Cisco NAC アプライアンス Clean Access Server コンフィギュレーション ガイド リリース 4.9
CAS 証明書、時刻、サポートログの管理
CAS 証明書、時刻、サポートログの管理
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

CAS 証明書、時刻、サポートログの管理

[Status] タブ

CAS ダイレクト アクセス Web コンソール

CAS SSL 証明書の管理

SSL 証明書の概要

SSL 証明書管理のための Web コンソール ページ

CA 署名付き証明書

中間証明書

ハイ アベイラビリティ(HA)ペアの証明書

IP でなく DNS 名に対応した証明書の再生成

CAS での一般的な SSL 証明書の設定

フェーズ 1:CAS と CAM の間の SSL 通信の確立

フェーズ 2:CAS と CAM の実稼動環境の配置用の設定

フェーズ 3:既存の実稼動環境への新しい CAM または CAS の追加

一時証明書の生成

証明書要求の生成とエクスポート(非 FIPS CAS のみ)

署名付き証明書/秘密キーの管理

署名付き証明書/秘密キーのインポート

証明書または秘密キーのエクスポート

信頼できる認証局の管理

信頼できる認証局のインポート/エクスポート

現在の秘密キー/証明書と認証局情報の表示

Mac OS X と CAS の通信のための SSL 要件

Mac OS X Agent への SSL 接続のための CAS 一時証明書要件

Mac OS 10.5 のルート証明書のインストール

Mac OS X での root ユーザのイネーブル化

CAS からのルート証明書の取得

証明書に関する問題のトラブルシューティング

有効期限切れの SSL 証明書による HA アクティブ-アクティブな状況

CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

証明書関連ファイル

SNMP

SNMP ポーリング/アラートのイネーブル化

新しいトラップ シンクの追加

システムのアップグレード

システム時刻の同期

サポート ログとログレベルの設定

CAS サポート ログのダウンロード

CAS またはエージェント IP、またはその両方を使ったログのフィルタリング

CAS 証明書、時刻、サポートログの管理

この章では、Clean Access Server(CAS)の管理について説明します。次の内容について説明します。

「[Status] タブ」

「CAS ダイレクト アクセス Web コンソール」

「CAS SSL 証明書の管理」

「SNMP」

「システムのアップグレード」

「システム時刻の同期」

「サポート ログとログレベルの設定」

[Status] タブ

CAS 管理ページの [Status] タブには、CAS で稼動中のモジュールに関する高度なステータス情報が表示されます。

図 11-1 CAS 管理ページの [Status] タブ

 

[IP Filter]:パケットを分析して、パケットが有効な認証済みユーザから送信されたことを保証する IP パケット フィルタ

[DHCP Server]:CAS の内部 Dynamic Host Configuration Protocol(DHCP)サーバ

[DHCP Relay]:クライアントと外部 DHCP サーバ間でアドレス要求および割り当てをリレーするモジュール

[IPSec Server]:CAS とクライアント デバイス間でセキュアな、IP セキュリティベースのチャネルを確立するためのモジュール。このモジュールは、クライアントとサーバ間で送受信されるデータの暗号化と復号化を実行します。

[Active Directory SSO]:認証された Windows ユーザの Active Directory Single Sign-On(SSO; シングル サインオン)をイネーブルにするモジュール

[Windows NetBIOS SSO]:認証された Windows ユーザの Windows NetBIOS ログインをイネーブルにするモジュール

CAS ダイレクト アクセス Web コンソール

CAM Web 管理コンソール(図 11-1)の CAS 管理ページは、CAS を設定する場合の主要インターフェイスです。ただし、CAS にはそれぞれ独自の Web 管理コンソールがあり、CAS の特定の管理およびモニタリング設定値を直接設定できます(図 11-4)。CAS ダイレクト アクセス Web コンソールは主に、CAS サポート ログをダウンロードする、または CAS ペアにハイ アベイラビリティを設定する場合に使用します。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。CAS 管理ページを使用できない場合は、ダイレクト コンソール インターフェイスを使用して、CAS の SSL 証明書の管理や、システム アップグレードなどの他の機能を実行することもできます。

CAS のダイレクト アクセス Web 管理コンソールにアクセスする手順は、次のとおりです。


ステップ 1 Web ブラウザを開き、URL またはアドレス フィールドに CAS の信頼できる(eth0)インターフェイスの IP アドレス https://<CAS_eth0_IP_address>/admin を入力します(たとえば https://172.16.1.2/admin )。

初期設定時に CAS でカスタマイズ可能なプリログイン バナーをイネーブルにした場合は、CAS の管理 Web コンソールに簡単なプリログイン バナーが表示されます(図 11-2)。プリログイン バナーをイネーブルにしなかった場合は、CAS 管理者のクレデンシャル入力ページ(図 11-3)が表示されます。

図 11-2 CAS のプリログイン バナーの例

 

プリログイン バナーを使用すると、CAM/CAS で認証証明書を入力する前に、管理ユーザは警告、システム/ネットワーク ステータス、アクセス要件など、広範囲のメッセージを表示できます。管理者がプリログイン バナーのテキストを指定するには、アプライアンスでこの機能をイネーブルにし、コマンドライン コンソールにログインし、 /root/banner.pre ファイルを編集します。プリログイン バナーのテキストは、管理ユーザが CAM/CAS にログインするときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。

初期の CAM/CAS 設定 CLI セッションの間、および service perfigo config CLI コマンドを使用してベース CAM/CAS を変更するときにいつでも、プリログイン バナーをイネーブルまたはディセーブルにできます。

図 11-3 CAS ダイレクト アクセス Web 管理コンソールのログイン ページ

 

ステップ 2 一時証明書を受け入れ、関連付けられているパスワードを使用してユーザ admin としてログインします。

図 11-4 CAS ダイレクト アクセス Web 管理コンソール:NAC-3300 シリーズ

 


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に搭載された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていないため、Cisco NAC ネットワーク モジュールのダイレクト Web 管理コンソールを表示した場合は [Failover] タブは使用できません。


図 11-5 CAS ダイレクト アクセス Web 管理コンソール:NAC ネットワーク モジュール

 


) • CAS IP アドレスの先頭に「https://」を、末尾に「/admin」を付加してください。そうしないと、Web ログイン ユーザ用のリダイレクト ページが表示されます。

セキュリティのために、CAS Web コンソールのパスワードを変更することを推奨します。


 

CAS Web コンソールのほとんどすべての設定は、CAM Web 管理コンソールの CAS 管理ページで設定できます。例外は、[Failover]、[SSL]、[Admin Password]、および [Support Logs] です。CAS ダイレクト アクセス Web コンソールには、ローカル CAS 用の次の管理ページがあります。

Network Settings:IP、DNS、フェールオーバー(Cisco NAC-3300 シリーズのみ)

ソフトウェア更新

SSL(Generate Temporary Certificatel、Import Certificate、Export CSR/Private Key/Certificate、既存の信頼できる CA の表示と削除)

SNMP

Time Server

Admin Password

CAS ダイレクト アクセス コンソールの [Monitoring] モジュールには次のページがあります。

Active VPN Clients

Support Logs


) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「[IP] フォーム」および『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


CAS SSL 証明書の管理

ここでは、次の内容について説明します。

「SSL 証明書の概要」

「CAS での一般的な SSL 証明書の設定」

「一時証明書の生成」

「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」

「署名付き証明書/秘密キーの管理」

「信頼できる認証局の管理」

「現在の秘密キー/証明書と認証局情報の表示」

「Mac OS X と CAS の通信のための SSL 要件」

「証明書に関する問題のトラブルシューティング」

SSL 証明書の概要

Cisco NAC アプライアンスの各要素は、Secure Socket Layer(SSL)接続を介してセキュアに通信します。Cisco NAC アプライアンスでは、次の場合を含む多数の目的で、SSL 接続を使用します。

CAM と CAS 間のセキュア通信


注意 SSL 証明書が失効すると、CAM と CAS の間の通信、HA-CAM または HA-CAS のピア通信が切断され、ネットワーク機能に悪影響を与える場合があります。詳細については、「有効期限切れの SSL 証明書による HA アクティブ-アクティブな状況」を参照してください。

ポリシー同期マスター CAM とポリシー同期レシーバ CAM 間のポリシーのインポート/エクスポート操作

[User Management] > [Auth Servers] > [New] | [Edit] ページの [Security Type] オプションを使用して、 LDAP 認証プロバイダーで SSL をイネーブルにした、CAM と LDAP 認証サーバ間の通信

