集するには、E キーを押します。

ステップ 4 次の複数の選択肢が表示されます。

root (hd0,0)
kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 console=ttyS0,9600n8
Initrd /initrd-2.6.11-perfigo.img
 

ステップ 5 2 番目のエントリ(「 kernel 」で始まる行)までスクロールし、E キーを押して行を編集します。

ステップ 6 console=ttyS0,9600n8 」行を削除し、行の終わりに「 single 」という単語を追加して、 Enter キーを押します。行は次のように表示されます。

kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 single
 

ステップ 7 次に、B キーを押して、マシンをシングル ユーザ モードで起動します。起動すると、root シェル プロンプトが表示されます(パスワードの入力は要求されないことに注意してください)。

ステップ 8 プロンプトで、「 passwd 」と入力し、 Enter キーを押して、指示に従います。

ステップ 9 パスワードを変更した後、「 reboot 」と入力して、ボックスを再起動します。


 

CAM/CAS の root パスワードの回復(リリース 3.5.x 以前)

リリース 3.5(x) で CAM/CAS の root パスワードを回復するには、Linux プロシージャを使用してシングル ユーザ モードで起動し、root パスワードを変更します。


ステップ 1 コンソールを介して CAM/CAS に接続します。

ステップ 2 マシンの電源を一旦切り、再度投入します。

ステップ 3 電源を再投入すると、GUI モードが表示されます。Ctrl+X キーを押して、テキスト モードに切り替えます。これによって、boot: プロンプトが表示されます。

ステップ 4 プロンプトで、「 linux single 」と入力します。マシンがシングル ユーザ モードで起動します。

ステップ 5 passwd 」と入力します。

ステップ 6 パスワードを変更します。

ステップ 7 reboot コマンドを使用して、マシンをリブートします。


 

CAM データベースのバックアップ

CAM データベースの手動バックアップ スナップショットを作成し、現在のリリースの CAM/CAS 設定をバックアップできます。スナップショットを作成すると、それは CAM に保存されますが、保護目的で別のマシンにダウンロードすることもできます。バックアップする必要があるのは、CAM スナップショットだけです。CAM スナップショットには、Clean Access Manager のすべてのデータベース設定データと、CAM のドメインに追加されたすべての Clean Access Server の設定情報が含まれます。スナップショットは標準の Postgres データ ダンプです。


) 製品ライセンスはデータベースに格納されるため、バックアップ スナップショットに含まれます。


CAS が一旦 CAM に追加されると、スナップショット設定を CAM にダウンロードした後も含め、CAS は CAM とやり取りするたびに CAM から自身の設定情報を取得します。

すでに CAM に追加されている CAS の基礎となるマシンを交換した場合は、 service perfigo config ユーティリティを実行して、CAS IP アドレスと証明書設定を使用して新しいマシンを設定する必要があります。その後、CAM はその他すべての設定情報を CAS にプッシュします。CAM と CAS の間の共有秘密鍵が変更された場合は、再度、CAS を CAM に追加する必要が生じることがあることに注意してください([Device Management] > [CCA Servers] > [New Server])。

Clean Access Agent と Cisco NAC Web Agent は、CAM データベース スナップショットの一部として必ず含まれます。次に示す場合、Agent は常に CAM データベースに格納されます。

Clean Access Agent が Clean Access Update(Agent パッチ)として Web Updates から受信された場合

Clean Access Agent /Cisco NAC Web Agent は、手動で CAM にアップロードされます。

ただし、CAM を CD から新規にインストールした場合、または最新リリースにアップグレードした場合、Clean Access Agent と Cisco NAC Web Agent は CAM データベースにバックアップされません。この場合、CAM ソフトウェアには新しい Agent ソフトウェアが含まれますが、CAM データベースにはアップロードされません。Agent バックアップが開始するのは、新しい Agent がシステムに手動で、または Web Updates を介してアップロードされた場合だけです。


