Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
CAS のインストール
CAS のインストール
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

CAS のインストール

概要

スイッチおよびルータの設定

バーチャル ゲートウェイ モード接続の要件

CAS バーチャル ゲートウェイおよび VLAN マッピングに対するスイッチのサポート(IB および OOB)

バーチャル ゲートウェイ用 VLAN の決定

新規インストール手順の概要

CAS の接続

CAS へのシリアル接続

NAC-3310 ベースのアプライアンスでのブート設定

CD-ROM からの CAM ソフトウェアのインストール

CD からのインストール手順

初期設定の実行

コンフィギュレーション ユーティリティ スクリプト

SSL 証明書に関する重要事項

CAS CLI コマンド

Cisco NAC アプライアンスの CAS CLI コマンド

NAC Profiler 用の CAS CLI コマンド

ファイアウォールを通じた CAM/CAS の接続

NAT ファイアウォールの背後にある CAS の設定

NIC カードの追加設定

インストールに関するトラブルシューティング

NIC ドライバがサポートされていない

CAS の設定のリセット

CAS のインストール


) この章のインストール例と参考資料は、Cisco NAC 3300 シリーズ アプライアンスを対象にしています。Cisco NAC ネットワーク モジュールのインストールについては、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』および『Installing Cisco Network Modules in Cisco Access Routers』を参照してください。


この章では、Clean Access Server(CAS)のインストールと初期設定方法について説明します。この章の内容は、次のとおりです。

「概要」

「バーチャル ゲートウェイ モード接続の要件」

「新規インストール手順の概要」

「CAS の接続」

「CD-ROM からの CAM ソフトウェアのインストール」

「初期設定の実行」

「CAS CLI コマンド」

「ファイアウォールを通じた CAM/CAS の接続」

「NAT ファイアウォールの背後にある CAS の設定」

「NIC カードの追加設定」

「インストールに関するトラブルシューティング」

概要

Cisco NAC アプライアンス 3300 シリーズは、CAM(MANAGER)または CAS(SERVER)のいずれかのアプリケーション、オペレーティング システム、およびすべての関連コンポーネントが専用サーバ マシンにあらかじめインストールされた Linux ベースのネットワーク ハードウェア アプライアンスです。オペレーティング システムには、Fedora Core に基づく強化 Linux カーネルが組み込まれています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンに他のパッケージやアプリケーションをインストールできません B

新しい Cisco NAC アプライアンスを受け取ったら、アプライアンスに接続して初期設定を行う必要があります。

アプライアンスに事前にインストールされているものとは異なるバージョンのソフトウェアをインストールする場合は、ます CD からソフトウェア インストールを実行します。Cisco NAC アプライアンス 3300 シリーズ プラットフォームでサポートされているソフトウェア バージョンの詳細は、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。


ヒントCisco NAC Appliance Hardware Installation Quick Start Guide』には、新しい Cisco NAC アプライアンスの電源を投入するために必要なすべての手順が記載されています。


この章では、CD ソフトウェアのインストールと、CAS の初期設定の方法について説明します。


) Cisco NAC ネットワーク モジュール(ネットワーク モジュール上の CAS)のインストール方法については、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』および『Installing Cisco Network Modules in Cisco Access Routers』を参照してください。


Cisco NAC アプライアンス ソフトウェアの CD からのインストールでは、Clean Access Manager(CAM)または Clean Access Server(CAS)のどちらのアプリケーションをインストールするかを選択する必要があります。CAM または CAS をアプライアンスにインストールしたあと(アプリケーション、OS、および該当するコンポーネント)、その他のコンポーネントまたはアプリケーションを CAM または CAS にインストールすることはサポートされていません。


注意 Cisco NAC アプライアンス リリース 4.5 をサポートおよびインストールできる Cisco NAC アプライアンス プラットフォームは、Cisco CCA-3140、Cisco NAC-3310、Cisco NAC-3350、Cisco NAC-3390、Cisco NAC ネットワーク モジュール(NME-NAC-K9)だけです。これ以外のプラットフォームにはリリース 4.5 をインストールできません。


) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


スイッチおよびルータの設定

CAS は、ルートのアドバタイズは行いません。そのため、管理対象のサブネットへのトラフィックが CAS の信頼できるインターフェイスにリレーされるように、ネクスト ホップ ルータにスタティック ルートを追加する必要があります。

Real-IP ゲートウェイ モードの CAS は DHCP サーバまたは DHCP リレーとして機能できます。DHCP 機能がイネーブルになっていると、CAS は該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイスの IP アドレス)をクライアントに提供します。CAS が DHCP リレーとして機能している場合は、ネットワーク内の DHCP サーバが管理対象のクライアントに該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイス IP アドレス)を提供するように設定しなければなりません。

バーチャル ゲートウェイ モード接続の要件

すべての配置で、CAS をバーチャル ゲートウェイ モード(IB または OOB)に設定する場合は、Web 管理コンソールから CAS を CAM に追加するまで、スタンドアロン CAS または High Availability(HA; ハイ アベイラビリティ) プライマリ CAS の信頼できないインターフェイス(eth1)を接続しないでください。バーチャル ゲートウェイ HA CAS ペアの場合も、HA の設定が完了するまでは HA セカンダリ CAS の eth1 インターフェイスを接続しないでください。eh1 インターフェイスが接続された状態のままバーチャル ゲートウェイ モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。

CAS をバーチャル ゲートウェイ モードで設定する場合は、CLI(コマンドライン インターフェイス)を介して CAS の初期インストールを実行している間に、信頼ネットワーク インターフェイス(eth0)と非信頼ネットワーク インターフェイス(eth1)に同じ IP アドレスを指定する必要があります。インストールのこの時点で、CAS は自身を バーチャル ゲートウェイであると認識しません。両方のインターフェイスを使用してネットワークを接続しようとすると、競合が発生し、スイッチによってポートがディセーブルになることがあります。バーチャル ゲートウェイ モードで CAM に CAS を追加するまで、信頼できないインターフェイスのコードを抜いておくと、これらの接続問題を回避できます。バーチャル ゲートウェイ モードで CAS を CAM に追加してから、信頼できないインターフェイスを再び接続します。

