Cisco NAC アプライアンス ハードウェア インスト レーション ガイド
Clean Access Manager および Clean Access Server のインストール方法
Clean Access Manager および Clean Access Server のインストール方法
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

Clean Access Manager および Clean Access Server のインストール方法

概要

重要なリリース情報

CAM のインストール

概要

新規インストール手順の概要

CAM の接続

CD-ROM からの CAM ソフトウェアのインストール

CAM の初期設定の実行

コンフィギュレーション ユーティリティ スクリプト

CAM Web コンソールへのアクセス

CAM ライセンスのインストール

ライセンスの追加

SSL 証明書に関する重要事項

CAS のインストール

概要

スイッチおよびルータの設定

バーチャル ゲートウェイ モード接続の要件

CAS バーチャル ゲートウェイおよび VLAN マッピングに対するスイッチのサポート(IB および OOB)

バーチャル ゲートウェイ用 VLAN の決定

新規インストール手順の概要

CAS の接続

CD-ROM からの CAS ソフトウェアのインストール

CAS の初期設定の実行

コンフィギュレーション ユーティリティ スクリプト

SSL 証明書に関する重要事項

ファイアウォール経由の Cisco NAC アプライアンスの接続

NAT ファイアウォールの背後にある CAS の設定

WAN(Wide Area Network)での接続

NIC カードの追加設定

CAM および CAS へのシリアル接続

Cisco NAC アプライアンス CAM/CAS でのブート設定の設定

CAM/CAS 関連で役立つ CLI コマンド

CAM CLI コマンド

CAS CLI コマンド

Cisco NAC アプライアンスの CAS CLI コマンド

NAC Profiler 用の CAS CLI コマンド

CAM/CAS コンフィギュレーション ユーティリティの手動での再起動

インストールに関するトラブルシューティング

CAM/CAS での現在のマスター シークレットの確認/変更

破損したマスター シークレットからの回復

NIC ドライバがサポートされていない

CAS の設定のリセット

Internet Explorer バージョン 6 での TLSv1 のイネーブル化

NAC アプライアンスの電源切断

概要

この章では、Cisco NAC アプライアンスの設置の手順について説明します。具体的には、コンフィギュレーション ユーティリティを使用して CAM および CAS を初期設定し、CAM Web コンソールにアクセスし、製品ライセンスをインストールする方法について説明します。CAM および CAS の初期設定が終了すると、CAM Web コンソールにアクセスし、使用環境に必要な残りの設定を続けることができます。

設定の詳細については、最新の『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』および『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。これらのマニュアルは、Cisco.com http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html から入手できます。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(「リリース 4.7」など)に対応するマニュアルを参照してください。

重要なリリース情報

4.7 ソフトウェア リリースの追加情報および最新情報については、『 Release Notes for Cisco NAC Appliance, Version 4.7(1) 』を参照してください。

CAM のインストール

ここでは、CAM のインストール方法について説明します。この章の内容は、次のとおりです。

「概要」

「新規インストール手順の概要」

「CAM の接続」

「CD-ROM からの CAM ソフトウェアのインストール」

「CAM の初期設定の実行」

「CAM Web コンソールへのアクセス」

概要

Cisco NAC アプライアンス CAM/CAS ハードウェア プラットフォームは Linux ベースのネットワーク ハードウェア アプライアンスです。専用サーバ マシンに CAM(MANAGER)または CAS(SERVER)アプリケーション、オペレーティング システム、およびすべての関連コンポーネントが事前にインストールされています。リリース 4.7 以降では、オペレーティング システムには CentOS 5.3 ベースのハードウェア Linux カーネルが組み込まれています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンに他のパッケージやアプリケーションをインストールできません。

新しい Cisco NAC アプライアンスを受け取ったら、アプライアンスに接続して初期設定を行う必要があります。

アプライアンスに事前にインストールされているものとは異なるバージョンのソフトウェアをインストールする場合は、ます CD からソフトウェア インストールを実行します。Cisco NAC アプライアンス CAM/CAS プラットフォームでサポートされているソフトウェア バージョンの詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。


ヒントCisco NAC Appliance Hardware Installation Quick Start Guide』には、新しい Cisco NAC アプライアンスの電源を投入するために必要なすべての手順が記載されています。


