Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
CAM の管理
CAM の管理
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

CAM の管理

概要

ネットワーク

フェールオーバー

システム時刻の設定

CAM SSL 証明書の管理

SSL 証明書の概要

SSL 証明書管理のための Web コンソール ページ

CAM での一般的な SSL 証明書のセットアップ

フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備

フェーズ 2:CAM と CAS での CA 署名付き証明書の準備(実動環境)

フェーズ 3:既存の実稼動環境への新しい CAM または CAS の追加

一時証明書の生成

証明要求の生成およびエクスポート(非 FIPS CAM のみ)

署名付き証明書/秘密キーの管理

署名付き証明書/秘密キーのインポート

証明書または秘密キーのエクスポート

信頼できる認証局の管理

信頼できる認証局のインポート/エクスポート

現在の秘密キー/証明書と認証局情報の表示

証明書に関する問題のトラブルシューティング

SSL 証明書の期限切れによる HA のアクティブ-アクティブ状態

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書の再生成

証明書関連ファイル

システムのアップグレード

ライセンス

ポリシーのインポート/エクスポート

ポリシー同期ポリシー

ポリシー同期から除外されるポリシー

シナリオの例

ポリシー同期設定の要約

はじめる前に

マスターでのポリシー同期のイネーブル化

マスターの設定

レシーバでのポリシー同期のイネーブル化

レシーバの設定

ポリシー同期の実行

手動同期の実行

自動同期の実行

ポリシー同期の確認

履歴ログの表示

手動同期エラーのトラブルシューティング

Support Logs

CAS または Agent IP によるログのフィルタリング

Agent のログ

管理ユーザ

管理グループ

カスタム管理グループの追加と編集

管理ユーザ

管理ユーザのログイン/ログアウト

管理ユーザの追加

管理ユーザの編集

管理ユーザ セッションのアクティブ化

管理者ユーザのアクセス制限

システム パスワードの管理

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM データベースのバックアップ

データベース日次バックアップの自動化

Web コンソールからの手動バックアップ

CAM スナップショットからの復元:スタンドアロン CAM

CAM スナップショットからの復元:HA-CAM または HA-CAS

CAM/CAS 許可設定のバックアップと復元

データベース回復ツール

API サポート

CAM の管理

この章では、Clean Access Manager の [Administration] ページについて説明します。次の内容について説明します。

「概要」

「ネットワーク」

「フェールオーバー」

「システム時刻の設定」

「CAM SSL 証明書の管理」

「システムのアップグレード」

「ライセンス」

「ポリシーのインポート/エクスポート」

「Support Logs」

「Agent のログ」

「管理ユーザ」

「システム パスワードの管理」

「CAM データベースのバックアップ」

「API サポート」

User Pages モジュールの詳細については、「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

ハイ アベイラビリティ設定の詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。

概要

インストール時には、初期設定スクリプトによって、インターフェイス アドレス、DNS サーバ、その他のネットワーク情報など、Clean Access Manager の内部管理設定が多数行われます。Administration モジュール(図 14-1)を使用すると、インストール実行後にこれらの設定にアクセスしたり、変更したりすることができます。

図 14-1 Administration モジュール

 

Administration モジュールの [CCA Manager] ページでは、次の管理タスクを実行できます。

Clean Access Manager のネットワーク設定の変更。「ネットワーク」を参照してください。

Clean Access Manager のハイ アベイラビリティ モードの設定。『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。

Clean Access Manager システム時刻の管理。「システム時刻の設定」を参照してください。

Clean Access Manager SSL 証明書の管理。「CAM SSL 証明書の管理」を参照してください。

コンソール/SSH アップグレードの実行前にソフトウェア アップグレード イメージを Clean Access Manager にアップロード。『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading to a New Software Release」を参照してください。

Clean Access Manager のライセンス ファイルの管理。「ライセンス」を参照してください。

カスタマー サポートに送信する CAM のサポート ログの作成。「Support Logs」を参照してください。

Administration モジュールの [User Pages] タブでは、次の管理タスクを実行できます。

デフォルト ログイン ページの追加、およびすべての Web ユーザ ログイン ページの作成または変更。「ユーザ ログイン ページとゲスト アクセスの設定」を参照してください。

Clean Access Manager へのリソース ファイルのアップロード。「リソース ファイルのアップロード」を参照してください。

Administration モジュールの [Admin Users] ページ(「管理ユーザ」を参照してください)では、次の管理タスクを実行できます。

新しい管理グループおよび管理ユーザ/パスワードの追加と管理

新しい機能が追加された場合の管理者権限の設定および管理

Administration モジュールの [Backup] ページでは、CAM の設定をバックアップするために Clean Access Manager の手動スナップショットを作成できます。「CAM データベースのバックアップ」を参照してください。

また、CAM には API インターフェイスも備わっています(「API サポート」を参照)。

ネットワーク

Clean Access Manager のネットワーク設定を表示または変更するには、[Administration] > [CCA Manager] > [Network] ページを使用します。

通常、ネットワーク設定を変更するには、Clean Access Manager マシンをリブートして変更を有効にする必要があります。したがって、運用マシンを変更する場合は、マシンのリブートがユーザに与える影響が最小となる時期に変更を行ってください。


service perfigo config 設定ユーティリティ スクリプトを使用すると、CAM ネットワーク設定を変更できます。この設定ユーティリティはコマンドラインから使用するため、ネットワーク設定や VLAN 設定が不正なために管理コンソール Web サーバが応答しない場合に、特に役立ちます。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


CAM ネットワーク設定を変更するには


ステップ 1 [Administration] > [CCA Manager] > [Network] に進みます。

図 14-2 CAM Network

 

ステップ 2 [Network] ページで、次のフィールド/コントロールの設定を必要に応じて変更します。

[IP Address]:CAM マシンの eth0 IP アドレス。

[Subnet Mask]:IP アドレスのサブネット マスク。

[Default Gateway]:CAM のデフォルト IP ゲートウェイ。

[Host Name]:CAM のホスト名。この名前は、ハイ アベイラビリティ モードの場合に必要です。

[Host Domain]:ドメイン名サフィックスに関するオプション フィールド。ホスト名を IP アドレスに解決するには、DNS に完全修飾ホスト名が必要です。ネットワーク環境において、ユーザは次のようにドメイン名サフィックスを省略したホスト名をブラウザに入力することがあります。

http://siteserver
 

ホスト ドメイン値は、アドレスを完成させる場合に使用されます。たとえば、サフィックス値が cisco.com の場合、要求 URL は次のようになります。

http://siteserver.cisco.com
 

[DNS Servers]:環境内の DNS(Domain Name Service)サーバの IP アドレス。複数のアドレスを指定する場合は、カンマで区切ります。複数の DNS サーバを指定した場合、Clean Access Manager はサーバに 1 つずつ接続を試み、応答を受信したら停止します。


) HA モードで設定する場合は、[Administration] > [CCA Manager] > [Failover] に進みます。[Failover] ページに適切な値を入力し、[Update] をクリックします。


ステップ 3 [Reboot] をクリックして、Clean Access Manager を新しい設定で再起動します。


 

フェールオーバー

Clean Access Manager のフェールオーバー設定を表示または変更するには、[Administration] > [CCA Manager] > [Failover] ページを使用します。

通常、ネットワーク設定を変更するには、Clean Access Manager マシンをリブートして変更を有効にする必要があります。したがって、運用マシンを変更する場合は、マシンのリブートがユーザに与える影響が最小となる時期に変更を行ってください。


service perfigo config 設定ユーティリティ スクリプトを使用すると、CAM ネットワーク設定を変更できます。この設定ユーティリティはコマンドラインから使用するため、ネットワーク設定や VLAN 設定が不正なために管理コンソール Web サーバが応答しない場合に、特に役立ちます。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


CAM フェールオーバー設定の変更手順


ステップ 1 [Administration] > [CCA Manager] > [Failover] に進みます。

図 14-3 CAM Failover

 

ステップ 2 [Network] ページで、[Clean Access Manager Mode] メニューを使用して CAM の動作モードを変更します。

[Standalone Mode]:Clean Access Manager が単独で動作している場合

[HA-Primary Mode]:フェールオーバー設定のプライマリ Clean Access Manager 用

[HA-Standby Mode]:セカンダリ Clean Access Manager 用

HA(ハイ アベイラビリティ)オプションのいずれかを選択すると、追加フィールドが表示されます。フィールドとハイ アベイラビリティ設定については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。

ステップ 3 [Update] ボタンをクリックします。


 

システム時刻の設定

ロギングおよびその他の時間依存タスク(SSL 証明書の生成など)のために、Clean Access Manager および Clean Access Server の時刻は正確に同期する必要があります。[System Time] タブを使用すると、Clean Access Manager の時刻を設定したり、Clean Access Manager オペレーティング システムのタイム ゾーン設定を変更したりすることができます。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、その後で証明書署名要求(CSR)のベースとなる一時証明書を再生成する必要があります。このための最も簡単な方法は、タイム サーバと時刻を自動的に同期することです([Sync Current Time] ボタン)。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。


CAS の時刻は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Time] で変更できます。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

現在時刻を表示する手順は、次のとおりです。

1. [Administration] > [CCA Manager] > [System Time] に進みます。

2. Clean Access Manager のシステム時刻は [Current Time] フィールドに表示されます。

図 14-4 システム時刻

 

新しい時刻を入力してシステム時刻を手動で調整する方法と、外部タイム サーバと同期して自動で調整する方法の 2 とおりがあります。

手動でシステム時刻を変更する手順は、次のとおりです。

1. [System Time] フォームで、次のいずれかの処理を実行します。

2. [Date & Time] フィールドに時刻を入力し、[Update Current Time] をクリックします。時刻は、 mm / dd / yy hh : ss PM/AM の形式である必要があります。

3. または、[Sync Current Time] ボタンをクリックして、[Time Servers] フィールドに表示されたタイム サーバを使用して時刻を更新させます。

自動的にタイム サーバと同期する手順

デフォルト タイム サーバは、 time.nist.gov にある国立標準技術研究所(NIST)で管理されているサーバです。別のタイム サーバを指定する手順は、次のとおりです。

1. [System Time] フォームの [Time Servers] フィールドに、サーバの URL を入力します。指定したサーバは、NIST 標準フォーマットの時刻を提供する必要があります。複数のサーバを区切るには、スペースを使用します。

2. サーバを認証して時刻を取得するには、[Authentication] チェックボックスをオンにして NTP 認証をイネーブルにします。このオプションをイネーブルにすると、次の情報を入力できます。

[Key Id]:キー番号を指定します。

[Key Type]:現在、MD5 だけがサポートされています。キー タイプ MD5 は、Message Digest 5 ハッシュ アルゴリズムを使用してメッセージ認証サポートが行われるように指定します。

[Key Value]:1 文字から 8 文字の文字列で構成される MD5 認証用のパスワードです。文字列が 8 文字より長い場合は、最初の 8 文字だけが使用されます。


) FIPS 準拠の CAM/CAS の場合、NTP 認証は使用できません。


3. [Sync Current Time] をクリックします。

複数のタイム サーバがリストされる場合、CAM は同期中にリストの最初のサーバと接続を試みます。このサーバを使用できる場合は、そこから時刻が更新されます。このサーバが使用できない場合、CAM は目的のサーバに到達するまで、次のサーバを順に試みます。


) NTP 認証がイネーブルになっている場合は、すべてのサーバに同一のキー ID、キー タイプ、およびキー値が使用されます。


CAM は定期的に、時刻を設定済みの NTP サーバと自動的に同期します。

サーバ システム時刻のタイム ゾーンを変更する手順は、次のとおりです。

1. [Administration] > [CCA Manager] ページの [Current Time] タブの [Time Zone] ドロップダウン リストで、新しいタイム ゾーンを選択します。

2. [Update Time Zone] をクリックします。

CAM SSL 証明書の管理

ここでは、次の内容について説明します。

「SSL 証明書の概要」

「SSL 証明書管理のための Web コンソール ページ」

「CAM での一般的な SSL 証明書のセットアップ」

「一時証明書の生成」

「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」

「署名付き証明書/秘密キーの管理」

「信頼できる認証局の管理」

「現在の秘密キー/証明書と認証局情報の表示」

「証明書に関する問題のトラブルシューティング」

SSL 証明書の概要

Cisco NAC アプライアンスの各要素は、Secure Socket Layer(SSL)接続を介してセキュアに通信します。Cisco NAC アプライアンスでは、次の場合を含む多数の目的で、SSL 接続を使用します。

CAM と CAS 間のセキュア通信


注意 SSL 証明書が失効すると、CAM と CAS の間の通信、HA-CAM または HA-CAS のピア通信が切断され、ネットワーク機能に悪影響を与える場合があります。詳細については、「SSL 証明書の期限切れによる HA のアクティブ-アクティブ状態」を参照してください。

ポリシー同期マスター CAM とポリシー同期レシーバ CAM 間のポリシーのインポート/エクスポート操作

[User Management] > [Auth Servers] > [New] | [Edit] ページの [Security Type] オプションを使用して、 LDAP 認証プロバイダーで SSL をイネーブルにした、CAM と LDAP 認証サーバ間の通信

CAS と、CAS に接続しているエンドユーザ間の接続

CAM/CAS と、CAM/CAS Web 管理コンソールにアクセスしているブラウザ間の接続

インストール中に、CAM と CAS の両方の設定ユーティリティ スクリプトから、インストール中のアプライアンス(CAM または CAS)の一時 SSL 証明書を生成するように要求されます。試験環境で正確に動作している Clean Access Manager と Clean Access Server では、CA 署名付き証明書を使用する必要はありません。必要に応じて、一時証明書を引き続き使用できます。ただし運用配置では、セキュリティ上の理由から、CAM と CAS の一時証明書をサードパーティの CA 署名付き SSL 証明書で置き換える必要があります。

インストール時に、対応する秘密キーも一時証明書を使用して生成されます。Cisco NAC アプライアンス リリース 4.7(0) では、秘密キーと共有マスター キーという 2 種類のキーを使用して FIPS に準拠します。どちらの種類のキーも CAM または CAS にインストールされた FIPS カードを使用して管理し保存できます。インストール時にキーは CAM/CAS セットアップ ユーティリティを使用して作成され、その後セキュリティのために FIPS カードに 移動されます 。キー生成ファイルまたはディレクトリは CAM/CAS から削除されます。

Cisco NAC アプライアンス リリース 4.8 以降では秘密キーをエクスポートできなくなりました。また、FIPS 140-2 準拠の CAM および CAS を使用して CSR は生成できません。FIPS 準拠ガイドラインに従うためには、信頼できるサードパーティのリソースから証明書をインポートすることのみできます。

