Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
Cisco NAC アプライアンス エージェント
Cisco NAC アプライアンス エージェント
発行日;2012/02/26 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 29MB) | フィードバック

目次

Cisco NAC アプライアンス エージェント

Windows Clean Access Agent

Windows Clean Access Agent の概要

Windows Clean Access Agent の設定手順

Windows Clean Access Agent ユーザ ダイアログ

RADIUS のチャレンジ/レスポンス方式 Windows Clean Access Agent ダイアログ

Clean Access Agent のローカライズされた言語テンプレート

Mac OS X Clean Access Agent

Mac OS X Clean Access Agent の概要

Mac OS X Clean Access Agent の設定手順

Mac OS X ポスチャ評価の前提条件および制約事項

Mac OS X Agent の前提条件

Mac OS X Agent の制約事項

CAM/CAS の制約事項

Mac OS X Agent でサポートされている要件タイプ

Mac OS X Clean Access Agent ダイアログ

Mac OS X Clean Access Agent のアプリケーション ファイルのロケーション

RADIUS のチャレンジ/レスポンス方式 Mac OS X Clean Access Agent ダイアログ

Cisco NAC Web Agent

概要

システム要件

Cisco NAC Web Agent の設定手順

Cisco NAC Web Agent ユーザ ダイアログ

Agent のトラブルシューティング

クライアントが接続およびログインできない

Clean Access Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS 規則のトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)

Cisco NAC アプライアンス エージェント

この章では、次の Cisco NAC アプライアンス アクセス ポータルの概要、ログイン フロー、およびセッション終了対話について説明します。

「Windows Clean Access Agent」

「Mac OS X Clean Access Agent」

「Cisco NAC Web Agent」

「Agent のトラブルシューティング」

Windows Clean Access Agent

この項では、クライアント マシンにインストールされている持続的ネットワーク アクセス アプリケーション経由でユーザに内部ネットワークへのログインを許可するように Clean Access Agent を設定する方法を説明します。

「Windows Clean Access Agent の概要」

「Windows Clean Access Agent の設定手順」

「Windows Clean Access Agent ユーザ ダイアログ」

Windows Clean Access Agent の概要

Clean Access Agent には、クライアント マシンに対して、ローカルマシン エージェント ベースのポスチャ評価および復旧を行う機能があります。ユーザは CAA(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。CAA を使用すると、Windows アップデートまたは AV(アンチウイルス)や AS(アンチスパイウェア)の定義のアップデートを実行したり、正規の復旧プログラムを起動したり、Clean Access Manager(CAM)にアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布することができます。

Clean Access Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Clean Access Server(CAS)から取得し、要求されたパッケージを検索し、レポートを(CAS を介して)CAM に送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。

Clean Access Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(任意)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。詳細については、「エージェント要件の設定」を参照してください。


) 概要については、「Clean Access Agent のクライアント評価プロセス」を参照してください。


Windows Clean Access Agent の設定手順

Windows Clean Access Agent を設定するために必要な基本手順は、次のとおりです。

1. 「Agent の配布」の手順に従って、CAA の配布とダウンロードをイネーブルにします。

2. 「エージェント要件の設定」の手順に従って Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「Windows Server Update Services 要件の設定」

c. 「Windows Update 要件の設定」

d. 「カスタム チェック、規則、および要件の設定」

e. 「Launch Programs 要件の設定」

f. 「要件と規則のマッピング」

g. 「ユーザ ロールへの要件の適用」

h. 「要件の検証」

i. 「Optional および Audit 要件の設定」

Windows Clean Access Agent ユーザ ダイアログ

ここでは、ネットワークに Cisco NAC アプライアンスがインストールされており、CAA が必要で、ユーザ ロール用に設定されている場合のユーザ操作を示します。


) VPN コンセントレータの背後の Single Sign-On(SSO)用に設定された CAA の詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1)』を参照してください。


1. ユーザが最初に Web ブラウザを開くと、Web ログイン ページにリダイレクトされます(図 13-59)。

図 13-1 ログイン ページ

 

2. ユーザは Web ログイン ページにログインすると、CAA インストール ファイルのワンタイム ダウンロードを実行できる [Clean Access Agent Download] ページにリダイレクトされます(図 13-59)。

図 13-2 CAA ダウンロード ページ

 

3. [Download Clean Access Agent] ボタンをクリックします(ボタンに、ダウンロードされている Agent のバージョンが表示されます)。


) [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Clean Access Agent] オプションが選択されている場合、[Get Restricted Network Access] ボタンと関連するテキストが [Download Clean Access Agent] ページに表示されます。詳細については、「エージェント ログイン」を参照してください。


4. クライアント システムのダウンロード フォルダに CCAAgent_Setup.exe ファイルを保存してから、CCAAgent_Setup.exe ファイルを実行します。


) CAS 証明書がクライアント側で信頼されない場合、ユーザは、Clean Access Agent インストールを正常に次に進める前に表示される [Security Alert] ダイアログで証明書を受け入れる必要があります。


5. [Welcome to the InstallShield Wizard for Clean Access Agent] ダイアログが表示されます(図 13-66)。

図 13-3 [Clean Access Agent InstallShield] ウィザード

 

6. セットアップ ウィザードに、ユーザに簡単なインストール手順のプロンプトが表示され、ユーザに CAA を C:¥Program Files¥Cisco Systems¥Cisco Clean Access¥Clean Access Agent にインストールし、クライアントにデスクトップ ショートカットを追加するように促します(図 13-4)。

図 13-4 デスクトップ ショートカット

 

7. InstallShield Wizard が完了し、ユーザが [Finish] をクリックすると、CAA ログイン ダイアログがポップアップし(図 13-5)、システム トレイに CAA タスクバー アイコンが表示されます。

図 13-5 CAA のログイン ダイアログ

 

8. 証明書を入力してネットワークにログインします。Web ログイン ページと同様に、複数の認証プロバイダーが設定されている場合は、[Provider] リストから 1 つを選択できます。


) セッション ベースの [Remember Me] チェックボックスをクリックすると、ユーザがアプリケーションを終了またはアップグレードしたり、マシンをリブートしたりしない場合、ログイン/ログアウトを何回実行しても [User Name] および [Password] フィールドに、直前に入力した値が読み込まれます。マシンを共有している場合は、[Remember Me] チェックボックスをオフにして、マシン上の複数のユーザが個々のユーザ名とパスワードを常に入力するようにします。

Cisco Clean Access がユーザ認証で RADIUS サーバを使用しており、追加の証明書を使用してユーザを認証するようにサーバが設定されている場合「RADIUS のチャレンジ/レスポンス方式 Windows Clean Access Agent ダイアログ」のようにユーザに、1 つ以上の追加のチャレンジ/レスポンス方式ダイアログが表示される場合があります。


9. ユーザはシステム トレイの CAA アイコンを右クリックして、Agent のタスクバー メニューを起動できます(図 13-6)。

図 13-6 CAA のタスクバー メニュー

 

タスクバー メニュー オプションの内容は、次のとおりです。

[Login/Logout]:このトグルは、ユーザのログイン ステータスを反映します。

[Login] は、ユーザが Clean Access Server の背後に存在し、ログインしていない場合に表示されます。

[Logout] は、ユーザがすでに Cisco NAC アプライアンスにログインしている場合に表示されます。

ディセーブル(グレー表示)の [Login] は、CAS から Clean Access Agent への SWISS 応答が存在しない場合に発生します。次の場合にこの状態になります。

CAA が CAS を検出できない場合

OOB 配置:Clean Access Agent ユーザが CAS 経由ですでにログインしており、現在アクセス VLAN 上にいる場合

SSO を使用するマルチホップ L3(VPN/WLC)配置:ユーザが VPN コンセントレータ経由で認証されており、したがって、すでに Cisco NAC アプライアンスに自動でログインしている場合

デバイス フィルタ:MAC アドレス ベースの認証がこのユーザのマシンに設定されており、ユーザ ログインが必要ない場合

[Popup Login Window]:このオプションは Clean Access Agent が最初にインストールされたときにデフォルトで設定されており、ユーザが Clean Access Server の背後に存在し、ログインしていないことを検出した場合に Agent ログイン ダイアログが自動的にポップアップします。

[Properties]:[Properties] を選択すると [Agent Properties and Information] ダイアログ(図 13-7)が起動し、L3 配置のクライアント マシンおよび Discovery Host にインストールされたすべての AV 製品および AS 製品が表示されます。

図 13-7 Properties

 

[About]:Clean Access Agent のバージョンが表示されます(図 13-8)。

図 13-8 About

 

[Exit]:アプリケーションを終了し、タスクバーの Clean Access Agent アイコンを削除し、ユーザを自動的にログオフします。


) • Clean Access Agent を終了するか、またはタスクバー アイコンが稼動していない場合は、デスクトップのショートカット(図 13-7)をクリックすることで Agent を起動して、タスクバー アイコンを表示することができます。

タスクバー メニューで [Popup Login Window] がディセーブルの場合、ユーザは常にシステム トレイから Agent アイコンを右クリックして、[Login](図 13-6)を選択して、ログイン ダイアログを起動できます。


 


) [Auto-Upgrade for Already-Installed Agents]:Clean Access Agent がすでにインストールされている場合、アップグレード通知をディセーブルにしていないかぎり、ログインするたびに自動アップグレードのプロンプトがユーザに表示されます。オプションでマシンのシャットダウン時に強制的にログアウトすることもできます(デフォルトでは、マシン シャットダウン時もユーザはログインしたままです)。自動アップグレードは必須またはオプションに設定できます。自動アップグレードがイネーブルの状態で、新しいバージョンの Agent を CAM から使用できる場合、既存の Agent ユーザにはログイン時に次のいずれかのアップグレード プロンプトが表示されます(図 13-9 または図 13-10)。

