Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
Agent セッションのモニタリングとトラブル シューティング
Agent セッションのモニタリングとトラブルシューティング
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Agent セッションのモニタリングとトラブルシューティング

Agent レポートの表示

Agent レポートのエクスポート

レポート数の制限

Cisco Log Packager を使用した Agent ログ ファイルの作成

証明済みデバイスの管理

免除デバイスの追加

証明済みデバイスまたは免除デバイスの手動消去

証明済みデバイスのレポートの表示

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

証明済みデバイス タイマーの設定

フローティング デバイスの追加

レポートの設定

ダッシュボード

現在のステータス

CCA サーバ

マネージド スイッチ

認証サーバ

ユーザ統計情報

カスタム レポート

新しいレポートの生成

保存したテンプレートの表示

要約の表示

設定

ユーザ アクティビティ ログ ファイル

Online Users リスト

アクティブ ユーザの意味

オンライン ユーザの表示

インバンド ユーザ

OOB ユーザ

設定の表示

Agent のトラブルシューティング

Cisco NAC アプライアンス Agent のデバッグ ロギング

Cisco NAC Agent デバッグ ログの生成

Cisco NAC Web Agent のログ

Mac OS X Agent デバッグ ログの生成

クライアントが接続およびログインできない

Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS ルールのトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)

Agent セッションのモニタリングとトラブルシューティング

この章では、各種の Cisco NAC アプライアンス Agent レポートおよびログ ファイルの編集とアクセス、および Agent への接続や Agent の操作における問題のトラブルシューティングに関する事項について説明します。

「Agent レポートの表示」

「Cisco Log Packager を使用した Agent ログ ファイルの作成」

「証明済みデバイスの管理」

「レポートの設定」

「Online Users リスト」

「Agent のトラブルシューティング」

Agent レポートの表示

管理者 Agent の[Reports] ページ([Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer])には、Agent セッションに関する詳細が表示されます。この情報にはユーザ アクセスの試行回数、およびシステム チェック結果が含まれます。

[Reports] ページでは、管理者は Agent レポートを記録および検索して、迅速に情報を収集し、編集されたレポート データをエクスポートし、統計分析と Agent 接続問題のトラブルシューティングに役立てることができます。[Reports] ページは、次のカラム ヘッダーを使用して Agent レポート エントリ情報を表示します。

[Status]:緑または赤のフラグは、Agent 接続の成功または失敗を示します。

[User]:クライアント マシンからのセッションを確立するのに使用されるユーザ ID です。

[Agent] :クライアント セッションを開始するのに使用される Cisco NAC アプライアンス Agent のタイプを指定します。

[Type]:レポートがログイン ポスチャまたはパッシブ再評価のために生成されたかどうかを指定します。

[IP]:クライアント マシンの IP アドレスです。

[MAC]:クライアント マシン インターフェイス MAC アドレスです。

[OS]:クライアント マシンで検出されたオペレーティング システムです。

[Time]:ユーザが Agent セッションの開始を試行した日付と時刻です。


) 背景が赤の Report List エントリは、システム チェックに失敗したクライアントを示します。


図 11-1 Agent 管理者レポート

 

[Reports] ページでは、追加のクライアント レポート表示基準をアクティブにして定義することにより、ユーザ セッションのリストをフィルタリングすることもできます。たとえば、ユーザが毎日(さらに 1 日数回)ログインするような非常に大きなユーザ アクセス ベースがあり、より管理可能な数にレポートの総数を制限する場合、単一のユーザ ID または特定のデバイスからのすべてのユーザ セッションに関するユーザ セッション情報を表示するように選択できます。ドロップダウン メニューから使用可能なフィルタ パラメータは次のとおりです。

[Status]:成功、失敗、または両方のタイプのユーザ セッションをリストすることができます。

[Username]:クライアント レポート リストに表示するためのすべてまたは特定の一部のユーザ ID を指定できます。

[Agent]:Cisco NAC アプライアンス Agent のタイプを選択できます。

[Type]:クライアントが NAC アプライアンスにアクセスしたポスチャのタイプ(ログインまたはパッシブ再評価)を選択できます。

[IP]:指定された IP アドレスのすべてまたは一部が一致するものにクライアント レポートのリストを限定することができます(たとえば、[starts with] で「10.12.4.」と指定することで、このパラメータを使用してユーザ リストを 10.12.4. <x> の範囲にある IP アドレスに限定できます)。

[MAC]:指定された送信元 MAC アドレスのすべてまたは一部が一致するものにクライアント レポートを限定することができます。

[OS]:クライアント マシンで検出されたオペレーティング システムに基づいてクライアント レポートを表示することができます。

[Time]:特定の時間以降、または特定の時間までの、クライアント レポート エントリを表示できます(たとえば、直近の 1 時間、前日までなど)。

[Software]:特定のインストール済み AV、AS、または未サポートの AV/AS ソフトウェアに対するクライアント レポートを表示できます。

[Requirement]:特定の Agent 要件に関連したクライアント レポートだけを表示できます。

[Requirement Status]:指定された [Requirement](上記)の成功または失敗 Agent 要件のクライアント レポートを表示できます。

[System Name]:指定されたクライアント システム名のすべてまたは一部に関連したクライアント レポートを表示できます。

[System User]:特定のシステム ユーザ(つまり、実際のユーザ セッションが開始された時点でのクライアント マシンにログインしたユーザで、上記の [Username] と同じ ID でなくてもよい)に関連したクライアント レポートを表示できます。

[System Domain]:クライアント マシンがログインしたシステム ドメインに基づくクライアント レポートだけを表示できます。

[User Domain]:クライアント [System User] ID が関連しているユーザ ドメインに基づくクライアント レポートだけを表示できます。

検索オプションのパラメータを選択し定義した後に [Filter] ボタンをクリックすると、基準に一致するすべてのクライアント レポート エントリのサマリーと、各クライアントの詳細な管理者レポートが表示されます。

たとえば、[OS] フィルタ オプションを使用して、ドロップダウン リストからオプションを 1 つ選択することにより、Agent レポートに表示されるレポートエントリの数を減らすことができます(図 11-2)。

図 11-2 Agent 管理者レポート:[OS] フィルタ オプション

 

[Reset] をクリックして、フィルタ ドロップダウン メニューからのオプションの検索基準を無効にして、クライアント レポート表示リストをデフォルト設定に戻すことができます。

[View] アイコン(右端にある虫眼鏡アイコン)をクリックすると、図 11-3 に示すように個別ユーザ レポートが表示されます。

図 11-3 Agent レポートの例

 

Agent レポートには、ユーザ、オペレーティング システム、Agent バージョン、ドメイン情報のほか、ユーザ ロールに適用可能な要件(必須とオプションの両方)が表示されます。ユーザが満たしている要件はグリーンで、満たしていない要件はレッドで表示されます。要件を構成している各チェックは、ステータス(Passed、Failed、または Not executed)を基準として表示されます。これにより、要件に違反した場合に、違反したチェックを正確に表示することができます。

[Not Executed] チェックは、別の OS に適用されたなどの理由により、適用されなかったチェックです。[Failed] チェックの原因は、「OR」演算であることがあります。レポートを削除するには、[Delete] ボタンをクリックします。これにより、フィルタリング基準に基づいて現在選択されているレポート エントリがすべて削除されます。

Agent レポートのエクスポート

[Export] および [Export (with text)] ボタンを使用して、Agent レポート データを含む CSV ファイルをローカル ハードディスク ドライブに保存して、トラブルシューティングまたは統計分析目的で必要な場合にいつでも検索、表示、変更できるようにできます。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer] に移動します(図 11-4を参照)。

ステップ 2 [Export] または [Export (with text)] をクリックします。


) Microsoft Excel の制限により、この機能を使用してエクスポートできるエントリ数は最大で 65534 です。


図 11-4 Agent レポートのエクスポート

 

ステップ 3 次のいずれかを実行します。

[Open] をクリックして、作成された Agent レポート ファイルを表示します。

[Save] をクリックして、Agent レポート ファイルを保存するローカル マシン内のディレクトリに移動して、ファイル名を入力し、ナビゲーション ダイアログ内の [Save] をクリックすると、後日そのレポートを表示できます。


 

レポート数の制限

ログ内のレポート数を制限するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Setting] を使用します。最大レポート数には 100 ~ 200000(デフォルトは 30000)を指定します。

Agent レポートは独自のテーブルに格納され、一般的なイベント ログとは別に扱われます。

Cisco Log Packager を使用した Agent ログ ファイルの作成

ユーザが Cisco NAC Agent をダウンロードすると、クライアント マシンの Program File を基準にした Agent ファイルと同じ場所に、インストール プロセスによって Cisco Log Packager ユーティリティが追加されます。Log Packager ユーティリティは、数種類の Agent ログを 1 つの .zip ファイル( CiscoSupportReport.zip )にまとめて、クライアント マシンのデスクトップに保存します。これにより、ユーザは情報に簡単にアクセスでき、Agent セッションのログインや操作に関する問題のトラブルシューティングを受ける際に、ネットワーク管理者に転送することができます。


) Cisco NAC アプライアンス リリース 4.6(1) 以降では、Cisco Log Packager アプリケーションは英語および日本語の Windows プラットフォームでだけ使用できます。


Cisco Log Packager を起動する手順は、次のとおりです。


ステップ 1 Windows クライアント マシンで、[Start] > [Program Files] > [Cisco] > [Client Utilities] > [Cisco Log Packager] に移動します(図 11-5)。

図 11-5 Cisco Log Packager

 