バーチャル ゲートウェイ の中央配置を正しく設定するには、次の手順に従って作業を進める必要があります。CAS の両方のインターフェイスをスイッチに接続する際に、中央/コアのスイッチのどれにもループが生じないようにするため、次の手順を実行してください。


ステップ 1 CAS の両方のインターフェイスをスイッチに接続する前に、物理的に eth1 インターフェイスを外します。

ステップ 2 CAS の eth0 インターフェイスをネットワークに物理的に接続します。

ステップ 3 CAM Web コンソールで、[Device Management] > [CCA Servers] > [New Server] の順番に進み、CAS を CAM に追加します(「CAM への CAS の追加」を参照)。

ステップ 4 [Device Management] > [CCA Servers] > [Manage [CAS_IP]] の順番に進み、CAS 管理ページにアクセスして、CAS を管理します(「CAS 管理ページの操作」を参照)。

ステップ 5 VLAN マッピングの設定 この手順は中央配置の場合の 必須の 手順です。中央配置では、CAS の両方のインターフェイスが同じスイッチに接続されます (エッジ配置で VLAN マッピングを設定してもかまいませんが、必須ではありません)。

a. [Enable VLAN Mapping] チェックボックスがクリックされていることを確認し、[Update] をクリックします。

b. 信頼できない VLAN から信頼できる VLAN へのマッピングを [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で設定します。「バーチャル ゲートウェイ モードでの VLAN マッピング」を参照してください。


) バーチャル ゲートウェイ CAS では、[Enable VLAN Pruning] は、デフォルトでクリックされています(リリース 4.1(1)以降)。この設定は [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] にあります。


ステップ 6 上記の手順が完了したら、CAS の eth1 インターフェイスを物理的にスイッチに接続します。

ステップ 7 スイッチの 802.1q ポートの設定では、CAS の eh0 および eth1 にトランク接続しているスイッチの VLAN のうち、CAS 管理 VLAN とユーザ VLAN に使用されているもの以外のすべての VLAN を除外してください。

ステップ 8 CAS の eth0 および eth1 のインターフェイスに接続しているスイッチ ポートの VLAN 1 を除外します。詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/12122ea7/scg/swvlan.htm#wp1150302 を参照してください。


 

CAS バーチャル ゲートウェイおよび VLAN マッピングに対するスイッチのサポート(IB および OOB)

インバンド(IB)またはアウトオブバンド(OOB)配置の CAS の バーチャル ゲートウェイ VLAN マッピング機能に対する Cisco Catalyst スイッチ モデルと NME によるサポートについては、『 Switch Support for Cisco NAC Appliance 』を参照してください。

バーチャル ゲートウェイ用 VLAN の決定

CAS バーチャル ゲートウェイ配置の初期インストールを開始する前に、次のことを確認します。

CAS および CAM は異なるサブネット(および VLAN)上に配置する必要があります。

CAS 管理 VLAN は、ユーザ認証 VLAN やアクセス VLAN とは異なる VLAN に配置する必要があります。

ネイティブ VLAN は、CAS 管理 VLAN とは別に設定します。ネイティブ VLAN を設定すると、不注意によりスイッチがループするのを防ぐことができます。ネイティブ VLAN は、CAS の eth0 および eth1 インターフェイスと同じであっては なりません

CAS ネイティブ VLAN(eth0)(たとえば未使用の「ダミー」VLAN 999)

CAS ネイティブ VLAN(eth1)(たとえば未使用の「ダミー」VLAN 998)

スイッチ上で異なるユーザ認証 VLAN とアクセス VLAN を設定し、CAS 上の信頼できないサブネットを管理対象サブネットとして設定します(「 Configuring Managed Subnets 」を参照)。

CAS の信頼できるポート(eth0)および信頼できないポート(eth1)に接続されたスイッチ ポート上で転送される共通の VLAN がないことを確認します。バーチャル ゲートウェイ CAS 宛のトランク リンクで許可されるすべての VLAN に対し、対応する VLAN マッピング エントリが必要です(CAS 管理 VLAN を除く)。

CAS の信頼できないインターフェイス eth1 は、VLAN マッピングを設定するまではネットワークに設定しないでください。

ユーザ認証 VLAN 用の SVI(レイヤ 3)インターフェイスがネットワーク上のスイッチにあってはなりません。

ユーザ認証 VLAN は、CAS の信頼できないインターフェイスだけにあり、その他すべてのトランク リンクから取り除く必要があります。

詳細については、「VLAN 設定の概要」および「バーチャル ゲートウェイ モードでの VLAN マッピング」を参照してください。

新規インストール手順の概要


) 新規インストールのための一般的な配置については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。



ステップ 1 ウェルカム レターの手順に従って有効なライセンス ファイルを入手します。詳細は『 Cisco NAC Appliance Service Contract/Licensing Support 』を参照してください (Cisco NAC アプライアンスを評価する場合は、 http://www.cisco.com/go/license/public にアクセスし評価ライセンスを入手してください)。


) CAS のライセンスは、CAM の eth0 アドレスに基づいて生成されます。CAM の Web 管理コンソールから CAM と CAS の両方のライセンスがインストールされます。


ステップ 2 最新版のソフトウェアのブート可能 CD を入手します。Cisco Secure Software にログインし、 http://www.cisco.com/pcgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 から 4.5 の最新版の .ISO イメージをダウンロードするか、Cisco NAC アプライアンスの サポートページ の [Download Software] リンクをクリックし、ブート可能ディスクとして CD-R に書き込みます。


) .ISO イメージは、10 倍速以下の速度で CD-R に書き込むことをお勧めします。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 「CAS の接続」に従って CAS をネットワークに接続します。

ステップ 4 「CAS の接続」に従い、モニタとキーボードを CAS に接続するか、ワークステーションをシリアル ケーブルで CAS に接続します。

ステップ 5 「CD-ROM からの CAM ソフトウェアのインストール」に従ってソフトウェアをインストールします。


) NAC-3310 アプライアンスで CD-ROM ドライブ上のソフトウェアが読み取れない場合は、代わりにハード ディスクからブートし、先に進む前に「NAC-3310 ベースのアプライアンスでのブート設定」に従って CD-ROM からブートするようにアプライアンスの設定を変更する必要があります。