図 13-9 自動アップグレード プロンプトの例(必須)

 

図 13-10 自動アップグレード プロンプトの例(任意)

 

10. [OK] または [Yes] をクリックすると、Clean Access Agent を最新バージョンにアップグレードするセットアップ ウィザードが起動されます(図 13-66)。Agent がアップグレードし、ユーザがログインすると、要件のチェックが続行されます。


 

11. ユーザが証明書を送信すると、CAA はユーザ ロール用に設定された要件をクライアント システムが満たすかどうかを自動的にチェックします。ネットワーク スキャンも設定されている場合は、図 13-67 のダイアログも表示されます。

図 13-11 Clean Access Agent のスキャニング ダイアログ

 

12. 要求されたソフトウェアが存在しない場合は、[You have temporary access!] ダイアログ(図 13-69)が表示されます。ダイアログで指定されたセッション タイムアウト中は、ユーザに CAA Temporary ロールが割り当てられます。Temporary ロール セッション タイムアウトはデフォルトで 4 分に設定されており、ユーザが Web リソースにアクセスして、必要なソフトウェアのインストール パッケージをダウンロードできる十分な時間が設定されている必要があります。

図 13-12 Temporary アクセス:要件に違反

 

13. [Continue] をクリックすると、AV またはカスタム要求に関する Clean Access Agent ダイアログが表示されます。このダイアログでは、欠落しているソフトウェアが識別され、その要件タイプに設定されている説明、アクション ボタン、またはリンク、またはこの複数が表示されます。

14. ユーザを次のステップに誘導するために要件の [Description] フィールドに設定した内容が、[Description] テキストに表示されます。 実行する AV または AS アップデートの説明、アクセスする Web リソース、CAM を介して配布しているインストール ファイル、または説明が必要である場合のある要件のその他の項目すべてを指定します。

[AV Definition Update] 要件(図 13-13)の場合は、[Update] ボタンをクリックして、システムのクライアント AV ソフトウェアを更新します。

図 13-13 AV Definition Update 要件の例

 

Clean Access Agent は、AV/AS ソフトウェアが更新されると、成功したことを示す確認メッセージを表示します(図 13-14を参照)。

図 13-14 AV Definition Update が成功したことを示す確認メッセージ

 


) Clean Access Agent はクライアントにインストールされている AV/AS ソフトウェアのアップデート メカニズムから受信する応答に基づいて、成功したことを示す確認メッセージを表示します。Agent は AV/AS クライアント ソフトウェアとアップデート サーバ間のアップデート相互作用を制御しません。


[AS Definition Update] 要件(図 13-15)の場合は、[Update] ボタンをクリックして、クライアント システムの AS ソフトウェアの定義ファイルを更新します。

図 13-15 AS Definition Update 要件の例

 

[Windows Update] 要件(図 13-16)の場合、ユーザは [Update] ボタンをクリックして、要件に [Automatically Download and Install] が設定されている場合に Windows Update を設定し、クライアント システムのアップデートを強制します。

図 13-16 Windows Update 要件の例

 

[Windows Server Update Service] 要件(図 13-17)の場合、[Update] ボタンをクリックして、[Windows Server Update Service] を設定し、クライアント システムのアップデートを強制します。

図 13-17 Windows Server Update Service 要件の例

 

[Launch Program] 要件(図 13-18)の場合、[Launch] ボタンをリックして、要件が満たされない場合に復旧するために、認定されたプログラムを自動起動します。

図 13-18 Launch Programs 要件の例

 

[File Distribution] 要件(図 13-19)の場合、ボタンをクリックすると、[Go To Link] でなく [Download] が表示されます。[Download] をクリックすると、[Save file to] ダイアログが表示されます。 インストール ファイルをローカル フォルダに保存し、そこから実行可能ファイルを実行する必要があります( File Distribution によってユーザに提供できる最大ファイル サイズは 500MB です)。

図 13-19 File Distribution 要件の例

 

[Link Distribution] 要件(図 13-20)の場合は、[Go To Link] をクリックして、必要なソフトウェア インストール ファイルの Web サイトにアクセスできます。 ブラウザが開き、Location フィールドで指定された URL が表示されます。

図 13-20 Link Distribution 要件の例

 

15. この段階で [Cancel] をクリックすると、ログイン プロセスが停止します。

16. 要件ごとに、必要な処理(Update、Go To Link、Download)が完了したら、[Next] をクリックして次に進む必要があります。Clean Access Agent はシステムを再スキャンして、要件が満たされていることを確認します。満たされている場合、Agent はロールに設定された次の要件に進みます。

17. [Network Policy] ページがロールに対応するように設定されている場合、要件が満たされていれば、次のダイアログが表示されます(図 13-21)。(CAM または外部サーバにアップロードされた)[network usage policy] HTML ページを表示するには、[Network Usage Terms & Conditions] リンクをクリックします。正常にログインするには、[Accept] ボタンをクリックする必要があります。

図 13-21 ネットワーク ポリシー ダイアログ

 

このダイアログの設定の詳細については、「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください。

18. すべての要件が満たされている場合(およびネットワーク ポリシーが設定されている場合はそれを受け入れた場合)、ユーザは Temporary ロールから標準ログイン ロールに転送され、ログイン成功ダイアログが表示されます(図 13-22)。ユーザは標準ログイン ロールで許可されたネットワークに自由にアクセスできます。


) 要求をオプション化する [Do not enforce requirement] オプションがオンの場合に、Clean Access Agent 内でオプション要件に対応する [Next] をクリックすると、その他の要件がすべて満たされていれば、次の要件ダイアログまたはログイン成功ダイアログが表示されます。



) 管理者は Login および Logout 成功ダイアログが指定した秒数のあとに自動的に閉じるように設定したり、どちらのダイアログも表示されないように設定したりできます。詳細については、「エージェント ログイン」を参照してください。


図 13-22 ログイン成功

 

19. [Device Management] > [Clean Access] > [General Setup] > [Agent Login] にある [Allow restricted network access in case user cannot use Clean Access Agent] オプションをイネーブルにすると、Clean Access Agent 認証ダイアログに [Limited](アクセス制限)ボタンが表示され、ユーザが「制限付き」ネットワーク アクセスの受け入れを選択できます。[Limited] ボタンをクリックした場合、ユーザは、制限の少ない標準のネットワーク アクセス ロールの代わりに「制限付き」ユーザ ロールで Cisco NAC アプライアンス システムにログインし、図 13-23に示されているようなログイン確認ダイアログが提示されます。制限付きネットワーク アクセスのイネーブル化に関する詳細は、「エージェント ログイン」を参照してください。

図 13-23 制限付きネットワーク アクセス

 

20. ネットワークをログオフするには、システム トレイ内の CAA アイコンを右クリックして、[Logout] を選択します。 ログアウト画面が表示されます(図 13-81)。管理者がユーザをネットワークから削除する場合、[Popup Login Window] が設定されている場合には、[Login] ダイアログが代わりに再表示されます。


) 管理者は Login および Logout 成功ダイアログが指定した秒数のあとに自動的に閉じるように設定したり、どちらのダイアログも表示されないように設定したりできます。詳細については、「エージェント ログイン」を参照してください。


図 13-24 ログアウト成功

 

21. 要件を満たたユーザは、自身のコンピュータまたは Clean Access Agent 要件に変更がないかぎり、次のログイン時にこれらの Clean Access Agent チェックにパスします。

22. 要求されたソフトウェア インストールでコンピュータの再起動が必要な場合は、ネットワークをログアウトしてから、再起動する必要があります。そうしないと、ユーザはセッションがタイムアウトするまで Temporary ロールにとどまります。セッション タイムアウトおよびハートビート チェックを設定すると、ネットワークのログアウトに失敗したユーザを手動で切断できます。

RADIUS のチャレンジ/レスポンス方式 Windows Clean Access Agent ダイアログ

リモートユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、エンド ユーザの CAA ログイン セッションでは、標準のユーザ ID およびパスワード加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM に追加設定は不要です。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。

次の項では、Windows Clean Access Agent ユーザ認証用の対話のやりとりの例を紹介します。

1. リモート ユーザは通常どおりにログインし、ユーザ名とパスワードを入力します(図 13-5 を参照)。

図 13-25 Windows Clean Access Agent のログイン ダイアログ

 

2. 関連付けられた RADIUS サーバが追加の証明書でユーザを認証するように設定されている場合、図 13-26 に表示されたパスワードの更新シナリオと同じような追加のチャレンジ/レスポンス方式ダイアログが 1 つ以上ユーザに表示されます。ユーザは、追加の証明書を追加して、認証と接続を実行する必要があります。

図 13-26 追加の Windows RADIUS チャレンジ/レスポンス方式セッション ダイアログ

 

3. 追加のチャレンジ/レスポンス方式ダイアログが検証されると、RADIUS サーバは、ユーザが正常に認証され、リモート アクセスを許可する必要があることを CAM に通知します。

図 13-27 Windows RADIUS チャレンジ/レスポンス方式認証が成功した場合

 

Clean Access Agent のローカライズされた言語テンプレート

Clean Access Agent では、デフォルトの英語のほかに言語テンプレートを使用して複数のヨーロッパ言語をサポートしています。Clean Access Agent では、ドイツ語、イタリア語、フィンランド語、チェコ語、ノルウェー語、スペイン語、デンマーク語、フランス語、ロシア語、スウェーデン語、トルコ語、セルビア語、カタロニア語、ハンガリー語、オランダ語、およびポルトガル語をサポートしています。