CAS と、CAS に接続しているエンドユーザ間の接続

CAM/CAS と、CAM/CAS Web 管理コンソールにアクセスしているブラウザ間の接続

インストール中に、CAM と CAS の両方の設定ユーティリティ スクリプトから、インストール中のアプライアンス(CAM または CAS)の一時 SSL 証明書を生成するように要求されます。対応する秘密キーも、一時証明書を使用して生成されます。試験環境で正確に動作している Clean Access Manager と Clean Access Server では、CA 署名付き証明書を使用する必要はありません。必要に応じて、一時証明書を引き続き使用できます。ただし運用配置では、セキュリティ上の理由から、CAM と CAS の一時証明書をサードパーティの CA 署名付き SSL 証明書で置き換える必要があります。

インストール時に、対応する秘密キーも一時証明書を使用して生成されます。Cisco NAC アプライアンス リリース 4.7 では、秘密キーと共有マスター キーという 2 種類のキーを使用して FIPS に準拠します。どちらの種類のキーも CAM または CAS にインストールされた FIPS カードを使用して管理し保存できます。インストール時にキーは CAM/CAS セットアップ ユーティリティを使用して作成され、その後セキュリティのために FIPS カードに 移動されます 。キー生成ファイルまたはディレクトリは CAM/CAS から削除されます。

Cisco NAC アプライアンス リリース 4.7 では秘密キーをエクスポートできなくなりました。また、FIPS 140-2 準拠の CAM および CAS を使用して CSR は生成できません。FIPS 準拠ガイドラインに従うためには、信頼できるサードパーティのリソースから証明書をインポートすることのみできます。

CAM の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』を参照してください。


) Cisco NAC アプライアンスは、SSL 証明書で 1024 ビット、2048 ビット、4096 ビット長の RSA キーをサポートします。



) Cisco NAC アプライアンスは、ワイルドカードの SSL 証明書をサポートしません。


ここでは、次の内容について説明します。

SSL 証明書管理のための Web コンソール ページ

CA 署名付き証明書

中間証明書

ハイ アベイラビリティ(HA)ペアの証明書

IP でなく DNS 名に対応した証明書の再生成

SSL 証明書管理のための Web コンソール ページ

CAM SSL 証明書ファイルは CAM マシンに保持され、CAS SSL 証明書ファイルは CAS マシンに保持されます。CAS 証明書は次の場所から管理します。

[Administration] > [SSL] > [X509 Certificate]: この設定ウィンドウは、一時証明書または CA 署名付き証明書のインポートとエクスポート、秘密キー(FIPS アプライアンスと非 FIPS アプライアンス)のインポート、秘密キー(非 FIPS アプライアンスのみ)のエクスポート、新しい一時証明書の生成に使用します。

[Administration] > [SSL] > [Trusted Certificate Authorities] :この設定ウィンドウは、CAS 上で CA を表示、追加、削除するために使用します。

[Administration] > [SSL] > [X509 Certification Request](非 FIPS アプライアンスのみ) :この設定ウィンドウは、CAS に対して新たに CA 署名付き証明書要求を生成するために使用します。

Web コンソール アクセスの詳細は、「CAS ダイレクト アクセス Web コンソール」を参照してください。


ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS でもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


CA 署名付き証明書

CAS SSL 証明書は、CAS とユーザの Web ブラウザの間または CAS と Agent の間、および CAM と CAS の間の通信で使用されます。実稼動環境での配置には、 CAS の一時証明書を第三者の CA 署名付き SSL 証明書で置き換える必要があります。Cisco NAC アプライアンスには、[Administration] > [SSL] > [X509 Certification Request] ページに、CA に送付可能な Certificate Signing Request(CSR; 証明書署名要求)を生成するためのツールが備わっています。CAS 上で第三者の CA 署名付き証明書を取得してインポートする必要がある理由は以下のとおりです。

CAS 証明書はエンド ユーザが参照します。CAS が一時証明書を使用していると、ユーザはログインするたびに CAS からの証明書を明示的に受け入れる必要があります。

ルート証明書は、クライアント マシンによって信頼される必要があります。


) CAM と CAS では、通信を暗号化する必要があります。そのため、Cisco NAC アプライアンスを実稼動環境に配置する前に、CAM は、管理しているすべての CAS の証明書の元となる信頼できる CA を含んでいる必要があり、すべての CAS は、CAM の証明書の元となる同じ信頼できる CA を含んでいる必要があります。


商用 CA(Thawte、Verisign など)では、ルートはクライアント マシン上にすでに存在します。

Windows Vista または Internet Explorer 7.0 が動作するクライアント マシンでは、Certificate Revocation List(CRL; 証明書失効リスト)のチェックがデフォルトでイネーブルになっています。Windows Vista または IE 7.0 クライアント マシンをサポートする場合は、CAS 用に CA 署名付き証明書を取得することを推奨します。詳細については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Windows Vista and Windows 7--IE 7 and IE 8 Certificate Revocation List」を参照してください。

Mac OS X エージェントの証明書の詳細は、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。

一時証明書は、試験環境専用に設計されています。実稼動環境に CAS を配置する場合は、ネットワーク セキュリティを確実に確保できるよう、サードパーティの認証局からの信頼できる証明書を使用することを強くお勧めします。

試験環境では、CA 署名付き証明書を使用する必要はなく、CAM と CAS に一時証明書を使用し続けることができます。しかし、CAM と CAS を実稼動環境に配置する場合には、第三者の信頼できる CA を使用する必要があります。CAM の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』を参照してください。


) Clean Access Manager 用に購入した CA 署名付き証明書は、Clean Access Server では使用できません。Clean Access Server ごとに個別の証明書を購入する必要があります。

パブリック CA によって提供されない証明書や、自己署名証明書ではない証明書は、CAS によって非標準証明書であると見なされます。


CA

CA には、商用(Thawte、Verisign など)CA とプライベート CA があります。

商用 CA を使用する場合

CSR を商用 CA に送付し、Web サーバ タイプまたは SSL タイプの証明書を要求します。

CA は CSR に基づいて証明書を発行します。

CA のルート キーまたは公開キーを要求することもできます。

CAM および CAS には、一般的な商用 CA のほとんどの公開キー(ルート)がすでに搭載されています。

プライベート CA を使用する場合

CSR を、Microsoft CA サーバなどのプライベート CA またはローカル CA に送信します。

プライベート CA サーバは、証明書とルート(公開キー)を発行します。

ただし、このルートは CAM および CAS にロードする必要があります。

中間証明書

1 つ以上の中間証明書が関係する場合、複数のルート証明書または公開キーを持つことになります。CA には独自のルートがあります。チェーン内のすべての CA のルートまたは公開キー情報は、CAS にアップロードする前に、1 つのファイルにまとめる必要があります(たとえば root.cer )。そのためには、各 CA のルート証明書を開き、各ルート証明書からワードパッドなどのテキスト エディタに情報をコピーします。各 CA 証明書の「Begin Certificate」行と「End Certificate」行を含め、1 行に 1 つずつ各証明書を記述します。編集した root.cer ファイルを保存し、CAS にインポートします。

IP でなく DNS 名に対応した証明書の再生成

サーバの IP アドレスでなく DNS 名に基づいて証明書を再作成する場合は、次のようにします。

署名用に CSR を生成する場合、秘密キーは常に安全な場所にエクスポートして保存します(保護のためと、秘密キーを手元に置くため)。インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。CSR をエクスポートしたあとで新しい一時証明書を生成すると、新しい秘密キーと公開キーの組み合わせが作成され、新しい公開キーと CA 署名付き証明書が一致しなくなります。

特定の CA 署名付き証明書をインポートすると、CA 署名付き証明書への署名に使用されるルート証明書(CA のルート証明書)をインポートする必要があること、または場合によっては中間ルート証明書をインポートする必要があることを通知する警告が表示されることがあります。

DNS サーバに DNS エントリがあることを確認します。

CAS 内の DNS アドレスが正しいことを確認します(「ネットワークの DNS サーバの設定」を参照)。

ハイ アベイラビリティ(フェールオーバー)構成の場合、サービス IP の DNS 名を使用します(仮想 DNS)。

使用している DNS ベース証明書が CA 署名付きでない場合は、証明書を受け入れるように促すプロンプトがユーザに対して表示されます。

CAS での一般的な SSL 証明書の設定

CAS 証明書を管理するための一般的な手順は以下のとおりです。

フェーズ 1:CAS と CAM の間の SSL 通信の確立


ステップ 1 時刻を同期します。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し(3 ~ 5 分以内の差)、そのあとで CSR のベースとなる一時証明書を再生成します。詳細については、次の「システム時刻の同期」を参照してください。

ステップ 2 CAS の DNS 設定を確認します。

CA 署名付き証明書にサーバの IP アドレスでなく DNS 名を使用する場合は、CAS の設定を検証し、一時証明書を再生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書の再生成」を参照してください。HA システムの場合、サービス IP に基づいて証明書を再生成する必要があります(「一時証明書の生成」を参照)。

ステップ 3 「一時証明書の生成」

CAS の初期インストールと設定時に、一時証明書と秘密キーが自動的に生成されます。CAM の時刻または DNS 設定を変更する場合は、一時証明書および秘密キーを再生成します。