ステップ 6 「初期設定の実行」に従って CAS を初期設定します。


) ハイ アベイラビリティ モードの場合、HA を設定する前にまず各 CAS を初期設定します。詳細については、第 13 章「ハイ アベイラビリティ(HA)の設定」を参照してください。

CAM または CAS の HA ペアを設定するためには、同じアプライアンス(たとえば NAC-3350 と NAC-3350)を使用する必要があります。


ステップ 7 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』に従って CAM がインストールされ初期設定されていることを確認します。CAS の設定を完了するためには、CAM の Web コンソールから CAS の有効な FlexLM ライセンス ファイルをインストールする必要があります。

ステップ 8 「CAM への CAS の追加」に従って CAS を CAM に追加します。この時点で CAS を CAM の Web コンソールから設定できるようになります。一部の設定については、CAS ダイレクト アクセス Web コンソールから設定できます。


 

CAS の接続

CAS ソフトウェアを CD-ROM からインストールしたり、その初期設定を行うには、ターゲット マシンを接続し、CAS コマンド ライン インターフェイスにアクセスする必要があります。


ステップ 1 CAS では、eth0(信頼される) と eth1(信頼されない)ネットワーク インターフェイス用に、2 つの 10/100/1000BASE-TX インターフェイス コネクタが CAS の背面パネル上に必要です。ターゲット マシン上の NIC1(eth0)ネットワーク インターフェイスを、CAT5 イーサネット ケーブルを使用して Local Area Network(LAN; ローカル エリア ネットワーク)に接続します。


警告 バーチャル ゲートウェイ CAS 上の信頼できないネットワーク インターフェイス eth1(NIC2)は、正しく設定を行うまでは物理的に接続しないでください。詳細については、「CD-ROM からの CAM ソフトウェアのインストール」を参照してください。


必要に応じて『 Cisco NAC Appliance Hardware Installation Quick Start Guide 』の「Cisco NAC Appliance Hardware Summary」か、CAS に付属しているマニュアルを参照し、シリアル コネクタまたはイーサネット コネクタを探してください。

ステップ 2 AC 電源コードの一端をサーバ マシンの背面に、反対側の端を電源コンセントに差し込みます。

ステップ 3 アプライアンスの前面にある電源ボタンを押して、マシンの電源をオンにします。LED 診断テストの実行中、診断 LED が数回点滅します。CAS が起動すると、コンソールにステータス メッセージが表示されます。

ステップ 4 次のいずれかの方法でコマンドラインまたは CAS にアクセスします。

a. 背面パネルのキーボード コネクタとビデオ モニタおよびコンソール コネクタを通じて、モニタとキーボードを直接 CAS に接続します。

b. シリアル ケーブルで外部ワークステーション(PCまたはラップトップ)と CAS を接続し、「CD-ROM からの CAM ソフトウェアのインストール」に従って外部ワークステーションの端末エミュレーション ソフトウェア(ハイパーターミナル、SecureCRT など)を使用して、シリアル接続を開始します。


 


) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


CAS へのシリアル接続

このセクションでは、シリアル接続を通じて CAS のコマンドラインにアクセスする方法について説明します。


ステップ 1 管理コンピュータのシリアル ポートを、CAS の空いているシリアル ポートにシリアル ケーブルで接続します。


) CAS でハイ アベイラビリティ(フェールオーバー)が設定済みの場合は、シリアル ポートの 1 つがピア ハートビート接続用に使用中の可能性があります。その場合、シリアル接続を通じて CAS を管理するためには、CAS にシリアル ポートが 2 つ以上必要です。この条件を満たさない場合は、ピア接続にイーサネット接続を使用して、シリアル ポートを解放することができます。詳細は、第 13 章「ハイ アベイラビリティ(HA)の設定」を参照してください。


ステップ 2 ワークステーションを CAS に物理的に接続したら、端末エミュレーション ソフトウェアを使用して、シリアル接続インターフェイスにアクセスします。以下の説明は、Microsoft® ハイパーターミナルを使用する場合の接続手順です。他のソフトウェアを使用する場合は、手順が異なることもあります。

ハイパーターミナルの接続の設定

ステップ 3 [スタート] > [すべてのプログラム] > [アクセサリ] > [通信] > [ハイパーターミナル] の順番にクリックすると、HyperTerminal ウィンドウが開きます。

ステップ 4 セッションの名前を入力して、[OK] をクリックします。

 

ステップ 5 [接続方法] ドロップダウン リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(通常は COM1 または COM2)を選択し、[OK] をクリックします。

 

ステップ 6 [ポートの設定] を次のように設定します。

[ビット/秒]:9600

[データ ビット]:8

[パリティ]:なし

[ストップ ビット]:1

[フロー制御]:なし

ステップ 7 [ファイル] > [プロパティ] を選択し、セッションのプロパティ ダイアログを開き、[エミュレーション] の設定を VT100 に変更します。

ステップ 8 これで、CAS のコマンド インターフェイスにアクセスできるようになります。次の作業に進んでください。

「CD-ROM からの CAM ソフトウェアのインストール」

「初期設定の実行」


 


) すでに初期インストールが実行済みで、元の設定値を変更する必要がある場合は、root としてログインし、service perfigo config コマンドを実行します。


NAC-3310 ベースのアプライアンスでのブート設定

NAC-3310 アプライアンスで CD-ROM ドライブ上のソフトウェアが読み取れない場合は、代わりにハード ディスクからブートし、CD からイメージの再作成やアップグレードを行う前に、次の手順に従って CD-ROM からブートするようにアプライアンスを設定します。


ステップ 1 システムのブート中に F10 キーを押します。

ステップ 2 ブート メニューが表示されます(図 4-1)。

図 4-1 ブート メニュー

 

ステップ 3 メニューから [CD-ROM Drive] を選択してプラス(+)キーを押し、CD ROM からブートするように設定を変更します(図 4-2)。

図 4-2 CD-ROM ドライブからのブート

 