Clean Access Agent は、ローカル コンピュータの Locale 設定に基づいた正しいテンプレートを選択します。ローカライズされた Agent を使用するには、ユーザは、[コントロール パネル] > [地域と言語のオプション] で対応する言語に Windows ロケール設定を変更する必要があります。たとえば、フランス語で Agent を使用するには、Windows ロケールをフランス語に設定する必要があります。

さらに、Clean Access Agent エラー メッセージの警告と Properties データはすべて、サポート対象の言語テンプレートに基づいています。Windows の英語版はすべての文字を正確に表示できないため、たとえば、ロシア語の Agent をロシア版の Windows で使用するといったように、Windows のローカライズ版でローカライズされた Agent を使用することを推奨します。管理者向けの要件と説明の名前は、CAM に設定されたとおりになります。CAM では、適切な言語の文字を使用して、チェック、規則、および要件の名前を設定できます。


) ロシア語の場合は Clean Access Agent をロシア語 Windows で実行する必要があります。これは英語版の Windows では、一部の文字を正しく表示できないためです。


管理者の場合、要件と説明の名前は、CAM に設定されたとおりになります。CAM では、適切な言語の文字を使用して、チェック、規則、および要件の名前を設定できます。

Clean Access Agent ダイアログでのテキスト ベースのメッセージは、すべてサポート対象の言語で表示されますが、実際のチェックと規則の名前は CAM に設定されたとおりになります。


) Clean Access Agent テンプレートのサポートは、Agent インストーラまたは AV/AS 製品の異なるクライアント オペレーティング システムに対するサポートとは異なります。Agent 言語テンプレートは、Agent のインストール後に表示される内容だけを制御します。


1. Clean Access Agent は [コントロール パネル] > [地域と言語のオプション] で設定されたクライアント PC の Windows ロケール設定(図 13-28)に基づいて正しいテンプレートを選択します。

図 13-28 ロケールに基づいた Clean Access Agent の言語テンプレート

 

2. CAM に設定された要件は、言語テンプレートに表示されます(図 13-29)。


) テキスト ベースのすべてのメッセージはサポート対象の言語で表示されますが、実際のチェック、規則、および要件の名前は CAM に設定されたとおりになります。CAM では、適切な言語の文字を使用して、チェック、規則、および要件の名前を設定できます。


図 13-29 Clean Access Agent 要件のダイアログ(ローカライズ済み)

 

3. エラー、メッセージ、警告、および Properties データはすべて、サポート対象の言語テンプレートに基づいています(図 13-30)。

図 13-30 言語テンプレートのメッセージおよびプロパティ

 


) Clean Access Agent テンプレートのサポートは、Agent インストーラ パッケージまたは AV/AS 製品が別の OS でサポートされるものではありません。言語テンプレートは、Agent のインストール後に表示される内容だけを制御します。


Mac OS X Clean Access Agent

この項では、クライアント マシンにインストールされている持続的ネットワーク アクセス アプリケーション経由でユーザに内部ネットワークへのログインを許可するように Mac OS X Clean Access Agent を設定する方法を説明します。

「Mac OS X Clean Access Agent の概要」

「Mac OS X Clean Access Agent の設定手順」

「Mac OS X ポスチャ評価の前提条件および制約事項」

「Mac OS X Agent でサポートされている要件タイプ」

「Mac OS X Clean Access Agent ダイアログ」

「Mac OS X Clean Access Agent のアプリケーション ファイルのロケーション」

Mac OS X Clean Access Agent の概要

Mac OS X Clean Access Agent には、クライアント マシンに対して、ローカル マシン エージェント ベースのポスチャ評価および修復を行う機能があります。ユーザは Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールします。これにより、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。

Clean Access Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Clean Access Server(CAS)から取得し、要求されたパッケージを検索し、レポートを(CAS を介して)CAM に送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。

Mac OS X Clean Access Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(任意)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。詳細については、「エージェント要件の設定」を参照してください。


) CAM Web コンソールでは、[Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] の Mac OS X CAA の配布オプションを表示できます。詳細については、「Windows CAA の配布」を参照してください。


Mac OS X Clean Access Agent の設定手順

Windows Clean Access Agent を設定するために必要な基本手順は、次のとおりです。

1. 「Agent の配布」の手順に従って、「Agent の使用要求」および「Mac OS X CAA の配布」を含む Mac OS X Clean Access Agent の配布とダウンロードをイネーブルにします。

2. 「Mac OS X Agent 要件の作成」の手順に従って、Mac OS X Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「カスタム要件の設定」

c. 「規則への要件のマップ」

d. 「ロールへの要件の適用」

e. 「要件の検証」

f. 「Optional および Audit 要件の設定」

Mac OS X ポスチャ評価の前提条件および制約事項

Mac OS X Clean Access Agent を使用してポスチャ評価を実行するには、Macintosh クライアント マシンおよび CAM/CAS が次の要件を満たす必要があります。

Mac OS X Agent の前提条件

Mac OS X Agent インストーラ(Apple の「Package Maker」システム アプリケーションにより作成)では、クライアントに Mac OS X Clean Access Agent を起動する CCAAgent.app と IP アドレス 更新手順を簡易化する dhcp_refresh の 2 つのアプリケーション ファイルをインストールします。

Macintosh クライアント ポスチャ評価をサポートするには、クライアント マシンで最新リリースの Mac OS 10.4(リリース 10.4.11)または 10.5(リリース 10.5.2)が稼動している必要があります。Mac OS 10.2 および 10.3 は、ポスチャ評価および修復に対応していません。

Mac OS X Agent の自動アップグレードは、Cisco NAC アプライアンスのバージョン 4.1.3.0 以降でサポートされています。ユーザは、Web ログイン経由で Agent をダウンロードし、Agent インストールを実行することにより、クライアント マシンを最新の Mac OS X Agent にアップグレードできます。詳しくは、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください。

Link Distribution 要件タイプによりブラウザが起動される場合は、ユーザが Safari ブラウザの Preference 設定で設定できるデフォルトのブラウザが使用されます。ユーザは、Safari、Firefox、Opera など必要に応じて任意のブラウザを選択できます。

Mac OS X Agent では、UTF-8 をフル サポートしています。したがって、CAM からの要件が英語以外の任意の言語(繁体字中国語など)で設定されていても、Mac OS X Agent では、引き続き Agent テキストを正しく表示できます。管理者に必要な作業は、Apple の Interface Builder を使用して別のユーザ インターフェイス ファイル(.nib)を作成し、クライアント マシンの System Preferences でロケールを変更することだけです。この機能を実装するためにコードは必要ありません。

ユーザ インターフェイスをローカライズするには、次の手順を実行します。

a. Interface Builder でローカライズされた新しい .nib ファイルを追加し、Mac OS X Agent(zh_TW は、繁体字中国語の場合の言語コード)を再コンパイルします。

b. クライアント マシンの System Preferences でロケールを変更します。

c. これにより、Mac OS X Agent では、新しいロケール設定に基づいて、ローカライズされたユーザ インターフェイスを表示します。

ユーザ プリファレンス設定オプション
(~/Library/Application Support/Cisco Systems/CCAAgent/preference.plist):

a. CAS 検出時にログイン ウィンドウが自動ポップアップされないようにします。

b. Agent が終了されるまで、ユーザの証明書をメモリに保存することを許可します。

c. VLAN 検出間隔を変更します(デフォルトは 5 秒、0 はディセーブル)。

Agent 設定の設定オプション(/Applications/CCAAgent/Contents/Resources/setting.plist):

a. Discovery Host IP アドレスを変更します。

b. LogLevel 設定を変更します。

Mac OS X Agent の制約事項

Mac OS X Clean Access Agent では、Windows Clean Access Agent で使用できるポスチャ評価機能の一部だけをサポートしています(Link Distribution、AV Definition Update、AS Definition Update、およびローカル チェックだけをサポート)

Mac OS X Agent では自動修復に対応していません。ユーザが、必須要件すべてを手動で修復して、クライアント マシンをネットワーク セキュリティ ガイドラインに準拠させる必要があります。

Mac OS X Agent では、認証のための IP ベースの証明書をサポートしていません。

ログ ファイル(~/Library/Application Support/Cisco Systems/CCAAgent/event.log)は暗号化されています。復号化については Technical Assistance Center にお問い合せください。

CAM/CAS の制約事項

Cisco NAC アプライアンスでは、Mac OS 10.4 および 10.5 だけをサポートしています。Mac OS 10.2 および 10.3 はサポートされていません。

Mac OS X Agent では、カスタム チェックおよびカスタム規則をサポートしていません。AV 規則および AS 規則を割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。

スタブ インストーラを使用して Mac OS X Agent をインストールするように CAM を設定することはできません。

Mac OS X Agent でサポートされている要件タイプ

Mac OS X Clean Access Agent では、Windows Clean Access Agent でサポートされているポスチャ評価機能の一部だけを実行します。現在 Mac OS X Agent では、次のポスチャ評価機能をサポートしています。

Link Distribution :この要件タイプでは、ソフトウェアが入手可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(および HTTPS の両方またはいずれか一方)はアクセスを許可するように Temporary ロールが設定されているか確認します。

Local Check :この要件タイプは、クライアント マシンに存在している必要のあるソフトウェアまたは存在していてはいけないソフトウェアを検索するチェックを作成するために使用できます。Mac OS X Agent では、Local Check は、主に、特定の要件が満たされているか満たされていない場合に、ユーザに必要な作業を通知するメッセージ メディアとして使用されます。Mac OS X Agent Assessment Report ウィンドウでは、Message アイコンを使用して、Local Check 要件が表示されます。

AV Definition Update および AS Definition Update :これらの要件タイプは、サポートされているアンチウイルス製品またはアンチスパイウェア製品についてのクライアント上の定義ファイルをレポートするためおよび更新するために使用されます。