CAS の SSL 証明書の管理方法については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。


) Cisco NAC アプライアンスは、SSL 証明書で 1024 ビット、2048 ビット、および 4096 ビット長の RSA キーをサポートします。



) Cisco NAC アプライアンスは、Extended Validation(EV)SSL 証明書をサポートしています。



) Cisco NAC アプライアンスは、ワイルドカード SSL 証明書をサポートしていません。


ここでは、CAM の SSL 証明書の管理方法について説明します。

「一時証明書の生成」

「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」

「署名付き証明書/秘密キーの管理」

「信頼できる認証局の管理」

「現在の秘密キー/証明書と認証局情報の表示」

「証明書に関する問題のトラブルシューティング」


) Clean Access Manager 用に購入した CA 署名付き証明書は、Clean Access Server では使用できません。Clean Access Server ごとに個別の証明書を購入する必要があります。


SSL 証明書管理のための Web コンソール ページ

実際は、CAM SSL 証明書ファイルは CAM マシンに保持され、CAS SSL 証明書ファイルは CAS マシンに保持されます。インストール後、CAM 証明書はそれぞれ次の Web コンソール ページから管理します。

Clean Access Manager 証明書:

[Administration] > [CCA Manager] > [SSL] > [X509 Certificate]: 一時証明書または CA 署名付き証明書のインポートおよびエクスポート、秘密キー(FIPS アプライアンスおよび非 FIPS アプライアンス)のインポート、秘密キー(非 FIPS アプライアンスのみ)のエクスポート、および新しい一時証明書の生成を行うには、この設定ウィンドウを使用します。

[Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] :CAM で認証局を表示、追加、および削除するには、この設定ウィンドウを使用します。

[Administration] > [CCA Manager] > [SSL] > [X509 Certification Request](非 FIPS アプライアンスのみ) :CAM の新しい CSR を生成するには、この設定ウィンドウを使用します。

CAM Web 管理コンソールを使用すると、次の SSL 証明書関連の操作を実行できます。

PEM エンコード PKCS #10 CSR の生成(非 FIPS アプライアンスのみ)。

秘密キーのインポート(FIPS および非 FIPS)およびエクスポート(非 FIPS のみ)。非 FIPS アプライアンスでは、この機能を使用すると、CSR に基づいた秘密キーのバックアップ コピーを保存できます。CA 署名付き証明書が認証局から戻されて、CAM(FIPS および非 FIPS)にインポートされる場合は、この秘密キーを併用する必要があります。そうしないと、CAM は、SSL を介して関連するマシンと通信できません。

CAM ローカル トラストストア内の信頼できる CA の表示、削除、およびインポート/エクスポート。

一時証明書(および対応する秘密キー)の生成。一時証明書は、試験環境専用に設計されています。実動環境に CAM と CAS を配置する場合は、ネットワーク セキュリティを確実に確保できるよう、サードパーティの認証局からの信頼できる証明書を使用することを強くお勧めします。

CAM での一般的な SSL 証明書のセットアップ

CAM 証明書を管理するための一般的な手順は、次のとおりです。

フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備


ステップ 1 時刻を同期します。

CAM および CAS をインストールしたら、CAM および CAS の時刻を同期し、その後で Certificate Signing Request のベースとなる一時証明書を再生成します。詳細については、次の「システム時刻の設定」を参照してください。

ステップ 2 CAM の DNS 設定を確認します。

CA 署名付き証明書にサーバの IP アドレスでなく DNS 名を使用する場合は、CAM 設定を検証し、一時証明書を再生成する必要があります。詳細については、「IP でなく DNS 名に対応した証明書の再生成」を参照してください。

ステップ 3 「一時証明書の生成」

一時証明書および秘密キーは、CAM のインストール中に自動的に生成されます。CAM の時刻または DNS 設定を変更する場合は、一時証明書および秘密キーを再生成します。

ステップ 4 CAM から証明書をエクスポートし、CAS からアクセスできるマシンに保存し、エクスポートされた証明書を CAS にインポートします。また、CAS 証明書も CAM にインポートするために、逆方向にもこのプロセスを実行します。

フェーズ 2:CAM と CAS での CA 署名付き証明書の準備(実動環境)


警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 5 保護のために、証明書をローカル マシンにエクスポート(バックアップ)します。

Cisco NAC アプライアンスの SSL 設定を変更する場合は、保護のために、証明書を必ずローカル ハード ドライブにバックアップすることをお勧めします。「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」を参照してください。

ステップ 6 (非 FIPS アプライアンスのみ)保護のために、秘密キーをローカル マシンにエクスポートします。

Cisco NAC アプライアンスの SSL 設定を変更する場合、現在の証明書に対応する秘密キーを保護のためにローカル ハード ドライブにバックアップすることをお勧めします。「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」を参照してください。

ステップ 7 (非 FIPS アプライアンスのみ)CSR をローカル マシンにエクスポート(保存)します 「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」を参照してください。

ステップ 8 CSR ファイルを、信頼できる証明書の発行が許可された認証局(CA)に送信します。

ステップ 9 CA が署名し、証明書を戻したら、CA 署名付き証明書をサーバにインポートします。

CA 署名付き証明書を CA から受信したら、PEM エンコード ファイルとして CAM 一時ストアにアップロードします。「署名付き証明書/秘密キーの管理」を参照してください。


) CAM と CAS では、通信を暗号化する必要があります。そのため、Cisco NAC アプライアンスを実稼動環境に配置する前に、CAM は、管理しているすべての CAS の証明書の元となる信頼できる認証局を含んでいる必要があり、すべての CAS は、CAM の証明書の元となる同じ信頼できる認証局を含んでいる必要があります。


ステップ 10 必要に応じて、必要な中間 CA 証明書をすべて、単一の PEM エンコード ファイルとして CAM 一時ストアにアップロードします。

ステップ 11 Clean Access Manager へのアクセスをテストします。


) インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開キーの組み合わせが作成されます。また、(保護のため、および秘密キーを使いやすくするために)署名用の CSR を生成する場合は、必ず秘密キーを安全な場所にエクスポートし、保存してください。


詳細については、「証明書に関する問題のトラブルシューティング」も参照してください。


 

フェーズ 3:既存の実稼動環境への新しい CAM または CAS の追加

実動環境および FIPS 140-2 準拠のアプライアンスでは、CA 署名付き証明書だけが使用されます。新しいアプライアンス(CAM または CAS)を実稼動環境に追加するときには次の手順を実行してください。新しいサードパーティの CA 署名付き証明書を要求して、インポートできるようになるまで、新しいアプライアンスを配置に追加できません。


ステップ 1 新しいアプライアンスをインストールし初期設定を行います(『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照)。

ステップ 2 「フェーズ 1:CAM と CAS での Certificate Signing Request(CSR)の準備」の手順に従います。

ステップ 3 (非 FIPS アプライアンスのみ)新しいアプライアンスの CSR を生成します(「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」を参照)。

ステップ 4 「署名付き証明書/秘密キーのインポート」の説明に従って、CA 署名付き証明書を取得してインストールします。

ステップ 5 アプライアンスを既存の実稼動環境に追加します。


 

一時証明書の生成

次に、CAM の新しい一時証明書の生成手順を示します。CAM で基本的な設定値(日付、時刻、関連する DNS サーバなど)を変更する場合は常に、新しい一時証明書を生成する必要があります。


注意 FIPS 140-2 準拠アプライアンスを使用する場合は、この手順の実行後に復元できるよう、現在の信頼できる CA 証明書と秘密キーが外部マシンに保存されていることを確認します。

非 FIPS アプライアンスで CA 署名付き証明書を使用する場合は、新しい証明書を生成する前に、現在の証明書に対する秘密キーをバックアップすることを推奨します。新しい証明書を生成すると新しい秘密キーも生成されるためです。詳細については、「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」を参照してください。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に進みます。

ステップ 2 一時証明書を作成するために必要なフィールドを表示するには、[Generate Temporary Certificate] をクリックします(図 14-5)。

図 14-5 Generate Temporary Certificate

 

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する Clean Access Manager の完全修飾ドメイン名または IP アドレス。たとえば、 camanager.< your_domain_name > などです。

[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在州(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 新しい一時証明書で 1024 ビット、2048 ビット、または 4096 ビットの RSA キー サイズ のいずれを使用するかを指定します。

ステップ 5 終了したら、[Generate] をクリックします。これで、新しい一時証明書と新しい秘密キーが生成されます。

ステップ 6 FIPS 140-2 準拠アプライアンスの場合、外部マシンから現在の信頼できる CA 証明書と秘密キーを復元します。


) 証明書表示テーブルの上部にある [CCA Manager Certificate] エントリでは、現在の CAM SSL 証明書の完全識別名を指定します。CAM と CAS 間の許可をセットアップする場合は、CAS Web コンソールに CAM の完全識別名を入力する必要があります。詳細については、「Clean Access Manager から Clean Access Server への許可の設定」を参照してください。



 

証明要求の生成およびエクスポート(非 FIPS CAM のみ)


) FIPS 140-2 準拠アプライアンスの場合、CAM Web コンソールでは、[Administration] > [CCA Manager] > [SSL] > [X509 Certification Request] サブタブは表示されません。


CSR を生成すると、認証局への送信に適した PEM エンコード PKCS#10 フォーマットの証明書署名要求(CSR)が作成されます。CSR を送信する前に、保護のために、必ず既存の証明書と秘密キーをローカル マシンにエクスポートして、バックアップしてください。

CSR/秘密キーをエクスポートして、CAM Web コンソールから証明書要求を作成する手順を実行します。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certification Request] に移動します(図 14-6)。

図 14-6 CSR/秘密キーのエクスポート

 

ステップ 2 証明書要求を作成するために必要なフィールドを表示するには、[Generate Certification Request] をクリックします。

ステップ 3 次のフィールドに適切な値を入力します。

[Full Domain Name or IP]:証明書を適用する Clean Access Manager の完全修飾ドメイン名または IP アドレス。たとえば、 camanager.< your_domain_name > などです。

[Organization Unit Name]:企業内の単位名(適用可能な場合)

[Organization Name]:企業の正式名称

[City Name]:企業の正式な所在都市

[State Name]:企業の正式な所在州(フルネーム)

[2-letter Country Code]:2 文字の ISO フォーマット国別コード(英国は GB、米国は US など)

ステップ 4 新しい一時証明書で 1024 ビット、2048 ビット、または 4096 ビットの RSA キー サイズ のいずれを使用するかを指定します。

ステップ 5 [Generate] をクリックして、証明書要求を生成します。これらが、認証局に送信する CSR に対応した証明書および秘密キーであることを確認してください。

ステップ 6 新しい CSR を CA に送信する前に、要求を生成するために使用した新しい証明書要求と秘密キーをローカル マシンに保存するため、[Certification Request] と [Private Key] のいずれかまたは両方のチェックボックスをオンにし、[Export] をクリックします。ファイルを保存するか、または開くように要求されます(「エクスポートされたファイルのデフォルトのファイル名」を参照)。ファイルは安全な場所に保存します。CSR ファイルを使用して、認証局に対して証明書を要求します。証明書をオーダーすると、CSR ファイルの内容をオーダー フォームの CSR フィールドにコピー アンド ペーストするように要求されることがあります。

または、証明書要求フォームに入力する準備ができている場合には、CSR をすぐにワードパッドなどのテキスト エディタで 開き ます。ただし、要求プロセスで何らかのトラブルが発生した場合や、CSR を送信してから CA 署名付き証明書を受け取るまでの間に CAM の基本的な設定を変更した場合に備え、CSR と秘密キーのローカル コピーを保存することを強く推奨します。

認証局から CA 署名付き証明書を受信したら、「署名付き証明書/秘密キーの管理」の説明に従って、Clean Access Manager にインポートできます。CA 署名付き証明書をインポートしたら、「現在インストールされている証明書」が CA 署名付き証明書になります。また、後でこの証明書のバックアップにアクセスする必要がある場合は、オプションで [Export] をクリックして、いつでも [Currently Installed Certificate] をエクスポートできます。


 

エクスポートされたファイルのデフォルトのファイル名

CAM からエクスポートできる SSL 証明書ファイルのデフォルトのファイル名は、次のとおりです。ローカル マシンにファイルを実際に保存するときに、ファイルに別の名前を指定できます。たとえば、証明書チェーン情報が格納されたファイル chain.pem を上書きしないために、秘密キー ファイル名として priv_key.pem などのより適切な名前を指定できます。

 

デフォルトのファイル名 1
説明

cert_request.pem

CAM の Certificate Signing Request(CSR)

chain.pem2

CAM の Currently Installed Certificate と Currently Installed Private Key

1.リリース 3.6.0.1 以前のファイル名拡張子は、.pem でなく .csr です。

2.リリース 3.6(1) の場合に限り、ファイル名は smartmgr_crt.pem です。

署名付き証明書/秘密キーの管理

署名付き証明書/秘密キーのインポート

FIPS 140-2 準拠アプライアンスでも非 FIPS アプライアンスでも、CAM Web コンソールを使用して、CA 署名付き PEM エンコード X.509 証明書と秘密キーをインポートできます(通常、秘密キーの再インポートが必要なのは、現在の秘密キーが CA 署名付き証明書のベースとなる元の CSR の作成に使用された秘密キーと一致しない場合だけです)。CA 署名付き証明書、秘密キー、および関連する認証局情報を Cisco NAC アプライアンスにインポートするために管理者が使用できる方法には、次の 2 つがあります。

1. 認証局とエンド エンティティ証明書/秘密キーを個別にインポートします。

a. 「信頼できる認証局の管理」の手順を使用して、認証局をトラスト ストアにインポートします。

b. 次の手順を使用して、CAM のエンド エンティティ証明書と秘密キーをインポートします。

2. PEM エンコード X.509 証明書チェーン(秘密キー、エンド エンティティ、ルート CA 証明書、および中間 CA 証明書を含む)を作成して、次の手順を使用して、チェーン全体を一度にインポートします。

Clean Access Manager の CA 署名付き PEM エンコード X.509 証明書を受信した場合は、ここに記載されている説明に従って、この証明書を Clean Access Manager にインポートすることもできます。

作業を開始する前に、ルートおよび CA 署名付き証明書ファイルがアクセス可能なファイル ディレクトリに格納されていること、および CAM と CAS の両方のためのサードパーティの証明書を取得したことを確認してください。中間 CA 証明書が必要な認証局を使用している場合は、これらのファイルが存在し、アクセスできるようにしてください(CAM 上に現時点で存在しない場合)。