ステップ 4 F10 キーを押し、保存して終了します。


 

CD-ROM からの CAM ソフトウェアのインストール

CAS のコマンドラインに接続したら(「CAS の接続」を参照)、次の手順を実行して、CAS ソフトウェアを CD-ROM からインストールします。


注意 Cisco NAC アプライアンス(CAS)ソフトウェアは、ターゲット マシン上に他のソフトウェアまたはデータが共存していることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。インストールを開始する前に、必要なデータやアプリケーションがターゲット マシン内に残されていないかどうかを必ず確認してください。

CD からのインストール手順

「初期設定の実行」に記載されている設定手順も含めて、全体のインストール プロセスには約 15 分の時間がかかります。


ステップ 1 CAS の .ISO ファイルが入っている配布 CD-ROM を、ご使用の CAS マシンの CD-ROM ドライブに入れます。

ステップ 2 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.5-1 Installer (C) 2009 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.5-1 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console, enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

) NAC-3310 アプライアンスで CD-ROM ドライブ上のソフトウェアが読み取れない場合は、代わりにハード ディスクからブートし、先に進む前に「NAC-3310 ベースのアプライアンスでのブート設定」に従って CD-ROM からブートするようにアプライアンスの設定を変更する必要があります。


ステップ 3 boot : プロンプトで、接続の種類に応じて次のいずれかを入力します。

モニタとキーボードが直接 CAS に接続されている場合は、Enter キーを押します。

アプライアンスにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 4 次にインストール選択オプションが表示され、Cisco NAC アプライアンスの新規インストールを行うか、インストール処理を終了または取り消すかどうかが質問されます。プロンプトで 1 と入力して新しいバージョンの Cisco NAC アプライアンスをインストールします。

 

Checking for existing installations.
Clean Access Server 4.1.2.1 installation detected.
Please choose one of the following actions:
1) Install.
2) Exit.
 

ステップ 5 次に、Cisco NAC アプライアンス ソフトウェア インスーラにより CAM と CAS のどちらをインストールするかが質問されます。次のプロンプトで、 2 と入力して CAS のインストールを行います。

Please choose one of the following configurations:
1) CCA Manager.
2) CCA Server.
 

注意 CAM または CAS ソフトウェアのインストールでは 1 枚の CD だけを使用し、ターゲット マシンに CAM と CAS のどちらをインストールするかはインストール スクリプトで自動的に検出されません。インストールを行うターゲット マシンに対し CAM か CAS のいずれか適切な種類を選択します。

ステップ 6 CAS Package Installation が実行されます。インストールには数分掛かります。インストールが終了すると、インストール スクリプトによって次のメッセージが表示され、Enter キーを押すと CAS がリブートし、CAS クイック コンフィギュレーション ユーティリティが起動されます。

Installation complete. Press <ENTER> to continue
 

リブートが完了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。この画面に表示される一連の質問に従って CAS の初期設定を行います(「コンフィギュレーション ユーティリティ スクリプト」を参照)。


) インストール後に CAS の設定(eth0 の IP アドレスなど)をリセットする必要がある場合は、CAS マシンにシリアルまたは SSH 経由で接続し、service perfigo config コマンドを実行します。詳細については、「CAS CLI コマンド」を参照してください。その他の設定値のほとんども、あとで Web コンソールから変更できます。


初期設定の実行

CD-ROM から CAS をインストールする場合は、ソフトウェア パッケージのインストール後に自動的に コンフィギュレーション ユーティリティ スクリプト が表示され、CAS の初期設定を進めることができます。


コンフィギュレーション ユーティリティ スクリプトは、必要に応じていつでも手動で起動できます。起動方法は次のとおりです。

1. CAS へのシリアル接続または直接接続を通じ、root のパスワードを使用し、ユーザ root として CAS にログオンします。

2. 次のコマンドを入力して初期設定のスクリプトを実行します。

service perfigo config
 

service perfigo config コマンドを実行すると、Web 管理コンソールから到達できなくても、CAS の設定を変更できます。CLI コマンドの詳細は、「CAS CLI コマンド」を参照してください。


 

コンフィギュレーション ユーティリティ スクリプト


ステップ 1 コンフィギュレーション ユーティリティ スクリプトでは、特定のパラメータのデフォルト値が示されます。設定する際には、以下のように、デフォルト値を受け入れるか、または新しい値を入力します。

ステップ 2 CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Server quick configuration utility.
 
Note that you need to be root to execute this utility.
 
The utility will now ask you a series of configuration questions.
Please answer them carefully.
 
Cisco Clean Access Server, (C) 2009 Cisco Systems, Inc.
 

ステップ 3 まず、信頼できるインターフェイス(eth)を設定するように要求されます。信頼できるインターフェイスは、保護されたバックエンド ネットワークに接続されたインターフェイスです。

Configuring the network interfaces:
 
Please enter the IP address for the interface eth0 []: 10.201.1.20
You entered 10.201.1.20 Is this correct? (y/n)? [y]
 

プロンプトで、CAS の eth0 IP アドレスを入力して、Enter キーを押します。なお、CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。確認のプロンプトで、 y を入力してエントリを受け入れるか、または n を入力してエントリを変更し、信頼できる eth0 ネットワーク インターフェイスの別のアドレスを入力します。プロンプトが表示されたら、Enter キーを押して、値を確認します。

ステップ 4 eth0 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 5 信頼できるインターフェイスのデフォルト ゲートウェイ アドレスを指定して、Enter キーを押します。プロンプトに従って値を確認します。

Please enter the IP address for the default gateway []: 10.201.1.1
You entered 10.201.1.1 Is this correct? (y/n)? [y]
 

ステップ 6 信頼できるインターフェイスの VLAN ID パススルー動作を指定します。デフォルトの動作を受け入れるには、プロンプトで n と入力し Enter キーを押します(または単に Enter キーを押します)。デフォルトでは、VLAN パススルーがディセーブルとなり、インターフェイスを通過するトラフィックから VLAN ID が除去されます。または、 y を入力して信頼できるネットワークから信頼できないネットワークへ通過するトラフィックに対する VLAN ID パススルーを有効にします。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