この章では、CD ソフトウェアのインストールと、CAM の初期設定の方法について説明します。

Cisco NAC アプライアンス ソフトウェアの CD からのインストールでは、Clean Access Manager(CAM)または Clean Access Server(CAS)のどちらのアプリケーションをインストールするかを選択する必要があります。CAM または CAS を専用のアプライアンス(アプリケーション、OS、および関連するコンポーネント)にインストールしたあと、その他のパッケージまたはアプリケーションを CAM または CAS にインストールすることはサポートされていません。


) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。



) Cisco NAC ネットワーク モジュール(ネットワーク モジュールにおける CAS)のインストールの詳細については、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』を参照してください。


新規インストール手順の概要


) 該当する場合は、現在の Clean Access Manager の設定をバックアップし、そのスナップショットをローカル コンピュータに保存することで安全に保管してください。手順については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』を参照してください。



ステップ 1 ウェルカム レターの手順に従って有効なライセンス ファイルを入手します。詳細は『 Cisco NAC Appliance Service Contract/Licensing Support 』を参照してください(Cisco NAC アプライアンスを評価する場合は、 http://www.cisco.com/go/license/public にアクセスし評価ライセンスを入手してください)。

初期の CAM ライセンスを追加する場合は、インストールされている CAM ライセンスのタイプが CAM Web コンソールの上部に表示されます。

Cisco Clean Access Lite Manager は 3 つの Clean Access Server をサポートしています。

Cisco Clean Access Standard Manager は 20 の Clean Access Server をサポートしています。

Cisco Clean Access Super Manager は 40 の Clean Access Server をサポートしています
(SuperCAM は NAC-3390 プラットフォームでのみ実行されます)。

また、ライセンスの追加後、[Administration] > [CCA Manager] > [Licensing] ページには、存在するライセンス タイプが表示されます。詳細については、「CAM ライセンスのインストール」を参照してください。

ステップ 2 最新版のソフトウェアのブート可能 CD を入手します。最新の 4.7(x) .ISO イメージを、Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインしてダウンロードするか、Cisco NAC アプライアンスの サポート ページ の [Download Software] リンクをクリックしてダウンロードし、そのイメージをブート可能なディスクとして CD-R に書き込むことができます。


) .ISO イメージは、10 倍速以下の速度で CD-R に書き込むことをお勧めします。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 CAM をネットワークに接続するとともに、モニタとキーボードを CAM に接続するかワークステーションをシリアル ケーブルを介して CAM に接続します(「CAM の接続」を参照)。

ステップ 4 「CD-ROM からの CAM ソフトウェアのインストール」に従ってソフトウェアをインストールします。


) NAC-3310 アプライアンスで CD-ROM ドライブ上のソフトウェアが読み取れない場合は、代わりにハード ディスクからブートし、先に進む前に「Cisco NAC アプライアンス CAM/CAS でのブート設定の設定」に従って CD-ROM からブートするようにアプライアンスの設定を変更する必要があります。


ステップ 5 「CAM の初期設定の実行」に従って CAM を初期設定します。


) ハイ アベイラビリティ モードの場合、HA を設定する前にまず各 CAM をインストールおよび初期設定します。詳細については、「CAM のハイ アベイラビリティ ペアの導入」を参照してください。

Clean Access Manager(CAM)または Clean Access Server(CAS)のハイ アベイラビリティ(HA)ペアを設定するためには、同じアプライアンス(たとえば NAC-3350 と NAC-3350)を使用する必要があります。


ステップ 6 CAM Web コンソールにアクセスし、CAM 用の有効な FlexLM ライセンス ファイルをインストールします(「CAM Web コンソールへのアクセス」を参照)。

ステップ 7 Web コンソールで、[Administration] > [CCA Manager] > [Licensing] に移動し、CAS 用に追加の FlexLM ライセンス ファイルをインストールします(「CAM ライセンスのインストール」を参照)。

ステップ 8 CAS を CAM に追加します(『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照)。


 

CAM の接続

CAM ソフトウェアを CD-ROM からインストールしたり、初期設定を行ったりするには、ターゲット マシンを接続し、CAM のコマンドラインにアクセスする必要があります。


ステップ 1 CAM では、背面パネルにある 2 つの 10/100/1000BASE-TX インターフェイス コネクタのうちの 1 つが eth0 ネットワーク インターフェイス用に必要です。ターゲット マシン上の NIC1 ネットワーク インターフェイスを、CAT5 イーサネット ケーブルを使用して Local Area Network(LAN; ローカル エリア ネットワーク)に接続します。