ステップ 2 [Collect Data] をクリックし、Cisco Log Packager が Agent ログ情報の編集を完了するまで待ちます。この手順は、数秒から数分かかります。Cisco Log Packager の表示ウィンドウに「Log file has been archived」というメッセージが表示され、[Copy to Clipboard] および [Locate Log File] ボタンがアクティブになったら、このプロセスは完了です(図 11-6)。

図 11-6 Cisco Log Packager:ログ ファイルのアーカイブ完了

 

ステップ 3 編集後のログ ファイルが保存されたクライアント マシン上の場所に自動的に移動するには、[Locate Log File] をクリックします。Windows エクスプローラのダイアログボックスが開き、クライアント マシンのデスクトップ上で新しい CiscoSupprtReport.zip ログ ファイルが強調表示されます(図 11-7)。

図 11-7 Agent ログ ファイルの場所

 

CiscoSupprtReport.zip ログ ファイルを使用して、Agent のログインおよび操作に関する問題を診断し、トラブルシューティングに役立てます。ユーザは .zip ファイルをそれぞれの Cisco NAC アプライアンス システム管理者に送ることができます。ローカルのトラブルシューティングの場合は、クライアント マシン上の各種の Cisco Log Packager ファイルの内容を抽出して表示できます。 CiscoSupprtReport.zip ログ ファイルに含まれるファイルとその目的の詳細については、表 11-1 を参照してください。

 

表 11-1 Cisco Log Packager のファイル

Agent ログ ファイル名
内容/説明

CiscoSupportReportLog.txt

このテキスト ファイルには、CPU 使用率やメモリ割り当てなど、クライアント マシンのシステム情報が含まれます。

ipinfo.log

このログ ファイルには、クライアント マシンの IP インターフェイス ステータス、IP 統計情報、クライアント ARP テーブルなど、ネットワーク設定およびネットワーク接続ステータスが含まれます。

NACAgentLogPlugin.log

ユーザがアクセスできないこのログは、NACAgentDiags 関数を呼び出して NACAgentDiagnosticLog.txt ログ レポートを生成する LogPacker コンポーネントのモジュールの 1 つです。

NACAgentDiagnosticsLog.txt

ユーザがアクセスできないこのテキスト ファイルには、AV に関する問題をデバッグするために使用される診断メッセージが含まれています。

NACAgentDiagsLogMessages.txt

このテキスト ファイルには、診断出力では使用されない、その他の通常のログ メッセージが含まれています。

NACAgentLogCurrent.log

これは、アクティブなセッションからの最新の Cisco NAC Agent メッセージを含む暗号化されたログ ファイルで、主に Cisco NAC Agent に関する問題のデバッグに使用されます。システムが再起動されるかサービスが再開されると、それまでの NACAgentLogOld.log は消去され、アクティブな NACAgentLogCurrent.log が新しい NACAgentLogOld.log になって、新しい NACAgentLogCurrent.log が作成されます。

が作成されます。

NACAgentLogOld.log

これは、それまでアクティブだった Cisco NAC Agent セッションからの出力を含む暗号化されたログ ファイルで、Cisco NAC Agent に関する問題のデバッグにも使用されます。このファイルは、次の 2 つの方法のいずれかによって作成されます。

最大サイズ( NACAgentCFG.xml Agent コンフィギュレーション XML ファイルの LogFileSize パラメータで設定)に達した、アクティブな Cisco NAC Agent セッションから「アーカイブされた」ログ ファイル。

システムが再起動されるかサービスが再開されると、それまでの NACAgentLogOld.log は消去され、アクティブな NACAgentLogCurrent.log が新しい NACAgentLogOld.log になって、新しい NACAgentLogCurrent.log が作成されます。

クライアント マシン上のすべての .txt ファイルは、標準的なテキスト エディタ アプリケーションを使用して開き、レポート内容を表示することができます。図 11-8 に、クライアント マシンの Microsoft メモ帳アプリケーションで開いた CiscoSupportReportLog.txt ファイルの内容を示します。

図 11-8 CiscoSupportReportLog.txt ファイルの内容

 


 

証明済みデバイスの管理

ここでは、次の内容について説明します。

「免除デバイスの追加」

「証明済みデバイスまたは免除デバイスの手動消去」

「証明済みデバイスのレポートの表示」

「アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示」

「証明済みデバイス タイマーの設定」

「フローティング デバイスの追加」

Clean Access Manager Web コンソールには、ユーザとデバイスを管理する 2 つの重要なリスト、 Online Users リスト(インバンドとアウトオブバンドの両方)と Certified Devices List が表示されます。Online Users リストには、IP アドレス別にログイン ユーザとログイン資格情報が表示されます(「イベント ログの意味」を参照)。ユーザ デバイスがネットワーク スキャンを通過するか、またはエージェントの条件を満たしている場合、Clean Access Server は、そのデバイスの MAC アドレスを Certified Devices List に追加します(CAS に近接するレイヤ 2 ユーザの場合)。


) Certified Devices List はクライアント MAC アドレスに基づいて作成されているため、レイヤ 3 配置のユーザには適用されません。1 つ以上のレイヤ 3 ホップ分 CAS から離れている Web ログイン ユーザは、(クライアントの MAC アドレスを取得するために)ActiveX/Java アプレット Web クライアントがログイン ページでイネーブルになっていないかぎり、IP アドレスでだけ追跡されます。レイヤ 3 配置の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』の「Enable L3 Deployment Support」を参照してください。


In-Band Online Users リストからインバンド ユーザをドロップしても、Certified Devices List からクライアントデバイスは削除されません。ただし、Certified Devices List から手動でインバンド クライアントをドロップすると、ネットワークと In-Band Online Users リストからユーザが自動的に削除されます。

Out-of-Band Online Users リストからアウトオブバンド ユーザをドロップした場合の結果は、Cisco NAC アプライアンスの設定によって異なります。

[Out-of-Band Logoff] がイネーブルになっている配置では、クライアント マシンも Certified Devices List から自動的に削除されます。

[Out-of-Band Logoff] がイネーブルではない場合にユーザを Out-of-Band Online Users リストから削除すると、クライアント マシンはインバンド配置と同じように Certified Devices List に残ります。

アウトオブバンド配置に関する詳細は、「アウトオブバンド ログオフの設定」を参照してください。

ネットワーク スキャンが実行される場合、Certified Devices List に追加されているデバイスは、その MAC アドレスが Certified Devices List 上にある限り、そのデバイスのユーザがログアウトして別のユーザとしてネットワークにアクセスしても、再度証明プロセスを受ける必要はありません。Certified Devices List からクライアントが削除されると、再度ユーザ認証とデバイスのネットワーク スキャンを受けないかぎり、ネットワーク アクセスは許可されません(マルチユーザ デバイスに対してログインのたびに再認証を求めるには、そのデバイスをフローティング デバイスとして設定する必要があります)。ネットワーク スキャン ユーザがログオフした場合に必ず Certified Devices List からデバイスが削除されるようにするには、[General Setup] > [Web Login] タブの [Require users to be certified at every web login] オプションをオンにします(「クライアント ログインの概要」を参照)。

Agent ユーザの場合は、デバイスがすでに Certified Devices List に含まれていても、ログインのたびにこのデバイスに対する Agent の条件が検査されます。さらに、そのデバイスを使用してログインした最初のユーザだけが Certified Devices List に記録されます。これは、ユーザ同意ページ(Web ログイン ユーザの場合)またはネットワーク ポリシー ページ(Agent ユーザの場合)を受け入れた認証ユーザの識別に役立ちます(そのロールにこれらのページが設定されている場合)。これらのページの詳細については、 表 1-2 「[Web Login] - [General Setup] の設定オプション」 および 表 1-3 「Web ログイン ユーザ ページの概要」 を参照してください。

証明済みデバイスは、次の事象が発生するまで、Certified Devices List に表示されます。

このリストが証明済みデバイス タイマーによって自動的に消去された場合

管理者がリスト全体を手動で消去した場合

管理者がリストからそのクライアントを手動で削除した場合

ユーザがログアウトするか、またはネットワークから削除され、[General Setup] > [Web Login] ページで [Require users to be certified at every web login] オプションがロールに対して選択されている場合

自動的に Certified Devices List に追加されたデバイスは、手動で消去することも、間隔を指定して自動的に消去することも可能です。管理者は免除デバイスをリストに手動で追加するため、削除する場合も手動で行う必要があります。したがって、グローバルの [Certified Devices Timer] フォームを使用して一定間隔で定期的にリストを消去しても、Certified Devices List 上の免除デバイスは自動的に削除されません。

Certified Devices List からデバイスを消去すると(手動でも自動でも)、次のアクションが実行されます。

IB クライアントは、In-Band Online Users リストから削除され、ネットワークからログオフされます。

OOB クライアントは、Out-of-Band Online Users リストから削除され、ポートがバウンスされます
(OOB VGW でポート バウンスがディセーブルになっていない場合。詳細については、「ポート プロファイルの追加」を参照してください)。

次のログイン時に、クライアントデバイスにポスチャ評価を繰り返すよう強制します。

Certified Devices List から削除されたクライアントは、ネットワーク スキャンに合格し、再度エージェントの条件を満たさないと、ネットワークへの再アクセスが許可されません。ユーザ セッション期間中だけ証明済みとなるフローティング デバイスを追加することができます。また、Certified Devices List にネットワーク スキャン デバイスを手動で追加して、Nessus スキャンの対象外にすることもできます。

証明済みデバイス タイマーを使用している場合、タイマーの [Keep Online Users] オプションをイネーブル/ディセーブルにすることにより、リストがクリアされる際にユーザを削除するかどうかを設定できます。詳細については、「証明済みデバイス タイマーの設定」を参照してください。