) • ほとんどの場合、VLAN ID パススルーをイネーブルにする必要はありません。必要な場合にだけ VLAN ID パススルーをイネーブルにしてください。この時点でイネーブルにしない場合は、CAS の Web コンソールの [Network] > [IP] ページか、service perfigo config ユーティリティを使用していつでも変更できます。どちらの方法でも CAS のリブートが必要になります。

VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

デフォルトでは、VLAN ID はパススルーされません。CAS を通過するパケットからは、VLAN ID が除去されます(図 4-3 を参照)。この ID は CAS によって保持され、非信頼ネットワークから信頼ネットワークに返信される応答メッセージに付加されます。

図 4-3 VLAN ID の終了

 

VLAN ID パススルーの場合、インターフェイスを通過するトラフィックの ID は維持されます。

図 4-4 VLAN ID パススルー

 

ステップ 7 次のプロンプトが表示されたら、信頼できるインターフェイスの管理 VLAN タギングを指定します。管理 VLAN タギングをディセーブル(デフォルト)のままにするには、 N と入力し、Enter キーを押します(または単 Enter キーを押します)。管理 VLAN タギングを有効にするには、 Y と入力して Enter キーを押し、CAS の信頼できるインターフェイスで使用する管理 VLAN ID を指定します。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

) 管理 VLAN ID をあとで変更するには、CAS の Web コンソール ページ [Network] > [IP] から変更できます。しかし、CAS の [IP] ページで設定を変更するには、CAS のリブートが必要になります。


管理 VLAN ID は、独自の VLAN ID がない場合、または ID が隣接インターフェイスで除去された場合に、パケットに追加されるデフォルト VLAN ID です。プロンプトでの設定は、非信頼ネットワークから信頼ネットワークに送信されるトラフィックに適用されます。

図 4-5 管理 VLAN ID タギングを使用した場合の eth0 出力パケット

 


) • ほとんどの場合、管理 VLAN タギングをイネーブルにする必要はありません。必要な場合にだけイネーブルにしてください。この時点でイネーブルにしない場合は、あとで Web コンソールまたは service perfigo config ユーティリティを使用して、オプションを変更できます。

また、VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

ステップ 8 次に、信頼できないインターフェイスを設定します。信頼できないインターフェイスは、信頼できない(管理対象)ネットワークに接続されたインターフェイスです。プロンプトで、信頼できないインターフェイス(eth1)に使用するアドレスを入力し、Enter キーを押します。CAS をブリッジ(バーチャル ゲートウェイ)構成に導入する場合を除き、信頼できるインターフェイスと信頼できないインターフェイスは異なるサブネット上になければなりません。プロンプトに従って値を確認します。

Please enter the IP address for the untrusted interface eth1 []: 192.168.10.10
You entered 192.168.10.10 Is this correct? (y/n)? [y]
 

ステップ 9 eth1 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 10 信頼できないインターフェイスのデフォルト ゲートウェイ アドレスを入力します。

CAS が Real-IP ゲートウェイまたは NAT ゲートウェイとして機能する場合は、CAS の信頼できないインターフェイス eth1 の IP アドレスを設定する必要があります。

CAS が バーチャル ゲートウェイ(ブリッジ)として機能する場合、信頼できる側で使用されるデフォルト ゲートウェイ アドレスと同じアドレスを設定できます。

Please enter the IP address for the default gateway []: 192.168.10.1
You entered 192.168.10.1 Is this correct? (y/n)? [y]
 

ステップ 11 非信頼ネットワークから信頼ネットワークに送信されるトラフィックの VLAN パススルー動作を指定します。デフォルト動作(ディセーブル)を受け入れる場合は、プロンプトで n を入力し、Enter キーを押します(または単に Enter キーを押します)。非信頼ネットワークからのトラフィックに対して VLAN ID パススルーをイネーブルにする場合は、 y を入力します。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

図 4-6 VLAN ID パススルー

 

ステップ 12 次のプロンプトが表示されたら、信頼できないインターフェイスの管理 VLAN タギングを指定します。管理 VLAN タギングをディセーブル(デフォルト)のままにするには、 N と入力し、Enter キーを押します(または単 Enter キーを押します)。管理 VLAN タギングを有効にするには、 Y と入力して Enter キーを押し、CAS の信頼できないインターフェイスで使用する管理 VLAN ID を指定します。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

) 管理 VLAN ID をあとで変更するには、CAS の Web コンソール ページ [Network] > [IP] から変更できます。しかし、CAS の [IP] ページで設定を変更するには、CAS のリブートが必要になります。


図 4-7 管理 VLAN ID タギングを使用した場合の eth1 出力パケット

 

ステップ 13 CAS のホスト名を指定します(デフォルトは nacserver )。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the hostname [nacserver]: cas1
You entered cas1 Is this correct? (y/n)? [y]
 

ステップ 14 使用環境内の Domain Name System(DNS; ドメイン ネーム システム)サーバの IP アドレスを指定します。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the IP address for the name server: []: 172.10.16.16
You entered 172.10.16.16 Is this correct? (y/n)? [y]
 

ステップ 15 1 つの配置内の CAM および CAS は、共有秘密を使用して相互に認証します。共有秘密は、その配置の内部パスワードとして使用されます。プロンプトが表示されたら、共有秘密を入力して確認します。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
 
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
 
Please remember to configure all Clean Access Devices with the same string.
Only the first 8 characters supplied will be used.
Please enter the shared secret between Clean Access Server and Clean Access Manager:
 

注意 同じ配置内の CAM とすべての CAS に、同じ共有秘密を設定しなければなりません。共有秘密が異なっていると、相互に通信できません。

ステップ 16 CAS の時間設定を指定します。

a. 大陸と海洋のリストからタイムゾーン地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら、 2 )を入力し、Enter キーを押します。 GST-10 のような Posix TZ フォーマットでタイム ゾーンを入力する場合は、 11 を入力します。

>>> Configuring date and time:
 