必要に応じて『 Cisco NAC Appliance Hardware Installation Quick Start Guide 』の「Cisco NAC Appliance Hardware Summary」か、CAM に付属しているマニュアルを参照し、シリアル コネクタまたはイーサネット コネクタを探してください。

ステップ 2 AC 電源コードの一端をサーバ マシンの背面に、反対側の端を電源コンセントに差し込みます。

ステップ 3 外部 FIPS スマート カード リーダー モジュールを FIPS 140-2 準拠の NAC-3315、NAC-3355、または NAC-3395 に接続します。スマート カード リーダーのミニ DIN ケーブルを、アプライアンスの背面のメス ミニ DIN FIPS カード ポートに接続します(図 1-4図 1-9、および図 1-14 を参照)。

ステップ 4 マシンの前面にある電源ボタンを押して、マシンの電源をオンにします。LED 診断テストの実行中、診断 LED が数回点滅します。CAM が起動すると、コンソールにステータス メッセージが表示されます。

ステップ 5 次のいずれかの方法で、CAM のコマンドラインにアクセスします。

背面パネルのキーボード コネクタとビデオ モニタおよびコンソール コネクタを通じて、モニタとキーボードを直接 CAM に接続します。

シリアル ケーブルで外部ワークステーション(PC またはラップトップ)と CAM を接続し、外部ワークステーションの端末エミュレーション ソフトウェア(ハイパーターミナル、SecureCRT など)を使用して、シリアル接続を開始します(「CAM および CAS へのシリアル接続」を参照)。


 


) CAM の eth1 インターフェイス(NIC2)は、ハイ アベイラビリティ CAM ペアを接続する際にだけ必要です。詳細については、『Cisco NAC Appliance Hardware Installation Quick Start Guide』の「Configuring Additional NIC Cards」を参照してください。



) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


CD-ROM からの CAM ソフトウェアのインストール

次の手順では、NAC-3310/3315 MANAGER、NAC-3350/3355 MANAGER、および NAC-3390/3395 MANAGER アプライアンス上で CAM ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「CAM および CAS へのシリアル接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードします。

a. Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] > [Cisco NAC Appliance 4.7] に移動します。

c. 最新の 4.7(x) .ISO イメージ(たとえば、 nac-4.7_1-K9.iso )をダウンロードし、そのイメージをブート可能ディスクとして CD-R に書き込みます。


) .ISO イメージは、10 倍速以下の速度で CD-R に書き込むことをお勧めします。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 Cisco NAC アプライアンスの .ISO ファイルが収められている CD-ROM を CD-ROM ドライブに挿入し、マシンをリブートします。

ステップ 4 マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.7.1 Installer (C) 2009 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
 
- To install a Cisco Clean Access device over a serial console, enter serial a
t the boot prompt and press the <ENTER> key.
 
boot:
 

ステップ 5 boot : プロンプトで、接続の種類に応じて次のいずれかを入力します。

モニタとキーボードが直接アプライアンスに接続されている場合は、Enter キーを押します。

アプライアンスにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 6 インストール/アップグレード CD が Cisco NAC アプライアンスの既存のインストールを検出すると、次のプロンプトが表示されます。

Checking for existing installations.
Clean Access Manager 4.7.0 installation detected.
Please choose one of the following actions:
1) Install.
2) Upgrade.
3) Exit.
 

ステップ 7 Cisco NAC アプライアンス ソフトウェアの新規インストールを実行するには、 1 を選択します。

ステップ 8 次に、Cisco NAC アプライアンス ソフトウェア インストーラにより CAM と CAS のどちらをインストールするかが質問されます。次のプロンプトで、 1 と入力して CAM のインストールを行います。

Please choose one of the following configurations:
1) CCA Manager.
2) CCA Server.
3) Exit.
 

注意 CAM または CAS ソフトウェアのインストールには、1 枚の CD だけを使用します。インストールを行うターゲット マシンに対し CAM か CAS のいずれか適切な種類を選択します。

ステップ 9 CAM パッケージのインストールが実行されます。インストールには数分掛かります。インストールが終了すると、インストール スクリプトによって次のメッセージが表示され、Enter キーを押して CAM をリブートし、CAM クイック コンフィギュレーション ユーティリティを起動するよう指示されます。

Installation complete. Press <ENTER> to continue
 

Enter キーを押すと、CAM クイック コンフィギュレーション ユーティリティの初期画面が表示され、初期設定に関する質問に答えるよう指示されます( 「CAM の初期設定の実行」 を参照)。


 