) パブリック CA によって提供されない証明書や、自己署名証明書ではない証明書は、CAM/CAS によって非標準証明書であると見なされます。証明書を CAM にインポートする際は、認証サーバ用に CA 署名付き証明書を取得してください。


CAM の証明書と秘密キーをインポートする手順:


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します(図 14-7)。

図 14-7 証明書のインポート(CAM)

 

ステップ 2 [Browse] をクリックして、ローカル マシンで証明書ファイルと秘密キーを見つけます。


) ファイルをインポートする場合は、ファイル名にスペースが含まれていないことを確認してください(下線は使用できます)。


ステップ 3 [Import] をクリックします。


) CAM および CAS はどちらも、証明できない証明書チェーンをインストールしません。1 つのファイルに複数の証明書を含める場合は、デリミタ(Begin/End Certificate)が必要です。ただし、これらのファイルはインストール前に一時ストア内で検証されるため、特定の順番で証明書ファイルをアップロードする必要はありません。

CAM トラストストアに証明書チェーンの他のメンバがすでにある場合は、再インポートする必要はありません。CAM では、新たにインポートした部分と既存の部分の組み合わせから証明書チェーンを作成できます。


リスト内の既存の CAM のルート/中間 CA 証明書をアップロードしようとすると、「This intermediate CA is not necessary」というエラー メッセージが表示されることがあります。この場合は、重複したファイルをすべて削除するために、アップロードしたルート/中間 CA を削除する必要があります。


 

証明書または秘密キーのエクスポート


) FIPS 140-2 準拠 CAM の秘密キーはエクスポートできません。証明書のみエクスポートできます。


システム障害やその他の損失に備えて証明書と秘密キーをバックアップするには、証明書と秘密キー情報をエクスポートして、ローカル マシンにコピーを保存します。この作業は、CAM HA ペアの証明書/秘密キー情報を管理する場合にも役立ちます。HA プライマリ CAM から証明書情報をエクスポートして、HA セカンダリ CAM でインポートするだけで、CAM/CAS がスタンバイ CAM に通信するために必要な証明書の正確な複製をプッシュできます。


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に進みます(図 14-7)。

ステップ 2 既存の 証明書または秘密キー 情報をエクスポートする手順は、次のとおりです。

a. 証明書リストに表示されている 1 つ以上の証明書または秘密キーを、対応する左側のチェックボックスをクリックして選択します。

b. [Export] をクリックして、生成されるファイルを保存するローカル マシン上の場所を指定します。


 

信頼できる認証局の管理

[Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] CAM Web コンソール ページを使用して、CAM データベースの信頼できる認証局を検索、削除、およびインポート/エクスポートできます。信頼できる一連の認証局を簡単に管理できる状態にするには、Cisco NAC アプライアンスの操作にとって重要な信頼できる認証局の情報だけを CAM トラストストアに格納することをお勧めします。

この機能を使用して、ルートおよび中間認証局をインポートすることもできます。


) Cisco NAC アプライアンス ネットワーク内の CAM と CAS の両方で PEM エンコード CA 署名付き証明書をアップロードする必要があります。

複数の中間 CA ファイルがある場合は、「署名付き証明書/秘密キーの管理」の手順を使用して、CAM にアップロードするために、これらのファイルをコピーして単一の中間 CA PEM エンコード ファイルに貼り付けることもできます。


信頼できる CA を表示して CAM から削除するには


ステップ 1 [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] に移動します(図 14-8)。

図 14-8 CAM Trusted Certificate Authorities

 

信頼できる CA の表示

ステップ 2 CAM Web コンソールに表示される、信頼できる CA のリストを改良するには

a. [Filter] ドロップダウン メニューからオプションを選択します。

[Distinguished Name]:信頼できる CA 名に特定のテキスト文字列が含まれているかどうかに応じて、信頼できる CA のリストを改良するには、このオプションを使用します。

[Time]:信頼できる CA が現在有効であるか無効であるかに応じて、表示を改良するには、このオプションを使用します。

これらの 2 つのオプションを組み合わせて、信頼できる CA の表示を改良することもできます。

b. 条件に一致するすべての信頼できる CA のリストを表示するには、検索オプションを選択してパラメータを定義したあと、[Filter] ボタンをクリックします。

[Reset] をクリックすると、フィルタ ドロップダウン メニューのオプションの検索条件がすべて無効となり、信頼できる CA の表示がデフォルトの設定に戻ります。

c. また、信頼できる CA のリストに表示可能な項目の数を増やしたり減らしたりするには、リストの左上部にあるドロップダウン メニューでオプションを 1 つ選択します。オプションは 10、25、または 100 項目です。

d. 既存の信頼できる CA に関する詳細を表示するには、図 14-9 に示すように、[View] アイコン(一番右にある虫眼鏡のアイコン)をクリックして、特定の認証局に関する情報を表示します。

図 14-9 CA 情報

 

信頼できる CA の削除

ステップ 3 リストで信頼できる CA それぞれのチェックボックスをクリックして、削除対象の信頼できる CA を 1 つ以上選択します(信頼できる CA の表示の上部にある空のチェックボックスをクリックすると、表示可能リストで「すべて」、10、25、または 100 個の信頼できる CA が自動的に選択または選択解除されます)。

ステップ 4 [Delete Selected] をクリックします。選択した表示可能項目がすべて削除されます。たとえば、表示可能項目のドロップダウンから 25 個の項目を選択して、[Trusted CAs] ウィンドウの上部にある空のチェックボックスをクリックした場合は、25 個の表示可能項目が削除されます。

CAM で、選択した信頼できる CA がデータベースから削除されると、更新を完了するために CAM によって自動的にサービスが再起動されます。


 

信頼できる認証局のインポート/エクスポート

[Trusted Certificate Authorities] Web コンソール ページを使用して、CAM の認証局をインポートおよびエクスポートできます。


) 証明書のインポートとエクスポートの標準的なガイドラインについては、「証明要求の生成およびエクスポート(非 FIPS CAM のみ)」および「署名付き証明書/秘密キーの管理」を参照してください。



ステップ 1 [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] に移動します(図 14-8)。

ステップ 2 信頼できる CA をインポートするための手順は、次のとおりです。

a. 適切な証明書ファイルがネットワーク内の CAM からアクセス可能になっていることを確認して、[Browse] をクリックします。

b. ディレクトリ システムで証明書ファイルを見つけて選択し、[Open] をクリックします。

c. [Import] をクリックして、[Trusted Certificate Authority] の情報を CAM にアップロードします。

ステップ 3 [Trusted Certificate Authority] の既存の情報をエクスポートするには、

a. [Trusted Certificate Authorities] リストに表示されている 1 つ以上の信頼できる CA を、対応する左側のチェックボックスをクリックして選択します。

b. [Export] をクリックして、生成される「caCerts」ファイルを保存するローカル マシン上の場所を指定します。


 

現在の秘密キー/証明書と認証局情報の表示

次のファイルを検証するには、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate](図 14-5)でこれらのファイルを表示します。

現在インストールされている秘密キー

現在インストールされているエンド エンティティ、中間 CA 証明書

CA 情報


) 秘密キーまたは証明書ファイルを表示するには、Web コンソール セッションに現在ログインしている必要があります。


現在インストールされている秘密キーの表示

CAM 秘密キーを表示するには、秘密キーをエクスポートし、エクスポートした秘密キー ファイルをワードパッドなどのテキスト エディタで開き、図 14-10に示すようなダイアログを表示します(BEGIN PRIVATE KEY/END PRIVATE KEY)。

図 14-10 現在インストールされている秘密キーの表示

 

この方法を使用して、アップロードした秘密キーを表示してから、CAM にインポートすることもできます。

現在の証明書または証明書チェーンの表示

CAM 秘密キーとエンド エンティティ、ルート CA、および中間 CA 証明書を表示するには、保存済みのファイルをエクスポートしてワードパッドなどのテキスト エディタ ツールで開いて、図 14-11(BEGIN CERTIFICATE/END CERTIFICATE)のようなダイアログを起動します。

図 14-11 現在インストールされている証明書の表示

 

この方法を使用して、アップロードした証明書を表示してから、CAM にインポートすることもできます。

CA 情報の表示

CAM エンド エンティティ、ルート、中間 CA 証明書の CA 情報を表示するには、右側のカラムの対応する [View] アイコンをクリックし、図 14-12 に示すようなダイアログを表示します。

図 14-12 CA 情報の表示

 

証明書に関する問題のトラブルシューティング

Cisco NAC アプライアンス証明書の管理中に、証明書チェーン内の SSL 証明書が一致しないなどの問題が発生することがあります。SSL 証明書の一般的な問題は、時間によるもの(CAM および CAS のクロックが同期していない場合、認証に失敗する)、IP によるもの(不正なインターフェイスに対して証明書が作成される)、情報によるもの(不正な、または入力ミスの証明書情報がインポートされる)などです。ここでは、次の内容について説明します。

SSL 証明書の期限切れによる HA のアクティブ-アクティブ状態

Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

IP でなく DNS 名に対応した証明書の再生成

証明書関連ファイル


警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


SSL 証明書の期限切れによる HA のアクティブ-アクティブ状態

HA-CAM および HA-CAS の両方の HA 通信は、2 つの HA ペア アプライアンス間のすべての通信を保護するために、IPSec トンネルを介して処理されます。この IPSec トンネルは、CAM と CAS の両方の HA ペアにアップロードされた SSL 証明書に基づいてネゴシエートされます。SSL 証明書が 2 つの HA ピアに信頼されない場合、期限切れの場合、または無効の場合は、2 つの HA ペア間の HA ハートビート通信が切断され、両方の HA ペア アプライアンスがアクティブ HA プライマリの役割を担います。

この場合、VGW モードで配置された CAS では、ネットワークがダウンする原因となるレイヤ 2 ループが作成される可能性があります。HA-CAM に期限切れまたは無効な SSL 証明書を使用すると、データベースが 2 つの HA-CAM アプライアンス間で同期されないアクティブ-アクティブ状態になる場合があります。この状態では、HA-CAM のフェールオーバーが発生すると、最終的に CAM の最近の設定変更または最近のユーザ ログイン情報がすべて失われます。

IPSec トンネルを介した HA 通信に、CAM と CAS の両方で有効な SSL 証明書が必要な場合、SSL 証明書が CAM または CAS のいずれかで期限切れになると、CAM-CAS 通信も切断されます。この状態では、エンド ユーザ認証が失敗し、CAS が CAS コンフィギュレーションごとにフォールバック モードに戻ることになります。

管理者は、有効期間の長い SSL 証明書を使用するか、または HA ハートビートにシリアル ポート接続(使用可能な場合、および別の CAM または CAS の制御に使用されていない場合)を使用することにより、SSL 証明書の期限切れによる HA アプライアンスのアクティブ-アクティブ状態の可能性を最小限に抑えることができます。しかし、HA-CAM が、SSL 証明書の期限切れによりシリアル リンクおよびプライマリ eth1 インターフェイスを介するハートビート機能が失敗するように設定されている場合、CAM は HA ピアと同期できないことを示すデータベース エラーを返し、管理者は CAM Web コンソールで、「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」のメッセージを受け取ります。


) Cisco NAC アプライアンス リリース 4.8 以降では、CAM または CAS により証明書の有効期限を示すイベント ログ メッセージが作成され、CAM/CAS Web コンソールに表示されるメッセージに加えられます。


Web ログインがリダイレクトされない/CAS が CAM とのセキュアな接続を確立できない

次のクライアント接続エラーは、CAS が CAM の証明書を信頼していない場合、またはその逆の場合に発生します。

Web ログイン後にリダイレクトされない:ユーザ資格情報を入力した後も引き続きログイン ページが表示されます。

ログインを試みている Agent ユーザに「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain>」のエラーが表示されます。

これらのエラーは、通常、次の証明書関連の問題のいずれかを示しています。

CAM と CAS 間に 5 分を超える時差があります。

IP アドレスが無効です。

ドメイン名が無効です。

CAM に到達できません。

共通の問題を特定するには、次の手順を実行します。

1. CAM の証明書を調べ、CAS の IP アドレスを使用して生成されていないかどうかを確認します。

2. CAM および CAS に設定されている時刻を確認します。CAM および CAS に設定された時刻の差は、5 分以内でなければなりません。

これらの問題を解決するには、次の手順を実行します。

1. まず、CAM および CAS の時刻を正しく設定します(「システム時刻の設定」を参照してください)。

2. CAM から証明書をエクスポートし、CAS からアクセスできるマシンに保存し、エクスポートされた証明書を CAS にインポートします。また、CAS 証明書も CAM にインポートするために、逆方向にもこのプロセスを実行します。

3. 正しい IP アドレスまたはドメインを使用して、CAS 上で証明書を再生成します。

4. CAS をリブートします。

5. 正しい IP アドレスまたはドメインを使用して、CAM 上で証明書を再生成します。

6. CAM をリブートします。


) CAS で nslookup および date をチェックし、CAS の DNS と TIME の両方の設定が正しい場合、CAS の caCerts ファイルが破損していることを示している可能性があります。この場合は、/usr/java/j2sdk1.4/lib/security/caCerts の既存の caCerts ファイルをバックアップしてから、/perfigo/common/conf/caCerts のファイルで上書きし、CAS で「service perfigo restart」を実行することを推奨します。



) クライアントのエラー メッセージが「Clean Access Server is not properly configured, please report to your administrator」の場合は、通常、証明書に関する問題ではなく、デフォルト ユーザ ログイン ページが CAM に追加されていないことを示しています。詳細については、「デフォルト ログイン ページの追加」を参照してください。


詳細については、次の項目も参照してください。

「Clean Access Server 追加時のトラブルシューティング」

「Agent のトラブルシューティング」

Clean Access Server 内の秘密キーが CA 署名付き証明書と一致しない

この問題は、新しい一時証明書が生成されたにもかかわらず、古い一時証明書および秘密キー ペアから生成された Certificate Signing Request(CSR)に対応する CA 署名付き証明書が戻された場合に発生することがあります。

たとえば、管理者は CSR を生成し、秘密キーをバックアップしてから、CSR を VeriSign などの CA に送信します。

CSR が送信された後で、別の管理者が一時証明書を再生成します。CA 署名付き証明書が CA から戻された場合、CA 証明書のベースとなる秘密キーは、Clean Access Server 内の秘密キーと一致しません。