) Mac OS X Agent では、AV Definition Update と AS Definition Update の両方をサポートしていますが、Cisco NAC アプライアンス リリース 4.5 に関連付けられている Opswat ライブラリには、現在 AS Definition Update が含まれていません。したがって、CAM AS Definition Update 要件設定ページでは、現在選択可能な AS Definition Update はありません。

サポートされている AV/AS アプリケーションのリストについては、『Release Notes for Cisco NAC Appliance, Version 4.5(1)』の「Clean Access Supported AV/AS Product List」の項を参照してください。


Windows Agent では「自動修復」に対応していますが、Mac OS X Agent ユーザは、セキュリティ要件を満たすようにクライアント マシンを手動で修復する必要があります。この必須のユーザ対話の詳細な例については、「Mac OS X Clean Access Agent ダイアログ」を参照してください。

Mac OS X Clean Access Agent ダイアログ

ユーザ ログイン ID の作成、ユーザ ロールの作成、Web ログインのための Cisco NAC アプライアンスの設定、および Mac OS X Clean Access Agent の初期設定とインストールについては、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「Cisco NAC Appliance Agents」の章を参照してください。


) Mac OS X CAA は、VPN 配置による SSO をサポートしていますが、Active Directory による SSO はサポートしていません。


詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』の「SSL Requirements for Mac OS/CAS Communication」の項も参照してください。

Mac OS X Clean Access Agent のユーザ シーケンスは次のとおりです。

1. ユーザが CAS の非信頼インターフェイス アドレスに移動し、Login ページ(図 13-31)にリダイレクトされます。

図 13-31 ログイン ページ - Mac OS X

 

2. ユーザは [Download Clean Access Agent] ページに誘導されます(図 13-32)。

図 13-32 Clean Access Agent のダウンロード:Mac OS X

 

3. [Download] ボタンをクリックすると、CCAAgent_Mac OSX.tar.gz.tar ファイルがデスクトップにダウンロードされ(図 13-33)、解凍されます。

図 13-33 デスクトップへの Clean Access Agent セットアップ実行ファイルのダウンロード

 

4. CCAAgent.pkg ファイルをダブルクリックすると、CAA の Mac OS インストーラが起動します(図 13-34)。

図 13-34 CCAAgent.pkg をダブルクリックし Clean Access Agent Installer を起動

 

5. [Continue] ボタンをクリックし、インストーラの Read Me 画面(図 13-35)に進みます。

図 13-35 Mac OS X Agent のインストール:Read Me

 

6. [Continue] ボタンをクリックし、インストーラの [Select a Destination] 画面(図 13-36)に進みます。

図 13-36 Mac OS X Agent のインストール:Select a Destination

 

図 13-37 Mac OS X Agent のインストール:Install/Upgrade ボタン

 

7. [Instal] または [Upgrade] ボタンをクリックして、インストールを実行します(図 13-37)。終了したら、[Close] をクリックします。


) Clean Access Agent がマシンに一度もインストールされていない場合、[Installation] 画面に [Install] ボタンが表示されます。一度でも Agent がインストールされている場合は、インストーラが起動された現時点でシステムに Agent が存在していなくても、[Upgrade] ボタンが表示されます。


図 13-38 Mac OS X Agent インストールの経過表示

 

図 13-39 Mac OS X Agent インストール:Install Succeeded

 

8. インストール後、CAA ログイン ダイアログが表示されます。Agent アイコンは、ツール メニュー(図 13-40)から使用できるようになります。Agent アイコンを右クリックすると、メニューの選択肢が表示されます。

[Login/Logout](ログイン ステータスに応じて切り替わります)


) Cisco Clean Access がユーザ認証で RADIUS サーバを使用しており、追加の証明書を使用してユーザを認証するようにサーバが設定されている場合、「RADIUS のチャレンジ/レスポンス方式 Mac OS X Clean Access Agent ダイアログ」のようにユーザに、1 つ以上の追加のチャレンジ/レスポンス方式ダイアログが表示される場合があります。


[Auto Popup Login Window](デフォルトでイネーブル)

[About](Clean Access Agent のバージョン画面を表示)

[Quit](Clean Access Agent アプリケーションを終了)

図 13-40 ツール メニューから使用できる Clean Access Agent ログイン ポップアップおよびデスクトップ アイコン

 

9. Cisco NAC アプライアンス システムにサインインするための認証証明書を Mac OS X Agent ログイン ダイアログで指定します。

図 13-41 Mac OS X Agent ログイン ダイアログ

 

10. ログインの際、Macintosh デスクトップの上部にある Macintosh クライアント マシン メニュー バーの Mac OS X Agent アイコンは、ログイン プロセスの関連状態およびセグメントに基づいて表示が変わります。

a. Searching :Agent は現在接続されておらず、CAS を検出するために SWISS パケットを送信しています。

 

b. Ready and waiting :Agent は CAS に接続されており、ログインする準備ができています。

 

c. Lost focus :Agent ウィンドウがデスクトップの最前面のアプリケーションでない場合、状態アイコンには「CLICK」と「FOCUS」が反復表示されます。ユーザが状態アイコンをクリックすると、Agent ウィンドウがデスクトップのアクティブ ウィンドウになります。このシグナルは、Agent ウィンドウが他の多数のウィンドウやアプリケーションに「埋もれて」いるときに有用です。特に、修復リンクにより Agent の前面にブラウザがポップアップされ、ユーザがアプリケーションまたはアップデートをダウンロードした後で Agent に戻る場合に有用です。

 

 

d. Quarantined :Agent がポスチャ評価および修復の間に Temporary ロールにある場合は、メニュー バーにこのアイコンが表示されることにより、ネットワークへのアクセスが制限されていることがユーザに通知されます。

 

e. Logged in :ユーザのログイン プロセスが完了しており、ネットワークを使用することができます。

 

f. Logged in via VPN :ユーザは VPN または VPN SSO 接続経由でサインインしており、正常にログインしています。

 

g. Error :エラーが発生(クライアントが CAS 証明書を検証できない、無効な CAS 証明書が検出された、ドメイン名を解決できないなど)すると、状態アイコンが感嘆符(!)アイコンに変わります。

 

11. ユーザ ログインの後で、必須またはオプションのいずれかの要件が満たされていない場合は、ユーザにデフォルトの Temporary ロールが割り当てられ、レポートに含まれる要件ごとに次の情報を含んだ [Assessment Report] ウィンドウ(図 13-42を参照)が表示されます。

[Run]:このカラムは、ユーザが選択するか未選択にするかを選択できるチェックボックスを含むか(要件がオプションの場合)、「グレー アウトされた」チェックボックスを含みます(要件が必須の場合)。これにより、ユーザは、[Remediate] ボタンをクリックして Assessment Report ウィンドウに表示されている要件すべてに対応する「前に」修復するオプション要件を選択できます。

[Name]:これは管理者が CAM に設定する要件の名前です。

[Description]:このフィールドは、管理者が要件を設定するときに情報または説明のために CAM で入力する [Description] フィールドからのテキストを含みます。

[Type](アイコン):このカラムのアイコンは要件タイプ(「Link」、「Update」、または「Message」)を示します。

[Required]:要件が [Mandatory] であるのか [Optional] であるのかを指定します。

ポスチャ評価に渡されない、ユーザ ログイン セッションに関連付けられた [Mandatory] 要件が存在する場合は、ユーザがログイン証明書を入力した後で、Mac OS X Agent によって Assessment Report ダイアログが自動で表示されます。

満たされない要件が [Optional] 要件だけである場合は、Agent により引き続き Assessment Report ダイアログがユーザに表示されますが、[Complete] ボタンをクリックして、ネットワークに正常にログインすることができます(この状況では、Agent は、[Mandatory] 要件すべて(ある場合)が満たされておりユーザは修復するかログインするかを選択できると想定します)。


) Audit 要件は、常にバックグラウントでチェックおよび検査され、「違反」している必須またはオプションの要件と一緒に、ユーザに表示される [Assessment Report] ウィンドウに表示されることはありません。


[Status](アイコン):レポート ダイアログに要件タイプの現行状態が表示されます。評価ダイアログが初めて開くときは、レポートの要件タイプはすべて「違反」(「X」アイコン)です。ユーザが順に各要件に対応すると、状態アイコンは「合格」(チェックマーク アイコンによる)に変わります。または、「Skip」(オプションの要件タイプの場合またはその時点ではユーザが修復できなかった必須要件の場合)に変わります。


) 必須要件を「Skip」することを選択した場合、ユーザは、Assessment Report の他の要件タイプおよびエントリに進み、それらに対応することができますが、クライアント マシンの修復を正常に完了し、必須要件すべてを満たさないうちは、ネットワークにログインできません(図 13-45 を参照)。


Assessment Report ウィンドウには、Agent Temporary ロールの期限が切れ、クライアント修復ウィンドウが閉じて、ユーザにログインと修復の再開を要求するまでの残り時間も表示されます(右上隅)。

図 13-42 [Mac OS X Agent Assessment Report] ダイアログ

 

12. ユーザは [Remediate] ボタンをクリックして、要件の基準を満たすためのクライアント マシンの更新を開始します。Mac OS X Agent では、Assessment Report の最初の「違反」要件の修復プロセスを開始し、リスト内の要件すべてがポスチャ評価に「合格」するか、ユーザが 1 つ以上の必須要件を「スキップ」するまで、要件リスト内を 1 つづつ進んで行きます。要件のタイプに応じて、修復プロセスの間に次のいずれかのプロセスがユーザに示されます。

Link Distribution(「Link」)要件の場合、ユーザは、必要なソフトウェアを入手でき、ユーザがダウンロードとインストールのプロセスをすぐに開始できる、ソフトウェア ダウンロード ページなどの Web ページに誘導されます。