ステップ 4 CAM から証明書をエクスポートし、CAS からアクセスできるマシンに保存し、エクスポートされた証明書を CAS にインポートします。また、CAS 証明書も CAM にインポートするために、逆方向にもこのプロセスを実行します。

フェーズ 2:CAS と CAM の実稼動環境の配置用の設定


警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 1 保護のために、証明書をローカル マシンにエクスポート(バックアップ)します。

Cisco NAC アプライアンスの SSL 設定を変更する場合は、保護のために、証明書と、現在の証明書に対応する秘密キーを必ずローカル ハード ドライブにバックアップすることをお勧めします。「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」を参照してください。

ステップ 2 (非 FIPS アプライアンスのみ)保護のために、秘密キーをローカル マシンにエクスポート(バックアップ)します。

Cisco NAC アプライアンスの SSL 設定を変更する場合は、保護のために、証明書と、現在の証明書に対応する秘密キーを必ずローカル ハード ドライブにバックアップすることをお勧めします。「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」を参照してください。

ステップ 3 (非 FIPS アプライアンスのみ)CSR をローカル マシンにエクスポート(保存)します(「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」を参照)。

ステップ 4 CSR ファイルを、信頼できる証明書の発行が許可された認証局(CA)に送信します。

ステップ 5 CA が署名し、証明書を戻したら、CA 署名付き証明書をサーバにインポートします。

CA 署名付き証明書を CA から受信したら、PEM エンコード ファイルとして CAS 一時ストアにアップロードします。「署名付き証明書/秘密キーの管理」を参照してください。


) CAS を実稼動環境に配置する前にこの認証局を削除することを強くお勧めします。CAS を実稼動環境に配置しない場合は、この認証局を削除するかどうかを選択できます。



) CAM と CAS では、通信を暗号化する必要があります。そのため、Cisco NAC アプライアンスを実稼動環境に配置する前に、CAM は、管理しているすべての CAS の証明書の元となる信頼できる CA を含んでいる必要があり、すべての CAS は、CAM の証明書の元となる同じ信頼できる CA を含んでいる必要があります。


ステップ 6 必要に応じて、必要な中間 CA 証明書をすべて、単一の PEM エンコード ファイルとして CAS 一時ストアにアップロードします(「中間証明書」を参照してください)。

ステップ 7 CAS にアクセスするクライアントとしてテストします。


 

フェーズ 3:既存の実稼動環境への新しい CAM または CAS の追加

実稼動環境では、CA 署名付き証明書だけが使用されます。新しいアプライアンス(CAM または CAS)を実稼動環境に追加するときには次の手順を実行してください。新しいサードパーティの CA 署名付き証明書を要求して、インポートできるようになるまでは、新しいアプライアンスを配置に追加できません。


ステップ 1 新しいアプライアンスをインストールし初期設定を行います(『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照)。

ステップ 2 「フェーズ 1:CAS と CAM の間の SSL 通信の確立」の手順に従います。

ステップ 3 (非 FIPS アプライアンスのみ)新しいアプライアンスの CSR を生成します(「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」を参照)。

ステップ 4 「署名付き証明書/秘密キーのインポート」の説明に従って、CA 署名付き証明書を取得してインストールします。

ステップ 5 アプライアンスを既存の実稼動環境に追加します。


 

一時証明書の生成

次に、CAS の新しい一時証明書の生成手順を示します。CAM で基本的な設定値(日付、時刻、関連する DNS サーバなど)を変更する場合は常に、新しい一時証明書を生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書の再生成」を参照してください。


) CAS 上で証明書を生成する前に、CAS の Distinguished Name(DN; 認定者名)を CAM の Web コンソール ページ [Device Management] > [CCA Servers] > [Authorization] で入力します。



注意 FIPS 140-2 準拠のアプライアンスを使用している場合、この手順に従って復元できるよう、現在信頼できる CA 証明書と秘密キーが外部マシンに保存されていることを確認してください。

CA 署名付き証明書を非 FIPS アプライアンスで使用している場合は、新しい秘密キーを生成する前に、現在の証明書の秘密キーをバックアップすることをお勧めします。新しい証明書を生成すると、新しい秘密キーも生成されるためです。詳細については、「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」を参照してください。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます。

ステップ 2 一時証明書を作成するために必要なフィールドを表示するには、[Generate Temporary Certificate] をクリックします(図 11-6 を参照)。

図 11-6 [Administration] > [SSL] > [X509 Certificate]:一時証明書の生成

 

ステップ 3 フォームのフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する CAS の Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)または IP アドレス(例: caserver.<your_domain_name> )。

IP ベースの証明書を使用する場合、CAS の信頼できるインターフェイス IP アドレス(eth0)に基づいて証明書を生成します。


) CAS が L3 Real-IP ゲートウェイとして設定されている場合は、CAS の信頼できないインターフェイス(eth1)の IP アドレスに基づいて証明書を生成します。


ドメイン名を使用する場合は、入力した「完全なドメイン名」がDNS サーバで解決できることを確認してください。


) Mac OS X の Agent をサポートするには、CAS および CAM で、証明書の「subject」DN として FQDN を使用する必要があります(これは、CAS および CAM コンソールの [Full Domain Name or IP] です)。IP アドレスは使用できません。詳細については、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。


[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在国(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 新しい一時証明書で 1024 ビット、2048 ビット、4096 ビットの RSA キー サイズ のどれを使用するかを指定します。

ステップ 5 終了したら、[Generate] をクリックします。これで、新しい一時証明書と新しい秘密キーが生成されます。

ステップ 6 FIPS 140-2 準拠アプライアンスの場合、外部マシンから現在の信頼できる CA 証明書と秘密キーを復元します。


) 証明書表示テーブルの CCA Server Certificate エントリは、現在の CAS SSL 証明書の完全な認定者名を示します。CAM と CAS の間で許可を設定する場合は、CAM Web コンソールで CAS の完全な認定者名を入力する必要があります。詳細については、「CAS と CAM の間の許可の設定」を参照してください。



 

証明書要求の生成とエクスポート(非 FIPS CAS のみ)


) [Administration] > [SSL] > [X509 Certification Request] タブは FIPS 140-2 準拠アプライアンスの CAS Web コンソールには表示されません。


CSR を生成すると、認証局への送信に適した PEM エンコード PKCS#10 フォーマットの Certificate Signing Request(CSR)が作成されます。CSR を送信する前に、保護のために、必ず既存の証明書と秘密キーをローカル マシンにエクスポートして、バックアップしてください。

CAS Web コンソールから CSR および秘密キーをエクスポートし、証明書要求を作成する手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [X509 Certification Request] の順番に進みます(図 11-7)。

図 11-7 [Administration] > [SSL] > [X509 Certification Request]

 

ステップ 2 証明書要求を作成するために必要なフィールドを表示するには、[Generate Certification Request] をクリックします。

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する Clean Access Manager の完全修飾ドメイン名または IP アドレス。たとえば、 camanager.< your_domain_name > などです。


) CAS HA ペアの CA 署名付き証明書を要求する場合、CA 署名付き証明書はサービス IP か、DNS を通じて解決可能なホスト名またはドメイン名を基にする必要があります。


[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在国(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 新しい一時証明書で 1024 ビット、2048 ビット、4096 ビットの RSA キー サイズ のどれを使用するかを指定します。

ステップ 5 [Generate] をクリックし、 証明書要求と秘密キー ペアを生成 します 。これらが、認証局に送信する CSR に対応した証明書および秘密キーであることを確認してください。

ステップ 6 新しい CSR を CA に送信する前に、要求を生成するために使用した新しい証明書要求と秘密キーをローカル マシンに保存するため、[Certification Request] と [Private Key] のいずれかまたは両方のチェックボックスをオンにし、[Export] をクリックします。ファイルを保存するか、または開くように要求されます(「エクスポートされたファイルのデフォルトのファイル名」を参照)。ファイルは安全な場所に保存します。CSR ファイルを使用して、認証局に対して証明書を要求します。証明書をオーダーすると、CSR ファイルの内容をオーダー フォームの CSR フィールドにコピー アンド ペーストするように要求されることがあります。

または、証明書要求フォームに入力する準備ができている場合には、CSR をすぐにワードパッドなどのテキスト エディタで 開き ます。ただし、要求プロセスで何らかのトラブルが発生した場合や、CSR を送信してから CA 署名付き証明書を受け取るまでの間に CAM の基本的な設定を変更した場合に備え、CSR と秘密キーのローカル コピーを保存することを強く推奨します。

CA から CA 署名付き証明書を受け取ったら、「署名付き証明書/秘密キーの管理」に従って CAS にインポートします。CA 署名付き証明書をインポートしたら、「現在インストールされている証明書」が CA 署名付き証明書になります。また、あとでこの証明書のバックアップにアクセスする必要がある場合は、[Export] をクリックして、いつでも現在インストールされている証明書をエクスポートできます。