CAM の初期設定の実行

CD-ROM から CAM をインストールする場合は、ソフトウェア パッケージのインストール後に自動的に 「コンフィギュレーション ユーティリティ スクリプト」 が表示され、初期設定に関する入力を求められます。


「コンフィギュレーション ユーティリティ スクリプト」は、必要に応じていつでも手動で起動できます。起動方法は次のとおりです。

1. CAM へのシリアル接続または CAM での直接操作により、ユーザ root として正しいパスワードを使用して CAM にログインします。

2. 次のコマンドを入力して初期設定のスクリプトを実行します。

service perfigo config

service perfigo config コマンドを実行すると、Web 管理コンソールから到達できなくても、CAM の設定を変更できます。CLI コマンドの詳細は、「CAM CLI コマンド」を参照してください。


 

コンフィギュレーション ユーティリティ スクリプト

コンフィギュレーション ユーティリティ スクリプトでは、特定のパラメータのデフォルト値が示されます。設定する際には、以下のように、デフォルト値を受け入れるか、または新しい値を入力します。


ステップ 1 CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
 
Note that you need to be root to execute this utility.
 
The utility will now ask you a series of configuration questions.
Please answer them carefully.
 
Cisco Clean Access Manager, (C) 2009 Cisco Systems, Inc.

) Cisco NAC アプライアンス ソフトウェアをインストールして CAM を起動してもこのプロンプトが表示されない場合は、「CAM/CAS コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 2 CAM が FIPS 準拠のプラットフォーム(NAC-3315、NAC-3355、または NAC-3395)である場合は、最初のプロンプトで、オンボード FIPS カード(アプライアンスでの FIPS 準拠の機能を保証するのに使用される)を初期化するかどうかの判断を求められます。初期化しない場合は、ステップ 6 に進みます。

Do you want to initialize the fips cards? (y/n)? [y]
 

ステップ 3 アプライアンスで FIPS を有効にするには、 y を選択します。アプライアンスは FIPS カードを自動的に初期化してセキュリティ ワールドの確立を試行します。

-- Running startup script 45drivers
 
-- Running startup script 46exard
 
-- Running startup script 50hardserver
 
Security world not found
Creating the security world and initializing the smart cards
 
Next, the FIPS setup process prompts you to specify how many Smart Cards (from 1-6) you want to initialize to enable FIPS compliance on the CAM.
How many cards do you want to initialize (1-6)? [1]
Set ncipher card switch in i mode and press Return to continue
 

ステップ 4 初期化するスマート カードの数を入力し、CAM の背面にある FIPS カードの操作スイッチが「I」(「初期化」)の状態になっていることを確認して Return キーを押します。

Module 1, command ClearUnit: OK
 
Create Security World:
Module 1: 0 cards of 1 written
Module 1 slot 0: unknown card
Module 1 slot 0: - no passphrase specified - overwriting card
Module #1 Slot #0: Processing ...
 
Card writing complete.
 
security world generated on module #1; hknso = 909bd9f06542521a01f42fc881c8abcba
b0812ee
Set ncipher card switch in o mode and press Return to continue
 

ステップ 5 FIPS カードのスイッチを「O」(「動作」)に戻し、Return キーを押します。

Module 1, command ClearUnit: OK
 
Card(s) check passed
 
Do you want to continue with the rest of the NAC Manager Configuration? (y/n)? [y]
 

ステップ 6 プロンプトが表示されたら、CAM の eth0(信頼できる)インターフェイスの IP アドレスを入力します。

Configuring the network interface:
 
Please enter the IP address for the interface eth0 []: 10.201.240.11
You entered 10.201.240.11 Is this correct? (y/n)? [y]
 

プロンプトで、デフォルトのアドレスを使用する場合は y を入力し、別の IP アドレスを指定する場合は n を入力します。この場合、信頼できるネットワーク インターフェイスに使用するアドレスをドット付き 10 進形式で入力します。プロンプトに従って値を確認します。

ステップ 7 プロンプトでインターフェイス アドレスのサブネット マスクを入力するか、Enter キーを押してデフォルト値を使用します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 8 CAM のデフォルト ゲートウェイのアドレスを指定して確認します。これは、通常、CAM サブネットと CAS サブネットとの間に配置されたルータの IP アドレスとなります。

Please enter the IP address for the default gateway []: 10.201.240.1
You entered 10.201.240.1. Is this correct? (y/n)? [y]
 