[Monitoring] > [Online Users] > [View Online Users] で IB ユーザまたは OOB ユーザをネットワークからログオフさせても、そのクライアントは Certified Devices List からは削除されません。したがって、このようなユーザのクライアント デバイスは、ネットワーク スキャンを強制されずに再度ログインできます。Agent ユーザの場合は、デバイスがすでに Certified Devices List に含まれていても、ログインのたびにこのデバイスに対する Agent の要件が検査されます。


) Certified Devices List には、既知の L2 MAC アドレスに基づいて認証および証明されたユーザが表示されるため、IP アドレスだけで追跡されるリモートの VPN/マルチホップ L3 ユーザに関する情報は、Certified Devices List には表示されません。認証済みのリモート VPN/マルチホップ L3 ユーザを確認するには、In-Band Online Users リストを表示してください。これらのユーザの [User MAC] フィールドには、「00:00:00:00:00:00」が表示されます。


アクティブなユーザ セッションの終了の詳細については、「アクティブ ユーザの意味」および「OOB ユーザ」を参照してください。

証明済みデバイスが、ある CAS から別の CAS に移動した場合、そのデバイスがすべての Clean Access Server に対してグローバル レベルで免除デバイスとして手動でリストに追加されていなければ、新しい CAS で再度 Nessus スキャンを受ける必要があります。したがって、ある CAS のポスチャ評価条件を別の CAS より厳しくするといったことも可能です。

デバイスの証明とリストへの追加は Clean Access Server 別にしか実行できませんが、削除する場合は、すべての Clean Access Server からグローバルに証明済みデバイスを削除することも、特定の CAS だけからローカルに削除することも可能です(詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください)。詳細については、「OOB ユーザ」も参照してください。

免除デバイスの追加

デバイスを「 免除 」デバイスとして指定すると、ネットワーク スキャン(Nessus スキャン)からそのデバイスは除外されます。クライアントに対してネットワーク スキャン レポートは作成されません。デバイスを手動で免除するには、そのデバイスを Certified Devices List に追加します。この MAC アドレスがリスト上に存在している間はネットワーク スキャンの回避が許可されます。


) デバイスを免除デバイスとして追加しても、クライアント マシンの Agent ポスチャ評価は免除されません。



) ユーザまたはデバイスに対して認証の回避を許可する方法の詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。


免除デバイスの追加手順


ステップ 1 [Device Management] > [Clean Access] > [Certified Devices] > [Add Exempt Device] の順番に進みます。

図 11-9 追加、免除デバイス

 

ステップ 2 [Exempt Device MAC Address] フィールドに、MAC アドレスを入力します。一度に複数のアドレスを追加する場合は、アドレスの区切りに改行を使用してください。

ステップ 3 [Add Exempt] をクリックします。

ステップ 4 [Certified Devices] リスト ページが表示され、免除デバイスが強調表示されます(図 11-10)。


) このフォームで追加された免除デバイスは、すべての Clean Access Server で免除扱いとなります。特定の Clean Access Server だけに対する免除デバイスの指定については、『Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.9』を参照してください。


図 11-10 Clean Access Certified Devices List

 


 

証明済みデバイスまたは免除デバイスの手動消去

デバイスの MAC アドレスを消去するには、[Device Management] > [Clean Access] > [Certified Devices] > [Certified Devices List] に移動し、次のボタンをクリックします。

[Clear Exempt]:[Add Exempt] ボタンを使用して手動で追加された MAC アドレスだけを削除する場合。

[Clear Certified]:Clean Access Server によって自動的に追加された MAC アドレスだけを削除する場合。

[Clear All]:免除デバイスと証明済みデバイスの両方の MAC アドレスを削除する場合。

アドレスを個別に削除する場合は、その MAC アドレスの横にある [Delete] をクリックします。

証明済みデバイスのレポートの表示

[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] で、証明済みデバイスに対する前回のエージェント スキャンの結果を表示できます。[View] アイコンをクリックすると、個々のクライアントがどのような条件、ルール、検査に合格または不合格になったのかを調べることができます。詳細については、「スキャン レポートの表示」を参照してください。

[Device Management] > [Clean Access] > [Network Scanner] > [Reports] からは、証明済みデバイスに対する前回のネットワーク スキャンの結果をいつでも表示できます。個別のスキャン レポートを表示する場合は、[Report] アイコンをクリックします。詳細については、「スキャン レポートの表示」を参照してください。

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

アウトオブバンド ユーザの場合だけ、Certified Devices List((図 11-10)にはアウトオブバンド スイッチの IP アドレスおよび特定ポートを含む [Location] カラム、または(ワイヤレス LAN コントローラの場合は)特定のアウトオブバンド WLC の IP アドレスおよび SSID が読み込まれます。

OOB クライアントの詳細については、次の章のセクションを参照してください。

「スイッチ管理:アウトオブバンド配置の設定」および「OOB ユーザ」

「Wireless LAN コントローラの管理:ワイヤレス アウトオブバンド配置の設定」

証明済みデバイス タイマーの設定

自動的に [Certified Device List] を消去するように証明済みデバイスの タイマー を設定することができます。これにより、タイマーを適用する時間がくるたびに、Certified Devices List 全体を消去する必要がなくなります。管理者は次のことが可能になります。

Clean Access Server、ユーザ ロール、認証プロバイダーごとに、またはこれら 3 つすべて合わせて、Certified Devices List を消去することができます。

[Keep Online Users] オプションを使用して、ユーザをネットワークから削除せずに証明済みのデバイスを消去することができます。[Keep Online Users] オプションがオンになっている場合、リストの消去時にユーザ セッションは即座に終了せず、ユーザ ログアウト時(または OOB のリンクダウン時)に終了します。ユーザ認証とデバイスの修復後にデバイスをリストに再入力することができます。

(ピーク時のユーザの再ログインおよび証明書を管理するために)Certified Devices List を一度に消去するか、またはバッチ処理で消去します。リストに追加されている期間や決められたバッチ間隔に応じてデバイスを消去できます。これにより、数多くのデバイスを消去する際に CAM データベース管理が容易になります。

複数の独立したタイマーを設定します。管理者は、(スケジュール化されたジョブ/タスクのように)証明済みデバイス タイマーの複数インスタンスを作成し保存することができます。各タイマーは互いに独立して、個別に更新できます。たとえば、6 つの CAS ペアを管理する場合、管理者は各 HA-CAS ペアに対して別々のタイマーを作成できます。

 


ステップ 1 [Device Management] > [Clean Access] > [Certified Devices] > [Timer] に移動します。デフォルトで、[List] ページが表示されます。

図 11-11 証明済みデバイス タイマー:リスト

 

ステップ 2 [New] サブリンクをクリックして、[New Timer] 設定フォームを起動します。

図 11-12 新規証明済みデバイス タイマー

 

ステップ 3 [Timer Name] に、タイマーの名前を入力します。

ステップ 4 (任意)タイマーの説明を [Description] フィールドに入力します。

ステップ 5 [Enable this timer] のチェックボックスをオンにして、設定直後にこのタイマーを適用します。

ステップ 6 ネットワークからユーザを削除せずに Certified Devices List からクライアント デバイスを削除する場合は、[Keep Online Users] のチェックボックスをオンにします。

ステップ 7 [Start Date and Time] に、タイマーの開始日付と時間を YYYY-MM-DD hh:mm:ss の形式で入力します。[Start Date and Timer] には、このタイマーが Certified Devices List を消去する初回の日付と時間を設定します。

ステップ 8 [Recurrence] に、このタイマーの繰り返し間隔を日数単位で入力します。たとえば、[Recurrence] が 7 の場合、初回の削除から 7 日後の [Start Time] の指定時間に Certified Devices List を消去します。 0 を入力すると、Certified Devices List を 1 回だけ削除します。

ステップ 9 ドロップダウン メニューで任意の項目を選択して、次の [Criteria] でこのタイマーを適用します。

a. [Clean Access Server]:このタイマーを [Any CCA Server](デフォルト)に適用するか、IP アドレスで指定された CAS に適用します。

b. [User Role]:このタイマーを [Any User Role](デフォルト)に適用するか、特定のシステム ユーザ ロールに適用します。

c. [Provider]:このタイマーを [Any Provider](デフォルト)に適用するか、特定のシステム [Auth Provider](ローカル DB またはその他)に適用します。

ステップ 10 指定した日数 Certified Devices List 上に追加されているデバイスだけを消去する場合は、[Minimum Age] を日数単位で入力します。 0 を入力すると、Certified Devices List に追加された期間に関係なくすべてのデバイスが消去されます。

ステップ 11 ([Criteria] に従ってソートされた)Certified Devices List からタイマーで一度にどの程度消去するか、その方法を [Method] で選択します。次のオプションがあります。

a. Clear all matching certified devices.

b. Clear the oldest [] matching certified devices only.(たとえば、「10」の場合、ソート リストの中で古い方から 10 個の証明済みデバイスが削除されます)。

c. Clear the oldest [] certified devices every [] minutes until all matching certified devices are cleared.