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
11) none - I want to specify the time zone using the Posix TZ format.
#? 2
 

b. 選択したタイムゾーンに対応する国を選択します。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

Please select a country.
1) Anguilla 18) Ecuador 35) Paraguay
2) Antigua & Barbuda 19) El Salvador 36) Peru
3) Argentina 20) French Guiana 37) Puerto Rico
4) Aruba 21) Greenland 38) St Kitts & Nevis
5) Bahamas 22) Grenada 39) St Lucia
6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon
7) Belize 24) Guatemala 41) St Vincent
8) Bolivia 25) Guyana 42) Suriname
9) Brazil 26) Haiti 43) Trinidad & Tobago
10) Canada 27) Honduras 44) Turks & Caicos Is
11) Cayman Islands 28) Jamaica 45) United States
12) Chile 29) Martinique 46) Uruguay
13) Colombia 30) Mexico 47) Venezuela
14) Costa Rica 31) Montserrat 48) Virgin Islands (UK)
15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US)
16) Dominica 33) Nicaragua
17) Dominican Republic 34) Panama
 

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーン領域が表示されます。リストから該当するタイム ゾーン領域を選択し(太平洋標準時なら 19 )、Enter キーを押します。

Please select one of the following time zone regions.
1) Eastern Time
2) Eastern Time - Michigan - most locations
3) Eastern Time - Kentucky - Louisville area
4) Eastern Time - Kentucky - Wayne County
5) Eastern Time - Indiana - most locations
6) Eastern Time - Indiana - Crawford County
7) Eastern Time - Indiana - Starke County
8) Eastern Time - Indiana - Switzerland County
9) Central Time
10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties
11) Central Time - Indiana - Pike County
12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties
13) Central Time - North Dakota - Oliver County
14) Central Time - North Dakota - Morton County (except Mandan area)
15) Mountain Time
16) Mountain Time - south Idaho & east Oregon
17) Mountain Time - Navajo
18) Mountain Standard Time - Arizona
19) Pacific Time
20) Alaska Time
21) Alaska Time - Alaska panhandle
22) Alaska Time - Alaska panhandle neck
23) Alaska Time - west Alaska
24) Aleutian Islands
25) Hawaii
 

d. 選択内容を確認するか(1 を入力)、または選択内容をキャンセルしてやり直します(2 を入力)。

The following information has been given:
 
United States
Pacific Time
 
Is the above information OK?
1) Yes
2) No
 

ステップ 17 次のプロンプトが表示されたら、Enter キーを押して現在の日時を確認するか、次のフォーマットで正しい日時を入力します。プロンプトに従って値を確認します。

Current date and time hh:mm:ss mm/dd/yy [11:23:33 08/22/08]: 11:23:33 08/22/08
You entered 11:23:33 08/22/08 Is this correct? (y/n)? [y]
 

ステップ 18 Enter キーを押して、一時 SSL 証明書を設定します。証明書を使用すると、CAS と信頼できない(管理対象)クライアント間のログイン交換が保護されます。証明書は次のように設定します。

a. 証明書を発行する IP アドレスまたはドメイン名を入力します。


) これは、Web サーバが応答する IP アドレスまたはドメイン名でもあります。ドメイン名に対して DNS がまだ設定されていない場合は、CAS Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAS のアドレスを使用します。


b. 組織単位名には、組織の 中の その証明書を管理するグループを入力します( test または engineering など)。

c. 組織名に証明書を受け取る組織または会社名を入力し(たとえば access )、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. 2 文字の国コード(たとえば US )を入力し、Enter キーを押します。

g. 入力した値の要約が表示されます。表示された値で間違いがなければ、Enter キーを押します。設定し直す場合は、 N を入力します。

You entered the following:
Domain: mydomain.com
Organization unit: test
Organization name: access
City name: My Town
State code: CA
Country code: US
Is this correct? (y/n)? [y]
 

値を確認すると、証明書が生成され、CAS データベースが初期化されます。

ステップ 19 次のプロンプトで、CAS によるプリログイン バナーのサポートを有効にするかどうかを指定します。

Enable Prelogin Banner Support? (y/n)? [n]
 

プリログイン バナーの詳細と例については、図 12-2 を参照してください。

ステップ 20 インストールした CAS の Linux オペレーティングシステムの root ユーザのパスワードを設定します。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスするために使用されます。

Cisco NAC アプライアンスは、root ユーザ ログインに対し強力なパスワードを使用できます。パスワードは 8 文字以上で、大文字と小文字、数字、その他の文字の組み合わせがサポートされています。たとえば、パスワード 10-9=One は、各カテゴリの文字を 2 文字以上使用していないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「Administer the CAM」の章の「Manage System Passwords」を参照してください。

For security reasons, it is highly recommended that you change the password for the root user.
 
** Please enter a valid password for root user as per the requirements below! **
 
Changing password for user root.
 
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
 

ステップ 21 次に、CAS ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。

Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
 

ステップ 22 CD-ROM からインストールした場合は、設定完了時に Enter キーを押して CAS をリブートします。

Configuration is complete.
Changes require a REBOOT of Clean Access Server.
 

ステップ 23 次のコマンドを入力して CAS をリブートします。

# reboot
 

ステップ 24 これで、初期設定は完了です。CAM のインストールおよび初期設定が完了したら、CAM Web 管理コンソールを使用して、CAM に CAS を追加します( 第 5 章「CAS の管理対象ネットワークの設定」 を参照)。


 

SSL 証明書に関する重要事項

一時的な SSL 証明書は、CAS のインストール中に作成しなければなりません。そうしないと、CAS にアクセスできなくなります。

CAM および CAS のインストール後、Certificate Signing Request(CSR; 証明書署名要求)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。CAS についての詳細は、以下を参照してください。

「CAS SSL 証明書の管理」

「システム時刻の同期」

CAM 証明書についての詳細は、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

運用環境に CAS を導入する前に、第三者の Certificate Authority(CA; 認証局)から信頼できる証明書を取得し、一時証明書と置き換えることを強く推奨します(これによりユーザ ログイン中にエンド ユーザにセキュリティ警告が表示されるのを防ぐことができます)。