ステップ 9 CAM のホスト名を指定します。ホスト名は DNS サーバ内のインターフェイス アドレスと照合されます。これにより、ブラウザから CAM 管理コンソールへアクセスするのにホスト名を使用できるようになります。デフォルト ホスト名は nacmanager です。

Please enter the hostname [nacmanager]: cam3355
You entered cam3355 Is this correct? (y/n)? [y]
 

ステップ 10 使用環境内の Domain Name System(DNS; ドメイン ネーム システム)サーバの IP アドレスを指定します。

Please enter the IP addresses for the name servers: []: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ 11 CAM および CAS はローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。必要なときにデータベース スナップショットを CAM に確実にリストアするとともに、HA 構成内の HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(システムが異なるマスター シークレット パスワードで設定されている場合、作成した CAM データベース スナップショットをアップロードできません。また、マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。プロンプトで、マスター シークレットを入力し確認します。

The master secret is used to encrypt sensitive data.
Remember to configure all HA pairs with the same secret.
Please enter the master secret:
Please confirm the master secret:

注意 マスター シークレットが失われた場合または破損状態になった場合は、「破損したマスター シークレットからの回復」の手順を使用してください。

ステップ 12 CAM のタイム ゾーンを次のように指定します。

The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ 形式でタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 47 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイム ゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 21 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 13 現在の日時を hh:mm:ss mm/dd/yy の形式で入力して、確認します。

Current date and time hh:mm:ss mm/dd/yy [11:53:12 08/22/08]: 11:53:12 08/22/08
You entered 11:53:12 08/22/08 Is this correct? (y/n)? [y] y
 

ステップ 14 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAM と管理者用 Web コンソールをセキュアに接続できるようにします。

a. 発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、 10.201.240.11 など、すでに指定した eth0 IP アドレス)を受け入れます。


) これは、Web サーバが応答する IP アドレスまたはドメイン名でもあります。DNS にドメイン名が設定されていない場合は、CAM Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAM の IP アドレスを使用してください。


b. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( DOC など)。

c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 15 値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.11
Organization unit: DOC
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y

) 一時的な SSL 証明書を作成する必要があります。そうしないと、CAM Web コンソールにアクセスできません。


ステップ 16 次のプロンプトで、CAM によるプリログイン バナーのサポートを有効にするかどうかを指定します。

Enable Prelogin Banner Support? (y/n)? [n]
 

プリログイン バナーの詳細と例については、図 3-2 を参照してください。

ステップ 17 インストールした CAM の Linux オペレーティング システムの root ユーザのパスワードを設定します。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスするために使用されます。

Cisco NAC アプライアンスは、root ユーザ ログインに対し強力なパスワードを使用できます。パスワードは 8 文字以上で、大文字と小文字、数字、その他の文字の組み合わせがサポートされています。たとえば、 10-9=One というパスワードは、各カテゴリの文字を 2 文字以上使用していないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「 Administering the CAM 」の章を参照してください。

For security reasons, it is highly recommended that you change the password for the root user.
 
** Please enter a valid password for root user as per the requirements below! **
 
Changing password for user root.
 
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
 

ステップ 18 次に、CAM ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。

Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.
 

) Web 管理コンソール ユーザのパスワード(デフォルト ユーザの admin を含む)は、Web コンソールを使用して設定します。詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Manage System Passwords」を参照してください。


ステップ 19 初期設定プロセスでの最後の手順は、NAC-3315、NAC-3355、または NAC-3395 CAM に対して FIPS モードをオンにするかどうかを選択することです。

Would you like to turn on fips mode? (y/n)? [y]
 
-- Running startup script 45drivers
 
-- Running startup script 46exard
 
-- Running startup script 50hardserver
 
Security world already exists
Do you want to recreate security world and initialize cards (y/n)? [n]
writing RSA key
Card(s) check passed
 

ステップ 20 設定が完了したら、Enter キーを押して、CAM をリブートします。リブート後は、Web コンソールを通じて CAM にアクセスできるようになります。

Configuration is complete.
Changes require a REBOOT of Clean Access Manager.
 