Live Definition Update(「Update」)要件の場合、Mac OS X Agent では、クライアント マシン上のサポート対象のアンチウイルス製品またはアンチスパイウェア製品の定義ファイルについてレポートし、(ユーザが [Remediate] をクリックすると)これを自動で更新します。

Local Check(「Message」)の場合、Mac OS X Agent では、システムにインストールされている必要があるかされていない必要があるソフトウェアを検索します(Mac OS X Agent のコンテキストでは、この機能は、主に、特定の要件が満たされているか満たされていない場合に、ユーザに必要な作業を通知するメッセージ メディアとして使用されます。ユーザは、[Assessment Report] ウィンドウ自体では、具体的な処置を一切行いません)。

13. 要件対処の間に、[Status] カラムに [Skip] ボタンが表示されていれば、ユーザは必須要件の迂回を選択できます(図 13-43を参照)。このシナリオで [Skip] をクリックした場合は、必須要件が満たされていないため、ユーザは Cisco NAC アプライアンス システムにログインできません。この機能は、ユーザが Temporary ロールの時間制約内では特定の必須要件を満たせないとわかっており、もっと簡単に対応できる必須要件に進む場合に有用です。

図 13-43 Mac OS X Agent 要件の解決

 

特定の要件の Name および Description またはこのいずれかが長すぎて [Assessment Report] ウィンドウに表示されない部分がある場合でも、ユーザは、Assessment Report のほかに表示されるポップアップ(「ドローア」)でテキスト全体を表示できます。

14. 修復中にエラーが発生した場合は、Assessment Window の要件リストの上部にエラー メッセージ テキストが表示されます。たとえば、図 13-44には、必須のライブ Definition Update の際に発生した「No product that supports def-update found!」というエラーが表示されています。

図 13-44 Mac OS X Agent 要件に違反

 

修復プロセスの後でも 1 つ以上の必須要件が満たされていない場合、ユーザが [Assessment Report] ウィンドウで選択できるのは [Cancel] だけであり、Cisco NAC アプライアンス システムへはログインできません(図 13-45 を参照)。

図 13-45 前の Mac OS X Agent 必須要件に違反

 

15. ユーザは、Assessment Report のオプションの要件を [Skip] することもできます(図 13-46を参照)。ユーザが [Skip] をクリックすると、図 13-47に示すように Status アイコンが「違反l」(「X」アイコン)に変わりますが、その要件は必須ではなくオプションであるため、ユーザはシステムへのログインを引き続き許可されます。

図 13-46 Mac OS X Agent のオプション要件

 

図 13-47 Mac OS X Agent のオプション要件に違反

 

ユーザが特定の要件エントリをディセーブル化することにより、オプションの要件タイプの修復を実行しないことを選択してから [Remediate] ボタンをクリックした場合(図 13-48を参照)、Mac OS X Agent の動作は同様です。[Agent が Assessment Report] ウィンドウでこの特定の要件に到達すると、Agent では、その要件に自動で「違反」のマークを付け、次の要件に進むか、(そのオプション要件がリスト内の最後の要件であり、他の要件すべてが満たされている場合は)[Complete] ボタンを表示します。

図 13-48 スキップされた Mac OS X Agent のオプション要件

 

16. 要件すべてが修復されると、[Assessment Report] ウィンドウの下部に [Complete] ボタンが表示され、ユーザは Cisco NAC アプライアンス システムにログインできます(図 13-49 を参照)。

図 13-49 Mac OS X Agent の要件すべてに合格

 

17. 必須要件すべてが満たされた後でユーザは [Complete] ボタンをクリックして、ネットワークに正常にログインします。ユーザが Cisco NAC アプライアンス システムに正常にログインすると、Mac OS X Agent は、Assessment Report を CAS に返送します。

図 13-50 Mac OS X Agent のログインに成功

 

Mac OS X Clean Access Agent のアプリケーション ファイルのロケーション

Clean Access Agent アプリケーション自体は、[Macintosh HD] > [Applications] > [CCAAgent.app] にインストールされます(図 13-51)。

図 13-51 Clean Access Agent:アプリケーション インストール ロケーション

 

Clean Access Agent の event.log デバッグ ファイルと preference.plist ユーザ プリファレンス ファイルは、[<username>] > [Library] > [Application Support] > [Cisco Systems] > [CCAAgent] フォルダにインストールされます(図 13-52)。

図 13-52 Clean Access Agent:event.log および preference.plist ファイルのロケーション

 

preference.plist ファイル(図 13-53)には、次の内容が含まれています。

[AutoPopup Login Window] が Menu でチェックされているかどうか(AutoPopup)。

[Remember Me] が Login 画面でチェックされているかどうか(RememberMe)。

Agent がアクセス VLAN から認証 VLAN への変更検出を実行する頻度(VlanDetectInterval)。

図 13-53 Clean Access Agent:preference.plist ファイルの内容

 

RADIUS のチャレンジ/レスポンス方式 Mac OS X Clean Access Agent ダイアログ

リモートユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、エンド ユーザの CAA ログイン セッションでは、標準のユーザ ID およびパスワード加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM に追加設定は不要です。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。

次の項では、Mac OS X Clean Access Agent ユーザ認証用の対話のやりとりの例を紹介します。

1. リモート ユーザは通常どおりにログインし、ユーザ名とパスワードを [Mac OS X Clean Access Agent] ログイン ダイアログに入力します(図 13-54 を参照)。

図 13-54 Mac OS X ログイン ダイアログ

 

2. 関連付けられた RADIUS サーバが追加の証明書でユーザを認証するように設定されている場合、図 13-55 に表示されたパスワードの更新シナリオと同じような追加のチャレンジ/レスポンス方式ダイアログが 1 つ以上ユーザに表示されます。ユーザは、追加の証明書を追加して、認証と接続を実行する必要があります。

図 13-55 追加の Mac OS X RADIUS チャレンジ/レスポンス方式ダイアログ

 

3. 追加のチャレンジ/レスポンスが検証されると、RADIUS サーバは、ユーザが正常に認証され、リモート アクセスを許可する必要があることを Clean Access Manager に通知します(図 13-56)。

図 13-56 Mac OS X RADIUS チャレンジおよびレスポンス方式認証が成功した場合

 

Cisco NAC Web Agent

この章では、クライアント マシンに恒久的で専用のネットワーク アクセス アプリケーションを必要とすることなく、ユーザにネットワークへのログインを許可するよう Cisco NAC Web Agent を設定する方法を説明します。

「概要」

「Cisco NAC Web Agent の設定手順」

「Cisco NAC Web Agent ユーザ ダイアログ」

概要


警告 56 キロビット/秒より遅いリンク速度で接続されているクライアント マシンでは、Cisco NAC Web Agent の使用をお勧めしません。


Cisco NAC Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。ユーザが Cisco NAC Web Agent 実行ファイルを起動すると、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。ユーザが Web Agent セッションを終了すると、Web Agent がこのユーザをネットワークからログオフさせ、このユーザのユーザ ID が Online Users リストから消えます。

ユーザが Cisco NAC Web Agent にログインした後で、Web Agent では、そのユーザ ロールおよび OS に設定されている要件を Clean Access Server から取得し、ホスト レジストリ、プロセス、アプリケーション、およびサービスを調べて、必要なパッケージを確認し、レポートを CAM に返送します(CAS 経由)。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログ([New Requirement] フォームで設定)には、クライアント マシンを要件に適合させる手順および対処法が表示されます。あるいは、指定された要件が満たされない場合、ユーザは「制限付き」ネットワーク アクセスを受け入れ([Device Management] > [Clean Access] > [General Setup] > [Agent Login] ページでイネーブル化した場合)、クライアント マシンにユーザ ログイン ロールの要件を満たさせるために修復を試みることができます。管理者は、「新しいロールの追加」に示されているガイドラインに従い、標準のユーザ ログイン ロールを設定する場合と同じ方法で「制限付き」ユーザ ロールを設定して、限られたアプリケーションとネットワークのリソースだけへのアクセスを提供することができます。

Cisco NAC Web Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(オプション)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。この章では、これらの要件の設定方法について説明します。

図 13-57は、ユーザが Cisco NAC Web Agent を使用して Cisco NAC アプライアンス ネットワークにログインするときに発生するイベントの順序を示します。

図 13-57 Cisco NAC Web Agent のユーザ対話/ユーザ体験

 

システム要件

Cisco NAC Web Agent に対応するには Cisco NAC アプライアンス ネットワークが次の要件を満たす必要があります。

オペレーティング システムの依存関係

ブラウザ サポート

ActiveX および Java アプレットの要件

Windows Vista での Microsoft Internet Explorer 7

オペレーティング システムの依存関係

Cisco NAC Web Agent は、次のオペレーティング システムにインストールして起動できます。

Windows 2000(Service Pack 4)

Windows XP Professional/Home(Service Pack 1 および 2)

Windows Vista Home Premium/Ultimate(認証だけ)


) Windows Vista オペレーティング システムの「Guest」ユーザ プロファイルでは、セキュリティ制限により、ActiveX コントロールおよび Java アプレットが適切に実行されません。したがって、Web Agent 経由で Cisco NAC アプライアンスにログインするには、既知のユーザ(「Guest」でない)として Windows Vista クライアントにログインする必要があります。


ブラウザ サポート

Cisco NAC Web Agent は、次の Web ブラウザからインストールして、起動できます。

Microsoft Internet Explorer バージョン 6 または 7(ActiveX または Java アプレット)

Firefox バージョン 1.5 または 2.0(Java アプレットに限る)

ActiveX および Java アプレットの要件

Java アプレット バージョンを使用して Web Agent ファイルをインストールするには、クライアントに Java バージョン 1.4.2 以上がすでにインストールされている必要があります。

ActiveX を使用して Web Agent ファイルをインストールするには、クライアント マシンで Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインストールすることはできません。