ステップ 12 設定終了後、[Update] をクリックします。これにより、証明済みデバイス タイマー リスト内にタイマーが保存されます。


) ユーザ セッション終了のその他の事項については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」を参照してください。



 

フローティング デバイスの追加

フローティング デバイスの認証が有効なのは、1 回のユーザ セッションの間だけです。ユーザがログアウトすると、そのデバイスの次のユーザは再度認証を受けなければなりません。フローティング デバイスは、kiosk コンピュータや図書館で貸し出される無線カードなどの共用機器を管理する場合に便利です。

セッション期間による証明以外に、これまでに証明されていないデバイスも設定できます。これは、ネットワークの非信頼側からマルチユーザ トラフィックを導くダイヤルアップ ルータなど、マルチユーザ デバイスの管理に役立ちます。この場合、Clean Access Server はネットワーク トラフィックの送信元と宛先として、そのデバイスの MAC アドレスだけを認識します。このようなデバイスの証明を許可すると、最初のユーザの証明後、他のユーザも証明を免除されることになります。認証されないフローティング デバイスとしてルータの MAC アドレスを設定すれば、そのデバイスを通じてネットワークにアクセスするユーザごとに、脆弱性と要件に適合しているかどうかを個別に評価できます。

この場合、ユーザは IP アドレスで区別されるため、ユーザには異なる IP アドレスが必要です。ルータが Network Address Translation(NAT; ネットワーク アドレス変換)サービスを実行する場合、CAM はユーザを区別できず、最初のユーザだけが認証されます。

図 11-13 に、[Floating Devices] タブを示します。

図 11-13 Floating Devices

 


) VPN コンセントレータまたはマルチホップ L3 配置の場合、管理者は、ルータ/VPN コンセントレータの MAC アドレスをフローティング デバイス リストに追加する必要があります(入力例:00:16:21:11:4D:67 1 vpn_concentrator)。『Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.9』の「Integrating with Cisco VPN Concentrators」を参照してください。


フローティング デバイスの設定手順:

1. [Device Management] > [Clean Access] > [Certified Devices] > [Add Floating Device] に移動します。

2. [Floating Device MAC Address] フィールドに、MAC アドレスを入力します。フォームのエントリを次のように入力します。

<MAC> <type> <description>
 

上記で

<MAC> は、そのデバイスの MAC アドレスです。

<type> は、次のいずれかです。

0 :セッション範囲での証明

1 :そのデバイスを証明済みとは見なさない場合

<description> は、そのデバイスの説明です(任意)。

各要素の区切りにはスペースを入力し、複数のエントリ間の区切りには改行を使用します。例:

00:16:21:23:4D:67 0 LibCard1
00:16:34:21:4C:68 0 LibCard2
00:16:11:12:4A:71 1 Router1
 

3. [Add Device] をクリックして、設定値を保存します。

フローティング デバイスを削除する場合は、その MAC アドレスの [Delete] アイコンをクリックします。

レポートの設定

[Monitoring] > [Reporting] タブを使用して、レポートとユーザ アクティビティのログのイネーブルまたはディセーブルの切り替え、現在のシステム情報の表示、レポートのカスタマイズ、およびプリセット レポートの表示を行えます。ここでは、次の項目について説明します。

「ダッシュボード」

「カスタム レポート」

「設定」

ダッシュボード

CAM および CAS の現在のシステム情報は、[Monitoring] > [Reporting] > [Dashboard] タブから表示できます。

[Dashboard] ページには、継続的に監視および更新されるシステム情報が表示されます。このページは、[Monitoring] > [Reporting] > [Configuration] ページで [Enable Dashboard and related tasks] チェックボックスがオンになっている場合だけイネーブルになります。


) [Dashboard] および関連タスクのチェックボックスは、NAC リリースの旧バージョンからアップグレードするとデフォルトでイネーブルになります。デフォルトのランディング ページは、ダッシュボード サマリー ページです。


現在のシステム情報は、このページのさまざまなサブタブに表示されます。該当するタブをクリックして、次の情報を表示します。

「現在のステータス」

「CCA サーバ」

「マネージド スイッチ」

「認証サーバ」

「ユーザ統計情報」

現在のステータス

このタブには、次の現在のステータスが表示されます。

[System Summary]:ライセンスの詳細、インストールされている NAC バージョン、NAC Agent のバージョンなどとともに CAM の詳細を表示します。

[Service Uptime]:perfigo サービスが開始されてからの時間。

[Active Uptime]:perfigo サービスが CAM でアクティブになってからの時間。

[Status Summary]:CAM、CAS、OOB スイッチ、認証サーバなどの詳細を表示します。

[Top 5 CASs]:CAS をシステムの現在のオンライン ユーザ数とともに表示します。

[User Summary]:オンライン ステータスのユーザ数のサマリーを時間とともにグラフで表示します。このグラフには、割り当てられたユーザ ロールに基づく詳細が表示されます。

[Recent Events]:過去 5 日間で発生したシステム イベントを表示します。


) [Current Status] タブのページの右上には「最新の更新」日時が表示されます。現在のシステム情報は、10 分ごとに自動的に更新されます。ページは、[Current Status] タブをクリックして、手動で更新することもできます。


 

図 11-14 [Dashboard] > [Current Status]

 

CCA サーバ

[CCA Servers] ビューには、CAM に追加された CAS の詳細が表示されます。オンライン ステータス(オンラインの場合は緑)、場所、現在のメモリ使用量、現在 CAS に接続しているユーザ数、および最終アクセス時間が表示されます。最終アクセス時間は常に、CAM が CAS へのアクセスに最後に成功した時間です。CAS ステータスがダウンしている場合も(赤で表示)、最終アクセス時間には CAS に最後にアクセス可能だった時間が表示されます。

図 11-15 [Dashboard] > [CCA Servers]

 

 

[Details] アイコンをクリックすると、選択された CCA サーバの詳細が表示されます。

図 11-16 [Dashboard] > [CCA Servers] > [Details]

 

マネージド スイッチ

CAM によって管理されている OOB スイッチと OOB Wireless LAN Controller は [Managed Switches] に表示されます。IP アドレス、デバイス プロファイル、CAM によって管理されるポート数、ステータス(オンラインの場合は緑)、最後にアクセスに成功した時間などのスイッチおよび Wireless LAN Controller 情報を表示できます。


) 管理対象ポートは WLAN Controller ではなくスイッチにのみ関係があるので、Wireless LAN Controller 用の [Managed ports] カラムは空白です。


 

図 11-17 [Dashboard] > [Managed Switches]

 

認証サーバ

NAC が使用する認証サーバのステータスとその他の詳細が、[Auth Servers] ビューに表示されます。NAC は、ここにステータスを表示するために、認証サーバがアクセスできるかどうかをアクティブにチェックしません。ユーザの認証要求が届き、NAC が認証サーバと通信できると、ステータスはアクセス可能としてマークされ、その時間が最終アクセス時間として設定されます。

2 種類の認証プロバイダーがサポートされています。まず、CAM が Radius や LDAP サーバなどのエンド ユーザの代わりに、認証サーバとアクティブな認証を行う場合です。2 番目は、ADSSO や VPNSSO などのシングルサインオン(SSO)タイプです。この場合、ユーザは別の場所でまず認証され、すでに認証されたユーザが NAC システムにアクセスします。CAM がエンド ユーザをアクティブに認証する場合、ステータス(オンラインの場合は緑)と最後のアクセス時間の両方が表示されます。SSO タイプの認証プロバイダーの場合、CAM と NAC はアクティブな認証を行わないため、接続を試みません。したがって、表示される最後のアクセス時間は、ユーザがそのプロバイダーを使用して最後に NAC に入った時間です。さらに、SSO は CAS から発生するため、CAS に関してより詳細なステータスが表示されます。

図 11-18 [Dashboard] > [Auth Servers]

 

ユーザ統計情報

このタブには、現在のユーザ統計情報のサマリーが表示されます。システムの総ユーザ数は、現在アクセスしているシステムの全ロールの総ユーザ数です。Temporary ロールのユーザ(ポスチャ評価中のユーザ)も含まれます。

過去 24 時間中にログインに失敗したユーザ数は、ポスチャ要件が原因でログインに失敗したユーザのみの数です。無効ユーザやユーザが入力したパスワードが原因の失敗などは含まれません。また、ユーザが、過去 24 時間中に複数回ポスチャ評価に失敗した場合も 1 回としてカウントされます。

ユーザ統計情報には、それぞれの O/S を使用しているユーザ数に関して、NAC システムで現在使用されている上位 5 つのオペレーティング システムが表示されます。最新のデータを表示するには、[Refresh] をクリックしてください。

図 11-19 [Dashboard] > [User Statistics]

 

 


) アウトオブバンド デバイス リストが大きい場合、レポート ページの表示に時間がかかります。このような場合は、アウトオブバンド デバイス リストから未使用のデバイスの一部を削除してレポートを表示してください。


カスタム レポート

[Custom Reports] タブは、カスタマイズまたはスケジュールされたレポートを生成する場合に使用できます。カスタマイズした設定は、将来の参照用にテンプレートとして保存できます。ここでは、次の項目について説明します。

「新しいレポートの生成」

「保存したテンプレートの表示」

「要約の表示」

新しいレポートの生成

新しいレポートを生成し、フィルタを設定してこれらをカスタマイズし、その後のレポート生成スケジュールを設定できます。

[Monitoring] > [Reporting] > [Custom Reports] > [New Report] に移動します。

図 11-20 レポートの生成

レポートの生成

[New Report] パネルの下で、ドロップダウンから [Report Type] と必要な [Report Format] を選択できます。

[Report Type]:ドロップダウン リストからレポートのタイプを選択します。レポートのタイプごとに、レポートにはデフォルトで一式のフィールドが表示されます。[Optional Fields] で選択できるフィールドのチェックボックスをオンにして、レポートにその他の情報を追加できます。

ドロップダウンから [Filter] を選択できます。レポートは、選択されたオプションによってフィルタリングされます。 [Filter by] オプションは、レポートのタイプごとに異なります。



表 11-2 に、各レポートのタイプで使用できるデフォルト、オプション、およびフィルタ処理フィールドを示します。

表 11-2 レポートのタイプおよび含まれるフィールド

レポートのタイプ
必須フィールド1
任意のフィールド
フィルタ処理フィールド

準拠マシン

[IP Address]、[MAC Address]、[Login Time]

[Role]、[CAS]、[User]、[Sys User]、[Sys Name]、[O/S]、[Report Time]、[VLAN]、[Switch IP]