) CAM と同じバージョンの CAM スナップショットだけを復元できます(4.5 CAM の場合は 4.5 スナップショット)。



) データベース ログの詳細については、「Cisco NAC アプライアンスのログ ファイル」を参照してください。


ここでは、次の項目について説明します。

日次データベース バックアップの自動化

Web コンソールからの手動バックアップ

FTP を介したスナップショットの別のサーバへのバックアップ

CAM/CAS 許可設定のバックアップと復元

CAM スナップショットからの設定の復元:スタンドアロン CAM

CAM スナップショットからの設定の復元:HA-CAM または HA-CAS

データベース回復ツール

SSH からの手動データベース バックアップ

日次データベース バックアップの自動化

Cisco NAC アプライアンスは Clean Access Manager データベースの日次スナップショットを自動的に作成し、ここ 30 日間で最新のものを保持します。また、ソフトウェア アップグレードの前後、およびフェールオーバー イベントの前後で、自動的にスナップショットを作成します。アップグレードとフェールオーバーの場合、最新の 5 つのバックアップ スナップショットだけが保持されます。詳細については、「データベース回復ツール」を参照してください。

Web コンソールからの手動バックアップ

設定に重要な変更を加える前に、CAM のバックアップを作成することを推奨します。ときどき設定をバックアップしておくと、設定ミスのために誤作動した場合に、既知の良好な設定プロファイルの最新バックアップを使用することもできます。スナップショットを使用すると、設定データの消失が防止されるだけでなく、複数の CAM 間で設定を複製する作業を簡単に実行できます。


) 手動で作成したスナップショットは、手動で削除するまで CAM に残ります。


手動バックアップの作成


ステップ 1 [Administration] > [Backup] ページの [Database Snapshot Tag Name] フィールドに、スナップショットの名前を入力します。フィールドには、現在の日付と時刻が組み込まれたファイル名が自動的に表示されます( MM_DD_YY-hh-mm_snapshot )。デフォルト名を受け入れるか、または別の名前を入力することができます。

ステップ 2 [Create Snapshot] をクリックします。Clean Access Manager によってスナップショット ファイルが生成され、スナップショット リストに追加されます。[Version] 列に、スナップショットの CAM ソフトウェア バージョンが自動的に示されます。

図 16-42 バックアップ スナップショット

 

 


) ファイルは引き続き、物理的に Clean Access Manager マシン上に存在します。アーカイブのために、ファイルをその場所にとどめておくことができます。ただし、システム障害に備えてユーザの設定をバックアップするには、スナップショットを別のコンピュータにダウンロードする必要があります。


ステップ 3 スナップショットを別のコンピュータにダウンロードするには、[Download] アイコンをクリックするか、ダウンロードするスナップショットの [Tag Name] をクリックします。

ステップ 4 [File Download] ダイアログで、[Save] をクリックし、ファイルをローカル コンピュータに保存します。

スナップショット リストからスナップショットを削除するには、[Delete] ボタンをクリックします。


 

FTP を介したスナップショットの別のサーバへのバックアップ

CAM の /perfigo/control/bin/pg_backup スクリプトは、データベース スナップショットを作成し、FTP を使用してそれを別のサーバへバックアップします。

定期的にこのスクリプトを実行する cron ジョブを設定し、バックアップ スナップショットの OFF-SERVER コピーを取得できます。スクリプトを実行するには

1. SSH を介して CAM に接続します。

2. 次のスクリプトを実行します。

./pg_backup <FTPserver> Username Password
 

スクリプトは、Postgres pg_dump ユーティリティを使用して、インスタント データベース スナップショットを作成し、それを指定された FTP サーバへエクスポートします。このスナップショットは、基本的には、CAM Web コンソールを使用して手動で作成したスナップショットと同じです。このスクリプトを毎日実行する cron ジョブを設定できます。

CAM/CAS 許可設定のバックアップと復元

セキュリティの強化策として、許可と証明書トラストストアの設定は、CAM/CAS 設定の他の要素とともにはバックアップされません。そのため、CAM/CAS 設定をバックアップする際には、標準のデータベース バックアップ/スナップショットとは別個に許可と証明書トラストストア ファイルをバックアップする必要があります。

HA ペアでは、HA ペアとして配置するときに、許可設定は自動的に HA-Primary CAM/CAS から HA-Secondary に渡されません。次の手順を使用して、HA ペアの両方のアプライアンスが、同じ許可および証明書トラストストアの設定と、許可される Clean Access Server(または、HA-Primary Clean Access Server をバックアップする場合は Clean Access Manager)のリストを正確に共有するように、HA-Secondary CAM/CAS で許可設定を読み込むこともできます。