この問題を解決するには、古い秘密キーを再インポートしてから、CA 署名付き証明書をインストールします。

IP でなく DNS 名に対応した証明書の再生成

サーバの IP アドレスでなく DNS 名に基づいて証明書を再作成する場合は、次のようにします。

インポートしている CA 署名付き証明書が CSR を生成した証明書であること、およびそれ以降別の一時証明書を生成していないことを確認します。新しい一時証明書を生成すると、新しい秘密/公開キーの組み合わせが作成されます。また、(秘密キーを使いやすくするために)署名用の CSR を生成する場合は、必ず秘密キーをエクスポートし、保存してください。

特定の CA 署名付き証明書をインポートすると、CA 署名付き証明書への署名に使用されるルート証明書(CA のルート証明書)をインポートする必要があること、または場合によっては中間ルート証明書をインポートする必要があることを通知する警告が表示されることがあります。

DNS サーバに DNS エントリがあることを確認します。

Clean Access Server 内の DNS アドレスが正しいことを確認します。

ハイ アベイラビリティ(フェールオーバー)構成の場合、サービス IP の DNS 名を使用します(仮想 DNS)。

新しい証明書を生成したり、CA 署名付き証明書をインポートしたりした場合は、リブートすることを推奨します。

使用している DNS ベース証明書が CA 署名付きでない場合は、証明書を受け入れるように求めるプロンプトが表示されます。

証明書関連ファイル

表 14-1 に、トラブルシューティング用の、Clean Access Manager の証明書関連ファイルを示します。たとえば、CA 証明書/秘密キーの組み合わせが一致しないために管理コンソールにアクセスできない場合、Clean Access Manager のファイル システム内にあるこれらのファイルを直接変更しなければならないことがあります。

 

表 14-1 Clean Access Manager の証明書関連ファイル

ファイル
説明

/root/.tomcat.key

秘密キー

/root/.tomcat.crt

証明書

/root/.tomcat.req

CSR

/root/.chain.crt

中間証明書

/root/.perfigo/caCerts

ルート CA バンドル

Clean Access Manager ファイルの詳細については、「Cisco NAC アプライアンスのログ ファイル」を参照してください。

システムのアップグレード

Cisco NAC アプライアンス リリース 4.9 では、CAM/CAS に .tar.gz アップグレード ファイルをアップロードし、アプライアンスの CLI を使用してアップグレード スクリプトを実行することにより、リリース 4.7(x) および 4.8(x) からシステムをアップグレードできます。アップグレードの詳細と、HA CAS のアップグレード手順、SSH 経由のアップグレードについては、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading」を参照してください。

CAM Web コンソールでは、リリース 4.9 の .tar.gz アップグレード ファイルをアップロードしたり、アップグレード ログとアップグレードの詳細を表示することができます。


ステップ 1 [Administration] > [CCA Manager] > [Software Upload](図 14-13)の順に移動して、CAM ソフトウェア更新 Web コンソール ページにアクセスします。

図 14-13 [CAM Administration] > [Software Upload]

 

ステップ 2 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading」の説明に従って、Cisco Software Download Site からリリース 4.9 .tar.gz アップグレード イメージをローカル マシンにダウンロードした場合は、この Web コンソール ページを使用して CAM にイメージをアップロードできます。

a. [Browse] をクリックして、ローカル マシンの、リリース 4.9 .tar.gz アップグレード ファイルを保存したディレクトリに移動します。アップグレード元の Cisco NAC アプライアンスのリリースに応じて、アップグレード イメージの名前を付けます(たとえば、 cca_upgrade-4.9.0-from-4.7.x-4.8.x.tar.gz )。

b. [Upload] をクリックします。まもなく Web コンソールの画面が自動的にリフレッシュされ、新しくアップロードされたリリース 4.9 アップグレード イメージと、それが CAM にアップロードされた日付および時刻が表示されます。

ステップ 3 CAM にリリース 4.9 アップグレード イメージをアップロードすると、イメージ ファイル名の後に [Notes] リンクが生成されます。これを使用して .tar.gz アップグレード イメージの重要な情報を表示したり、『 Release Notes for Cisco NAC Appliance, Version 4.9 』( 図 14-14 )へのリンクにアクセスすることができます。

図 14-14 [CAM Administration] > [Software Upload] > [Notes]

 

ステップ 4 アップグレード ログ情報を表示するには、[List of Upgrade Logs] の下のリンクをクリックし、ブラウザ ウィンドウを起動します。ブラウザ ウィンドウには、アップグレードを実行した日付および時刻を含むアップグレード プロセスの要約が表示されます。

ステップ 5 重要なアップグレード プロセスの詳細を表示するには、[List of Upgrade Details] の下のリンクをクリックし、ブラウザ ウィンドウを起動します。ブラウザ ウィンドウには、アップグレード プロセスの詳細が次の形式で表示されます。

アップグレード前の状態

アップグレード プロセスの詳細

アップグレード後の状態

通常は、「アップグレード前の状態」に警告/エラー メッセージ(「INCORRECT」など)がいくつか含まれています。「アップグレード後の状態」は、警告またはエラー メッセージがない状態である必要があります。


 

ライセンス

Clean Access Manager および Clean Access Server を機能させるには、有効な製品ライセンスが必要です。Clean Access のライセンス モデルには、FlexLM ライセンス標準が組み込まれています。


) Clean Access Manager ライセンスを最初にインストールする手順、および永続ライセンス、評価ライセンス、レガシー ライセンスの詳細については、『Cisco NAC Appliance Service Contract / Licensing Support』を参照してください。


Clean Access Server 用の FlexLM ライセンスのインストール

Clean Access Manager の初期製品ライセンスをインストールすると、[Licensing] ページを使用して、ライセンス(CAS ライセンス、HA-CAM の 2 番目の CAM ライセンスなど)を追加または管理できます。

1. [Administration] > [CCA Manager] > [Licensing] に進みます。

図 14-15 [Licensing] ページ

 

2. [Clean Access Manager License File] フィールドで、Clean Access Server または Server バンドル用のライセンス ファイルを参照し、[Install License] をクリックします。ライセンスが正常にインストールされると、ページ上部にグリーンの確認テキスト文字列、および CAS の増分数が表示されます(たとえば、「License added successfully.Out-of-Band Server Count is now 10.」など)。

3. インストールする必要のある Clean Access Server ライセンス ファイルごとに、この手順を行います(カスタマー登録中に送信した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部には、ステータス情報として、ライセンス ファイルの正常インストールによって利用可能となった Clean Access Server の合計数が表示されます。

製品ライセンスの削除

1. [Administration] > [CCA Manager] > [Licensing] に進みます。

2. [Remove All Licenses] ボタンをクリックして、システム内の FlexLM ライセンス ファイルをすべて削除します。

3. Clean Access Manager License フォームがブラウザに再表示され、Clean Access Manager のライセンス ファイルをインストールするように要求されます。


) Clean Access Manager のライセンス ファイルが入力されるまで、Web 管理コンソールの管理ユーザ ログイン ページにリダイレクトされません。



) • FlexLM ライセンス ファイルは個別に削除できません。ファイルを削除するには、すべてのライセンス ファイルを削除する必要があります。

永続的 FlexLM ライセンスをインストールすると、評価版 FlexLM ライセンスは無効になります。

FlexLM ライセンス(永続または評価版のいずれか)をインストールすると、(レガシー キーがまだインストールされている場合でも)レガシー ライセンスのキーは無効になります。

評価 FlexLM の削除後または有効期限の終了後には、既存のレガシー ライセンス キーが再び有効になります。


 

レガシー ライセンス キーの削除

1. [Administration] > [CCA Manager] > [Licensing] に進みます。

2. (リリース 3.5 よりも前のリリース用の)古いレガシー ライセンス キーを削除するには、[Perfigo Product License Key] フィールドのライセンス キーをスペース(またはライセンス文字列ではない任意の文字セット)で置き換えてから、[Apply Key] をクリックします。これによって、ライセンス キーが入力された文字列で置き換えられて、CAM で有効なライセンスとして認識されなくなるため、ライセンスは無効になります。

ポリシーのインポート/エクスポート

ポリシーのインポート/エクスポート機能を使用すると、管理者は、デバイス フィルタ、トラフィック ポリシーと修復ポリシー、および OOB ポート プロファイルを 1 つの CAM から複数の CAM に伝播できます。単一の CAM でポリシーを定義して、ポリシー同期マスターとして構成できます。その後、最大で 10 個の CAM または 10 個の CAM HA ペアをポリシー同期レシーバとして設定することができます。ポリシーを手動でエクスポートするか、 x 日ごとに 1 回適用するよう自動ポリシー同期をスケジュールできます。

CAM は、ポリシー同期のマスターまたはレシーバのいずれかにすることができます。また、特定のレシーバ セットのポリシーをプッシュできるのは、1 つのマスター CAM だけです。ポリシー同期を実行するには、マスター CAM とレシーバ CAM が、各 CAM または CAM HA ペアの SSL 証明書の DN を使用して相互に許可する必要があります。実動環境では、CA 署名付き SSL 証明書を使用する必要があります。CAM HA ペアでは、ポリシー同期設定の HA ペア内の各 CAM を許可するために使用されるこの証明書の DN を使用して、ペアのサービス IP の SSL 証明書を生成する必要があります。

ポリシー同期中に、マスター設定は、ポリシー同期について設定されたポリシーの既存のレシーバ設定(OOB プロファイルやユーザ ロールなど)を完全に上書き(および削除)します。ポリシー同期が適用されないポリシー/設定は、ポリシー同期後にレシーバ CAM にそのまま残されます。


) • ポリシー同期をイネーブルにするには、すべての CAM でリリース 4.5 以降を実行する必要があります。

CAM HA ペアでは、スタンバイ CAM のポリシー同期設定はディセーブルになります。


 

ポリシー同期ポリシー

ポリシー同期を使用すると、次のグローバル設定をマスター CAM から伝播できます。

ロールベースのポリシー

関連するトラフィック制御ポリシー(IP ベース、ホストベース、L2 イーサネット)とセッション タイマーが設定されたユーザ ロール


) これには、マスター CAM 上にある、Cisco Updates から取得したカスタマイズ済みのポリシー、デフォルトのホスト ポリシー、およびデフォルトの L2 ポリシーが含まれます。


アクセス タイプに Role または Check が指定されたグローバル デバイス フィルタ

Agent のルール(Cisco および AV/AS)、要件、ルールと要件のマッピング、およびロールと要件のマッピング


) これには、マスター CAM にあり、ルールと要件に関連付けられている、Cisco Updates から取得したカスタマイズ済みのチェックとルール、シスコのチェックおよびルール、および Supported AV/AS Product List(Windows と Macintosh)が含まれます。


ロールベース以外のポリシー

アクセス タイプに Allow、Deny、または Ignore が指定されたグローバル デバイス フィルタ

OOB ポリシー (スイッチ情報(たとえば、デバイス/SNMP)は除外)

ポート プロファイル

VLAN プロファイル


) ポリシー同期を実行する前に、マスター CAM に最新の Cisco Updates がインストールされていることを確認するために、マスター CAM で自動更新設定を行う([Device Management] > [Clean Access] > [Updates] > [Update])ことを推奨します。



) ポリシー同期によって、マスター CAM で作成されたグローバル デバイス フィルタがすべてレシーバ CAM にエクスポートされます。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。



) マスターが OOB に対して設定されていない場合は、ポリシー同期に OOB ポリシーを選択しないでください。選択すると、レシーバ CAM ですべての OOB ポリシーが削除されます。OOB の詳細については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。


ポリシー同期から除外されるポリシー

「ポリシー同期ポリシー」 にリストされていないポリシー/設定にはポリシー同期が適用されず、ポリシー同期後にレシーバ CAM にそのまま残されます。次の網羅的でないリストで、ポリシー同期に 含まれない ポリシー/設定の種類について説明します。

Cisco NAC アプライアンス Agent。マスター CAM とレシーバ CAM では、すでに存在する Agent バージョン、Agent ダウンロード、および配布ポリシーが保持されます。それでも、各 CAM でロールとオペレーティング システムに Agent を使用する必要があります(たとえば、Agent Login/Distribution ページ)。

CAS 固有のトラフィック ポリシーまたはデバイス フィルタなど、レシーバ CAM 上のローカル設定。ローカル ポリシーはレシーバ CAM では同じままになり、ポリシー同期後に削除されません。

[Device Profiles] 設定や [SNMP Receiver] 設定などの OOB スイッチ設定。

Cisco NAC アプライアンス Agent、OS 検出フィンガープリント、およびスイッチ OID の Agent アップデート。

User Login ページ、ローカル ユーザ、またはユーザ ロールに関連付けられた帯域幅ポリシー

サブネット フィルタ

認証サーバ設定

Certified Device リストまたはタイマー

ネットワーク スキャン(Nessus)設定

シナリオの例

マスターが設定され、レシーバが設定されていない場合:

マスター CAM の場合:

ロール A は、トラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Agent を使用する必要があります。

レシーバ CAM の場合:

ロールは設定されません。

ポリシー同期後:

レシーバ CAM の場合:

ロール A は、マスター CAM のトラフィック ポリシーとポスチャ評価ポリシーを使用して作成および設定されます。

管理者は、ロール A に Agent を使用する必要があるため、Agent のログイン設定を引き続きマップする必要があります。

マスターが設定され、レシーバが設定されている場合:

マスター CAM の場合:

ロール A は、トラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、すべての Windows に Agent を使用する必要があります。

レシーバ CAM の場合:

ロール A は、別のトラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Vista にだけ Agent を使用する必要があります。

ロール B が設定されます。

ポリシー同期後:

レシーバ CAM の場合:

ロール A は、マスター CAM のトラフィック ポリシーとポスチャ評価ポリシーを使用して設定されます。

ロール A では、Vista にだけ Agent を使用する必要があります。

ロール B は削除されます。

はじめる前に


ステップ 1 ポリシー同期に使用するすべての CAM が次の項目に該当することを確認します(マスターとレシーバ)。

リリース 4.5 のアップグレード要件を満たしていること、およびリリース 4.5(以降)を実行していること。

正しく設定された SSL 証明書があること。実動環境では、SSL 証明書が CA 署名付きであることを確認します。

ステップ 2 ポリシー同期マスターとして指定する CAM を特定します。

ステップ 3 はじめる前に、指定したマスター CAM で次のものが正しく設定されていることを確認します。

Cisco NAC アプライアンス アップデート

ユーザ ロール

ユーザ ロールのトラフィック ポリシーとセッション タイマー

Agent のルール、要件、ルールと要件のマッピング、および要件とロールのマッピング。

デバイス フィルタ(role/check と allow/deny/ignore)