) 一時証明書が CAS に存在する場合、CAS Web コンソールに、「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」の CA では CAS と関連するクライアント マシンがセキュリティ攻撃に対して脆弱になるおそれがあることを警告するメッセージが表示されます(図 4-8)。この CAS を CAS データベースから削除するには、「信頼できる CA の管理」の手順を実行します。


図 4-8 信頼できる CA を取得し既存の www.perfigo.com の証明書を削除すべきことを警告する Web 管理コンソール メッセージ

 

CAS CLI コマンド

CAM Web 管理コンソールを使用すれば、Cisco NAC アプライアンスの導入に必要なタスクをほとんど実行できます。しかし、以下の 2 つの場合には、CAS のコマンドライン インターフェイスを使用できるか使用する必要があります。

CAS の初期設定のために Cisco NAC アプライアンスの CAS CLI コマンド を使用して CAS の設定に直接アクセスする場合や、ネットワークまたは VLAN の設定が正しくないために Web 管理コンソールが使用できない場合。

Cisco NAC Profiler ソリューションを購入した場合は、 NAC Profiler 用の CAS CLI コマンド を使用して Cisco NAC Profiler Collector アプリケーションを CAS 上で有効にします。

CLI コマンドを実行するには、SSH を使用して CAS にアクセスし、ユーザ root でログインし、root ユーザのパスワードを入力します。すでに CAS にシリアルで接続している場合は、 root でログインしたあとにターミナル エミュレーション コンソールから CLI コマンドを実行することができます(「CD-ROM からの CAM ソフトウェアのインストール」を参照)。

Cisco NAC アプライアンスの CAS CLI コマンド

コマンドラインからコマンドを入力するには、 service perfigo <command> の形式を使用します。 表 4-1 に、頻繁に使用する Cisco NAC アプライアンスの CLI コマンドの一覧を示します。

 

表 4-1 CAS 用の Cisco NAC アプライアンスの CLI コマンド

コマンド
説明
service perfigo start

CAS を起動します。CAS がすでに稼動している場合は、警告メッセージが表示されます。このコマンドを実行するには、CAS が停止していなければなりません。

service perfigo stop

Clean Access のサービスをシャットダウンします。

を使用することもできます。

service perfigo maintenance

このコマンドを実行すると CAS がメンテナンス モードになります。メンテナンス モードでは、基本的な CAS ルータだけが動作し、VLAN タグ付きパケットの処理が継続されます。このコマンドを使用すると、管理 VLAN を通じた通信が可能になります。このコマンドは、CAS がトランク モードで、ネイティブ VLAN が管理 VLAN とは異なる環境での使用を想定しています。

を使用して、サービスを停止することができます。

service perfigo platform

このコマンドを使用すると、CAS が標準の CAS アプライアンスなのか、Cisco ISR ルータ シャーシに設置されている Cisco NAC ネットワーク モジュールなのかを判別できます。出力では、プラットフォーム設定として APPLIANCE または NME-NAC が表示されます。

詳細と設定情報については、『 Getting Started with Cisco NAC Network Modules in Cisco Access Routers 』および『 Installing Cisco Network Modules in Cisco Access Routers 』を参照してください。

service perfigo restart

Clean Access のサービスをシャットダウンし、再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。

を実行します。

service perfigo reboot

マシンをシャットダウンし、再起動します。Linux の reboot コマンドも使用できます。

service perfigo config

コンフィギュレーション スクリプトを起動します。このスクリプトで CAS コンフィギュレーションを変更できます。 service perfigo config が完了したら、CAS を再起動する必要があります。スクリプトの使用法については、「初期設定の実行」を参照してください。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。

NAC Profiler 用の CAS CLI コマンド

CAS には、Cisco NAC Profiler Collector コンポーネントのデフォルトのバージョンが付属しています。Cisco NAC Profiler Collector を Cisco NAC Profiler ソリューションと統合するときには、個別に有効にして設定する必要があります。 表 4-2 に、Cisco NAC Profiler Collector サービス向けに CAS 上で実行される CLI コマンドの一覧を示します。Cisco NAC Profiler ソリューションの詳細は、『 Cisco NAC Profiler Installation and Configuration Guide 』および『 Release Notes for Cisco NAC Profiler 』を参照してください。


) CAS 上の Collector のバージョンを表示するには、Collector サービスが稼動している CAS に SSH で接続し、rpm -q Collector と入力します。


 

表 4-2 CAS 用の Cisco NAC Profiler Collector CLI コマンド

コマンド
説明

service collector start

CAS 上で Collector サービスを起動します。

service collector stop

CAS 上で Collector サービスをシャットダウンします。

service collector verify

CAS 上で稼動中の設定済みの Collector サービスを表示します。

Collector Network Configuration
Collector Name = bcas1-fw
Connection Type = server
Listen on IP = 10.40.1.10
Network IP ACL
127.0.0.1
10.10.0.211
10.10.0.210
10.10.0.212
Port Number = 31416
Encryption type = AES
Shared secret = profiler

service collector status

次のように、CAS 上の個別の Collector モジュールの稼動状態を表示します。

Profiler Status
o Server Not Installed
o Forwarder Running
o NetMap Running
o NetTrap Running
o NetWatch Running
o NetInquiry Running
o NetRelay Running

service collector restart

CAS 上で Collector サービスを停止し起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。

service collector config

Collector サービスの設定スクリプトを起動し、Cisco NAC Profiler Server との通信を可能します。次の例を参考にしてください。

[root@caserver12 /]# service collector config
Enable the NAC Collector (y/n) [y]:
Configure NAC Collector (y/n) [y]:
Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [client]:
Connect to IP [127.0.0.1]: 192.168.96.20
Port number [31416]:
Encryption type (AES, blowfish, none) [AES]: none
Shared secret []: cisco1232
-- Configured caserver12-fw
-- Configured caserver12-nm
-- Configured caserver12-nt
-- Configured caserver12-nw
-- Configured caserver12-ni
-- Configured caserver12-nr
 
NAC Collector has been configured
 

インストールと設定の詳細は、『 Cisco NAC Profiler Installation and Configuration Guide 』を参照してください。