) 単一の CAM から管理される CAS 配置が大規模な場合は、この手順によって、セカンダリ CAM の設定時に時間を大幅に節約できます。


表 16-2 に、 /root/.perfigo/ ディレクトリ(特定の設定によって異なります)内に通常あるファイルをリストします。

 

表 16-2 許可のバックアップ ファイル

ファイル名
説明

auth_nac_en.txt

このファイルが CAM/CAS の /root/.perfigo/ ディレクトリに存在する場合は、CAM/CAS では許可機能がイネーブルになっています。

auth_nac.txt

このファイルには、CAM の [Device Management] > [CCA Servers] > [Authorization] Web コンソール ページまたは CAS の [Device Management] > [Authorization] Web コンソール ページの Authorized CCA Servers/Authorized CCA Managers リストに読み込まれる、Clean Access Manager または Clean Access Server の実際の許可エントリが含まれています。

auth_warn_nac_en.txt

このファイルが CAM/CAS の /root/.perfigo/ ディレクトリに存在する場合は、CAM/CAS では [Test CCA Server Authentication] オプションがイネーブルになっており、許可操作が SSL 証明書イベントとして記録されています。

caCerts

このファイルには、CAM/CAS の一連のエンド エンティティ証明書が含まれています。

CAM/CAS 許可と証明書トラストストアの設定をバックアップして、冗長または HA-Secondary CAM/CAS にアップロードするには


ステップ 1 プライマリ CAM/CAS のコマンドライン インターフェイスに Telnet または SSH でログインして、 /root/.perfigo/ ディレクトリに変更して、 /root/.perfigo/ ディレクトリの内容を表示します。

[root@cam1]# cd /root/
[root@cam1]# cd .perfigo/
[root@cam1]# ls -l
-rw-r--r-- 1 root root 0 Jul 21 11:09 auth_nac_en.txt
-rw-r--r-- 1 root root 80 Jul 21 11:09 auth_nac.txt
-rw-r--r-- 1 root root 16 Jul 21 11:09 auth_warn_nac_en.txt
-rw-r--r-- 1 root root 1346 Jul 20 21:49 caCerts
 

ステップ 2 アップロードする tar ファイルを作成します。ファイル名を指定する必要があります(たとえば、「authorization.tar.gz」)。

[root@cam1]# tar cvzf authorization.tar.gz *
auth_nac_en.txt
auth_nac.txt
auth_warn_nac_en.txt
caCerts
 

ステップ 3 バックアップまたは HA スタンバイ CAM/CAS への読み込みのために、新しい tar ファイルを宛先の CAM/CAS にアップロードします。

[root@cam1]# scp authorization.tar.gz root@<IP address>
root@<IP address>'s password:
authorization.tar.gz 100% 1107 1.1KB/s 00:00
 

ステップ 4 セカンダリ CAM/CAS のコマンドライン インターフェイスに Telnet または SSH でログインして、 /root/.perfigo/ ディレクトリに変更し、アップロードした tar ファイルの内容を抽出します。

[root@cam2]# cd /root/
[root@cam2]# cd .perfigo/
[root@cam2]# tar xvzf authorization.tar.gz
auth_nac_en.txt
auth_nac.txt
auth_warn_nac_en.txt
caCerts
 

ステップ 5 ファイルが正しくアップロードおよび抽出されたことを確認します。

[root@cam2]# ls -l
-rw-r--r-- 1 root root 0 Jul 21 11:09 auth_nac_en.txt
-rw-r--r-- 1 root root 80 Jul 21 11:09 auth_nac.txt
-rw-r--r-- 1 root root 16 Jul 21 11:09 auth_warn_nac_en.txt
-rw-r--r-- 1 root root 1346 Jul 20 21:49 caCerts
 