 

エクスポートされたファイルのデフォルトのファイル名

CAS からエクスポートできる SSL 証明書ファイルのデフォルトのファイル名は、次のとおりです。ローカル マシンにファイルを実際に保存するときに、ファイルに別の名前を指定できます。たとえば、証明書チェーン情報が格納されたファイル chain.pem を上書きしないために、秘密キー ファイル名として priv_key.pem などのより適切な名前を指定できます。

 

デフォルトのファイル名 1
説明

cert_request.pem

CAS の CSR

chain.pem2

CAS の現在インストールされている秘密キーまたは証明書

1.リリース 3.6.0.1 以前のファイル名拡張子は、.pem でなく .csr です。

2.リリース 3.6(1) の場合だけは、ファイル名は secsmart_crt.pem です。

署名付き証明書/秘密キーの管理

署名付き証明書/秘密キーのインポート

FIPS 140-2 準拠アプライアンスおよび非 FIPS アプライアンスで CAS Web コンソールを使用して、CA 署名付き PEM エンコード X.509 証明書と秘密キーをインポートできます(通常、秘密キーの再インポートが必要なのは、現在の秘密キーが CA 署名付き証明書のベースとなる元の CSR の作成に使用された秘密キーと一致しない場合だけです。)CA 署名付き証明書、秘密キー、および関連する認証局情報を Cisco NAC アプライアンスにインポートするために管理者が使用できる方法には、次の 2 つがあります。

1. 認証局とエンド エンティティ証明書/秘密キーを別個にインポートします。

a. 「信頼できる認証局の管理」の手順を使用して、認証局をトラスト ストアにインポートします。

b. CAS のエンド エンティティ証明書または秘密キーをインポートします(後述の手順を使用)。

2. PEM エンコード X.509 証明書チェーン(秘密キーとエンド エンティティ、ルート CA、中間 CA 証明書を含む)を作成し、チェーン全体を一度にインポートする(後述の手順を使用)。

CAS の CA 署名付き PEM エンコード X.509 証明書を受信したら、ここでの説明に従って、この証明書も CAS にインポートできます。

作業を開始する前に、ルートおよび CA 署名付き証明書ファイルがアクセス可能なファイル ディレクトリに格納されていること、および CAM と CAS の両方のためのサードパーティの証明書を取得したことを確認してください。中間 CA 証明書が必要な CA を利用する場合は、これらのファイルがまだ CAS に存在しない場合、ファイルがあることとアクセス可能であることを確認します。


) CAS HA ペアの CA 署名付き証明書を取得する場合、CA 署名付き証明書は、サービス IP か、DNS を通じてサービス IP に解決可能なホスト名またはドメイン名を基にしている必要があります。



) パブリック CA によって提供されない証明書や、自己署名証明書ではない証明書は、CAM/CAS によって非標準証明書であると見なされます。証明書を CAS にインポートする際には、必ず認証サーバ用の CA 署名付き証明書を取得してください。


CAS の証明書または秘密キーをインポートする手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます(図 11-8 を参照)。

図 11-8 [Administration] > [SSL] > [X509 Certificate]:証明書のインポート

 

ステップ 2 [Browse] をクリックして、ローカル マシンで証明書ファイルと秘密キーを見つけます。


) ファイルをインポートする場合は、ファイル名にスペースが含まれていないことを確認してください(下線は使用できます)。


ステップ 3 [Import] をクリックします。


) CAM および CAS はどちらも、証明できない証明書チェーンをインストールしません。1 つのファイルに複数の証明書を含める場合は、デリミタ(BEGIN/END CERTIFICATE)が必要です。ただし、これらのファイルはインストール前に一時ストア内で検証されるため、特定の順番で証明書ファイルをアップロードする必要はありません。

CAS トラスト ストアに証明書チェーンの他のメンバーがすでに格納されている場合は、再インポートする必要はありません。CAS は、新たにインポートした部分と既存の部分から証明書チェーンを構築します。


リスト内の既存の CAM のルート/中間 CA 証明書をアップロードしようとすると、「This intermediate CA is not necessary」というエラー メッセージが表示されることがあります。この場合は、重複したファイルをすべて削除するために、アップロードしたルート/中間 CA を削除する必要があります。


 

証明書または秘密キーのエクスポート


) FIPS 140-2 準拠 CAS の秘密キーはエクスポートできません。証明書のみエクスポートできます。


システム障害やその他の損失に備えて証明書と秘密キーをバックアップするには、証明書と秘密キー情報をエクスポートして、ローカル マシンにコピーを保存します。これは、CSA HA ペアの証明書または秘密キーの情報を管理するのにも役立ちます。HA プライマリ CAS から証明書情報をエクスポートして、HA セカンダリ CAS でインポートするだけで、CAM と CAS の通信で必要な証明書情報をスタンバイ CAS に正確に複製できます。


ステップ 1 [Administration] > [SSL] > [X509 Certificate] の順番に進みます(図 11-8)。

ステップ 2 既存の 証明書または秘密キー 情報をエクスポートする手順は、次のとおりです。

a. 証明書リストに表示されている 1 つ以上の証明書または秘密キーを、対応する左側のチェックボックスをオンにして選択します。

b. [Export] をクリックして、生成されるファイルを保存するローカル マシン上の場所を指定します。


 

信頼できる認証局の管理

CAS の Web コンソール ページ [Administration] > [SSL] > [Trusted Certificate Authorities] を使用して、CAS データベースから信頼できる CA を検索し削除することができます。信頼できる CA のコレクションを維持するために、Cisco NAC アプライアンスの運用に不可欠な信頼できる CA 情報だけを CAM トラスト ストアに保持することを推奨します。

CAS で信頼できる CA を表示または削除する手順は、次のとおりです。


ステップ 1 [Administration] > [SSL] > [Trusted Certificate Authorities] の順番に進みます(図 11-9)。

図 11-9 [Administration] > [SSL] > [Trusted Certificate Authorities]

 

信頼できる CA の表示

ステップ 2 CAS Web コンソールに表示される信頼できる CA のリストを最適化する手順は、次のとおりです。

a. [Filter] ドロップダウン メニューからオプションを選択します。

[Distinguished Name]:信頼できる CA 名に特定のテキスト文字列が含まれているかどうかに応じて、信頼できる CA のリストを改良するには、このオプションを使用します。

[Time]:信頼できる CA が現在有効であるか無効であるかに応じて、表示を改良するには、このオプションを使用します。

これらの 2 つのオプションを組み合せて、信頼できる CA の表示を改良することもできます。

b. 条件に一致するすべての信頼できる CA のリストを表示するには、検索オプションを選択してパラメータを定義したあと、[Filter] ボタンをクリックします。

[Reset] をクリックすると、フィルタ ドロップダウン メニューのオプションの検索条件がすべて無効となり、信頼できる CA の表示がデフォルトの設定に戻ります。

c. また、信頼できる CA のリストに表示可能な項目の数を増やしたり減らしたりするには、リストの左上部にあるドロップダウン メニューでオプションを 1 つ選択します。オプションは 10、25、または 100 項目です。

d. 既存の信頼できる CA に関する詳細を表示するには、図 11-10に示すように、[View] ボタン(一番右にある虫眼鏡のアイコン)をクリックして、特定の認証局に関する情報を表示します。

図 11-10 信頼できる CA の情報

 

信頼できる CA の削除

ステップ 3 リストで信頼できる CA それぞれのチェックボックスをオンにして、削除対象の信頼できる CA を 1 つ以上選択します(信頼できる CA の上部にある空のチェックボックスをクリックすると、現在のリスト中の すべての 信頼できる CA が自動的に選択または選択解除できます。)

ステップ 4 [Delete Selected] をクリックします。

選択した信頼できる CA がデータベースから削除されると、CAS は自動的にサービスを再起動して更新を完了します。


 

信頼できる認証局のインポート/エクスポート

Web コンソール ページ [Trusted Certificate Authorities] を使用して、CAS の証明書情報をインポートおよびエクスポートすることもできます。


) 証明書のインポートとエクスポートの標準的なガイドラインについては、「証明書要求の生成とエクスポート(非 FIPS CAS のみ)」および「署名付き証明書/秘密キーの管理」を参照してください。



ステップ 1 [Administration] > [SSL] > [Trusted Certificate Authorities] の順番に進みます。

ステップ 2 信頼できる CA をインポートするための手順は、次のとおりです。

a. ネットワークに CAS からアクセスできる適切な証明書ファイルがあることを確認し、[Browse] をクリックします。

b. ディレクトリ システムで証明書ファイルを見つけて選択し、[Open] をクリックします。

c. [Import] をクリックして、 信頼できる CA の情報を CAS にアップロードします。

ステップ 3 [Trusted Certificate Authority] の既存の情報をエクスポートするための手順は、次のとおりです。

a. [Trusted Certificate Authorities] リストに表示されている 1 つ以上の信頼できる CA を、対応する左側のチェックボックスをオンにして選択します。

b. [Export] をクリックして、生成される「caCerts」ファイルを保存するローカル マシン上の場所を指定します。


 