ActiveX コントロールをインストールできるようにするには、ユーザは、クライアント マシンにおいて ActiveX をダウンロードする権限か admin 権限を持つ必要があります。


) クライアント マシンの CPU 負荷が 100% 近くなっていると Web Agent Java アプレットを起動できない場合があります(ActiveX は、これらの条件でも正常に実行されます)。


Windows Vista での Microsoft Internet Explorer 7

デフォルトでは、Windows Vista では、サーバ証明書失効リストをチェックして、クライアント マシンでの Web Agent の起動を阻止します。この機能をディセーブルにするには、次の手順を行います。


ステップ 1 Internet Explorer 7 で [メニュー] > [ツール] > [インターネット オプション] に移動します。

ステップ 2 [詳細設定] タブをクリックします。

ステップ 3 [セキュリティ] にある [サーバー証明書の取り消しを確認する] オプションをオフ(ディセーブル)にします。

ステップ 4 [OK] をクリックします。


 

Cisco NAC Web Agent の設定手順

Cisco NAC Web Agent をイネーブルにし、使用するために Cisco NAC アプライアンス システムを設定するために必要な基本手順は次のとおりです。

1. 必ず「Agent の配布」の手順に従って Cisco NAC Web Agent をイネーブルにし、インストーラ ダウンロード パラメータを指定してください。

2. (オプション)「新しいロールの追加」の説明に従って、「Restricted Access」ロールを設定します。

3. 「エージェント要件の設定」の手順に従って Agent の要件を設定します。

a. 「AV および AS Definition Update 要件の設定」

b. 「Windows Server Update Services 要件の設定」

c. 「Windows Update 要件の設定」

d. 「カスタム チェック、規則、および要件の設定」

e. 「Launch Programs 要件の設定」

f. 「要件と規則のマッピング」

g. 「ユーザ ロールへの要件の適用」

h. 「要件の検証」

i. 「Optional および Audit 要件の設定」

上記内容に対応した後で、ユーザは、システム設定に定義されたパラメータおよび要件に従って Cisco NAC アプライアンス システム経由でログインし、ネットワーク アクセスを得ることができます。

Cisco NAC Web Agent ユーザ ダイアログ

この項では、ユーザが Cisco NAC Web Agent 経由でネットワークにアクセスするときのユーザ体験について説明します。


) クライアント マシンにおけるユーザの権限レベル(Administrator、Privileged User、User など)および Web ブラウザのセキュリティ設定に応じて、ダウンロード プロセスおよびインストール プロセスの重要なポイントで、「警告」またはメッセージ ダイアログがユーザにさらに表示されたり、表示されなかったりします(たとえば、ユーザは、インストール プロセスがユーザを特定の URL の宛先にリダイレクトすることに同意したり、Web Agent 実行ファイルが後続のクライアント スキャンを起動することを承認したりする必要がある場合があります)。


1. ユーザが最初に Web ブラウザを開くと、Web ログイン ページにリダイレクトされます(図 13-58)。

図 13-58 ログイン ページ

 

2. ユーザは Web ログイン ページで証明書を入力し、Cisco NAC Web Agent Launch ページ(図 13-59)にリダイレクトされます。このページで、ユーザは、Cisco NAC Web Agent の ActiveX インストーラまたは Java アプレット インストーラを選択して起動できます。インストーラの起動方式は、[Administration] > [User Pages] > [Login Page] 設定画面の [Web Client (ActiveX/Applet)] オプションを使用して決定します。


) ActiveX を使用して Web Agent ファイルをインストールするには、クライアント マシンで Microsoft Internet Explorer を使用する必要があります。Firefox Web ブラウザを使用して ActiveX 経由でインストールすることはできません。


図 13-59 Cisco NAC Web Agent 起動ページ

 

3. ユーザは、[Launch Cisco NAC Web Agent] ボタンをクリックします(このボタンは、インストールする Web Agent のバージョンを表示します)。


) [Device Management] > [Clean Access] > [General Setup] > [Agent Login] で [Allow restricted network access in case user cannot use Cisco NAC Web Agent] オプションが選択されている場合、[Get Restricted Network Access] ボタンと関連するテキストが [Download Clean NAC Web Agent] ページに表示されます。詳細については、「エージェント ログイン」を参照してください。



) 既存の CAS 証明書がクライアント側で信頼されない場合、ユーザは、Web Agent の起動を正常に次に進める前に表示される [Security Alert] ダイアログでオプションの証明書を受け入れる必要があります。


図 13-60 ActiveX インストール通知

 

4. クライアント マシンに対する ActiveX コントロールのインストールなどのアクションを確認するようユーザの Web ブラウザが設定されている場合、ユーザはアクションを確認する必要がある場合があります。たとえば、Microsoft IE の場合は、ブラウザ ウィンドウに表示されるステータス バーをクリックし、その結果表示されるポップアップで [ActiveX コントロールのインストール] オプションを選択して ActiveX プロセスを確認する必要がある場合があります。

ActiveX コントロールが初期化できない場合は、図 13-61にあるような ActiceX インストールの通知がユーザに表示されます。さらに ActiveX 方式が失敗したときに Java アプレットによって Web Agent ファイルのダウンロードを試行するよう Cisco NAC アプライアンス システムが設定されている場合は、Cisco NAC アプライアンス システムが Java アプレットを使用して Web Agent インストール ファイルをダウンロードしようとしたときに図 13-62にあるような Java セキュリティ通知がユーザに表示されることがあります。

または、ユーザは Cisco NAC Web Agent をログインのために使用できず、Cisco NAC アプライアンス ネットワーク管理者に連絡して、インストール プロセスの問題のトラブルシューティングを試行および支援するよう依頼するか、Web Agent のインストールの問題を修正できるまで当面は「制限付き」ネットワーク アクセスを受け入れるかのいずれかを行う必要があります。


) [Administration] > [User Pages] > [Login Page] 設定画面で [Web Client (ActiveX/Applet)] オプションを使用して Java アプレット方式を優先することを指定した場合は、これらの事象が発生する順序が逆になります。ユーザが Java アプレットの失敗通知を受け取ってから ActiveX コントロールによるクライアント マシンでの Web Agent ファイルのインストールが試行されます。


図 13-61 ActiveX インストール通知

 

図 13-62 Java Applet セキュリティ通知

 

ActiveX と Java アプレットの両方に方式よる Web Agent のダウンロードおよびインストールが失敗すると、図 13-63にあるような通知画面がユーザに示され、Cisco NAC Web Agent のログインに失敗したことをユーザに通知する Windows ダイアログ(図 13-64)が表示されます。


) ActiveX コントロールまたは Java アプレットが Cisco NAC アプライアンス システムに戻すステータス コードおよびエラー コードについて詳しくは、「Cisco NAC Web Agent のステータス コード」表 13-1を参照してください。


図 13-63 ActiveX および Java のインストール失敗通知

 

図 13-64 Cisco NAC Web Agent ログイン失敗通知

 

5. ユーザが ActiveX コントロールによる Web Agent ファイルのインストールを許可するか、Java 証明書セキュリティ警告に同意し、Java アプレット コンテンツを受け入れると、Web Agent スタブ インストーラの処理が開始されて Web Agent 実行ファイルおよび必須の付随するファイルすべてがクライアント マシンの一時ディレクトリ(たとえば C:¥Temp¥ )にインストールされ、ブラウザ ウィンドウに図 13-65にあるような「Downloading Cisco NAC Web Agent...」というメッセージが表示されます。

図 13-65 Cisco NAC Web Agent 実行ファイルのダウンロード

 

このプロセスでのダウンロード ステップは、接続速度に応じて、ほんの数秒で終わることもあれば、数分かかることもあります。一般に、10/100 Ethernet LAN リンクなどの接続速度の速いリンクではほとんど時間がかからない一方、ISDN など相対的に遅いリンクではずっと長時間かかります。


警告 56 キロビット/秒より遅いリンク速度で接続されているクライアント マシンでは、Cisco NAC Web Agent の使用をお勧めしません。


実行ファイルがクライアント マシンのローカル一時ファイル ディレクトリにダウンロードされると、自己解凍式インストーラによりクライアント マシンでの Web Agent の起動が自動で開始され、図 13-66に示されているようなステータス ウィンドウがユーザに表示されます。

図 13-66 Cisco NAC Web Agent のインストール

 

6. ActiveX コントロールまたは Java アプレットのセッションが完了すると、Cisco NAC Web Agent では、クライアント システムが、ユーザ ロールに設定されている要件を満たしているかどうかを自動でチェックします(図 13-67 を参照)。

図 13-67 Cisco NAC Web Agent スキャン ダイアログ

 

7. Web Agent によるスキャンにより、「必須」のアプリケーション、プロセス、または重要なアップデートが欠落していると判定されると、「Host is not compliant with network security policy」というメッセージ(図 13-68から図 13-75の例を参照)が示され、ダイアログに示されているセッション タイムアウト(通常は、デフォルトにより 4 分)まで Cisco NAC Web Agent Temporary ロールがユーザに割り当てられます。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては「Cisco NAC Web Agent のステータス コード」表 13-2を参照してください。


8. ユーザは次の 1 つ以上を選択して実行できます。

Web Agent の起動を打ち切るには [Cancel] をクリックします。

ユーザが Web Agent のログインに関するものである可能性のある問題のトラブルシューティングを支援してもらうために Cisco NAC アプライアンス管理者に転送できる Web Agent セッション レポートのローカル コピーを保存するには [Save Report] をクリックします

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)


) レポート ダイアログでは IFRAME が使用されているため、レポート データとアクセス制限されたデータは、別々の HTML ファイルに保存されます。[HTML Only] オプションおよび [Text] オプションを使用した場合は、レポートおよび制限されたデータは、保存されるファイルに含まれません。