ステップ 6 セカンダリ CAM/CAS を停止して再起動して、複製設定を適用します。

[root@cam2]# service perfigo stop
Stopping High-Availability services:
[ OK ]
[root@cam2]# service perfigo start
Starting High-Availability services:
[ OK ]
Please wait while bringing up service IP.
Heartbeat service is running.
Service IP is up on the peer node.
Stopping postgresql service: [ OK ]
Starting postgresql service: [ OK ]
CREATE DATABASE
DROP DATABASE
CREATE DATABASE
DROP DATABASE
Database synced
[root@cam2]#

) この例では CAM HA ペアを扱っていますが、同じ関数とプロセスが CAS HA ペアに適用されます。


CAM HA ペアの詳細については、「ハイ アベイラビリティ(HA)の設定」を参照してください。CAS HA ペアの詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Configuring High Availability (HA)」の章を参照してください。


 

CAM スナップショットからの設定の復元:スタンドアロン CAM


) CAM と同じバージョンの CAM スナップショットだけを復元できます(4.5 CAM の場合は 4.5 スナップショット)。


CAM のスナップショット リストからの復元

スタンドアロン Clean Access Manager をスナップショットの設定状態に復元するには

1. [Administration] > [Backup] に移動します。

2. CAM を復元するスナップショットのバージョンが、CAM で実行中の現在のバージョンと同じであることを確認します。

3. リスト内の対象のスナップショットの [Restore] ボタンをクリックします。既存の設定は、スナップショットの設定で上書きされます。

4. 既存の設定は、スナップショットの設定で上書きされます。

ダウンロードされたスナップショットからの復元

リモート コンピュータにダウンロードされたスナップショットは、次の手順で、リストに再アップロードできます。

1. [Administration] > [Backup] に移動して、[Snapshot to Upload] フィールドの横にある [Browse] ボタンをクリックします。ディレクトリ システムでファイルを検索します。

2. [Upload Snapshot] をクリックし、操作を確認します。スナップショットがスナップショット リストに表示されます。

3. スナップショットの横にある [Restore] ボタンをクリックして、現在の設定をスナップショットの設定で上書きします。

4. 操作を確認します。

これで、スナップショットに記録された設定状態に復元されました。

CAM スナップショットからの設定の復元:HA-CAM または HA-CAS


) CAM スナップショットには、Clean Access Manager のすべてのデータベース設定データと、CAM のドメインに追加されたすべての Clean Access Server の設定情報が含まれます。


HA 配置内の HA-Primary CAM/CAS と HA-Secondary CAM/CAS のいずれかで設定が失われた場合は、HA-Primary マシンと HA-Secondary マシンの両方の動作が一貫したものになるように、残りの CAM から最新のスナップショットを取得(または既存の設定のスナップショットを作成)して、HA システムにロードできます。

HA 配置内の HA-Primary CAM/CAS と HA-Secondary CAM/CAS の両方で構成が失われた場合は、次のガイドラインを使用して、システムを復元できます(たとえば、深刻なイベントによって、HA-Primary マシンと HA-Secondary マシンの両方でイメージとデータベースが削除された場合や、両方のマシンが RMA となって、新しいアプライアンスをインストールしなければならない場合など)。


警告 スタンバイ マシンがオフライン(ダウンまたはリブート中)になっている場合は、アクティブまたはスタンバイ CAM のいずれかでスナップショットの復元を試行しないでください。


スナップショットからの HA-Primary と HA-Secondary の両方の CAM の復元

フェールオーバー配置の HA-Primary CAM と HA-Secondary CAM をスナップショットの設定状態に復元するには

1. 「Clean Access Manager のインストール」の説明に従って、HA-Primary CAM と HA-Secondary CAM が、HA 配置がダウンする前と同じ属性を使用するように、これらの CAM をインストールして初期設定します。

2. CAM ユーザ ライセンスを HA-Primary HA-Secondary の両方の CAM に適用します。

3. 「ハイ アベイラビリティ(HA)の設定」の説明に従って、HA-Primary CAM と HA-Secondary CAM を HA ペアとして再設定します。

4. 「ダウンロードされたスナップショットからの復元」の説明に従って、最新の CAM 設定スナップショットをバックアップ サーバから HA-Primary CAM にリロードします。