現在の秘密キー/証明書と認証局情報の表示

[Administration] > [SSL] > [X509 Certificate] では次のファイルを確認できます(図 11-7 を参照)。

現在インストールされている秘密キー

現在インストールされているエンド エンティティ、中間 CA 証明書

CA 情報


) 秘密キーまたは証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


現在インストールされている秘密キーの表示

CAM 秘密キーを表示するには、秘密キーをエクスポートし、エクスポートした秘密キー ファイルをワードパッドなどのテキスト エディタで開き、図 11-11に示すようなダイアログを表示します(BEGIN PRIVATE KEY/END PRIVATE KEY)。

図 11-11 現在インストールされている秘密キーの表示

 

この方法を使用して、アップロードした秘密キーを表示してから、CAM にインポートすることもできます。

現在の証明書または証明書チェーンの表示

CAS 秘密キーとエンド エンティティ、ルート CA、中間 CA 証明書を表示するには、エクスポートしてから保存したファイルをワードパッドなどのテキスト エディタで開き、図 11-12に示すようなダイアログを表示します(BEGIN CERTIFICATE/END CERTIFICATE)。

図 11-12 現在インストールされている証明書の表示

 

この方法を使用して、アップロードした証明書を表示してから、CAM にインポートすることもできます。

CA 情報の表示

CAM エンド エンティティ、ルート、中間 CA 証明書の CA 情報を表示するには、右側のカラムの対応する View アイコンをクリックし、図 11-13 に示すようなダイアログを表示します。

図 11-13 CA 情報の表示

 

Mac OS X と CAS の通信のための SSL 要件

Mac OS X の Agent が CAS と通信するためには、Agent と CAS の間の SSL 通信が特定の要件を満たしている必要があります。CAS には以下のいずれかが必要です。

有効な名前に基づく CA 署名付き証明書(信頼できる CA より取得)

後述の要件を満たす名前ベースの一時証明書


) DNS がすべての名前に基づく証明書を解決できることを確認してください。


Mac OS X Agent への SSL 接続のための CAS 一時証明書要件

CAS で一時証明書を使用する場合、以下のことが必要です。


ステップ 1 CAS および CAM は、証明書の「 subject 」DN として、FQDN を使用する必要があります(これは、CAS および CAM コンソールの [Full Domain Name or IP] です)。IP アドレスは使用できません。CAS で証明書の再生成が必要になる場合があります(詳細については、「一時証明書の生成」を参照してください)。

ステップ 2 Mac OS X マシンで、一時証明書に署名するために使用されたルート証明書は、Keychain Access アプリケーションの X509 Anchors にインストールされている必要があります。そのためには、マシンで動作している Mac OS X のバージョンに応じて、以下のいずれかの手順を使用します。

Mac OS 10.5 のルート証明書のインストール

Mac OS 10.5 のルート証明書のインストール

ステップ 3 Mac OS X マシンは、DNS を通じて FQDN 名を正しく解決できる必要があります。これには 2 つのアプローチがあります。

a. Mac マシンが使用している DNS サーバにエントリを追加します。または

b. テスト マシンの場合

1. root アカウントを有効にします(「Mac OS X での root ユーザのイネーブル化」

2. Macintosh クライアントマシンで /etc/hosts ファイルを編集するため、 sudo vi /etc/hosts を実行して、新しいドメイン ルックアップ エントリを追加します。


 


注意 CAS および CAM は完全なドメイン名を使用するため、証明書では IP アドレスを使用できません。代わりにドメイン名を使用する必要があります。


注意 マシンの日付と時刻が証明書に対して有効であることを確認します。現在の日付と時刻が証明書の範囲に収まっていないと、Agent が動作しません。

Mac OS 10.5 のルート証明書のインストール


) 以下の手順を実行するには、コンピュータに対する管理権限が必要です。



ステップ 1 ルート証明書をクライアント マシン(またはデスクトップ)にダウンロードします。詳細については、「CAS からのルート証明書の取得」を参照してください。

ステップ 2 Dock で [Finder] アイコンをクリックします。

ステップ 3 [Go] メニューから、[Applications] を選択します。

ステップ 4 Utilities フォルダを開きます。

ステップ 5 Keychain Access アプリケーションを起動します。

図 11-14 Mac OS 10.5 での Keychain Access アプリケーションの起動

 

ステップ 6 ルート証明書を Keychain Access アプリケーションにドラッグします。

図 11-15 Mac OS 10.5 上で証明書アイコンを Keychain Access アプリケーションにドラッグ アンド ドロップ

 

ステップ 7 [Certificate] ダイアログで [Always Trust] をクリックします。

図 11-16 Mac OS 10.5 上の [Certificate] ダイアログ

 

ステップ 8 ルート証明書が追加されます(図 11-17)。

図 11-17 Mac OS 10.5 での新しいルート証明書の表示

 


 

Mac OS X での root ユーザのイネーブル化


) マシン上で管理者になっていることを確認します。以降の手順を実行するには、管理権限を持つアカウントにアクセスできることが必要です。



ステップ 1 Dock で [Finder] アイコンをクリックします。

ステップ 2 [Go] メニューから、[Applications] を選択します。

ステップ 3 Utilities フォルダを開きます。

ステップ 4 NetInfo Manager ユーティリティを開きます。

ステップ 5 [NetInfo Manager] ウィンドウの錠をクリックします(または、[Security] > [Authenticate] の順番に進みます)。

ステップ 6 管理者アカウントのユーザ名とパスワードを入力し、[OK] をクリックします。

ステップ 7 Mac OS 10.5 の場合、[Applications] > [Utilities] > [Directory Utility.app] を起動し(図 11-18)、[Edit] メニューから [Enable Root User] を選択します(図 11-19)。

図 11-18 [Enable Root User] >(Mac OS 10.5)

 

図 11-19 [Enable Root User] > [Edit](Mac OS 10.5)

 

ステップ 8 root のパスワードを入力し、root アカウントをイネーブルにします。これまで root のパスワードを設定していない場合は、パスワードが空であることを示す [NetInfo Error] という警報ボックスが表示されます。[OK] をクリックします。

ステップ 9 設定する root パスワードを入力し、[Set] をクリックします。

ステップ 10 確認のためパスワードを再度入力し、[Verify] をクリックします。

ステップ 11 root ユーザがイネーブルになります。

ステップ 12 錠のアイコンを再度クリックして変更できないようにします。


 


) 詳細は、http://docs.info.apple.com/article.html?artnum=106290#one を参照してください。


Mac OS X の Agent の詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』の「Mac OS X Agent Dialogs」を参照してください。

CAS からのルート証明書の取得

Internet Explorer では CAS 証明書をエクスポートできるため、こでは Windows システムでルート証明書を取得する方法について説明します。その後、管理者は、証明書を Mac に電子メールの添付ファイル、FTP、USB ストレージ デバイス経由で転送することができます。

ルート証明書を取得する方法には、以下の 3 つの方法があります。

Mac OS X Agent バンドルからルート証明書を取得する

Internet Explorer を使用してルート証明書を Windows から転送する

Web ログインを使用してルート証明書を取得する

Mac OS X Agent バンドルからルート証明書を取得する


ステップ 1 Finder で、 /Applications/CCAAgent.app を参照します。

ステップ 2 Ctrl キーを押しながら CCAAgent.app をクリックし、コンテキスト メニューを表示します。

ステップ 3 [Show Package Contents] を選択し、証明書「perfigoca.crt」を /Contents/Resources/ フォルダの中から検索します。

ステップ 4 証明書「perfigoca.crt」をキーチェーンにドラッグ アンド ドロップします。

詳細については、「Mac OS X と CAS の通信のための SSL 要件」を参照してください。


 

Internet Explorer を使用してルート証明書を Windows から転送する

一時証明書が Windows システムにまだインストールされていない場合

図 11-20 は、一時証明書を最初にダウンロードするための手順を示しています。

1. IE ブラウザを開き、任意のアドレスを入力します。ブラウザが Web ログインの認証ページにリダイレクトされます。

2. 証明書がインストールされていないため、[Security Alert] ダイアログがブラウザにより表示されます。[Security Alert] ダイアログで [View Certificate] ボタンをクリックします。

3. 表示される [Certificate] ウィンドウの [Details] タブをクリックします。

4. [Details] タブで [Copy to File] ボタンをクリックします。

5. [Certificate Export Wizard] で、フォーマット オプションを [DER encoded binary x.509 (.CER)] のままにし、[Next] をクリックして証明書を Windows システムに保存します。

6. 証明書を Mac マシンに転送します。

図 11-20 証明書ダウンロード方法 1

 