すべてのデフォルトおよび任意のフィールド

非準拠マシン

[IP Address]、[MAC Address]、[Login Time]

 

[Role]、[CAS]、[User]、[Sys User]、[Sys Name]、[O/S]、[Report Time]、[VLAN]、[Switch IP]

すべてのデフォルトおよび任意のフィールド

非準拠要件

[Requirement]、[MAC Address]

[User]、[Report time]

すべてのデフォルトおよび任意のフィールド

非準拠ユーザ

[MAC Address]、[User]、[Frequency]

なし

[MAC address] および [User]

A/V および A/S の情報

[AV/AS Type]、[Product ID]、[User]

[Client IP]、[Sys Name]、[Software Version]、[Def Version]、[Def Date]

すべてのデフォルトおよび任意のフィールド

O/S 情報

[MAC Address]、[Sys Name]、[O/S]、[Report time]

なし

すべてのデフォルト フィールド

A/V および A/S 要件の不備

[User]、[Client IP]、[MAC Address]、[Report time]

[Software Version]、[Def Version]、[Def Date]

[Report time] およびすべての任意のフィールド

ユーザ固有(このオプションを選択したときに表示されるテキスト ボックスにユーザ名を入力します)

[Login time]、[Client IP]、[MAC Address]、ログイン成功/失敗フラグ

[Role]、[Sys Name]、[Report time]

すべてのデフォルトおよび任意のフィールド

要件固有(このオプションを選択したときに表示されるドロップダウンから要件を選択します)

[Client IP]、[User Name]、[Success/Fail] フラグ、[Report time]

[MAC Address]、[Sys Name]、[Requirement Status]

すべてのデフォルトおよび任意のフィールド

 

ロール固有レポート(このオプションを選択したときに表示されるドロップダウンから要件を選択します)

[Login status]、[User]、[Client IP]、[Requirement]

レコードごとに、失敗および合格した要件、および Audit、Mandatory、Optional モードの要件を表示するリンクを使用できます。

[Sys Name]、[Login Time]、[MAC Address]、[Requirement Status]、[Report time]

 

 

すべてのデフォルトおよび任意のフィールド

 

制御対象のスイッチ ポート 2

[Switch IP]、[Port Name]、[User IP]

[Port Number]、[Port Description]、[Port Profile]、[User MAC Address]、[User Name]

すべてのデフォルトおよび任意のフィールド

1.必須フィールドは、生成されるレポートに常に含まれます。

2.レポートは、最大 50 のスイッチを使用できる場合のみ生成されます。ネットワークに 50 を超すスイッチがある場合、[Switch IP] フィールドを使用してレポートをフィルタリングしてください。

[Format]:出力レポート ファイルのフォーマットを選択します。使用可能なオプションは HTML および PDF です。

[Report Type]、[Report Format]、および [Filter] の選択後、次の手順を実行できます。

レポートをその場で生成し、表示する場合は [Generate Report] をクリックします。

フィルタを削除する場合は [Reset] をクリックします。

現在の設定をテンプレートとして保存する場合は、レポート名を入力し、[Save Template As] をクリックします。

レポート生成のスケジューリング

日時を設定して、今後レポートを生成するスケジュールを作成できます。

[Start Date]:レポート生成を開始する日付を入力します。

[Time]:レポート生成を開始する時間を入力します。

[Frequency]:ドロップダウン リストからレポート生成の頻度を選択します。選択できるオプションは、[One Time]、[Hourly]、[Daily]、[Weekly]、[Monthly] です。

上のパラメータを選択して [Schedule] ボタンをクリックすると、次の情報が表示されます。

レポートのタイプ

フォーマット

頻度

次の実行スケジュール

レポートは、現在選択されている [Report Type] と [Report Format] でスケジュールされた時間に生成されます。前に生成されたレポートは、ページの下部に表示されます。


) [Reports Previously Generated] セクションには最大 500 のレポートが表示されます。



) レポートの [Filters] の下の [Login Time]、[Report Time Start Date] および [End Date] は、[Scheduled Report] と [Saved Template] では考慮されません。


保存したテンプレートの表示

[Monitoring] > [Reporting] > [Custom Reports] > [Saved Templates] に移動して、保存したテンプレートを表示できます。

図 11-21 Saved Templates

 

[Template Name] をクリックすると、[New Report] タブに移動し、保存したレポート設定が表示されます。

要約の表示

現在のライセンス使用状況が表示されます。使用中の CAS 数と許可されたライセンス上限、過去 24 時間のピーク ユーザ数と許可されたライセンス上限が表示されます。ロール関連のコンプライアンス統計サマリーとして、ログインに失敗したユーザ数と成功したユーザ数が表示されます。[Monitoring] > [Reporting] > [Custom Reports] > [Executive Summary] に移動し、図 11-22 に示す NAC ライセンス使用率とロール関連のコンプライアンス統計を表示します。

図 11-22 要約

 

設定

[Monitoring] > [Reporting] > [Configuration] タブを使用して、ダッシュボードとカスタム レポートをイネーブルにします。

図 11-23 設定

[Dashboard] ページをイネーブルにするには、[Enable Dashboard and related tasks] チェックボックスをオンにします。

ユーザ アクティビティ ログ(UAL)ファイルにユーザ情報を保存するには、[Enable User Activity Logging] チェックボックスをオンにします。

UAL ロギングで [Include Posture Report] をイネーブルにすると、システム パフォーマンスに重大な影響を与えます。

[Role based user statistics collection]:NAC は定期的にロール関連のユーザ数統計を収集します。ロール関係の統計値を収集する場合は、[Collection Span] と [Collection frequency] を選択します。NAC によって収集される統計情報は、メイン ダッシュボード(現在のステータス ページ)にユーザ サマリー チャートを生成するために使用されます。

[Collection Span] で期間を選択します。選択した期間のユーザ統計情報が表示されます。[Collection frequency] を選択します。ユーザ統計情報は、選択された間隔で更新されます。

[Enable reports scheduling] チェックボックスをオンにして、[Custom Reports] タブのレポートのスケジューリングをイネーブルにします。

[Update] をクリックして設定を保存します。

ユーザ アクティビティ ログ ファイル

ユーザ アクティビティ ログ(UAL)ファイルは、ユーザのアクティビティを記録するログ ファイルです。 /perfigo/control/data/ual/ に XML ファイルとして保存されます。

ユーザ情報は、[Monitoring] > [Reporting] > [Configuration] タブで [Enable User Activity Logging] チェックボックスがオンになっているときのみ、このファイルに保存されます。データは、[Current Status] タブで設定された間隔に従って記録されます。

UAL ファイルでは、ユーザ情報が毎日更新され、ファイルには過去 90 日の履歴データが保存されます。

UAL ファイルには次の詳細が保存されます。

ユーザ名

アクティビティ時間:ログイン時間、ログアウト時間、またはロール変更時間

アクティビティの理由:ログアウトの理由。理由は、「Logout」、「Timeout」、または「Admin Action」のいずれか

ユーザの場所:VPN、スイッチ、ポート、VLAN など(該当するもの)

ユーザ レポート:ログインおよびロール変更に適用。ログアウトは適用外

アクティビティの結果:結果は成功または失敗として報告。アクティビティに失敗した場合、ログインの失敗を意味します。アクティビティの理由として、該当する Agent、認証サーバ、またはスイッチ管理エラーが提供されます。

MAC アドレス

ホスト名

IP アドレス

ロール

OS

VLAN

セッションの長さ:ロール変更およびログアウトの場合のみ


) UAL ファイルは、[Monitoring] > [Reporting] > [Configuration] タブで [Enable User Activity Logging] チェックボックスがオフの場合は更新されません。


Online Users リスト

[Monitoring] > [Online Users] > [View Online Users] タブから、2 つの Online Users リストが表示されます。

In-Band Online Users

ネットワークにログインした、認証済みのインバンド ユーザを追跡します。ネットワーク上にアクティブ セッションを持つインバンド ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールなどの特性別に表示されます。

In-Band Online Users リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフされます。

Out-of-Band Online Users

アクセス VLAN(信頼ネットワーク)上の認証済みのアウトオブバンド ユーザをすべて追跡します。アウトオブバンド ユーザは、クライアント IP アドレス、MAC ドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールだけでなく、スイッチ IP アドレス、ポート、割り当てられたアクセス VLAN 別に表示できます。

Out-of-Band Online Users リストからユーザを削除すると、ポートの VLAN がアクセス VLAN から認証 VLAN に変更されます。さらに、ポートにバウンスするポート プロファイルを設定できます(Real-IP ゲートウェイ用)。詳細については、「OOB ユーザ」および「OOB ユーザ」を参照してください。

両方の Online Users リストは、ユーザの IP アドレスに基づいています。次の点に注意してください。

レイヤ 2 配置の場合、[User MAC] アドレス フィールドは有効です。

レイヤ 3 配置の場合、[User MAC] アドレス フィールドは 無効 です(00:00:00:00:00:00 など)。

クライアント MAC アドレスに基づくのは、Certified Devices List だけなので、レイヤ 3 配置のユーザに Certified Devices List は適用されません。

アウトオブバンド配置の場合、OOB ユーザ エントリは常に In-Band Online Users リストに最初に表示され、その後 Out-of-Band Online Users リストに表示されます。マネージド スイッチの制御ポートからユーザ トラフィックが着信している場合、認証プロセス中はこのユーザが最初に In-Band Online Users リストに表示されます。その後ユーザが認証され、アクセス VLAN に移動してから、Out-of-Band Online Users リストにユーザが移動します。