OOB 配置では、ポートと VLAN プロファイル設定を含め、マスター CAM が OOB に対して正しく設定されていることを確認します。マスター CAM が OOB に対して設定されていないが、レシーバ CAM は設定されている場合は、マスター CAM から OOB ポリシーをプッシュしないようにしてください。プッシュすると、レシーバで OOB ポリシーが失われます。

マスター CAM ユーザ ロール/オペレーティング システムの Agent Login/Distribution/Installation プロパティ。これらの設定はポリシー同期によってエクスポートされないことに注意してください。ポリシー同期によって追加されたすべての新しいロールについて、レシーバ CAM でこれらの設定を行う必要があります。

ステップ 4 レシーバとして指定する CAM 上のポリシーがポリシー同期によって上書き可能であることを確認します。


 

マスターでのポリシー同期のイネーブル化


ステップ 1 ポリシー同期マスターとして指定する Clean Access Manager の Web コンソールで、[Administration] > [CCA Manager] > [Policy Sync] > [Enable] に移動します(図 14-16)。

図 14-16 マスター CAM でのポリシー同期のイネーブル化

 

ステップ 2 [Enable Policy Sync] チェックボックスをオンにします。

ステップ 3 [Master (Allow policy export)] オプション ボタンをクリックします。

ステップ 4 [Update] をクリックします。これによって、現在の CAM がポリシー同期マスターとして設定され、この CAM の [Configure Master]、[Manual Sync]、および [Auto Sync] の各ページがイネーブルになります([Configure Receiver] ページはディセーブルになります)。

マスターの設定


ステップ 1 [Policy Sync] タブで、[Configure Master] リンクをクリックします(図 14-17)。

図 14-17 Configure Master

 

ステップ 2 ポリシー同期に含める一連の各ポリシーに対応したチェックボックスをクリックします。

ロールベース:

[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules (all)]
[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements (all)]
[Device Management] > [Clean Access] > [Clean Access Agent] > [Role-Requirements]
[Device Management] > [Filters] > [Devices (Access Type ROLE and CHECK only)]
[User Management] > [Traffic Control] > [IP (any global, no local)]
[User Management] > [Traffic Control] > [Host (any global, no local)]
[User Management] > [Traffic Control] > [Ethernet (any global, no local)]
[User Management] > [User Roles] > [List of Roles/Schedule]

ロールベース以外のデバイス フィルタ:

[Device Management] > [Filters] > [Devices (all Access Types other than ROLE and CHECK)]

OOB ポートと VLAN プロファイル:

[OOB Management] > [Profiles] > [Port] > [List]

[OOB Management] > [Profiles] > [VLAN] > [List]

ステップ 3 [Update] ボタンをクリックします。ポリシー同期に含める一連のポリシーを変更するたびに、[Update] をクリックする必要があります。

ステップ 4 次のようにして、各レシーバをマスターに追加します。

a. [Receiver Host Name/IP] テキスト ボックスに、レシーバ CAM のドメイン名または IP アドレスを入力します。HA-CAM の場合は、CAM HA ペアのサービス IP を入力します。

b. (任意)[Receiver Description] に、説明を入力します。

c. [Add] ボタンをクリックします。(レシーバを削除するには、[Action] カラムの「X」アイコンをクリックします)。


) ポリシー同期では、最大で 10 個の CAM または 10 個の HA-CAM ペアがサポートされます。


ステップ 5 次の手順に従って、各レシーバ CAM を許可します。許可では、マスター CAM とレシーバ CAM 間の通信がセキュアで、これらの CAM に制限されることを確認するために、これらの CAM の SSL 証明書で識別名を検査できます。

a. 次のようにして、レシーバ CAM の DN を取得します。

レシーバ CAM コンソールで [Administration] > [CCA Manager] > [SSL] > [x509 Certificate] に移動します。

[View] ボタンをクリックして、[Certificate Authority Information] ダイアログを起動します。

[DN] エントリをコピーします(図 14-18)。

図 14-18 レシーバ CAM からの DN 情報のコピー

 

b. マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Master] に移動します。

c. レシーバ CAM の SSL 証明書の DN を [List of Authorized Receivers by Certificate Distinguished Name] テキスト ボックスに貼り付けます(図 14-19)。

図 14-19 マスター CAM でのレシーバの許可

 

d. [Add] ボタンをクリックします。(レシーバを削除するには、[Action] カラムの「X」アイコンをクリックします)。


) ポリシー同期では、最大で 10 個の CAM または 10 個の HA-CAM ペアがサポートされます。



) マスターがポリシーを正常にプッシュして、レシーバがこれらのポリシーを受け入れるには、マスターとレシーバの両方の CAM で許可を設定する必要があります。



 

レシーバでのポリシー同期のイネーブル化

ポリシー同期レシーバとして設定されている CAM は、赤色の製品バナーで識別され、マスター CAM 設定はレシーバ CAM ではディセーブルになります。赤いバナーは、ポリシー同期が適用されているレシーバ CAM でポリシーを変更しないよう管理者に警告することを目的としています。


ステップ 1 レシーバ CAM の Web コンソールで、[Administration] > [CCA Manager] > [Policy Sync] > [Enable] に移動します(図 14-20)。

図 14-20 レシーバ CAM でのポリシー同期のイネーブル化

 

ステップ 2 [Enable Policy Sync] チェックボックスをオンにします。

ステップ 3 [Receiver (Allow policy import)] オプション ボタンをクリックします。

ステップ 4 [Update] をクリックします。これによって、現在の CAM がポリシー同期レシーバとして設定されます。図 14-21 に示すように、CAM に「Policy Sync Receiver」のラベルが付けられ、Web コンソール製品バナーの色が赤に変更されます。また、この CAM の [Configure Receiver] ページがイネーブルになり、[Configure Master, Manual Sync] ページと [Auto Sync] ページがディセーブルになります。

図 14-21 Policy Sync Receiver(赤い製品バナーを表示)

 


 

レシーバの設定

この手順は、レシーバ CAM でのマスター CAM の許可で構成されています。


ステップ 1 レシーバ CAM の Web コンソールで、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動します(図 14-22)。

図 14-22 Configure Receiver

 

ステップ 2 次の手順を使用して、マスター CAM を許可します。

a. 次のようにして、マスター CAM の DN を取得します。

マスター CAM コンソールで [Administration] > [CCA Manager] > [SSL] > [x509 Certificate] に移動します。

[View] アイコンをクリックして、[Certificate Authority Information] ダイアログを起動します。

[DN] エントリをコピーします(図 14-23)。

図 14-23 マスター CAM からの DN 情報のコピー

 

b. レシーバ CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動します。

c. マスター CAM の SSL 証明書の DN を [Authorized Master] テキストボックスに貼り付けます(図 14-22)。

ステップ 3 [Update] をクリックします。


 

ポリシー同期の実行

x 日ごとに一度、特定の時間間隔でポリシーの自動同期をスケジュールできます。また、いつでもポリシーを手動で同期できます。自動または手動ポリシー同期を実行するには、Full-Control 管理ユーザとしてマスター CAM にログインする必要があります。

マスター設定は、ポリシー同期について設定されたポリシーの既存のレシーバ設定(OOB プロファイルやユーザ ロールなど)を完全に上書き(および削除)します。ポリシー同期が適用されないポリシー/設定は、ポリシー同期後にレシーバ CAM にそのまま残されます。

ポリシー同期中にルールがプッシュされると、関連するチェックもすべて自動的にプッシュされることに注意してください。

ポリシー同期結果(手動または自動)は、マスターとレシーバの各 CAM の [History] ページに記録されます。自動同期結果は、マスター CAM の [Event Logs] にも記録されます。


) マスター上の Cisco Updates によって、レシーバの更新はすべて上書きされます。そのため、ポリシー同期を実行する前に、マスターに最新の Cisco Updates がインストールされていることを確認するために、マスターで自動更新設定を行う([Device Management] > [Clean Access] > [Updates] > [Update])ことを推奨します。


手動同期の実行


ステップ 1 マスター CAM で、手動で同期するポリシーだけが [Configure Master] ページでイネーブルになっていることを確認します(図 14-17)。設定を変更した場合は、忘れずに [Update] ボタンをクリックしてください。

ステップ 2 マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Manual Sync] に移動します(図 14-24)。

図 14-24 Manual Sync

 

ステップ 3 設定済みのすべてのポリシー レシーバが、このページの [Receiver Host Name/IP] カラムの下に表示されます。

ステップ 4 [Sync Description] テキストボックスに、実行する手動同期のオプションの説明を入力します。この説明によって、[History] ページの Logs に手動同期のラベルが付けられます。

ステップ 5 ポリシーをエクスポートするレシーバ CAM ごとに [Manual Sync] チェックボックスをクリックします。

ステップ 6 [Sync] ボタンをクリックします。同期前のチェック画面が表示されます(図 14-25)。

図 14-25 Manual Sync(許可チェック)

 

ステップ 7 [Continue] ボタンをクリックして、手動ポリシー同期を完了します。正常に完了すると、次の画面が表示されます(図 14-26)。

図 14-26 正常に完了した手動同期

 

ステップ 8 [OK] をクリックして、メイン画面に戻ります。


 

自動同期の実行


) 手動同期を実行して、正常に機能することを確認してから、Clean Access Manager 間の自動同期をイネーブルにすることを強くお勧めします。



ステップ 1 マスター CAM で、自動同期をイネーブルにするポリシーだけが [Configure Master] ページで選択されていることを確認します(図 14-17)。設定を変更した場合は、忘れずに [Update] ボタンをクリックしてください。

ステップ 2 マスター CAM で、[Administration] > [CCA Manager] > [Policy Sync] > [Auto Sync] に移動します(図 14-27)。

図 14-27 Auto Sync

 

ステップ 3 設定済みのレシーバのリストが、このページの [Receiver Host Name /IP] カラムの下に表示されます。

ステップ 4 [Automatically sync starting from[]] のチェックボックスをクリックします。隣のテキストボックスに、自動ポリシー同期を開始して繰り返す初期時間を hh:mm:ss の形式で入力します(たとえば、22:00:00)。

ステップ 5 [every [] day(s)] テキスト ボックスに、自動同期を繰り返すまでの日数を入力します。最小の間隔は 1 日を表す 1 です。

ステップ 6 ポリシーをエクスポートするレシーバ CAM ごとに [Auto Sync] チェックボックスをクリックします。

ステップ 7 [Update] ボタンをクリックして、スケジュールを設定します。マスター CAM によって、指定した間隔で自動ポリシー同期が実行され、ログ結果が [History] ページに [Auto sync] と表示され、マスター CAM の [Event Logs] にも表示されます。


 

ポリシー同期の確認


ステップ 1 レシーバ CAM に移動して、マスター ポリシーがポリシー同期によってプッシュされたことを確認します。

ステップ 2 問題がある場合は、さらにトラブルシューティングを行うことができます。

「履歴ログの表示」

「手動同期エラーのトラブルシューティング」


 

履歴ログの表示

手動と自動の各ポリシー同期の詳細は、マスターとレシーバの両方の CAM の [History] ページに記録されます。マスター CAM とレシーバ CAM にはそれぞれ、300 個までの履歴ログ エントリが保持されます。

自動同期がイネーブルになっている場合は、自動同期はマスター CAM の [Event Logs] にも記録されます。各自動同期の結果は、[Monitoring] > [Event Logs] に管理イベントとして、さらに [Policy Sync] > [History] ログに記録されます。追加情報については、「イベント ログの意味」を参照してください。


ステップ 1 ログを表示するには、マスター(図 14-28)またはレシーバ CAM(図 14-29)の [Administration] > [CCA Manager] > [Policy Sync] > [History] に進みます。

ステップ 2 表示されるカラムは次のとおりです。

[Sync ID]:ポリシー同期セッションの固有 ID。形式は [start time on Master]_[random number].[0 から始まる、各レシーバの整数(1、2、3 などの順序)] です。

[Master DN]:[THIS CAM] これがマスターまたはマスターの IP/DN である場合。

[Receiver DN]:[THIS CAM] これがレシーバまたはレシーバの IP/DN である場合。

[Status]:「succeeded」または「failed」。ポリシー同期の失敗は、マスターからレシーバにポリシーが送信されなかったこと、およびいずれの CAM のデータベースも変更されなかったことを意味します。

[Start Time/End Time]:ポリシー同期セッションの期間

[Description]:説明を入力した場合を除き、[Auto sync] のラベルが付くか、手動同期の場合はブランク。

[Log]:個々のログ ファイルを表示するには、虫眼鏡アイコンをクリックします(マスターの例:図 14-30)(レシーバの例:図 14-31

[Action]:このログを削除するには、「X」アイコンをクリックします。

図 14-28 マスター CAM の履歴ログ

 

図 14-29 ポリシー同期レシーバの履歴ログ

 

図 14-30 マスターのログ ファイル

 

図 14-31 レシーバのログ ファイル

 


 

手動同期エラーのトラブルシューティング

Failed sanity check with [x.x.x.x].Receiver denied access.This CAM is not authorized as Policy Sync Master.

このメッセージは、レシーバでマスターの DN が設定されていないか、マスターの DN が [Configure Receiver] ページで誤って設定されている場合に、マスター CAM で表示されます。

このエラーを解決するには、レシーバ CAM で [Administration] > [CCA Manager] > [Policy Sync] > [Configure Receiver] に移動して、マスターの DN が存在すること、および正しく設定されていることを確認します。

Failed sanity check with [x.x.x.x].The certificate's subject DN of this receiver is not authorized.

このメッセージは、マスターでレシーバの DN が設定されていないか、レシーバの DN が Configure Master ページで誤って設定されている場合に、マスター CAM で表示されます。

このエラーを解決するには、マスター CAM で [Administration] > [CCA Manager] > [Policy Sync] > [Configure Master] に移動して、レシーバの DN が存在すること、および [List of Authorized Receivers by Certificate Distinguished Name] で正しく設定されていることを確認します。

Failed sanity check with [x.x.x.x].This host is not configured as policy sync receiver.