ブラウザにすでに一時証明書がダウンロードされている場合

図 11-21 は、証明書がすでにシステムにインストールされている場合に証明書をダウンロードするための手順を示しています。

1. IE ブラウザを開きます。

2. [Tools] > [Internet Options] を選択します。[Content] タブをクリックし、[Certificates] ボタンをクリックします。

3. [Certificates] ウィンドウで [Intermediate Root Certificate Authorities] をクリックします。

4. www.perfigo.com によって発行された証明書を強調表示し、[Export] ボタンをクリックします。

5. Windows マシン上で証明書を保存する場所を選択します。

6. 証明書を Mac マシンに転送します。

図 11-21 証明書ダウンロード方法 2

 

Web ログインを使用してルート証明書を取得する


ステップ 1 CAM の設定を変更し、[Root CA Label] オプションをイネーブルにします(CAM Web コンソールのページ [Administration] > [User Pages] > [Login Page] > [Edit] > [Content])。これにより、ブラウザのユーザ ログイン ページからルート証明書をダウンロードするためのリンクが表示されます。

ステップ 2 ユーザがブラウザを開きログイン ページに進むと、ルート証明書をダウンロードするためのリンクが表示されます。リンクをクリックし、証明書「perfigoca.crt」をローカル クライアント マシンに保存するようユーザに指示します。

ステップ 3 ユーザから証明書を入手し、証明書「perfigoca.crt」をキーチェーンにドラッグ アンド ドロップします。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』の「Administering the CAM」の章のガイドラインを参照してください。


 

証明書に関する問題のトラブルシューティング

証明書チェーンのいずれかの場所で SSL 証明書に不一致があると、Cisco NAC アプライアンスの証明書管理で問題が発生することがあります。SSL 証明書の一般的な問題は、時間によるもの(CAM および CAS のクロックが同期していない場合、認証に失敗する)、IP によるもの(不正なインターフェイスに対して証明書が作成される)、情報によるもの(不正な、または入力ミスの証明書情報がインポートされる)などです。ここでは、トラブルシューティングに関する次の内容について説明します。

有効期限切れの SSL 証明書による HA アクティブ-アクティブな状況

CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

証明書関連ファイル


警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


有効期限切れの SSL 証明書による HA アクティブ-アクティブな状況

HA-CAM と HA-CAS 両方の HA 通信は、2 つの HA ペア アプライアンス間のすべての通信をセキュアに行うため、IPSec トンネルを介して処理されます。この IPSec トンネルは、CAM と CAS 両方の HA pea にアップロードされた SSL 証明書に基づいてネゴシエートされます。SSL 証明書が 2 つの HA ピアで信頼されていない場合、または有効ではない場合、2 つのペア間の HA ハートビート通信は分割され、結果、両方の HA ペア アプライアンスでアクティブ HA プライマリ ロールであると仮定されます。

VGW モードで配置された CAS の場合、これにより、ネットワークをダウンさせる可能性があるレイヤ 2 ループが潜在的に作成されることがあります。有効期限が切れた、または無効な SSL 証明書を持つ HA-CAM は、データベースが 2 つの HA-CAM アプライアンス間で同期されない、アクティブ-アクティブな状況をもたらす場合があります。最終的に、この状況により、HA-CAM のフェールオーバー イベント後の CAM のすべての最近の設定変更やすべてのユーザのログイン情報が失われます。

IPSec トンネルを介した CAM-CAS 通信には、CAM および CAS の両方で有効な SSL 証明書が必要なため、CAM-CAS 通信は、CAM または CAS のどちらかの SSL 証明書が有効期限切れになった場合にも分割されます。この状況により、エンドユーザ認証が失敗し、CAS が CAS 設定単位でフェールバック モードに戻ります。

管理者は、SSL 証明書の有効期限切れによる HA アプライアンスのアクティブ-アクティブな状況を、HA ハートビートで有効期限がより長い SSL 証明書を使用したり、シリアル ポート接続(使用できる場合で、別の CAM または CAS で使用されていない場合)を使用することで最小限にすることができます。ただし、HA-CAM を設定してシリアル リンク経由でハートビートを実行し、SSL 証明書の有効期限切れのためにプライマリ eth1 インターフェイスに障害が発生した場合、CAM はHA ピアと同期できないことを示すデータベース エラーを返し、管理者は「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」というエラー メッセージを、CAM Web コンソールで受け取ります。


) Cisco NAC アプライアンス リリース 4.8 から、CAM または CAS は、証明書の有効期限切れを示すイベント ログ メッセージが、CAM/CAS Web コンソールに表示されるメッセージと共に生成されます。


CAS が CAM とのセキュアな接続を確立できない

ログインを試行したクライアントで「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain>」というエラー メッセージが表示された場合は、通常、次のいずれかの問題が発生しています。

CAM と CAS 間の時差が 5 分を超えています。

IP アドレスが無効です。

ドメイン名が無効です。

CAM に到達できません。

CAM および CAS に設定された時刻の差は、5 分以内でなければなりません。この問題を解決する手順は、次のとおりです。

1. まず、CAM および CAS の時刻を正しく設定します(「システム時刻の同期」を参照してください)。

2. 正しい IP アドレスまたはドメインを使用して、CAS 上で証明書を再生成します。

3. CAS をリブートします。

4. 正しい IP アドレスまたはドメインを使用して、CAM 上で証明書を再生成します。

5. CAM をリブートします。


) CAS で nslookup および date をチェックし、CAS の DNS と TIME の両方の設定が正しい場合、CAS の caCerts ファイルが破損していることを示している可能性があります。この場合は、/usr/java/j2sdk1.4/lib/security/caCerts の既存の caCerts ファイルをバックアップしてから、/perfigo/common/conf/caCerts のファイルで上書きし、CAS で「service perfigo restart」を実行することをお勧めします。


Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

この問題は、新しい一時証明書が生成されたにもかかわらず、古い一時証明書と秘密キー ペアから生成された CSR に対応する CA 署名付き証明書が戻された場合に発生することがあります。

たとえば、管理者は CSR を生成し、秘密キーをバックアップしてから、CSR を VeriSign などの CA に送信します。

CSR が送信された後で、別の管理者が一時証明書を再生成します。CA 署名付き証明書が CA から戻された場合、CA 証明書のベースとなる秘密キーは、Clean Access Server 内の秘密キーと一致しません。

この問題を解決するには、古い秘密キーを再インポートしてから、CA 署名付き証明書をインストールします。

証明書関連ファイル

表 11-1 に、トラブルシューティング用の、CAS の証明書関連ファイルを示します。たとえば、CA 証明書と秘密キーの組み合わせが一致しないために管理コンソールに到達できない場合、CAS のファイル システム内にあるこれらのファイルを直接変更しなければならないことがあります。

 

表 11-1 CAS の証明書関連ファイル

ファイル
説明

/root/.tomcat.key

秘密キー

/root/.tomcat.crt

証明書

/root/.tomcat.req

CSR

/root/.chain.crt

中間証明書

/root/.perfigo/caCerts

ルート CA バンドル

SNMP

SNMP 管理ツール(HP OpenView など)で管理/モニタされるように、Clean Access Server を設定できます。この機能を使用すると、SNMP(v1)を使用した最小限の管理を実行できます。

SNMP 設定は、Clean Access Manager で設定できます。この設定は、Clean Access Manager に接続されているすべての Clean Access Server 全体に適用されます。特定の Clean Access Server の設定を変更する場合は、次の方法のいずれかを使用して設定を指定できます。

CAM Web コンソールで、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [SNMP] に進み、設定を変更します。詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』を参照してください。

または

CAS Web コンソールで、[Administration] > [SNMP] に移動して設定を変更します。「SNMP ポーリング/アラートのイネーブル化」を参照してください。

[Enable] ボタンをクリックすると [Administration] > [SNMP] の [SNMP on NAC Server] に進み、次の機能をアクティベートします。

SNMP ポーリング:SNMP の rocommunity (「Read-only community」)ストリングを指定すると、Clean Access Server は snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答します。

SNMP トラップ:トラップ シンクを追加して、トラップを送信するように Clean Access Server を設定できます。「 トラップ シンク 」は、トラップを受信するように設定された任意のコンピュータ(通常は管理ボックス)です。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。

イネーブルな場合、SNMP モジュールは次のプロセスをモニタします。

SSH デーモン

Java プロセス

Apache Web サーバ プロセス

Clean Access Server

Clean Access Server は次の場合にもトラップを送信します。

Clean Access Server がシャット ダウンする場合。

Clean Access Server がアクティブになる場合。

Clean Access Server がスタンバイになる場合。

インターフェイスの Linkup および Linkdown がある場合。

ディスク使用率がしきい値を超えた場合。

SNMP サービスが起動した場合(Cold Start Trap が送信された場合)