最後に、[Display Settings] タブで、各 [Online Users] ページに表示するユーザ特性を選択できます。


) ユーザ デバイスが、VPN3000/ASA デバイスの背後から Cisco NAC アプライアンスに接続している場合、CAS/CAM が使用可能な最初の物理アダプタの MAC アドレスを使用して、Online Users リスト上のユーザを特定します。ユーザがネットワークに接続するために使用しているデバイスは、必ずしもアダプタであるとは限りません。有線(イーサネット カード)インターフェイスを使用してネットワークに接続しているユーザは、マシンのワイヤレス インターフェイスをディセーブルにする必要があります。


アクティブ ユーザの意味

Cisco NAC アプライアンス ネットワークにログインした場合、次のいずれかのイベントが発生するまで、アクティブなユーザ セッションは存続します。

ブラウザのログアウト ページまたは Agent ログアウトを通して、ユーザがネットワークからログアウトした場合

ネットワーク上のユーザは、コンピュータのシャットダウン/再起動後も、ログインし続けることができます。ユーザがネットワークからログアウトするには、Web ログアウト ページ、または Agent ログアウトを使用します。

Agent ユーザが Windows をログオフしたり、Windows マシンをシャットダウンした場合

ユーザが Windows ドメインからログオフした場合([Start] > [Shutdown] > [Log off current user])またはマシンをシャットダウンした場合([Start] > [Shutdown] > [Shutdown machine])に、Clean Access システムからインバンド ユーザだけをログオフするように CAM および Agent を設定できます。

管理者がネットワークからユーザを手動で削除した場合

[Monitoring] > [Online Users] > [View Online Users] ページ(IB または OOB)を使用すると、Certified Devices List からクライアントを削除せずに、ネットワークからユーザをドロップできます。

セッション タイマーを使用してセッションがタイムアウトした場合

セッション タイマーは、マルチホップ L3(IB)配置でも L2(IB または OOB)配置と同じ方法で機能します。設定は、[User Management] > [User Roles]> [Schedule] > [Session Timer] で行います。このタイマーはユーザ ロール単位で設定され、設定時間が経過すると、選択されたロール内のユーザをすべてネットワークからログアウトします。詳細については、「セッション タイマーの設定(ユーザ ロール単位)」を参照してください。

CAS がハートビート タイマーを使用して、そのユーザが接続されていないと判断し、CAM がそのセッションを終了した場合

ハートビート タイマーは L2 IB 配置にだけ適用され、ロールに関係なくすべてのユーザに設定されます。このタイマーをすべての Clean Access Server にグローバルに設定するには、フォーム [User Management] > [User Roles] > [Schedule] > [Heartbeat Timer] を使用します。特定の Clean Access Server に設定するには、ローカル フォーム [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Heartbeat Timer] を使用します。詳細については、「ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定」を参照してください。

ハートビート タイマーは L3 配置では機能せず、OOB ユーザには適用されません。ただし、CAS が VPN コンセントレータの背後にある最初のホップである場合は、ハートビート タイマーが機能することに注意してください。この場合、VPN コンセントレータは、自身の現在のトンネル クライアントの IP アドレスに対する ARP クエリーに応答するからです。

Certified Devices List が消去され(自動または手動で)、そのユーザがネットワークから削除された場合

Certified Devices List は L2(IB または OOB)配置にのみ適用され、グローバル [Certified Devices] タイマー フォーム([Device Management] > [Clean Access] > [Certified Devices] > [Timer])を使用して、自動的かつ定期的に消去されるようにスケジュールできます。[Certified Devices List] から特定の Clean Access Server の認証済みデバイスを手動で削除するには、ローカル フォーム [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filters] > [Clean Access] > [Certified Devices] を使用します。すべての Clean Access Server の [Certified Devices List] を手動で消去するには、グローバル フォーム [Device Management] > [Clean Access] > [Certified Devices] を使用します。詳細については、「証明済みデバイスの管理」を参照してください。

Certified Devices List には、リモート VPN/L3 クライアントは表示されないので注意してください(これらのセッションは MAC アドレスベースでなく IP ベースです)。

VPN コンセントレータに SSO および自動ログアウトが設定されていて、ユーザが VPN から切断された場合

自動ログアウトがイネーブルな場合に、ユーザが VPN クライアントから切断されると、そのユーザは Online Users(IB)リストから自動的に削除されます。

マルチホップ L3 VPN コンセントレータ統合に SSO が設定されているときに、CAS 上のユーザのセッションがタイムアウトしたにもかかわらず、VPN コンセントレータに引き続きログインしている場合、そのユーザはユーザ名/パスワードを入力しなくても、CAS に再ログインできます。


) CAS または別のサーバが DHCP に使用されているときに、ユーザの DHCP リース期間が切れた場合、そのユーザは Online Users(インバンドまたはアウトオブバンド)リストに残ります。リース期限が切れると、クライアント マシンはリースの更新を試みます。


詳細については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」および「OOB ユーザ」も参照してください。

オンライン ユーザの表示

[View Online Users] タブには、 In-Band Out-of-Band の 2 つのオンライン ユーザ リストに対応した 2 つのリンクが表示されます。

デフォルトでは、[View Online User] ページには各ユーザのログイン ユーザ名、IP および MAC アドイス(使用可能な場合)、プロバイダー、およびロールが表示されます。OS バージョン、スイッチ ポート(アウトオブバンド ユーザの場合)など、表示するカラム情報を選択する方法については、「設定の表示」を参照してください。

エントリの背景が 緑色 の場合、Clean Access ネットワークにアクセス中のユーザ デバイスが、Quarantine ロールまたは Agent Temporary ロールのいずれかの一時ロールであることを示しています。

エントリの背景が 青色 の場合、Clean Access ネットワークにアクセス中のユーザ デバイスが制限付きネットワーク アクセス ロールであることを示しています。

[View Online Users] ページに表示されているにもかかわらず、Clean Access の Certified Devices List に表示されないデバイスは、一般に、認証プロセス中のデバイスです。

インバンド ユーザ

[In-Band] リンクをクリックすると、インバンド ユーザの [View Online Users] ページが表示されます(図 11-24)。In-Band Online Users リストは、Clean Access ネットワークにログインしているインバンド ユーザを追跡します。

ユーザが Web ログインまたは Agent を介してネットワークにログインすると、CAM はこのリストにクライアント IP および MAC アドレス(使用可能な場合)を追加します。

Online Users リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフされます。

図 11-24 [View Online Users] ページ:[In-Band]

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User]/[User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


OOB ユーザ

[Out-of-Band] リンクをクリックすると、アウトオブバンド ユーザの [View Online Users] ページが表示されます(図 11-25)。

Out-of-Band Online Users リストは、(信頼ネットワーク上の)アクセス VLAN にいる認証済みのアウトオブバンド ユーザをすべて追跡します。クライアントがアクセス VLAN に切り替わると、CAM はユーザ IP アドレスを Out-of-Band Online Users リストに追加します。


アウトオブバンド オンライン ユーザの「ユーザ IP」は、認証 VLAN 上のユーザの IP アドレスです。定義上は、CCA はユーザが一旦アクセス VLAN 上に配置されると、そのユーザを追跡しません。したがって、OOB ユーザは CCA ネットワーク内に存在する間、認証 VLAN IP アドレスによって追跡されます。


Out-of-Band Online Users リストからユーザが削除されると、通常は次のようになります。

1. CAM がスイッチ ポートをバウンスする(オフしてからオン)。

2. スイッチが CAM に SNMP トラップを再送信する。

3. CAM は、制御ポートに対応する設定済みポート プロファイルに基づいて、ポートの VLAN を変更します。


) Certified Devices List から OOB ユーザを削除すると、Out-of-Band Online Users リストからもそのユーザが削除され、ポートはアクセス VLAN から認証 VLAN に変更されます。



) ポート プロファイルの [Remove Out-of-Band online user without bouncing port] オプションをオンにすると、次の場合に、OOB Virtual Gateway のスイッチ ポートがバウンスしません。

Out-of-Band Online Users リストからユーザが削除された場合、または

Certified Devices List からデバイスが削除された場合

代わりに、ポートのアクセス VLAN が認証 VLAN に変更されます(詳細については、「ポート プロファイルの追加」を参照してください)。


 

図 11-25 [View Online Users] ページ:[Out-of-Band]

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User]/[User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


詳細については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

表 11-3 に、オンライン ユーザ ページからユーザを削除する場合の検索基準、情報/ナビゲーション要素、およびオプションを示します。カラム見出しをクリックすると、そのカラムを基準としてページのエントリがソートされます。

 

表 11-3 [View Online Users] ページのコントロール

項目
説明

User Name

ログインに使用したユーザ名が表示されます。

検索基準:

CCA Server

任意の Clean Access Server

<特定の CAS IP アドレス>

Provider

任意のプロバイダー

<特定の認証プロバイダー>

Role

任意のロール

Unauthenticated ロール

Temporary ロール

Quarantine ロール

<特定のロール>

Location

任意のスイッチまたはワイヤレス LAN コントローラ

<特定のスイッチ/WLC IP アドレス>

Select Field

User Name

IP Address

MAC Address

Operator

equals: 検索テキスト値は、この演算子と正確に一致する必要があります
Starts with:
Ends With:
contains:

Search Text

選択された演算子を使用して検索する値を入力します。

コントロール:

View

検索基準を選択したら、[View] をクリックして、結果を表示します。CAS、プロバイダー、ユーザ ロール、ユーザ名、IP アドレス、MAC アドレス(使用可能な場合)、またはスイッチ(OOB だけ)別にユーザを表示できます。

Reset View

デフォルト ビューに戻します(検索基準は [Any] にリセットされます)。

Kick Users

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します。ユーザへの View 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除することができます。図 11-25 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] をクリックした場合に終了するフィルタリング済みユーザの総数が表示されます。