このメッセージは、ポリシー同期がレシーバでイネーブルになっていない場合に、マスター CAM で表示されます。

このエラーを解決するには、レシーバでポリシー同期をイネーブルにします。

Support Logs

Clean Access Manager の [Support Logs] ページは、お客様に問題が発生した場合に TAC が円滑にサポートできるようにするためのものです。管理者は [Support Logs] ページ上で、さまざまなシステム ログ(開いているファイル、開いているハンドル、パッケージの情報など)を 1 つの tarball に結合し、サポート事例に追加するために TAC に送信することができます。管理者は、カスタマー サポート要求の送信時に、これらのサポート ログをダウンロードする必要があります。

CAM Web コンソールの [Support Logs] ページには、トラブルシューティングを目的として /perfigo/control/tomcat/logs/nac_manager.log に記録するログの詳細レベルを設定するための Web ページ制御機能があります。これらの Web 制御機能は、トラブルシューティング時にシステム情報を収集するために、CLI loglevel コマンドとパラメータの代わりに簡単に使用できる代替方法として提供されています。[Support Logs] ページで設定されたログ レベルは、CAM の [Monitoring] > [Event Log] ページの表示には影響しないことに注意してください。

通常の運用では、ログ レベルは必ずデフォルト設定([INFO])のままにしてください。ログ レベルは、一定のトラブルシューティング期間だけ(通常は、カスタマー サポート/TAC エンジニアの要求時にだけ)一時的に変更します。多くの場合は一定の期間、設定値を [INFO] から [DEBUG] または [TRACE] に切り替え、データの収集が終了したら、[INFO] に再設定されます。CAM をリブートした後、または service perfigo restart コマンドを実行した後は、ログ レベルはデフォルト設定([INFO])に戻ることに注意してください。


注意 [DEBUG] オプションと [TRACE] オプションは、非常に特殊な問題の場合に一時的にだけ使用することを推奨します。CAM はロギング情報を記録し、一連の 20MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。

CAM サポート ログをダウンロードするには


ステップ 1 [Administration] > [CCA Manager] > [Support Logs] に進みます。

図 14-32 Support Logs

 

ステップ 2 シスコ カスタマー サポート要求のためにダウンロードするファイルに含めるデバッグ メッセージの日数を指定します。

ステップ 3 [Download] ボタンをクリックして、 cam_logs.<cam-ip-address>.tar.gz ファイルをローカル コンピュータにダウンロードします。

ステップ 4 この .tar.gz ファイルをカスタマー サポート要求とともに送信します。


) Clean Access Server の圧縮済みサポート ログ ファイルを取得するには、CAS Web コンソールにログインして、[Monitoring] > [Support Logs] に進みます。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。



 

CAM ログのログ レベルを変更するには


ステップ 1 [Administration] > [CCA Manager] > [Support Logs] に進みます。

ステップ 2 変更する CAM ログ カテゴリを選択します。

[CCA Manager General Logging]:このカテゴリには、システムの大半のロギング イベントが含まれます。次に示す他の 4 つのカテゴリに含まれないログ イベントは、[CCA Manager General Logging] の下に表示されます(認証の失敗など)。

[CAS/CAM Communication Logging]:このカテゴリには、CAM/CAS の設定エラーまたは通信エラーが含まれます。たとえば、CAM から CAS への情報のパブリッシュが失敗した場合は、そのイベントが記録されます。

[General OOB Logging]:このカテゴリには、CAM の不正な設定が原因で発生することのある一般的な OOB エラーが含まれます。たとえば、システムが、CAM に設定されていないか過負荷のために、SNMP リンクアップ トラップを処理できない場合などが含まれます。

[Switch Management Logging]:このカテゴリには、CAM とスイッチとの直接通信で発生することのある一般的な SNMP エラーが含まれます。たとえば、CAM がコミュニティ ストリングの一致しない SNMP トラップを受信した場合が含まれます。

[Low-level Switch Communication Logging]:このカテゴリには、特定のスイッチ モデルの OOB エラーが含まれます。

[CAM/ Profiler Communication Logging]:このカテゴリには、Cisco ISE Profiler と NAC アプライアンスの同期の、異なるレベルにおけるログおよびエラーが含まれます。


) これは Cisco ISE Profiler だけに適用されます。NAC Profiler は含まれません。


ステップ 3 ログのカテゴリのログ レベルの設定値をクリックします。

[OFF]:このカテゴリのログ イベントは記録されません。

[ERROR]:ログ イベントは、システムが次のような重大なエラーを検出した場合にだけ /perfigo/control/tomcat/logs/nac_manager.log に書き込まれます。

CAM が CAS に接続できない

CAM と CAS が通信できない

CAM がデータベースと通信できない

[WARN]:指定されたカテゴリのエラーと警告レベル メッセージだけを記録します。

[INFO]:ログレベル [ERROR] および [WARN] よりも詳細な情報を提供します。たとえば、ユーザが正常にログインした場合には、Info メッセージが記録されます。これは、システムのデフォルトのロギング レベルです。

[DEBUG]:CAM のデバッグ レベル ログがすべて記録されます。

[TRACE]:これは、CAM/CAS の問題のトラブルシューティングに役立つ、使用可能な最大量の情報です。

ステップ 4 [Update] をクリックして設定を保存します。


) [Debug] オプションと [Trace] オプションは、非常に特殊な問題の場合に一時的にだけ使用することを推奨します。CAM はロギング情報を記録し、一連の(10 個の)20 MB のファイルに保存してから古いログを廃棄しますが、大量のロギング情報により、比較的短時間のうちに CAM のログ記憶域が使い果たされる可能性があります。


イベント ログの詳細については、 「イベント ログのモニタリング」 を参照してください。


 

CAS または Agent IP によるログのフィルタリング

Cisco NAC アプライアンス リリース 4.9 以降では、IP アドレスを指定することにより、CAS または Agent マシンで CAM のログをフィルタリングできます。CAS が HA 設定の場合、フィルタリングが適切に発生するように、アクティブ CAS およびスタンバイ CAS の両方のサービス IP と eth0 アドレスを入力する必要があります。

[Filter by (Change log level for) CAS/Agent IP Address] で、次の情報を入力します。

[CAS IP Address]:特定の CAS の IP アドレスを入力します。

[Agent IP Address]:特定のクライアント マシンの IP アドレスを入力します。


) 2 つ以上の IP アドレスを入力する場合は、各アドレスをカンマで区切ります。IP アドレスの範囲も含めることができます。たとえば、10.10.10.10,10.10.10.15-20 のように IP アドレスを入力します。


[Log at Level]:ログのレベルを選択します。


) CAS または Agent のオプションによるフィルタリングをイネーブルにするには、他のすべてのカテゴリのログ レベルを [OFF] に設定します。


[Update Filter] をクリックして設定を保存します。指定された CAS および Agent に関連する情報を表示するには、サポート ログをダウンロードします。すべてのイベントを nac_manager.log ファイルに保存するには、[Monitoring] > [Event Logs] > [Log Settings] ページで [Store all the events to log file] チェックボックスをオンにします。このオプションは、デフォルトでディセーブルです。「ログ対象イベント数の制限」を参照してください。

図 14-33 に、ログ ファイルの例を示します。

図 14-33 NAC マネージャのログ

 

CAM のログ文は、Agent および CAS の IP アドレスによりスタンプされます。CAS ログ文は、Agent の IP アドレスによりスタンプされます。

Agent のログ

[Agent Logs] ページは、Cisco NAC アプライアンス 4.9 以降で利用できます。ここでは、CAM への Agent ログの復号化およびアップロードを行うことができます。これらの Agent ログは、CAM のサポート ログとバンドルされて 1 つの tar ファイルになり、TAC に送信されてサポート事例に追加されます。Agent ログ ファイルのローカル マシンへの保存については、「Cisco Log Packager を使用した Agent ログ ファイルの作成」を参照してください。


ステップ 1 [Administration] > [CCA Manager] > [Agent Logs] に進みます。

ステップ 2 [Browse] ボタンをクリックしてローカル マシンの Agent ログ ファイルがあるディレクトリに移動し、ファイルを選択して [Upload] をクリックします。


 

アップロードされたファイルは、[Agent Logs] ページにリストされます(図 14-34 を参照)。

図 14-34 Agent Logs

Agent ログ ファイルの横にある [Preview] リンクをクリックすると、内容が表示されます。ファイルの内容はページの下部に表示されます。

ファイル名の横にある [Download] アイコンをクリックすると、ローカル システムにログ ファイルがダウンロードされます。

ファイル名の横にある [Delete] アイコンをクリックすると、ログ ファイルが削除されます。


) CAM には Agent ログ ファイルを 5 つまでアップロードできます。6 番目のファイルをアップロードすると、最初のファイルが自動的に削除されます。


管理ユーザ

ここでは、CAM の Web 管理コンソールの [Administration] > [Admin Users] モジュールで複数の管理者ユーザを追加する方法を示します。

[Administration] > [Admin Users] の下には、[Admin Groups]、[Admin Users]、および [Access Restrictions] の 3 つのタブがあります。

新しい管理ユーザを作成し、それらを既存のデフォルト管理グループに関連付けることができます。また、専用のカスタム管理グループを作成することもできます。どちらの場合も、管理ユーザを管理グループに追加すると、そのグループに定義されたアクセス権が追加されたユーザに適用されます。

外部の Kerberos、LDAP、または RADIUS 認証サーバ(「認証プロバイダーの追加」の手順を使用して設定)またはローカル CAM データベースを使用して、CAM と CAS の両方に入力した管理ユーザの資格情報を認証することもできます 詳細については、「管理ユーザの追加」を参照してください。

管理グループ

システムにはデフォルトの 3 つの管理グループ(編集不可)と、編集可能で定義済みの 1 つのカスタム グループ(「Help Desk」)があります。さらに、[Administration] > [Admin Users] > [Admin Groups] > [New] で、任意の数のカスタム管理グループを作成できます。

次の 4 つのデフォルトの管理グループ タイプがあります。

1. Hidden

2. Read-Only

3. Add-Edit

4. Full-Control(削除権限を含む)

3 つのデフォルト管理グループ タイプは、削除または編集できません。3 つの定義済みグループのいずれかにユーザを追加したり、新しいカスタム グループを設定して専用権限を作成したりすることができます。カスタム管理権限を作成する場合は、まずカスタム管理グループのアクセス権を作成および設定してから、目的のグループにユーザを追加して、権限を設定します。

カスタム管理グループの追加と編集

新しい管理グループを作成するには


ステップ 1 [Administration] > [Admin Users] > [Admin Groups] に進みます。

図 14-35 Admin Groups

 

ステップ 2 [New] リンクをクリックして、新しい [Admin Group] 設定フォームを起動します。

図 14-36 新しい管理グループ

 

ステップ 3 最初に新しい管理グループを作成しても、まだアクティブにしない場合、または、既存の管理グループをディセーブルにする場合は、[Disable this group] チェックボックスをオンにします。

ステップ 4 [Group Name] に、カスタム管理グループのグループ名を入力します。

ステップ 5 [Description] に、グループのオプションの説明を入力します。

ステップ 6 個々の CAS の横にあるアクセス オプションを、[no access]、[view only]、[add-edit]、[local admin] のいずれかに設定します。この設定により、指定した管理グループについて個々の Clean Access Server へのアクセスを制限したり、管理グループの個々の Clean Access Server での表示権限をイネーブルにしたりすることができます。また、管理グループに 1 つ以上の Clean Access Server に対する完全な制御権限を提供するようにアクセス権を調整することもできます(削除/再起動機能を含む)。


) CAS オプションを [no access] に設定しても、その管理グループのメンバーは引き続き [Device Management] > [CCA servers] > [List of Servers] ページで指定されたサーバを表示できますが、そのサーバを管理、切断、再起動、または削除することはできません。


ステップ 7 個々のモジュールまたはサブモジュールについて、[hidden]、[read only]、[add-edit]、[full control] のいずれかのグループ アクセス権限を選択します。これによって、指定した管理グループだけが Clean Access Server モジュールおよびサブモジュールを使用できるように制限したり、指定した管理グループのモジュールおよびサブモジュールに対する管理制御に関する権限を調整したりできます。


) サブモジュール オプションを [hidden] に設定すると、その管理グループのメンバーは引き続き、左側の Web コンソール ペインでそのサブモジュールを表示できますが、テキストは「グレー」で表示され、そのサブモジュールにはアクセスできません。


ステップ 8 [Create Group] をクリックして、[Admin Groups] リストにグループを追加します。

グループを後で編集するには、リスト内のグループの横にある [Edit] アイコンをクリックします。グループを削除するには、グループの横にある [Delete] アイコンをクリックします。管理グループを削除しても、そのグループ内のユーザは削除されないで、デフォルト [Read-Only Admin] グループに割り当てられます。


) 管理者が管理グループを編集して特定の管理グループの権限を変更した場合、次回ログイン以降は新しい権限だけが有効となるため、変更時にその管理グループに属するすべての管理ユーザを削除する必要があります。



 

管理ユーザ


) デフォルトの admin ユーザは、デフォルトの [Full-Control Admin] グループに属しており、Clean Access Manager から削除できない完全な制御権限を持つ特別なシステム ユーザです。たとえば、Full-Control ユーザはログインして、自分のアカウントを削除できますが、ユーザ admin としてログインし、admin アカウントを削除することはできません。


管理ユーザは Admin Group に従って分類されます。次の一般的なルールが適用されます。

すべての管理ユーザは [Administration] > [Admin Users] モジュールにアクセスして、自分のパスワードを変更できます。

管理ユーザ レベルで使用できない機能は、Web 管理コンソールではディセーブルになります。

Read-Only ユーザが Web 管理コンソールに表示できるのは、ユーザ、デバイス、および機能だけです。

Add-Edit ユーザは、Web 管理コンソールでローカル ユーザ、デバイス、または機能を追加および編集できますが、削除できません。Add-Edit 管理ユーザはその他の管理ユーザを作成できません。

Full-Control ユーザには、Web 管理コンソールのすべての適用可能な項目について追加、編集、および削除する権限があります。

その他の管理ユーザまたは管理グループを追加、編集、または削除できるのは、Full-Control 管理ユーザだけです。

カスタム グループ ユーザ(「Help-Desk」管理グループ タイプの一部など)は、複数のアクセス権の組み合わせを持つように設定できます(「カスタム管理グループの追加と編集」を参照)。

管理ユーザのログイン/ログアウト

管理ユーザはセッションベースであるため、Web 管理コンソールの各ページの右上にある [Logout] アイコンを使用して、ログアウトする必要があります。管理者ログイン ページが表示されます。

図 14-37 管理ログイン

 

また、ログアウト ボタンを使用して、いずれかのタイプの管理ユーザとしてログアウトしてから、別のタイプの管理ユーザとして再ログインすることもできます。

管理ユーザの追加

新しい管理ユーザを追加するには


ステップ 1 [Administration] > [Admin Users] > [New] に進みます。

図 14-38 新しい管理ユーザ

 