制限の少ない標準のネットワーク アクセス ロールの代わりに「制限付き」ユーザ ロールを使用して Cisco NAC アプライアンス システムにログインするには、[Get Restricted Network Access] をクリックします。

手動修復の実行:ユーザは、必要なソフトウェアのインストール パッケージをダウンロードし、表示された Remediation Suggestion エントリに従ってその他の必要な修復作業を行ってから、[Re-Scan] をクリックして、実行した変更によりクライアント マシンが容認される程度まで適合したかどうかを確認できます。


) Temporary ロール セッションのタイムアウトは、デフォルトでは 4 分に設定されていますが、ユーザが Web リソースにアクセスし、必要なソフトウェアのインストール パッケージをダウンロードし、場合によってはその他の修正作業を実行してから、クライアント マシンの適合性を [Re-Scan] してみることができる十分な時間を設定することをお勧めします。


図 13-68 必須の WSUS 定義要件に違反

 

図 13-69 必須の AV Definition 要件に違反

 

図 13-70 必須の AS Definition Update 要件に違反

 

図 13-71 必須の File Distribution 要件に違反

 

図 13-72 必須の Launch Program 要件に違反

 

図 13-73 必須の Link Distribution 要件に違反

 

図 13-74 必須の Local Check 要件に違反

 

図 13-75 必須の Windows アップグレード要件に違反

 

9. Web Agent によるスキャンにより、「オプション」のアプリケーション、プロセス、またはアップデートが欠落していると判定されると、「Host is compliant with network security polic」というメッセージ(図 13-76)が示され、ダイアログに示されているセッション タイムアウト(通常は、デフォルトにより 4 分)まで Cisco NAC Web Agent Temporary ロールがユーザに割り当てられます。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては「Cisco NAC Web Agent のステータス コード」表 13-2を参照してください。


10. ユーザは、次の 1 つを選択して実行できます。

Web Agent の起動を完了するには [Continue] をクリックします。

[Save Report] をクリックすると、Web Agent のログインに関する可能性のある問題のトラブルシューティングを支援してもらうためにユーザが Cisco NAC アプライアンス 管理者に転送できる Web Agent セッション レポートのローカル コピーが保存されます。次の形式のレポートが入手可能です。

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)


) レポート ダイアログでは IFRAME が使用されているため、レポート データとアクセス制限されたデータは、別々の HTML ファイルに保存されます。[HTML Only] オプションおよび [Text] オプションを使用した場合は、レポートおよび制限されたデータは、保存されるファイルに含まれません。


手動修復の実行:ユーザは、必要なソフトウェアのインストール パッケージをダウンロードし、表示された Remediation Suggestion エントリに従ってその他の必要な修復作業を行ってから、[Re-Scan] をクリックして、実行した変更によりクライアント マシンが十分に適合したかどうかを確認できます。


) Temporary ロール セッションのタイムアウトは、デフォルトでは 4 分に設定されていますが、ユーザが Web リソースにアクセスし、必要なソフトウェアのインストール パッケージをダウンロードし、場合によってはその他の修正作業を実行してから、クライアント マシンの適合性を [Re-Scan] してみることができる十分な時間を設定することをお勧めします。


図 13-76 オプション要件に違反

 

11. Web Agent によるスキャンにより、クライアント マシンが、ユーザ ロールに設定されている Agent 要件に準拠していると判定された場合は、グリーンのバナーを使用して「Host is compliant with network security policy」というメッセージがユーザに示されます(図 13-77)。


) Cisco NAC Web Agent が Cisco NAC アプライアンス システムに戻すステータス コードについては「Cisco NAC Web Agent のステータス コード」表 13-2を参照してください。


12. ユーザは、次の 1 つを選択して実行できます。

Web Agent の起動を完了するには [Continue] をクリックします。

[Save Report] をクリックすると、Web Agent のログインに関する可能性のある問題のトラブルシューティングを支援してもらうためにユーザが Cisco NAC アプライアンス 管理者に転送できる Web Agent セッション レポートのローカル コピーが保存されます。次の形式のレポートが入手可能です。

[Web Archive, Single File](*.mht):Microsoft Internet Explorer ブラウザだけに限定

[Web Page, Complete](*.htm, html):すべてのブラウザをサポートしますが、リソース ファイル(GIF、CSS など)はサブディレクトリに保存

[Web Page, HTML Only](*htm, *.html):フォーマットおよび GIF は対象外

[Text File](*.txt)

図 13-77 要件に適合

 

13. [Device Management] > [Clean Access] > [General Setup] > [Agent Login] ページで、ユーザに Network Usage Policy の表示と受け入れを要求するよう Cisco NAC アプライアンス システムを設定してあり、ユーザに [Full UI Direct Installation Option] を表示するよう [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] ページを設定してある場合は、図 13-78にあるようなダイアログがユーザに表示される場合があります。ユーザが、Network Usage Policy を受け入れない場合はインストール プロセスが停止され、ユーザはインストールと起動のプロセスを再開するか、「制限付き」ネットワーク アクセスを受け入れるかのいずれかを選択する必要があります。

図 13-78 (オプション)Network Usage Policy ダイアログ

 

14. ユーザが手動修復を実行し、クライアント マシンの「再スキャン」を正常に実行し、オプションの Network Usage Policy すべてを受け入れ、オプションの要件項目を識別および認識するか、このユーザ ログイン セッションで「制限付き」アクセスを受け入れることを選択すると、[Successfully logged on to the network] ダイアログ(図 13-79)がユーザに表示されます。続いて、Web Agent セッション ステータス情報と、ユーザがクリックして Web Agent セッションを終了できる [Logout] ボタンのある Clean Access Authentication ブラウザ ウィンドウ(図 13-81)が表示されます。

図 13-79 Cisco NAC Web Agent への正常ログイン

 

Cisco NAC Web Agent が起動され、インストールされ、なんの問題もなくログイン セッションが開始されるか、ユーザが手動修復を行いクライアント マシンを準拠させてクライアントの「再スキャン」を正常に実行できた後であっても、別の問題が原因で Cisco NAC Web Agent がユーザをネットワークにログインさせない場合があります。この結果、図 13-80にあるような「You will not be allowed to access the network...」というメッセージが表示されます。この状況の既知の原因は多数ありますが、たとえば同じユーザの前回の Web Agent セッションが CAM で適切に「解体」されなかった場合や、ユーザがアクティブ Clean Access Agent セッションに現在ログインしている場合があります。

このいずれかのメッセージが表示された場合は、[OK] をクリックし、Cisco NAC Web Agent を再起動してみてください。問題が続く場合は、Cisco NAC アプライアンス システム管理者に連絡してください。

図 13-80 Cisco NAC Web Agent へのログインに失敗

 

図 13-81 Cisco NAC Web Agent 接続状態ウィンドウ(Logout ボタンを含む)

 

15. Cisco NAC アプライアンス ユーザ セッションからログアウトし、Cisco NAC Web Agent を解放するには、ユーザは [Logout] ボタンをクリックします。Web インターフェイスが、ユーザをネットワークからログアウトし、セッションをクライアント マシンから削除して、ユーザ ID が Online Users リストに表示されなくなります。


) ユーザは、システム トレイにある Clean Access Agent アイコンを右クリックし [Logout] を選択して、ネットワークからのログオフと Cisco NAC Web Agent の解放を行うこともできます。


システムから「ログアウト」しないで Web Agent 接続ブラウザ ウィンドウを閉じた場合は、割り当てられたユーザ ロールでのユーザ セッションがアクティブなままになります。この状態は、クライアント マシンが有効でないことを CAM が検出するか、セッション タイムアウトが発生するか、その他のなんらかのイベントが発生してクライアント マシンの正しい状態が明らかになるまで続きます。


) 管理者は指定した秒数の後で Web Agent Login 成功ダイアログが自動で閉じるように設定するか、まったく表示されないようすることができます。詳細については、「エージェント ログイン」を参照してください。


Agent のトラブルシューティング

ここでは、次の項目について説明します。

クライアントが接続およびログインできない

Clean Access Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS 規則のトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)


) Agent スタブ インストーラ ロギングおよびデバッグ ロギングの詳細については、『Release Notes for Cisco NAC Appliance, Version 4.5(1)』の「Generating Windows Installer Log Files for Agent Stub」および「Debug Logging for Cisco NAC Appliance Agents」のトラブルシューティングの項を参照してください。


クライアントが接続およびログインできない

次のログイン時のクライアント エラーは、CAM/CAS 証明書関連の問題(つまり、CAS が CAM の証明書を信頼しない、またはその逆)があることを示します。

ユーザの証明書を入力したあと、Web ログインを試みているユーザに、ログイン ページが継続して表示され、リダイレクトされない

Clean Access Agent ログインを試みているユーザに「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain> 」のエラーが表示される

これらの問題を解決するには、「証明書に関する問題のトラブルシューティング」を参照してください。

Clean Access Agent がポップアップしない、ログインがディセーブル

L2 または L3 配置において、Agent の Popup Login Window をイネーブルにしてあると Clean Access Agent がクライアントでポップアップし、Agent が Clean Access Server の背後にあることを検出します。Agent がポップアップしない場合は、CAS に到達できないことを示します。

L2 配置のトラブルシューティングの手順を実行します。

1. クライアント マシンが正しい IP アドレスを取得できるようにします。コマンド ツール([スタート] > [ファイル名を指定して実行] > cmd)を開き、「 ipfconfig 」または「 ipconfig /all 」を入力して、クライアント IP アドレス情報をチェックします。

2. 必要な場合、「 ipconfig /release 」を入力してから、「 ipconfig /renew 」を入力して、クライアントの DHCP リース時間をリセットします。