Reset Max Users

最大ユーザ数を、「Active users:」ステータス フィールドに表示されるユーザの実数にリセットします(図 11-25)。

Kick User

ページに表示されたユーザ数と同数のユーザを削除するには、各ユーザの横にあるチェックボックスをオンにして、[Kick User] ボタンをクリックします。

ナビゲーション:

First/Previous/Next/Last

これらのナビゲーション リンクを使用すると、オンライン ユーザ リストのページを移動することができます。各ページには最大で 25 のエントリが表示されます。

Clean Access Server、認証プロバイダー、またはロール別のユーザ表示

1. [View Online Users] ページで、特定の Clean Access Server を選択するか、先頭フィールドを [Any CCA Server] のまま残します。

2. 特定の認証プロバイダーを選択するか、[Any Provider] のまま残します。

3. 特定のユーザ ロールを選択するか、[Any Role] のまま残します。

4. [View] をクリックして、Clean Access Server、プロバイダー、ロール、またはこれらの任意の組み合わせを基準として、ユーザを表示します。

ユーザ名、IP、または MAC アドレスによる検索

1. [Search For:] の横にある [Select Field] ドロップダウン メニューで、[User Name]、[IP Address]、または [MAC Address] を選択します。

2. [starts with]、[ends with]、[contains]、[exact match] の 4 つの演算子のうち 1 つを選択します。

3. [Search For:] テキスト フィールドに検索するテキストを入力します。[exact match] 演算子を使用する場合は、入力した検索テキストに完全一致したエントリだけが返されます。

4. [View] をクリックして、結果を表示します。

ネットワークからのユーザのログオフ

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します。1 ページに表示される最大エントリ数は 25 であることに注意してください。ユーザの [View] 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除できます。図 11-24 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] ボタンをクリックした場合に終了するフィルタリング済みユーザ セッションの総数が表示されます。

1. [Monitoring] > [Online Users] > [View Online Users] に移動します。

2. ユーザ セッションを終了するには、次のいずれかを実行します。

[Kick Users] をクリックして、ネットワークからすべてのユーザ(検索基準に従ってフィルタリングされたユーザ)をドロップします。

各ユーザの横にあるチェックボックスをオンにし、[Kick User] ボタンをクリックして、ユーザを個別にドロップします。

Online Users リスト(およびネットワーク)からユーザを削除しても Certified Devices List からは削除されないので注意してください。ただし、Certified Devices List からユーザをドロップすると、このユーザはネットワークからもログオフされます。詳細については、「証明済みデバイスまたは免除デバイスの手動消去」を参照してください。


) 多数のアウトオブバンド オンライン ユーザが存在する場合、[Kick User] オプションでオンライン ユーザを削除すると時間がかかります。これは、CAM がスイッチと CAS を使用できず、通信に失敗するたびにタイムアウトになるときに発生します。[Kick User] は、タイムアウトのために遅くなります。


設定の表示

図 11-26 に、インバンド ユーザの [Display Settings] ページを示します。

図 11-26 [Display Settings]:[In-Band]

 


) [Role]:ログイン時にユーザに割り当てられるロールです。



 

図 11-27 に、アウトオブバンド ユーザの [Display Settings] ページを示します。

図 11-27 [Display Settings]:[Out-of-Band]

 

[View Online Users] ページに表示される情報を選択するには、次の手順を実行します。


ステップ 1 [Display Settings] タブをクリックします。

ステップ 2 リストに表示する項目の横にあるチェックボックスをオンにします。

ステップ 3 [Update] をクリックします。

ステップ 4 [View Online Users] タブをクリックして、目的の設定が表示されることを確認します。


 

Agent のトラブルシューティング

ここでは次の内容について説明します。

Cisco NAC アプライアンス Agent のデバッグ ロギング

クライアントが接続およびログインできない

Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS ルールのトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)

Cisco NAC アプライアンス Agent のデバッグ ロギング

ここでは、Cisco NAC アプライアンス Agent のデバッグ ロギングを表示またはイネーブルにする方法について説明します。各 Agent のタイプの手順については、次のセクションを参照してください。

Cisco NAC Agent デバッグ ログの生成

Cisco NAC Web Agent のログ

Mac OS X Agent デバッグ ログの生成

これらのイベント ログをコピーして、カスタマー サポート ケースに含めてください。

Cisco NAC Agent デバッグ ログの生成

Cisco Log Packager ユーティリティを使用して Cisco NAC Agent ログを生成するには、「Cisco Log Packager を使用した Agent ログ ファイルの作成」を参照してください。

Cisco NAC Web Agent のログ

Cisco NAC Web Agent バージョン 4.1.3.9 およびそれ以降では、ダンロードおよび実行時にログを生成できます。デフォルトでは、Cisco NAC Web Agent は、起動時にデバッギングをオンにして、ログファイルに書き込みます。Cisco NAC Web Agent は、トラブルシューティング用に webagent.log webagentsetup.log というログ ファイルを生成します。これらのファイルは、Web Agent の Cisco Technical Assistance Center(TAC)サポート ケースに含める必要があります。通常、これらのファイルは、次の形式でユーザの temp ディレクトリに置かれます。

C: ¥ Document and Settings ¥ <user> ¥ Local Settings ¥ Temp ¥ webagent.log

C: ¥ Document and Settings ¥ <user> ¥ Local Settings ¥ Temp ¥ webagentsetup.log

これらのファイルが表示されない場合は、TEMP 環境変数の設定をチェックしてください。コマンドプロンプトから「echo %TEMP%」または「cd %TEMP%」と入力します。

クライアントが Microsoft Internet Explorer を使用している場合、Cisco NAC Web Agent は、 C: ¥ Documents and Settings ¥ <user> ¥ Local Settings ¥ Temporary internet files ディレクトリにダウンロードされます。

Mac OS X Agent デバッグ ログの生成

Mac OS X Agent の場合、Agent の event.log ファイルおよび preference.plist ユーザ プリファレンス ファイルは、[ <username> ] > [Library] > [Application Support] > [Cisco Systems] > [CCAAgent.app] に保存されます。ただし、LogLevel 設定を変更または指定するには、グローバル setting.plist ファイルにアクセスする必要があります(ユーザレベルの preference.plist ファイルとは 異なります )。

シスコは、クライアント マシンで個人ユーザが LogLevel 値を変更できるようにすることを推奨していないため、グローバル setting.plist システム プリファレンス ファイルを変更して、異なる Agent LogLevel を指定するには、スーパーユーザまたはルート ユーザである必要があります。


) 4.1.3.0 よりも前のバージョンでは、Mac OS X Agent のデバッグ ロギングは、[<local drive ID>] > [Library] > [Application Support] > [Cisco Systems] | [CCAAgent.app] > [Show Package Contents] > [setting.plist] でイネーブルになります。


Agent の LogLevel を表示および変更するには、次の手順を実行します。


ステップ 1 ナビゲータ ペインを開き、 <local drive ID> > [Applications] に移動します。

ステップ 2 [CCAAgent.app] アイコンを強調表示して右クリックし、選択メニューを表示します。

ステップ 3 [Show Package Contents] > [Resources] を選択します。

ステップ 4 [setting.plist] を選択します。

ステップ 5 Mac Property Editor (Mac OS 10.5 およびそれ以降の場合)を使用して現在の LogLevel 設定を変更するには、現在の LogLevel キーを検索し、既存の値を次のいずれかに置き換えます。

[Info]:イベント ログには情報メッセージのみを含める

[Warn]:イベント ログには情報および警告メッセージを含める

[Error]:イベント ログには情報、警告、およびエラー メッセージを含める

[Debug]:イベント ログにはすべての Agent メッセージ(情報、警告、エラーを含む)を含める


) [Info] および [Warn] エントリ タイプでは、特に固有の Agent イベントに関連するいくつかのメッセージしか記録されません。Agent の接続の問題をトラブルシューティングする場合は、[Error] または [Debug] Agent イベント ログ レベルのみが必要となります。



) Apple, Inc. は Mac OS 10.4 でバイナリ形式の .plist 実装を導入したため、.plist ファイルは、vi などの一般的なテキスト エディタを使用して編集できません。.plist ファイルが編集できない場合(バイナリ文字として表示される)、Mac OS X CD-ROM から Mac のプロパティ リスト エディタ ユーティリティを使用するか、同様のツールを入手して、setting.plist ファイルを編集する必要があります。

プロパティ リスト エディタは、.plist ファイルの編集用に Apple Developer Tools に含まれているアプリケーションです。<CD-ROM>/Developer/Applications/Utilities/Property List Editor.app にあります。

setting.plist ファイルが編集可能な場合、vi などの標準のテキスト エディタを使用して、ファイルの LogLevel 値を編集できます。

ファイルを編集するには、ルート ユーザでなければなりません。



 

クライアントが接続およびログインできない

次のログイン時のクライアント エラーは、CAM/CAS 証明書関連の問題(つまり、CAS が CAM の証明書を信頼しない、またはその逆)があることを示します。

ユーザ資格情報を入力したあと、Web ログインを試みているユーザに、ログイン ページが継続して表示され、リダイレクトされない。

Agent ログインを試みているユーザに「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain> 」というエラーが表示される。

これらの問題を解決するには、「証明書に関する問題のトラブルシューティング」を参照してください。

Agent がポップアップしない、ログインがディセーブル

L2 または L3 配置において、Agent の [Popup Login Window] がイネーブルで、Agent が Clean Access Server の背後にあることを検出すると、Agent がクライアントでポップアップします。Agent がポップアップしない場合は、CAS に到達できないことを示します。