ステップ 2 最初に新しい管理ユーザ プロファイルを作成しても、まだアクティブにしない場合、または、既存の管理ユーザをディセーブルにする場合は、[Disable this account] チェックボックスをオンにします。

ステップ 3 [Admin User Name] を入力します。

ステップ 4 [Authentication Server] ドロップダウン メニューで、CAM または CAS に入力された管理者ユーザのログイン資格情報を CAM で認証する方法を指定します。

管理者ユーザの資格情報を、CAM データベースにローカルに格納されている情報と照合するには、[Built-in Admin Authentication] を選択します。

外部の認証サーバに対して管理ユーザ認証を行うには、設定済みの Kerberos、LDAP、または RADIUS 認証サーバのプロバイダー名を選択します。管理ユーザの場合は、Kerberos、LDAP、および RADIUS 認証サーバだけが [Authentication Server] ドロップダウンにリストされます。詳細については、「認証プロバイダーの追加」を参照してください。

ステップ 5 [Group Name] ドロップダウン リストで、管理グループ タイプを選択します。デフォルト グループは Read-Only、Add-Edit、および Full-Control です。カスタム アクセス権グループにユーザを追加するには、まず目的のグループを追加します(「カスタム管理グループの追加と編集」を参照してください)。

ステップ 6 [Password] および [Confirm Password] フィールドにパスワードを入力します。

ステップ 7 (任意)[Description] に説明を入力します。

ステップ 8 [Create Admin] をクリックします。[Admin Users] > [List] の下に、新しいユーザが表示されます。


 

管理ユーザの編集

既存の管理ユーザを編集するには


ステップ 1 [Administration] > [Admin Users] > [List] に進みます。

図 14-39 管理ユーザ リスト

 

ステップ 2 管理ユーザの横にある [Edit] アイコンをクリックします。

図 14-40 管理ユーザの編集

 

ステップ 3 [Password] および [Confirm Password] フィールドを変更するか、または目的の別のフィールドを変更します。

ステップ 4 [Save Admin] をクリックします。


) グループ タイプを除く、システム admin ユーザのすべてのプロパティを編集できます。



 

管理ユーザ セッションのアクティブ化

Clean Access Manager Web 管理コンソールを使用している管理ユーザを表示するには、[Administration] > [Admin Users] > [Admin Users] > [Active Sessions] を使用します。[Active Sessions] リストに、現在アクティブな管理ユーザがすべて表示されます。管理ユーザはセッションベースです。管理ユーザが Clean Access Manager Web サーバに接続するために開いたブラウザごとに、[Active Sessions] リストにユーザ エントリが作成されます。

管理ユーザがブラウザを開いている場合に、ブラウザを閉じてから、新しいブラウザを開くと、[Active Session] リストには一定期間 2 つのエントリが表示されます。終了したセッションの Last Access 時刻は変更されません。最終的に、エントリは自動ログアウト機能によって削除されます。

図 14-41 管理ユーザのアクティブ セッション

 

[Active Sessions] ページには、次の情報が表示されます。

[Admin Name]:管理ユーザの名前。

[IP Address]:管理ユーザのマシンの IP アドレス

[Group Name]:管理ユーザのアクセス権グループ

[Login Time]:管理ユーザ セッションの開始時刻

[Last Access]:Web 管理コンソールのリンクを管理ユーザが最後にクリックした時刻。クリックするたびに、最終アクセス時刻はリセットされます。

[Auto-Logout Interval for Inactive Admins]:この値は、アクティブな管理ユーザ セッションの [Login Time] と [Last Access] の時刻と比較されます。現在の時刻と最終アクセス時刻の差が、設定された自動ログアウト インターバルよりも大きい場合、ユーザはログアウトします。この値の有効範囲は 1 ~ 120 分です。デフォルトでは、インターバルは 20 分に設定されています。

[Minimum length for Admin Password]:[Admin Password] の最短パスワード長の値を入力します。

[Kick]:このボタンをクリックすると、アクティブな管理ユーザはログアウトし、アクティブ セッション リストからセッションが削除されます。

管理者ユーザのアクセス制限

管理ユーザは、CAM および CAS Web コンソール/SSH の IP アドレスのセットを、ブロックされるように設定することができます。アクセスできるのは管理者から提供されるリストの IP アドレスに限定されます。

アクセス制限をイネーブルにするには、次の手順を使用します。


ステップ 1 [Administration] > [Admin Users] > [Access Restrictions] に進みます。

図 14-42 管理者ユーザのアクセス制限

 

ステップ 2 [Enforce IP Access Restriction] チェックボックスをオンにします。

ステップ 3 [IP Restriction White List] ボックスに CAM および CAS に許可される IP アドレスを入力します。1 行ごとに 1 つのアドレスを入力します。

ステップ 4 [Update] をクリックします。

ステップ 5 IP アドレスのリストが表示され、CAM および CAS の両方がイネーブルになります。


) アクセス リストは、すでに CAM に追加されている CAS にだけ適用されます。



 


) [Enforce IP Access Restriction] チェックボックスをオフにすると、リストに表示される IP アドレスが非アクティブになります。アクセス制限は強制されません。



注意 [IP Restriction White List] フィールドが空の場合に [Update] をクリックすると、Web コンソールまたは SSH 経由による CAM/CAS へのアクセスができなくなります。この場合、次の手順を使用して、CAM/CAS アクセスのロックを再び解除します。

次に、CAM Web コンソールのロックを解除する手順を示します。Serial Console またはキーボードとモニタを使用して CAM にアクセスする必要があります。


ステップ 1 CAM 内の /perfigo/control/apache/conf/sslacc.conf ファイルの内容を削除します。

ステップ 2 CAM で /perfigo/control/bin/startapache_g コマンドを実行します。

ステップ 3 これにより CAM Web コンソールのロックが解除されます。

ステップ 4 CAM Web コンソールにログインし、アクセス制限リストを編集したら、[Update] をクリックします。


 


) 上記の手順を完了すると、CAM および CAS が両方ともアクセス可能になります。HA ペアを使用している場合は、この手順を両方の CAM に対して実行する必要があります。


システム パスワードの管理


) Cisco NAC アプライアンスの新規インストールの場合は、ルート管理者ユーザ パスワードは、後で説明する強力なパスワードのガイドラインに準拠している必要があります。既存のルート管理者ユーザ パスワードは、アップグレード中に保存されます。


Cisco NAC アプライアンス システム内のユーザ アカウントにセキュアなパスワードを設定し、ときどき変更して、システムのセキュリティを維持することが重要です。Cisco NAC アプライアンスによって、次に示す管理ユーザ アカウント パスワードを指定するよう求められます。

1. Clean Access Manager インストールマシンの root ユーザ

2. Clean Access Server インストールマシンの root ユーザ

3. Clean Access Server Web コンソールの admin ユーザ

4. Clean Access Manager Web コンソールの admin ユーザ

パスワードはインストール時に初期設定します。後でこれらのパスワードを変更するには、SSH を使用して CAM または CAS マシンにアクセスし、変更するパスワードを持つユーザとしてログインします。Linux の passwd コマンドを使用して、ユーザのパスワードを変更します。

いずれの場合も、ネットワーク セキュリティを最大限強化するために強力なパスワードを使用することを推奨していますが、CAM と CAS のルート管理者パスワードだけは、強力なパスワード基準(つまり、次の 4 つの各カテゴリの文字を少なくとも 2 文字含む、8 文字以上を使用したパスワード)に準拠している 必要があります

小文字

大文字

数字

特殊文字(!@#$%^&*~ など)

たとえば、パスワード 10-9=One は、各カテゴリの文字が 2 文字使用されていないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。


) パスワードの最初が大文字の場合、その文字は、パスワードに正しい文字数が使用されているかどうかを判定する際に、最低限必要な大文字の数(2 文字)の一部としてカウントされません。

パスワードの最後が数字の場合、その文字は、パスワードに正しい文字数が使用されているかどうかを判定する際に、最低限必要な数字の数(2 文字)の一部としてカウントされません。


ここでは、次の内容について説明します。

CAM Web コンソール管理パスワードの変更

CAS Web コンソール管理ユーザ パスワードの変更

CAM Web コンソール管理パスワードの変更

Clean Access Manager Web コンソールの管理ユーザ パスワードを変更する手順は、次のとおりです。


ステップ 1 [Administration] > [Admin Users] > [List] に進みます。

 

ステップ 2 admin ユーザの [Edit] アイコンをクリックします。

 

ステップ 3 [Password] フィールドに新しいパスワードを入力します。

ステップ 4 [Confirm Password] フィールドに新しいパスワードを再入力します。

ステップ 5 [Save Admin] ボタンをクリックします。新しいパスワードが有効になります。


 

CAS Web コンソール管理ユーザ パスワードの変更

ほとんどの設定タスクは CAM Web 管理コンソールで実行されます。ただし、ハイ アベイラビリティ モードの設定など、ローカル CAS 設定に固有のタスクを実行する場合は、CAS ダイレクト アクセス Web コンソールが使用されます。CAS Web コンソール管理パスワードを変更する場合は、次の手順に従ってください。


ステップ 1 ブラウザで次のアドレスにナビゲートして、Clean Access Server 管理コンソールを開きます。

https://<CAS_IP>/admin

ここで、 <CAS_IP> は CAS の信頼できるインターフェイス IP アドレスです。たとえば、 https://172.16.1.2/admin などです。

ステップ 2 admin ユーザ名とパスワードを使用してログインします。

ステップ 3 左側のメニューで [Admin Password] リンクをクリックします。

ステップ 4 [Old Password] フィールドに現在のパスワードを入力します。

ステップ 5 [New Password] および [Confirm Password] フィールドに新しいパスワードを入力します。

ステップ 6 [Update] をクリックします。


 

CAM データベースのバックアップ

CAM データベースの手動バックアップ スナップショットを作成し、現在のリリースの CAM/CAS 設定をバックアップできます。スナップショットを作成すると、それは CAM に保存されますが、保護目的で別のマシンにダウンロードすることもできます。バックアップする必要があるのは、CAM スナップショットだけです。CAM スナップショットには、Clean Access Manager のすべてのデータベース設定データと、CAM のドメインに追加されたすべての Clean Access Server の設定情報が含まれます。スナップショットは標準の Postgres データ ダンプです。

Clean Access Manager は、ローカルのマスター シークレット パスワードを使用することにより、システムのパスワードなどの重要なデータを暗号化し、保護します。必要に応じて CAM 上のデータベース スナップショットを復元できるように、割り当てられたマスター シークレット パスワードについてはきわめて正確な記録を残すことをお勧めします(システムが別のマスター シークレット パスワードで設定されているときに作成された CAM データベース スナップショットは、アップロードできません)。


) 製品ライセンスはデータベースに格納されるため、バックアップ スナップショットに含まれます。


CAS が一旦 CAM に追加されると、スナップショット設定を CAM にダウンロードした後も含め、CAS は CAM とやり取りするたびに CAM から自身の設定情報を取得します。

すでに CAM に追加されている CAS の基礎となるマシンを交換した場合は、 service perfigo config ユーティリティを実行して、CAS IP アドレスと証明書設定を使用して新しいマシンを設定する必要があります。その後、CAM はその他すべての設定情報を CAS にプッシュします。

Agent は、CAM データベース スナップショットの一部として必ず含まれます。次に示す場合、Agent は常に CAM データベースに格納されます。

Agent アップデートが Web アップデートから受信された場合

Agent が CAM に手動でアップロードされた場合

CAM を CD から新規にインストールした場合、または最新リリースにアップグレードした場合、 Agent は CAM データベースにバックアップされません。この場合、CAM ソフトウェアには新しい Agent ソフトウェアが含まれますが、CAM データベースにはアップロードされません。Agent バックアップが開始するのは、新しい Agent がシステムに手動で、または Web Updates を介してアップロードされた場合だけです。


) 復元できる CAM スナップショットは、CAM と同じバージョンに限られます(たとえば、リリース 4.9 CAM の場合はリリース 4.9 スナップショットのみ)。



) データベース ログの詳細については、「Cisco NAC アプライアンスのログ ファイル」を参照してください。


ここでは、次の内容について説明します。

データベース日次バックアップの自動化

Web コンソールからの手動バックアップ

CAM スナップショットからの復元:スタンドアロン CAM

CAM スナップショットからの復元:HA-CAM または HA-CAS

CAM/CAS 許可設定のバックアップと復元

CAM/CAS 許可設定のバックアップと復元

データベース回復ツール

データベース日次バックアップの自動化

Cisco NAC アプライアンスは Clean Access Manager データベースの日次スナップショットを自動的に作成し、ここ 30 日間で最新のものを保持します。また、ソフトウェア アップグレードの前後、およびフェールオーバー イベントの前後で、自動的にスナップショットを作成します。アップグレードとフェールオーバーの場合、最新の 5 つのバックアップ スナップショットだけが保持されます。詳細については、「データベース回復ツール」を参照してください。

Web コンソールからの手動バックアップ

設定に重要な変更を加える前に、CAM のバックアップを作成することを推奨します。ときどき設定をバックアップしておくと、設定ミスのために誤作動した場合に、既知の良好な設定プロファイルの最新バックアップを使用することもできます。スナップショットを使用すると、設定データの消失が防止されるだけでなく、複数の CAM 間で設定を複製する作業を簡単に実行できます。


) 手動で作成したスナップショットは、手動で削除するまで CAM に残ります。



ステップ 1 [Administration] > [Backup] ページの [Database Snapshot Tag Name] フィールドに、スナップショットの名前を入力します。フィールドには、現在の日付と時刻が組み込まれたファイル名が自動的に表示されます(たとえば、 MM_DD_YY-hh-mm_snapshot )。デフォルト名を受け入れるか、または別の名前を入力することができます。

ステップ 2 [Create Snapshot] をクリックします。Clean Access Manager によってスナップショット ファイルが生成され、スナップショット リストに追加されます。[Version] カラムに、スナップショットの CAM ソフトウェア バージョンが自動的に表示されます。

図 14-43 バックアップ スナップショット

 

 


) ファイルは引き続き、物理的に Clean Access Manager マシン上に存在します。アーカイブのために、ファイルをその場所にとどめておくことができます。ただし、システム障害に備えてユーザの設定をバックアップするには、スナップショットを別のコンピュータにダウンロードする必要があります。


ステップ 3 スナップショットを別のコンピュータにダウンロードするには、[Download] アイコンをクリックするか、ダウンロードするスナップショットの [Tag Name] をクリックします。