5. スナップショットの復元を完了するには、HA-Secondary CAM が HA-Primary と自動的に「同期」するまで約 5 分待機します。

6. HA-Primary CAM をリブートします。CAM を再起動して、Web コンソールからログインしたら、HA-Secondary CAM をリブートします。

スナップショットからの HA-Primary と HA-Secondary の両方の CAS の復元

フェールオーバー配置の HA-Primary CAS と HA-Secondary CAS をスナップショットの設定状態に復元するには

1. Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Installing the Clean Access Server」の章の説明に従って、HA-Primary CAS と HA-Secondary CAS が、HA 配置がダウンする前と同じ属性を使用するように、これらの CAS をインストールして初期設定します。

2. Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Configuring High Availability (HA)」の章の説明に従って、HA-Primary CAS と HA-Secondary CAS を HA ペアとして再設定します。


警告 CAS HA 接続を正常に再確立するには、「Configuring High Availability (HA)」の章の手順を示されている順に実行してください。


3. HA-Secondary CAS でアクセス制御機能を引き継ぐことができるように、HA-Primary CAS をシャットダウン/切断することによって、HA-Primary CAS と HA-Secondary CAS の間のフェールオーバー イベントをシミュレートします。スタンバイ CAS でアクティブ マシンの役割が引き継がれたら、HA-Primary(スタンバイ)が「オンライン」に戻ったときに HA-Secondary CAS(新しいアクティブ CAS)について同じフェールオーバーをシミュレートします。

これらのフェールオーバー シミュレーションを HA-Primary CAS と HA-Secondary CAS の両方で実行することで、それぞれの CAS が CAM から最新のデータベース情報を取得するようになります。

データベース回復ツール

データベース回復ツールは、次のタイプのバックアップ スナップショットからデータベースを復元する場合に使用できるコマンドライン ユーティリティです。

日次の自動バックアップ(最近の 30 個のコピー)

ソフトウェア アップグレード前後のバックアップ

フェールオーバー イベント前後のバックアップ

Web コンソールを介して管理者が作成した手動スナップショット

Web コンソールを使用してスナップショットを手動で作成し、アップロードすることができますが、([Administration] > [Backup] を使用)、CLI(コマンドライン インターフェイス)ツールではさらに詳細に操作できます。このツールには復元元のスナップショット、および圧縮解除後のサイズやテーブル数を表示するメニューがあります。破損したファイルや、フォーマットが不適切なファイル(.tar.gz でないファイルなど)の場合は、圧縮解除後のサイズやテーブル数でなく、修復の警告が表示されることに注意してください。


注意 このユーティリティを実行する前に CAM を停止し、ユーティリティを実行したら再起動する必要があります。

コマンド ユーティリティを実行するには

1. SSH を使用して Clean Access Manager にアクセスします。

2. root パスワードを使用してユーザ root としてログインします。

3. cd を実行し、データベース回復ツールのディレクトリ cd /perfigo/dbscripts に変更します。

4. service perfigo stop を実行して、Clean Access Manager を停止します。

5. ./dbbackup.sh を実行して、ツールを起動します。

6. プロンプトに従って、データベースを復元します。

7. ユーティリティを実行したら、 reboot を実行して Clean Access Manager をリブートします。


) CLI コマンドの一般情報については、「CAM CLI コマンド」を参照してください。


SSH からの手動データベース バックアップ

Web 管理コンソールにアクセスできなくなった場合は、次の手順に従って、データベースを手動でバックアップできます。

1. Clean Access Manager ボックスに root としてログインします。

2. su - postgres 」と入力して、ユーザを postgres に切り替えます。

3. pg_dump -h 127.0.0.1 controlsmartdb -D -f sm_back_092004.sql 」と入力して、データベースのダンプを作成します。

4. このコマンドにより、 /var/lib/pgsql ディレクトリに sm_back_092004.sql というファイルが作成されます。

5. ファイルは SCP で転送できます。

API サポート

Cisco NAC アプライアンスは、HTTPS POST を使用して特定の操作を実行できる cisco_api.jsp という名前のユーティリティ スクリプトがあります。Clean Access Manager の Clean Access API には、Web ブラウザから URL https://<ccam-ip-or-name>/admin/cisco_api.jsp でアクセスできます。

使用方法、認証要件、ゲスト アクセスのサポート、操作の要約については、 付録 B「API サポート」 を参照してください。