L2 配置のトラブルシューティングを行うには、次の手順を実行します。

1. クライアント マシンが正しい IP アドレスを取得できるようにします。コマンド ツール([Start] > [Run] > [cmd])を開き、「 ipfconfig 」または「 ipconfig /all 」と入力して、クライアント IP アドレス情報をチェックします。

2. 必要に応じて、「 ipconfig /release 」、「 ipconfig /renew 」の順に入力して、クライアントの DHCP リース時間をリセットします。

L3 配置のトラブルシューティングを行うには、次の手順を実行します。

1. [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] | [Discovery Host] で、[Discovery Host] フィールドに CAM の IP アドレスが設定されているかどうかをチェックします。このフィールドは、信頼できる側の装置のアドレスである必要があり、CAS のアドレスにはできません。

2. クライアント マシンから Agent をアンインストールします。

3. [Discovery Host] フィールドを CAM の IP アドレスに変更して、[Update] をクリックします。

4. CAS をリブートします。

5. クライントに Agent を再ダウンロードし、再インストールします。


) Agent の [Login] オプションは、次の場合にディセーブルになります(グレー表示)。

OOB 配置において、Agent ユーザは CAS 経由ですでにログインしていて、クライアント ポートが Access VLAN 上にある場合。

マルチホップ L3 配置において、Single Sign-On(SSO)がイネーブル化されていて、ユーザが VPN コンセントレータを介してすでに認証されている場合(したがって、すでに Cisco NAC アプライアンスに自動的にログインしている場合)

MAC アドレス ベースの認証がこのユーザのマシンに設定されており、ユーザ ログインが必要ない場合。


 

クライアントが接続できない(トラフィック ポリシー関連の問題)

次のエラーは、DNS、プロキシまたはネットワーク トラフィック ポリシー関連の問題である場合があります。

ユーザは Agent 経由でログインできるが、ログイン後に Web ページおよびインターネットにアクセスできない。

ユーザが URL に https://<CAS_IP_address> を入力せずに、Web ログイン ページにアクセスすることができない。

これらの問題をトラブルシューティングするには、次の手順を実行します。

CAS の [Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DNS] で、[DNS Servers] 設定を確認し、必要に応じて変更します。

DHCP サーバとして CAS をイネーブルにしている場合、[Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DHCP] > [Subnet List] > [List] | [Edit] で、[Subnet List] の [DNS Servers] フィールドを確認し、必要に応じて変更します。

ログイン後に修復サイトに到達できない場合は、[User Management] > [User Roles] > [Traffic Control] > [Host] で、Temporary ロールのデフォルトのホスト ポリシー(Allowed Hosts)がイネーブルであることを確認します。

プロキシ サーバを使用している場合、プロキシ サーバへの HTTP トラフィックを許可しているトラフィック ポリシーが Temporary ロールでイネーブルになっていることを確認します。ブラウザでプロキシが正しく設定されていることを確認します(IE から [Tools] > [Internet Options] > [Connections] > [LAN Settings] | [Proxy server] に移動します)。

詳細については、「ホストベースのポリシーに関するトラブルシューティング」を参照してください。

AV/AS ルールのトラブルシューティング

Agent の管理者レポートを表示するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] に進みます。クライアントから情報を表示するには、Agent タスクバー アイコンを右クリックして、[Properties] を選択します。

AV/AS ルールのトラブルシューティングを行う場合は、次の情報が必要です。

1. CAS、CAM、および Agent のバージョン

2. クライアント OS バージョン(たとえば、Windows XP SP2)

3. AV/AS ベンダー製品の名前およびバージョン

4. 障害の内容:AV/AS インストール チェックであるか、または AV/AS 更新チェックであるか。および、エラー メッセージの内容。

5. 障害のあるクライアント マシンの AV/AS 定義日/バージョンの現在値

6. CAM で検索されている AV/AS 定義日/バージョンの対応する値([Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照)

Cisco NAC Web Agent のステータス コード

表 11-4 に、クライアント マシンに Cisco NAC Web Agent をインストールするために使用される ActiveX または Java アプレット ダウンローダが渡すステータス コードを示します。

 

表 11-4 ActiveX コントロールまたは Java ダウンローダ アプレットからの Java サーバ ページ ステータス コード

ActiveX/Java アプレットのステータス コード
値および説明

ACTIVEX_FAILURE

-1:「ActiveX コントロールを起動できない」

DL_FAILURE

-2:「Web Agent 実行ファイルをダウンロードできない」

EXE_FAILURE

-3:「Web Agent の実行中にエラー」

ACTIVEX_START

0

STATUS_DL_START

1

DL_IN_PROGRESS

2

EXE_IN_PROGRES

3

表 11-5 に、ポスチャ評価および修復において Cisco NAC Web Agent システムが Cisco NAC アプライアンス システムに戻すステータス コードを示します。

 

表 11-5 Cisco NAC Web Agent のステータス コード

Cisco NAC Web Agent のステータス コード

COMPLIANT/SUCCESS

32

NON_COMPLIANT

33

REJECTED_AUP

34

REMEDIATION TIMEOUT

35

GENERAL ERROR

36

TEMPORARY/RESTRICTED ACCESS

37

WEB AGENT ALREADY RUNNING

38

Windows Script 5.6 の既知の問題

Agent を適切に機能させるには、Windows Script 5.6 が必要です。以前のほとんどの OS には、Windows Script 5.1 コンポーネントが付属しています。Windows Updates を実行すると、新しい 5.6 コンポーネントが自動的にインストールされます。Windows インストーラ コンポーネント 2.0 および 3.0 にも Windows Script 5.6 は必要です。ただし、Windows 2000 をインストールしただけで Windows Update を一度も実行していない PC マシンには、Windows Script 5.6 コンポーネントは存在しません。Microsoft はこのコンポーネントをマージ モジュール/再配布可能コンポーネントとして提供していないため、Cisco NAC アプライアンスはこのコンポーネントを再配布できません。

この場合、管理者は MSDN Web サイトにアクセスして、このコンポーネントを入手し、Windows Script 5.6 にアップグレードする必要があります。MSDN からコンポーネントへのリンクを次に示します。

ファイル名: scripten.exe

URL: http://www.microsoft.com/downloads/en/details.aspx?FamilyId=01592C48-207D-4BE1-8A76-1C4099D7BBB9&displaylang=en

MSDN でこれらのリンクが変更された場合は、上記のファイル名を検索するか、「Windows Script 5.6」という語句を検索してみてください。

MS Update Scanning Tool の既知の問題(KB873333)

背景

KB873333 は、SP1 および SP2 に対応した Windows XP Professional および Windows XP Home Edition に必要な重要なアップデートです。リモート コードを実行できる OS の脆弱性が、これによって修正されます。ただし、このホットフィックスにはバグがあり、SP2 Edition(Home/Pro)では問題が発生します。SP2 に KB873333 が組み込まれている場合は、Double Byte Character Sets(DBCS)の表示問題が発生するため、このバグには別のフィックス(KB894391)が必要でした。ただし、DBCS 表示問題を解決するだけで、KB894391 は KB873333 の代わりにはなりません。

原則として、ユーザ マシンに KB873333 が組み込まれていない場合は、KB894391 はインストールされず、アップデートにも表示されません。ただし、KB873333 がインストールされているかどうかに関係なく、MS Update Scanning Tool ツールでは KB894391 が表示されます。また、アップデートを指示して KB894391 をインストールした場合、MS Update Scanning Tool では KB873333 がインストール済みであると表示されないため、脆弱性が解消されません。このようになるのは、表示されたアップデート リストからインストールするときに、ユーザが KB873333 をインストールしないで KB894391 だけを選択した場合、または KB873333 を先にインストールしないで、KB894391 を手動でインストールした場合です。この場合、次にアップデートを実行するときに、必要なアップデートとして KB873333 が表示されなくなります。KB873333 がインストールされておらず、マシンが脆弱なままであっても、KB894391 がインストールされていれば、MS Update Scanning Tool(MS Baseline Analyzer を含む)は KB873333 がインストールされていると想定するためです。

回避策

この脆弱性があるために、シスコでは Clean Access のルールセットから KB87333 のアップデート チェックを削除する予定はありません。ユーザは手動で KB873333 をダウンロードおよびインストールして、マシンを保護する必要があります。この処理は、次の 2 つの方法のいずれかで実行できます。

方法 1(シスコが推奨する方法)

次の手順に従って、CAM Web コンソールで、KB873333 を検索する新しいリンク要件を作成します。

1. KB873333 の有無を調べるルールを作成します。このルールを作成するには、Web コンソールの [Rules] セクションに移動し、[New Rule] をクリックします。ルールに名前(「KB873333_Rule」など)を付け、このページに表示されたチェック リストからルール式に、KB873333 チェックの正確な名前をコピーして貼り付けます(使用可能なチェック リストが、新しいルール作成セクションの下に表示されます)。[Add Rule] をクリックしてルールを保存します。

2. Microsoft の Web サイトから KB873333 の実行可能アップデートをダウンロードして、使用可能な Web サーバに配置します。

3. Cisco NAC アプライアンスのリンク要件を作成し、ステップ 2 の URL を入力します。

4. ステップ 1 で作成したルールを選択して、この要件の要件/ルールを作成します

5. 最後に [Role-Requirements] セクションに移動して、作成した要件に、この要件を適用するロールを関連付けます。


) [Requirements] ページで、KB873333 要件が Windows Hotfixes 要件の上にあることを確認します。


オプション 2

関連するマシンから KB894391 をアンインストールします。再起動してから、Windows Update ページを再表示します。Windows Update に両方のアップデートが表示されます。クライアント マシンに KB873333 および KB894391 をインストールします。この方法の場合は、管理者がユーザを教育するか、または各ユーザ マシンでこのタスクを手動で実行する必要があります。