ステップ 4 [File Download] ダイアログで、[Save] をクリックし、ファイルをローカル コンピュータに保存します。

スナップショット リストからスナップショットを削除するには、[Delete] アイコンをクリックします。


 

CAM スナップショットからの復元:スタンドアロン CAM


) 復元できる CAM スナップショットは、CAM と同じバージョンに限られます(たとえば、リリース 4.9 CAM の場合はリリース 4.9 スナップショットのみ)。また、復元するスナップショット イメージのアップロードは CAM Web コンソールを使用して行えますが、実際の復元手順は CAM CLI で実行する必要があります。


Clean Access Manager は、ローカルのマスター シークレット パスワードを使用することにより、システムのパスワードなどの重要なデータを暗号化し、保護します。必要に応じて CAM 上のデータベース スナップショットを復元できるように、割り当てられたマスター シークレット パスワードについてはきわめて正確な記録を残すことをお勧めします(システムが別のマスター シークレット パスワードで設定されているときに作成された CAM データベース スナップショットは、アップロードできません)。スタンドアロン Clean Access Manager をスナップショットの設定状態に復元する手順は、次のとおりです。


ステップ 1 [Administration] > [Backup] の順に移動して、 スナップショット イメージの [Tag Name] がテーブルに表示されていることと、スナップショットのバージョンが現在 CAM で実行中のバージョンと同じであることを確認します。

ステップ 2 最初に外部のマシンからスナップショットをアップロードする必要がある場合は、[Snapshot to Upload] フィールドの隣にある [Browse] ボタンをクリックし、外部ディレクトリ構造の中でファイルを見つけて、[Upload Snapshot] をクリックします。

ステップ 3 CAM CLI コンソールにログインし、 service perfigo stop コマンドを使用して CAM 上のサービスをシャットダウンします。

ステップ 4 /perfigo/dbscripts/dbbackup.sh コマンドを入力します。既存の設定は、スナップショットの設定で上書きされます。


警告 「./dbbackup.sh」コマンドを「sh ./dbbackup.sh」という構文で入力すると、バックアップ プロセスが無限ループに入り、復元プロセスの確認を繰り返し求められることになります。「sh ./dbbackup.sh」という構文は使用しないでください。


ステップ 5 service perfigo start コマンドを使用して、CAM 上のサービスを再起動します。


 

CAM スナップショットからの復元:HA-CAM または HA-CAS


) CAM スナップショットには、Clean Access Manager のすべてのデータベース設定データと、CAM のドメインに追加されたすべての Clean Access Server の設定情報が含まれます。


HA 配置内の HA プライマリ CAM/CAS と HA セカンダリ CAM/CAS のいずれかで設定が失われた場合は、HA プライマリ マシンと HA セカンダリ マシンの両方の動作が一貫したものになるように、残りの CAM から最新のスナップショットを取得(または既存の設定のスナップショットを作成)して、HA システムにロードできます。

HA 配置内の HA プライマリ CAM/CAS と HA セカンダリ CAM/CAS の 両方 で構成が失われた場合は、次のガイドラインを使用して、システムを復元できます(たとえば、深刻なイベントによって、HA プライマリ マシンと HA セカンダリ マシンの両方でイメージとデータベースが削除された場合や、両方のマシンが RMA となって、新しいアプライアンスをインストールしなければならない場合など)。


警告 スタンバイ マシンがオフライン(ダウンまたはリブート中)になっている場合は、アクティブまたはスタンバイ CAM のいずれかでスナップショットの復元を試行しないでください。


スナップショットからの HA プライマリと HA セカンダリの両方の CAM の復元

フェールオーバー配置の HA プライマリ CAM と HA セカンダリ CAM をスナップショットの設定状態に復元するには、


ステップ 1 『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の説明に従って、HA プライマリ CAM と HA セカンダリ CAM が、HA 配置がダウンする前と同じ属性を使用するように、これらの CAM をインストールして初期設定します。

ステップ 2 CAM ユーザ ライセンスを HA プライマリ CAM と HA セカンダリ CAM の両方に適用します。

ステップ 3 『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の説明に従って、HA プライマリ CAM と HA セカンダリ CAM を HA ペアとして設定します。

ステップ 4 データベース復元中に自動的に「アクティブ」なロールを引き継ぐのを回避するために、HA セカンダリ CAM をシャット ダウンします。

ステップ 5 HA プライマリ CAM で [Administration] > [Backup] Web コンソール ページに移動し、[Snapshot to Upload] フィールドの隣にある [Browse] ボタンをクリックし、外部ディレクトリ構造の中でファイルを見つけて、[Upload Snapshot] をクリックします。

ステップ 6 HA プライマリ CAM の CLI コンソールにログインし、 service perfigo stop コマンドを使用して HA プライマリ CAM 上のサービスをシャットダウンします。

ステップ 7 /perfigo/dbscripts/dbbackup.sh コマンドを入力します。既存の設定は、スナップショットの設定で上書きされます。


警告 「./dbbackup.sh」コマンドを「sh ./dbbackup.sh」という構文で入力すると、バックアップ プロセスが無限ループに入り、復元プロセスの確認を繰り返し求められることになります。「sh ./dbbackup.sh」という構文は使用しないでください。


ステップ 8 service perfigo start コマンドを使用して、HA プライマリ CAM 上のサービスを再起動します。

ステップ 9 スナップショットの復元を完了するには、HA セカンダリ CAM を起動し、HA セカンダリ CAM が HA プライマリと自動的に「同期」するまで約 5 分待機します。

ステップ 10 HA プライマリ CAM をリブートします。CAM を再起動して、Web コンソールからログインしたら、HA セカンダリ CAM をリブートします。


 

スナップショットからの HA プライマリと HA セカンダリの両方の CAS の復元

フェールオーバー配置の HA プライマリ CAS と HA セカンダリ CAS をスナップショットの設定状態に復元するには、

1. 『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の説明に従って、HA プライマリ CAS と HA セカンダリ CAS が、HA 配置がダウンする前と同じ属性を使用するように、これらの CAS をインストールして初期設定します。

2. 『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の説明に従って、HA プライマリ CAS と HA セカンダリ CAS を HA ペアとして設定します。


警告 CAS HA 接続を正常に再確立するには、「Configuring High Availability (HA)」の章の手順を示されている順に実行してください。


3. HA セカンダリ CAS でアクセス コントロール機能を引き継ぐことができるように、HA プライマリ CAS をシャットダウン/切断することによって、HA プライマリ CAS と HA セカンダリ CAS の間のフェールオーバー イベントをシミュレートします。スタンバイ CAS でアクティブ マシンの役割が引き継がれたら、HA プライマリ(スタンバイ)が「オンライン」に戻ったときに HA セカンダリ CAS(新しいアクティブ CAS)について同じフェールオーバーをシミュレートします。

これらのフェールオーバー シミュレーションを HA プライマリ CAS と HA セカンダリ CAS の両方で実行することで、それぞれの CAS が CAM から最新のデータベース情報を取得するようになります。


 

CAM/CAS 許可設定のバックアップと復元

セキュリティの強化策として、許可と証明書トラストストアの設定は、CAM/CAS 設定の他の要素とともにはバックアップされません。そのため、CAM/CAS 設定をバックアップする際には、標準のデータベース バックアップ/スナップショットとは別個に許可と証明書トラストストア ファイルをバックアップする必要があります。

ハイアベイラビリティ ペアでは、ハイアベイラビリティ ペアとして配置するときに、許可設定は自動的に HA プライマリ CAM/CAS から HA セカンダリに渡されません。次の手順を使用して、HA ペアの両方のアプライアンスが、同じ許可および証明書トラストストアの設定と、許可される Clean Access Server(または、HA プライマリ Clean Access Server をバックアップする場合は Clean Access Manager)のリストを共有するように、HA セカンダリ CAM/CAS で許可設定を読み込むこともできます。


) 単一の CAM から管理される CAS 配置が大規模な場合は、この手順によって、セカンダリ CAM の設定時に時間を大幅に節約できます。


表 14-2 に、 /root/.perfigo/ ディレクトリ(特定の設定によって異なります)内に通常あるファイルをリストします。

 

表 14-2 許可のバックアップ ファイル

ファイル名
説明

auth_nac_en.txt

このファイルが CAM/CAS の /root/.perfigo/ ディレクトリに存在する場合は、CAM/CAS では許可機能がイネーブルになっています。

auth_nac.txt

このファイルには、CAM の [Device Management] > [CCA Servers] > [Authorization] Web コンソール ページまたは CAS の [Device Management] > [Authorization] Web コンソール ページの [Authorized CCA Servers] リストおよび [Authorized CCA Managers] リストに読み込まれる、Clean Access Manager または Clean Access Server の実際の許可エントリが含まれています。

auth_warn_nac_en.txt

このファイルが CAM/CAS の /root/.perfigo/ ディレクトリに存在する場合は、CAM/CAS では [Test CCA Server Authentication] オプションがイネーブルになっており、許可操作が SSL 証明書イベントとして記録されています。

caCerts

このファイルには、CAM/CAS の一連のエンド エンティティ証明書が含まれています。

CAM/CAS 許可と証明書トラスト ストアの設定をバックアップして、冗長または HA セカンダリ CAM/CAS にアップロードするには、


ステップ 1 プライマリ CAM/CAS のコマンドライン インターフェイスに Telnet または SSH でログインして、 /root/.perfigo/ ディレクトリに変更して、 /root/.perfigo/ ディレクトリの内容を表示します。

[root@cam1]# cd /root/
[root@cam1]# cd .perfigo/
[root@cam1]# ls -l
-rw-r--r-- 1 root root 0 Jul 21 11:09 auth_nac_en.txt
-rw-r--r-- 1 root root 80 Jul 21 11:09 auth_nac.txt
-rw-r--r-- 1 root root 16 Jul 21 11:09 auth_warn_nac_en.txt
-rw-r--r-- 1 root root 1346 Jul 20 21:49 caCerts
 

ステップ 2 アップロードする tar ファイルを作成します。ファイル名を指定する必要があります(たとえば、「authorization.tar.gz」)。

[root@cam1]# tar cvzf authorization.tar.gz *
auth_nac_en.txt
auth_nac.txt
auth_warn_nac_en.txt
caCerts
 

ステップ 3 バックアップまたは HA スタンバイ CAM/CAS への読み込みのために、新しい tar ファイルを宛先の CAM/CAS にアップロードします。

[root@cam1]# scp authorization.tar.gz root@<IP address>
root@<IP address>'s password:
authorization.tar.gz 100% 1107 1.1KB/s 00:00
 

ステップ 4 セカンダリ CAM/CAS のコマンドライン インターフェイスに Telnet または SSH でログインして、 /root/.perfigo/ ディレクトリに変更し、アップロードした tar ファイルの内容を抽出します。

[root@cam2]# cd /root/
[root@cam2]# cd .perfigo/
[root@cam2]# tar xvzf authorization.tar.gz
auth_nac_en.txt
auth_nac.txt
auth_warn_nac_en.txt
caCerts
 

ステップ 5 ファイルが正しくアップロードおよび抽出されたことを確認します。

[root@cam2]# ls -l
-rw-r--r-- 1 root root 0 Jul 21 11:09 auth_nac_en.txt
-rw-r--r-- 1 root root 80 Jul 21 11:09 auth_nac.txt
-rw-r--r-- 1 root root 16 Jul 21 11:09 auth_warn_nac_en.txt
-rw-r--r-- 1 root root 1346 Jul 20 21:49 caCerts
 

ステップ 6 セカンダリ CAM/CAS を停止して再起動して、複製設定を適用します。

[root@cam2]# service perfigo stop
Stopping High-Availability services:
[ OK ]
[root@cam2]# service perfigo start
Starting High-Availability services:
[ OK ]
Please wait while bringing up service IP.
Heartbeat service is running.
Service IP is up on the peer node.
Stopping postgresql service: [ OK ]
Starting postgresql service: [ OK ]
CREATE DATABASE
DROP DATABASE
CREATE DATABASE
DROP DATABASE
Database synced
[root@cam2]#

) この例では CAM HA ペアを扱っていますが、同じ関数とプロセスが CAS HA ペアに適用されます。


CAM と CAS の HA ペアの詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。


 

データベース回復ツール

データベース回復ツールは、次のタイプのバックアップ スナップショットからデータベースを復元する場合に使用できるコマンドライン ユーティリティです。

日次の自動バックアップ(最近の 30 個のコピー)

ソフトウェア アップグレード前後のバックアップ

フェールオーバー イベント前後のバックアップ

Web コンソールを介して管理者が作成した手動スナップショット

Web コンソールを使用してスナップショットを手動で作成し、アップロードすることができますが([Administration] > [Backup] を使用)、CLI ツールではさらに詳細に操作できます。このツールには復元元のスナップショット、および圧縮解除後のサイズやテーブル数を表示するメニューがあります。破損したファイルや、フォーマットが不適切なファイル(.tar.gz でないファイルなど)の場合は、圧縮解除後のサイズやテーブル数でなく、修復の警告が表示されることに注意してください。


注意 このユーティリティを実行する前に CAM を停止し、ユーティリティを実行したら再起動する必要があります。

コマンド ユーティリティを実行するには

1. SSH を使用して Clean Access Manager にアクセスします。

2. root パスワードを使用してユーザ root としてログインします。

3. cd /perfigo/dbscripts を実行して、データベース回復ツールのディレクトリに移動します。

4. service perfigo stop を実行して、Clean Access Manager を停止します。

5. ./dbbackup.sh を実行して、ツールを起動します。


警告 「./dbbackup.sh」コマンドを「sh ./dbbackup.sh」という構文で入力すると、バックアップ プロセスが無限ループに入り、復元プロセスの確認を繰り返し求められることになります。「sh ./dbbackup.sh」という構文は使用しないでください。


6. プロンプトに従って、データベースを復元します。

7. ユーティリティを実行したら、 reboot を実行して Clean Access Manager をリブートします。


CLI コマンドの一般的な情報については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の「CAM CLI Commands」を参照してください。


API サポート

Cisco NAC アプライアンスには、HTTPS POST を使用して特定の操作を実行できる cisco_api.jsp という名前のユーティリティ スクリプトがあります。Clean Access Manager の Cisco NAC アプライアンス API には、Web ブラウザでアクセスできます( https://<ccam-ip-or-name>/admin/cisco_api.jsp )。

使用方法、認証要件、ゲスト アクセスのサポート、操作の要約については、 付録 B「API サポート」 を参照してください。