ファイアウォールを通じた CAM/CAS の接続

CAM と CAS の間の通信を可能にするためにファイアウォール内のどのポートをオープンするかについての詳細は、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

NAT ファイアウォールの背後にある CAS の設定


注意 CAS と CMS の間に NAT ファイアウォールを配置する場合には、CAS はスタンドアロン モードであることが必要です。Cisco NAC アプライアンスでは、CAS HA ペアの信頼できる側に NAT ファイアウォールが配置されている場合、ハイ アベイラビリティ CAS ペアをサポートしていません。

CAS をファイアウォールの背後に導入する(CAS と CAM の間に NAT ルータがある)場合は、次のステップを実行して CAS にアクセスできるようにする必要があります。


ステップ 1 SSH またはシリアル コンソールを使用して CAS に接続します。 root ユーザとしてログインします。

ステップ 2 /perfigo/access/bin/ にディレクトリを変更します。

ステップ 3 2 つのファイル restartweb starttomcat を編集する必要があります。

ステップ 4 各ファイル内で CATALINA_OPTS 変数の定義を検索します。

ステップ 5 変数に -Djava.rmi.server.hostname=< caserver1_hostname > を追加し、 caserver1_hostname を変更対象サーバのホスト名で置き換えます。次の例を参考にしてください。

CATALINA_OPTS="-server -Xms64m -Xmx${MAX}m -Xincgc -Djava.util.logging.config.file=${CATALINA_HOME}/conf/redirect-log.properties -Dperfigo.jmx.context=${PERFIGO_SECRET} -Djava.security.auth.login.config=${CATALINA_HOME}/conf/sso-login.conf -Dsun.net.inetaddr.ttl=60 -Dsun.net.inetaddr.negative.ttl=10 -Djava.security.egd=file:/dev/urandom"
-Djava.rmi.server.hostname=caserver1”
 

ステップ 6 service perfigo restart コマンドを入力して、CAS を再起動します。

ステップ 7 配置内の CAS ごとに上記手順を繰り返します。

ステップ 8 SSH またはシリアル コンソールを使用して CAM に接続します。 root としてログインします。

ステップ 9 ディレクトリを /etc/ に変更します。

ステップ 10 次の行を追加して、hosts ファイルを編集します。

<public_IP_address> <caserver1_hostname> <caserver2_hostname>
 

値は次のとおりです。

< public_IP_address >ÅFファイアウォール外部からアクセス可能なアドレス

< caservern_hostname >:ファイアウォールの背後にある各 CAS のホスト名

これでファイアウォールの背後にある CAS がアドレス指定可能になります。


 

NIC カードの追加設定

Configuration Utility スクリプトは、デフォルトでは、CAM と CAS のマシンに eth0(NIC1)と eth1(NIC2)のインターフェイスがあると想定しますが、この設定は初期インストール時に変更できます。ご使用のシステムにその他のネットワーク インターフェイス カード(NIC3、NIC4 など)がある場合は、次の手順で、これらのカード上のインターフェイス(eth2、eth3 など)を追加設定できます。CAS システムに HA(ハイ アベイラビリティ)を設定する場合は、通常 eth2 の設定が必要です。HA の場合、eth2(NIC3)インターフェイスに適切なアドレッシングを設定すれば、eth2 は HA-CAS 専用の UDP ハートビート インターフェイスとして設定されます。


) • 以下に示す手順では、Cisco NAC アプライアンス ハードウェアに NIC が装着され、「機能している」(BIOS および Linux によって認識されている)ことを想定しています。

NIC カードが BIOS に認識されていない場合(非アプライアンス サーバ マシンの場合など)は、メーカーの推奨に従って IRQ とメモリの設定を調整しなければならないこともあります。

BIOS が NIC を認識していれば、ソフトウェア(Linux)も自動的にその NIC を認識します。なんらかの理由で、NIC が BIOS に認識されているのに、Linux には認識されていない場合は、システムにログインし、kudzu を実行します。これによって、NIC の設定に役立つユーティリティが起動されます。


 

追加の NIC を設定するには


ステップ 1 NIC が Linux に認識されているかどうかを確認するため、 ifconfig eth<n> と入力します( <n> はインターフェイス番号)。たとえば、すでに 2 つのイーサネット インターフェイスが組み込まれているシステムに NIC を 1 つ追加する場合、<n> は 2 になるので、次のように入力します。

ifconfig eth2

ステップ 2 MAC アドレス、送信および受信のカウンタなど、そのインターフェイスに関する情報が表示されます。これは、そのインターフェイスが Linux に認識されていて、使用可能な状態であることを示しています。

ステップ 3 次のディレクトリに変更します。

cd /etc/sysconfig/network-scripts

ステップ 4 vi を使用して、そのインターフェイスの ifcfg ファイルをたとえば、次のように編集します。

vi ifcfg-eth2

ステップ 5 ファイルに次の行を追加します。 IPADDR NETMASK BROADCAST および NETWORK の値は、ご使用のネットワークに適した実際の値に置き換えてください。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet

ステップ 6 ファイルを保存し、システムをリブートします。

ステップ 7 これで、このネットワーク インターフェイスを HA に使用する準備が整いました。


) 詳細については、「CAS ハイ アベイラビリティの要件」を参照してください。



 

インストールに関するトラブルシューティング


) トラブルシューティングに関する詳細は、最新版のリリース ノートを参照してください。


NIC ドライバがサポートされていない

詳細は、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「Troubleshooting Network Card Driver Support Issues」を参照してください。

CAS の設定のリセット

ネットワーク、共有秘密、または VLAN 設定が不正なために CAM から CAS に到達できない場合は、CAS の設定をリセットできます。設定をリセットすると、CAS 設定がインストール時の状態に戻ります。インストール後に設定された設定値は失われます。

設定をリセットする手順は、次のとおりです。


ステップ 1 SSH を使用して CAS に接続します。

ステップ 2 env ファイルを削除します。

# rm /perfigo/access/bin/env

ステップ 3 次のコマンドを使用して、リブートします。

# service perfigo reboot

これで、CAM に CAS を追加できます。 第 5 章「CAS の管理対象ネットワークの設定」 を参照してください。