L3 配置のトラブルシューティングの手順を実行します。

1. [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] | [Discovery Host] で、[Discovery Host] フィールドに CAM の IP アドレスが設定されているかどうかをチェックします。このフィールドは、信頼できる側の装置のアドレスである必要があり、CAS のアドレスにはできません。

2. クライアントの Clean Access Agent をアンインストールします。

3. [Discovery Host] フィールドを CAM の IP アドレスに変更して、[Update] をクリックします。

4. CAS をリブートします。

5. クライアントに Clean Access Agent を再ダウンロードおよび再インストールします。


) Clean Access Agent の [Login] オプションは、次の場合は、適切にディセーブルにされます(グレー表示)。

OOB(アウトオブバンド) 配置において、Agent ユーザは CAS 経由ですでにログインしていて、クライアント ポートが Access VLAN 上にある場合

マルチホップ L3 配置において、Single Sign-On(SSO)がイネーブル化されていて、ユーザが VPN コンセントレータを介してすでに認証されている場合(したがって、すでに Cisco NAC アプライアンスに自動的にログインしている場合)

MAC アドレス ベースの認証がこのユーザのマシンに設定されており、ユーザ ログインが必要ない場合


 

クライアントが接続できない(トラフィック ポリシー関連の問題)

次のエラーは、DNS、プロキシまたはネットワーク トラフィック ポリシー関連の問題である場合があります。

ユーザは Clean Access Agent 経由でログインできるが、ログイン後に Web ページおよびインターネットにアクセスできない。

ユーザが URL に https://<CAS_IP_address> を入力せずに、Web ログイン ページにアクセスすることができない。

これらの問題をトラブルシューティングするには、次の手順を実行します。

CAS の [Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DNS] で、[DNS Servers] 設定を確認し、必要に応じて変更します。

DHCP サーバとして CAS をイネーブルにしている場合、[Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DHCP] > [Subnet List] > [List] | [Edit] で、Subnet List の [DNS Servers] フィールドを確認および変更、またはいずれか一方を行います。

ログイン後に復旧サイトに到達できない場合は、[User Management] > [User Roles] > [Traffic Control] > [Host] で、Temporary ロールのデフォルトのホスト ポリシー(Allowed Hosts)がイネーブルであることを確認します。

プロキシ サーバを使用している場合、プロキシ サーバへの HTTP トラフィックを許可しているトラフィック ポリシーが Temporary ロールでイネーブルにされていることを確認します。ブラウザでプロキシが正しく設定されていることを確認します(IE から [ツール] > [インターネット オプション] > [接続] > [LAN の設定] | [プロキシ サーバー] に進みます)。

詳細については、「ホストベースのポリシーに関するトラブルシューティング」を参照してください。

AV/AS 規則のトラブルシューティング

CAA の管理者レポートを表示するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] に進みます。クライアントから情報を表示するには、Agent タスクバー アイコンを右クリックして、[Properties] を選択します。

AV/AS 規則のトラブルシューティングを行う場合は、次の情報が必要です。

1. CAS、CAM、および CAA のバージョン

2. クライアント OS バージョン(たとえば、Windows XP SP2)

3. AV/AS ベンダー製品の名前およびバージョン

4. 障害の内容 - AV/AS インストール チェックであるか、または AV/AS 更新チェックであるか。および、エラー メッセージの内容。

5. 障害のあるクライアント マシンの AV/AS 定義日/バージョンの現在値

6. CAM で検索されている AV/AS 定義日/バージョンの対応する値 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照)。

Cisco NAC Web Agent のステータス コード

表 13-1 は、クライアント マシンに Cisco NAC Web Agent をインストールするために使用される ActiveX または Java アプレット ダウンローダが渡すステータス コードを示します。

 

表 13-1 ActiveX コントロールまたは Java ダウンローダ アプレットからの Java サーバ ページ ステータス コード

ActiveX/Java アプレットのステータス コード
値および説明

ACTIVEX_FAILURE

-1 「ActiveX コントロールを起動できない」

DL_FAILURE

-2 「Web Agent 実行ファイルをダウンロードできない」

EXE_FAILURE

-3 「Web Agent の実行中にエラー」

ACTIVEX_START

0

STATUS_DL_START

1

DL_IN_PROGRESS

2

EXE_IN_PROGRES

3

表 13-2 は、ポスチャ評価および修復において Cisco NAC Web Agent システムが Cisco NAC アプライアンス システムに戻すステータス コードを示します。

 

表 13-2 Cisco NAC Web Agent のステータス コード

Cisco NAC Web Agent のステータス コード

COMPLIANT/SUCCESS

32

NON_COMPLIANT

33

REJECTED_AUP

34

REMEDIATION TIMEOUT

35

GENERAL ERROR

36

TEMPORARY/RESTRICTED ACCESS

37

WEB AGENT ALREADY RUNNING

38

Windows Script 5.6 の既知の問題

CAA を適切に機能させるには、Windows Script 5.6 が必要です。Windows 2000 以前のほとんどの OS には、Windows Script 5.1 コンポーネントが付属しています。Windows Updates を実行すると、新しい 5.6 コンポーネントが自動的にインストールされます。Windows インストーラ コンポーネント 2.0 および 3.0 にも Windows Script 5.6 は必要です。ただし、Windows Update を実行しない Windows 98、ME、または 2000 のフレッシュ インストールが存在する PC マシンには、Windows Script 5.6 コンポーネントがありません。Microsoft はこのコンポーネントをマージ モジュール/再配布可能コンポーネントとして提供していないため、Cisco NAC アプライアンスはこのコンポーネントを再配布できません。

この場合、管理者は MSDN Web サイトにアクセスして、このコンポーネントを入手し、Windows Script 5.6 にアップグレードする必要があります。便利なように、MSDN からコンポーネントへのリンクを次に示します。

Win 98、ME、NT 4.0:

ファイル名:scr56en.exe

URL: http://www.microsoft.com/downloads/details.aspx?familyid=0A8A18F6-249C-4A72-BFCF-FC6AF26DC390&displaylang=en

Win 2000、XP:

ファイル名:scripten.exe

URL: http://www.microsoft.com/downloads/details.aspx?familyid=C717D943-7E4B-4622-86EB-95A22B832CAA&displaylang=en

MSDN でこれらのリンクが変更された場合は、上記のファイル名を検索するか、「Windows Script 5.6」という語句を検索してみてください。

MS Update Scanning Tool の既知の問題(KB873333)

背景

KB873333 は、SP1 および SP2 に対応した Windows XP Professional および Windows XP Home Edition に必要な重要なアップデートです。リモート コードを実行できる OS の脆弱性が、これによって修正されます。ただし、このホットフィックスにはバグがあり、SP2 Edition(Home/Pro)では問題が発生します。SP2 に KB873333 を組み込まれている場合は、Double Byte Character Sets(DBCS)の表示問題が発生するため、このバグには別のフィックス(KB894391)が必要でした。ただし、DBCS 表示問題を解決するだけで、KB894391 は KB873333 の代わりにはなりません。

原則として、ユーザ マシンに KB873333 が組み込まれていない場合は、KB894391 はインストールされず、アップデートにも表示されません。ただし、KB873333 がインストールされているかどうかに関係なく、MS Update Scanning Tool ツールでは KB894391 が表示されます。また、アップデートを指示して KB894391 をインストールした場合、MS Update Scanning Tool では KB873333 がインストール済みであると表示されないため、脆弱性が解消されません。このようになるのは、表示されたアップデート リストからインストールするときに、ユーザが KB873333 をインストールしないで KB894391 だけを選択した場合、または KB873333 を先にインストールしないで、KB894391 を手動でインストールした場合が考えられます。この場合、次にアップデートを実行するときに、必要なアップデートとして KB873333 が表示されなくなります。KB873333 がインストールされておらず、マシンが脆弱なままであっても、KB894391 がインストールされていれば、MS Update Scanning Tool(MS Baseline Analyzer を含む)は KB873333 がインストールされていると想定するためです。

対処法

この脆弱性があるために、シスコでは Clean Access の規則セットから KB87333 のアップデート チェックを削除する予定はありません。ユーザは手動で KB873333 をダウンロードおよびインストールして、マシンを保護する必要があります。この処理は、次の 2 つの方法のいずれかで実行できます。

方法 1(シスコが推奨する方法)

次の手順に従って、CAM Web コンソールで、KB873333 を検索する新しいリンク要件を作成します。

1. KB873333 の有無を調べる規則を作成します。この規則を作成するには、Web コンソールの [Rules] セクションに移動し、[New Rule] をクリックします。規則に名前(「KB873333_Rule」など)を付け、このページに表示されたチェック リストから規則式に、KB873333 チェックの正確な名前をコピーアンドペーストします(使用可能なチェック リストが、新しい規則作成セクションの下に表示されます)。[Add Rule] をクリックして規則を保存します。

2. Microsoft の Web サイトから KB873333 の実行可能アップデートをダウンロードして、使用可能な Web サーバに配置します。

3. Cisco NAC アプライアンスのリンク要件を作成し、ステップ 2. の URL を入力します。

4. ステップ 1. で作成した規則を選択して、この要件の要件/規則を作成します。

5. 最後に Role-Requirements セクションに移動して、作成した要件に、この要件を適用するロールを対応付けます。


) Requirements ページで、KB873333 要件が Windows Hotfixes 要件の上にあることを確認します。


方法 2

関連するマシンから KB894391 をアンインストールします。再起動してから、Windows Update ページを再表示します。Windows Update に両方のアップデートが表示されます。クライアント マシンに KB873333 および KB894391 をインストールします。この方法の場合は、管理者がユーザを教育するか、または各ユーザ マシンでこのタスクを手動で実行する必要があります。