スワップ パーティションの空きスペースがしきい値を下回った場合。

ここでは、次の内容について説明します。

「SNMP ポーリング/アラートのイネーブル化」

「新しいトラップ シンクの追加」

SNMP ポーリング/アラートのイネーブル化


ステップ 1 [Administration] > [SNMP] に移動して、SNMP 設定ページを起動します(図 11-22を参照)。

図 11-22 [Administration] > [SNMP] ページ

 

ステップ 2 [Override Global Settings] チェックボックスをオンにして、[Update] をクリックし、Clean Access Manager ですでに指定された設定を上書きします。

ステップ 3 [Enable] ボタンをクリックすると [SNMP on NAC Servers] に進み、SNMP ポーリングおよび SNMP トラップがアクティベートされます。

ステップ 4 次のフィールドの値を指定します。

[Read-Only Community String]:
Clean Access Manager が snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答できるようにする文字列を指定します。ブランクのままにすると、Clean Access Manager の SNMP ポーリングに対するすべての Clean Access Manager 応答がディセーブルになります。

[Disk Trap Threshold%]:(デフォルトは 50%)
ルート パーティションの空きスペースが指定割合よりも小さくなると、トラップが送信されます。

[One-Minute Load Average Threshold]:(デフォルトは 3.0)
1 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

[Five-Minute Load Average Threshold]:(デフォルトは 2.0)
5 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

[Fifteen-Minute Load Average Threshold]:(デフォルトは 1.0)
15 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

[Swap Threshold]:(デフォルトは 50%)
スワップ パーティションの空きスペースが指定割合よりも小さくなると、トラップが送信されます。

ステップ 5 [Update] をクリックして、SNMP 設定を新しいしきい値で更新します。


 

新しいトラップ シンクの追加

トラップ シンクを追加して、トラップを送信するように Clean Access Server を設定できます。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。


ステップ 1 ペインの右上にある [Add New Trapsink] リンクをクリックして、 図 11-23 の [Add New Trapsink] フォームを起動します。

図 11-23 新しいトラップ シンクの追加

 

ステップ 2 [Trapsink IP] を入力します。

ステップ 3 [Trapsink Community] ストリングを入力します。

ステップ 4 オプションの [Trapsink Description] を入力します。

ステップ 5 [Update] をクリックして、SNMP Trapsink テーブルを更新します。


 

トラップ シンク設定が完了すると、Clean Access Server は UCD テーブル エントリを参照する DISMAN-EVENT 形式のトラップを送信します。ルート パーティションの残りのスペース サイズが設定値(デフォルトは 50%)を下回って、CPU 負荷が 1、5、または 15 分間にわたって設定値を超えた場合も、Clean Access Server はトラップを送信します。

トラップには次の内容が含まれます。

 

トラップの内容
説明

タイプ:エンタープライズ固有(1)

SNMP トラップ OID(1.3.6.1.6.3.1.1.4.1.0)

DISMAN-EVENT-MIB 2.0.1(1.3.6.1.2.1.88.2.0.1)に設定されます。

DISMAN mteObjectsEntry の内容:
 

mteHotTrigger(OID 1.3.6.1.2.1.88.2.1.1)

一般的には次のようになります。

プロセスの場合は「process table」

負荷平均アラートの場合は「laTable」

ディスク容量アラートの場合は「dskTable」

仮想メモリ アラートの場合は「memory」

mteHotTargetName(OID 1.3.6.1.2.1.88.2.1.2)

常にブランクです。

mteHotContextName(OID 1.3.6.1.2.1.88.2.1.3)

常にブランクです。

mteHotOID(OID 1.3.6.1.2.1.88.2.1.4)

イベントをトリガーしたデータを格納する UCD テーブルの OID に設定されます。

mteHotValue(OID 1.3.6.1.2.1.88.2.1.5)

トラップがエラーでない場合は、0 に設定されます。

エラー条件が報告されている場合はゼロ以外の値に設定されます(通常は 1)。

mteFailedReason(OID 1.3.6.1.2.1.88.2.1.6)

アラート送信理由を示すストリングに設定されます。

システムのアップグレード

Cisco NAC Appliance Release 4.9 では、.tar.gz アップグレード ファイルを CAM および CAS にアップロードして、アプライアンスの CLI でアップグレードを実行することにより、リリース 4.7(x) および 4.8(x) へシステムのアップグレードを実行できます。アップグレードの詳細と、HA CAS のアップグレード手順、SSH 経由のアップグレードについては、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading to a New Software Release」を参照してください。

CAS の Web コンソールを使用して、リリース 4.9 .tar.gz アップグレード ファイルをアップロードしたり、アップグレード ログやアップグレードの詳細を表示できます。


ステップ 1 CAS のソフトウェア アップデートの Web コンソール ページには、[Administration] > [Software Upload] で移動します( 図 11-24 を参照)。

図 11-24 CAS の [Administration] > [Software Upload]

 

ステップ 2 リリース 4.9 .tar.gz アップグレード イメージを、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading」で説明するように、Cisco Software Download Site からローカル マシンにダウンロードした場合、この Web コンソール ページを使用してこのイメージを CAS にアップロードできます。

a. [Browse] をクリックして、リリース 4.9 .tar.gz アップグレード ファイルを保存したローカル マシンのディレクトリに移動します。アップグレード前の Cisco NAC アプライアンス リリースによって、アップグレード イメージ名が cca_upgrade-4.9.0-from-4.7.x-4.8.x.tar.gz になります。

b. [Upload] をクリックします。少しすると、Web コンソール画面が自動的に更新され、新しくアップロードされたリリース 4.9 アップグレード イメージと、CAS にアップロードされた日時が表示されます。

ステップ 3 リリース 4.9 アップグレード イメージを CAS にアップロードすると、イメージファイル名の後に、.tar.gz アップグレード イメージに関する重要な情報と、『 Release Notes for Cisco NAC Appliance, Version 4.9 』へのリンクが表示される、[Notes] リンクが表示されます。( 図 11-25 を参照)。

図 11-25 CAS の [Administration] > [Software Upload] > [Notes]

 

ステップ 4 アップグレード ログ情報を表示するには、[List of Upgrade Logs] の下のリンクをクリックしてブラウザ ウィンドウを起動します。アップグレードを実行した日時を含むアップグレード プロセスの要約が表示されます。

ステップ 5 重要なアップグレード プロセスの詳細を表示するには、[List of Upgrade Details] の下のリンクをクリックして、ブラウザ ウィンドウを起動します。アップグレード プロセスの要約が次の形式で表示されます。

アップグレード前の状態

アップグレード プロセスの詳細

アップグレード後の状態

通常は、「アップグレード前の状態」に警告/エラー メッセージ(「INCORRECT」など)がいくつか含まれています。「アップグレード後の状態」は、警告またはエラー メッセージがない状態である必要があります。


 

CAM Web コンソールの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Upgrade Logs] ページ(図 11-26)を使用して、CAS ソフトウェアのアップグレード ノートを表示することもできます。

[List of Upgrade Logs] の下にあるリンクをクリックすると、実行された日付と時刻など、アップグレード プロセスの要約が表示されます。

[List of Upgrade Details] の下にあるリンクをクリックすると、アップグレード プロセスの詳細が次の形式で表示されます。

図 11-26 CAM Web コンソールからの CAS アップグレード ログ

 

システム時刻の同期

ロギングおよびその他の時間依存タスク(SSL 証明書の生成など)のために、Clean Access Manager および Clean Access Server の時刻は正確に同期する必要があります。[Time] フォームを使用すると、CAS の時刻を設定したり、CAS OS(オペレーティング システム)のタイム ゾーン設定を変更することができます。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、その後で Certificate Signing Request(CSR)のベースとなる一時証明書を再生成する必要があります。このための最も簡単な方法は、タイム サーバと時刻を自動的に同期することです([Sync Current Time] ボタン)。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。



) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「CAS ダイレクト アクセス Web コンソール」および『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


CAM の時刻を変更するには、[Administration] > [CCA Manager] > [System Time] を使用します。詳細については、『 Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.9 』を参照してください。

現在時刻を表示する手順は、次のとおりです。


ステップ 1 [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Time] の順番に進みます。

ステップ 2 CAS のシステム時刻は [Current Time] フィールドに表示されます。

図 11-27 [Time] フォーム

 

システム時刻は、手動で新しい時刻を入力して調整したり、外部タイム サーバと同期して自動的に調整することができます。

手動でシステム時刻を変更する手順は、次のとおりです。

[Misc] タブの [Time] フォームで、次のいずれかを実行します。

[Date & Time] フィールドに時刻を入力し、[Update Current Time] をクリックします。時刻は mm / dd / yy hh : ss PM/AM の形式で入力する必要があります。

[Sync Current Time] ボタンをクリックして、[Time Servers] フィールドに表示されたタイム サーバを使用して時刻を更新させます。

タイム サーバと自動的に同期する手順は、次のとおりです。

デフォルト タイム サーバは、 time.nist.gov にある National Institute of Standards and Technology(NIST)で管理されているサーバです。別のタイム サーバを指定する手順は、次のとおりです。

1. [Misc] タブの [Time] フォームの [Time Servers] フィールドに、サーバの URL を入力します。指定したサーバは、NIST 標準フォーマットの時刻を提供する必要があります。複数のサーバを区切るには、スペースを使用します。

2. 時刻を取得する際にサーバを認証する場合、[Authentication] チェックボックスをオンにして NTP 認証をイネーブルにします。このオプションをイネーブルにすると、次の項目を入力できます。

[Key Id]:キーの番号を指定します。

[Key Type]:現在サポートされているのは MD5 のみです。キー タイプ [MD5] は、Message Digest Algorithm 5 を使用してメッセージ認証サポートが行われるように指定します。

[Key Value]:MD5 認証の場合、1 ~ 8 文字からなるパスワードです。ストリングが 8 文字よりも長い場合、最初の 8 文字のみが使用されます。


) NTP 認証は、FIPS 準拠の CAM や CAS では使用できません。


3. [Sync Current Time] をクリックします。

複数のタイム サーバを指定した場合、CAS は同期時にリストの最初のサーバと接続を試みます。このサーバを使用できる場合は、そこから時刻が更新されます。このサーバが使用できない場合、CAS は目的のサーバに到達するまで、次のサーバを順に試みます。


) NTP 認証をイネーブルにした場合、同じ [Key Id]、[Key Type]、および [Key Value] がすべてのサーバに対し使用されます。


CAS は、設定された NTP サーバと時刻を定期的な間隔で自動的に同期します。

サーバ システム時刻のタイム ゾーンを変更する手順は、次のとおりです。

1. [Misc] タブの [Time] フォームの [Time Zone] ドロップダウン メニューで、新しいタイム ゾーンを選択します。

2. [Update Time Zone] をクリックします。

サポート ログとログレベルの設定

CAS の [Support Logs] ページは、カスタマーの問題に対して TAC のサポートを容易にするためのものです。管理者は [Support Logs] ページ上で、さまざまなシステム ログ(開いているファイル、開いているハンドル、パッケージの情報など)を 1 つの tarball に結合し、サポート事例に追加するために TAC に送信することができます。管理者は、カスタマー サポート要求の送信時に、これらのサポート ログをダウンロードする必要があります。

CAS ダイレクト アクセス Web コンソールの [Support Logs] ページ(図 11-28 を参照)では、トラブルシューティング目的で /perfigo/access/tomcat/logs/nac_server.log に記録されるログの詳細なレベルを設定することができます。この Web コントロールは、トラブルシューティング時に CLI の loglevel コマンドを使用したシステム情報の収集に代わるものです。

通常の運用では、ログ レベルは必ずデフォルト設定( INFO )のままにしてください。ログ レベルは、一定のトラブルシューティング期間だけ(通常は、カスタマー サポート/TAC エンジニアの要求時にだけ)一時的に変更します。大半の場合、設定は特定の期間「 INFO 」から「 DEBUG 」に切り替えられ、データ収集後に「 INFO 」にリセットします。CAS をリブートした後、または service perfigo restart コマンドを実行したあとは、ログ レベルはデフォルト設定( INFO )に戻ることに注意してください。


DEBUG オプションと TRACE オプションは、非常に特殊な問題の場合に一時的にだけ使用することをお勧めします。CAM はロギング情報を記録し、一連の 20MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。



) メモリ使用率を最適化するため、CAS サポート ログ ページは CAS ダイレクト アクセス コンソールの「Monitoring」でだけ利用できます。(CAS 管理ページからは使用できません)。


CAS サポート ログのダウンロード


ステップ 1 URL またはアドレスとして https://<CAS_eth0_IP_address>/admin を使用し、ブラウザから CAS ダイレクト アクセス コンソールを開きます。

ステップ 2 [Monitoring] > [Support Logs] の順番に進みます(図 11-28)。

図 11-28 CAS サポート ログ

 

ステップ 3 シスコ カスタマー サポート要求のためにダウンロードするファイルに含めるデバッグ メッセージの日数を指定します。

ステップ 4 [Download] ボタンをクリックして、 cas_logs.<CAS_IP_address>.tar.gz ファイルをローカル コンピュータにダウンロードします。

ステップ 5 この .tar.gz ファイルをカスタマー サポート要求とともに送信します。


) CAM の圧縮済みサポート ログ ファイルを取得するには、[Administration] > [CCA Manager] > [Support Logs] の順番に進みます。詳細については、『Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.9』を参照してください。



 

TAC エンジニアに依頼された場合は、サポート ログをダウンロードする前に、一時的にログレベルを変更して、より詳細なトラブルシューティング情報を取得します。

CAS ログのログ レベルを変更する手順は、次のとおりです。


ステップ 1 CAS ダイレクト Web コンソール( https://<CAS_eth0_IP_address>/admin )を開きます。

ステップ 2 [Monitoring] > [Support Logs] の順番に進みます。

ステップ 3 変更する CAS ログ カテゴリを選択します。

[CCA Server General Logging]:このカテゴリには、次の 3 つのカテゴリには含まれていない、この CAS の一般的なロギング イベントが含まれます。たとえば、ログインする(CAM へ要求を送信する必要がある)ユーザは、ここでロギングされます。

[CAS/CAM Communication Logging]:このカテゴリには、CAM や CAS の設定、この CAS に特有の通信エラーなど、該当するログの大部分が含まれます。たとえば、この CAS へ情報をパブリッシュする CAM の試みが失敗した場合、イベントはここにロギングされます。

[Active Directory Communication Logging]:このカテゴリには、ユーザの Single Sign-On(SSO; シングル サインオン)をサポートするための Active Directory イベントに関するロギング情報が含まれます。

[SWISS Communication Logging]:このカテゴリには、この CAS と Agent の間で送信された SWISS(専用の通信プロトコル)パケットに関連するログ イベントが含まれます。


) Agent は、CAS を検出するため、レイヤ 2 ユーザの場合は UDP ポート 8905 で、レイヤ 3 ユーザの場合は 8906 ポートで SWISS(専用の CAS/Agent 通信プロトコル)パケットを送信します。CAS は、常に UDP ポート 8905 および 8906 をリッスンし、デフォルトによりポート 8905 でトラフィックを受け入れます。レイヤ 3 サポートがイネーブルでない場合、CAS は UDP ポート 8906 でトラフィックをドロップします。デフォルトで Agent は 5 秒ごとに SWISS 検出を実行します。


[Radius Accounting Proxy Server Logging] :このカテゴリには、Cisco VPN Server と統合された場合に、この CAS の SSO に関連する RADIUS アカウンティング ログ イベントが含まれます。

ステップ 4 ログのカテゴリのログレベルの設定をクリックします。

[OFF] :このカテゴリのログ イベントは記録されません。

[ERROR] :システムで次のような重要なエラーが検出された場合に限り、ログ イベントが、CAS では /perfigo/access/tomcat/logs、CAM では /perfigo/control/tomcat/logs に書き込まれます。

CAS が CAM に接続できない

CAS と CAM が通信できない

CAS がデータベースと通信できない

[WARN]:指定されたカテゴリのエラーと警告レベル メッセージだけを記録します。

[INFO]:ログレベル [ERROR] および [WARN] よりも詳細な情報を提供します。たとえば、ユーザが正常にログインした場合には、Info メッセージが記録されます。これは、システムのデフォルトのロギング レベルです。

[DEBUG]:CAS のデバッグレベルのログをすべて記録します。

[TRACE]:これは、CAM/CAS の問題のトラブルシューティングに役立つ、使用可能な最大量の情報です。

ステップ 5 [Update] をクリックして設定を保存します。


DEBUG オプションと TRACE オプションは、非常に特殊な問題の場合に一時的にだけ使用することをお勧めします。CAM はロギング情報を記録し、一連の 20MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。



 

CAS またはエージェント IP、またはその両方を使ったログのフィルタリング

Cisco NAC アプライアンス リリース 4.9 では、Agent マシンで、IP アドレスを指定して CAS のログをフィルタできます。

[Filter by (Change log level for) Agent IP Address] で、次を入力します。

[Agent IP Address]: 特定のクライアント マシンの IP アドレスを入力します。


) カンマで区切って、複数の IP アドレスを入力できます。また、IP アドレスの範囲も含めることができます。たとえば、IP アドレスを 10.10.10.10,10.10.10.15-20 のように入力できます。


[Log at Level]:ログ レベルを選択します。


) CAS の / Agent オプションでフィルタできるようにするには、他のすべてのカテゴリのログ レベルを [OFF] にします。


[Update Filter] をクリックして設定を保存します。これで、ダウンロードしたサポート ログに、指定した Agent に関する情報が格納されるようになります。