設定が完了したら、次のコマンドを入力して CAM をリブートします。

# reboot
 

これで、CAM の初期設定は完了です。

ステップ 21 再起動後、CAM のインストールをテストします。

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. FIPS 準拠の CAM の場合、次のように FIPS 機能を検証します。

FIPS カードの動作スイッチが「O」(動作モードの場合)に設定されていることを確認します。

CAM コンソール インターフェイスに root としてログインします。

/perfigo/common/bin/ ディレクトリに移動します。

./test_fips.sh と入力し、次の出力を確認します。

Installed FIPS card is nCipher
Info-FIPS file exists
Info-card is in operational mode
Info-httpd worker is in FIPS mode
Info-sshd up
 

c. CAM が応答しない場合は、SSH(セキュア シェル) を使用して CAM へ接続してください。 root のユーザ名およびパスワードを使用して接続します。接続したら、デフォルト ゲートウェイへ ping を実行して、CAM が外部ネットワークに接続できるかどうか確認してください。

インストール後に、CAM の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAM 機器に接続し、CLI コマンド service perfigo config を使用してください。

CAM の設定が終了すると、CAM Web コンソールにアクセスすることにより、製品ライセンスを追加したり、管理や追加の設定を目的として、初期設定された CAS を CAM に追加できるようになります(「CAM Web コンソールへのアクセス」を参照)。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。


 

Web コンソールを通じて CAM にアクセスできるようになります(「CAM Web コンソールへのアクセス」を参照)。

CAM を手動で停止および開始するコマンドについては、「CAM CLI コマンド」を参照してください。

ネットワーク カードの設定の問題については、「NIC カードの追加設定」を参照してください。

CAM Web コンソールへのアクセス

CAM の Web 管理コンソールは、導入された Cisco NAC アプライアンスを管理するための主要インターフェイスです。初期設定が完了したら、次の手順に従って、CAM Web コンソールにアクセスします。

警告 CAM/CAS および CAM Web コンソールにアクセスするには、製品または評価ライセンスを取得済みでなければなりません。 製品ライセンスの取得およびインストール方法および Cisco NAC アプライアンスのサービス契約サポートの取得方法の完全な手順については、『 Cisco NAC Appliance Service Contract / Licensing Support 』を参照してください。


ステップ 1 ネットワークを通じて CAM にアクセス可能なコンピュータで Web ブラウザを起動します。

ステップ 2 Internet Explorer バージョン 6 を使用して CAM(および CAS)Web コンソールにアクセスする場合は、ブラウザの詳細設定で TLS バージョン 1 を有効にしている必要があります。詳細については、「Internet Explorer バージョン 6 での TLSv1 のイネーブル化」を参照してください。

ステップ 3 URL/アドレス フィールドに、CAM の IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。

ステップ 4 一時的な SSL 証明書を使用している場合は、セキュリティ警告と、証明書を受け入れるよう求めるプロンプトが表示されます。[Yes] をクリックして証明書を受け入れます(署名付き証明書を使用している場合、セキュリティ ダイアログは表示されません)。

[Clean Access Manager License Form](図 3-1)が表示され、CAM FlexLM ライセンス ファイルをインストールするよう指示されます。参照用に、フォームの上部に CAM の eth0 MAC アドレスが表示されます。製品ライセンス ファイルを取得し、CAM Web コンソールへアクセスするのに使用する PC/ラップトップのディスクに保存する必要があります。製品および評価版のライセンスの取得方法の詳細については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


) ライセンスの取得に役立つように、フォーム上部に CAM の eth0 MAC アドレスが表示されます。


図 3-1 Clean Access Manager License Form

 

CAM ライセンスのインストール

ステップ 5 [Clean Access Manager License File] フィールドで、受領したライセンス ファイルを参照し、[Install License] ボタンをクリックします。

ステップ 6 [Clean Access Manager License File] フィールドで、ライセンスを入力するには、[Browse] ボタンをクリックして、CAM 用に受領したライセンス ファイルを探し、[Install License] ボタンをクリックします。


) CAM フェールオーバー(HA)ライセンスを購入した場合は、最初にプライマリ CAM にフェールオーバー ライセンスをインストールしてから、その他のすべてのライセンスをロードしてください。これにより、CAM HA ペアのアップグレードが容易になります。


ステップ 7 ライセンスを受領すると、カスタマイズ可能な CAM プリログイン バナー(図 3-2)が表示されるか(CAM の初期設定中にプリログイン バナーを有効にした場合)、Web 管理コンソール ログイン ウィンドウが表示されます(図 3-3)。ユーザ名 admin と Web 管理ユーザ パスワードを入力して、[Login] をクリックします。

図 3-2 CAM プリログイン バナーの例

 

プリログイン バナーを使用すると、CAM または CAS で認証クレデンシャルを入力する前に、警告、システムとネットワークの状態、アクセス要件といったさまざまなメッセージを管理者ユーザに対して表示することができます。管理者は、アプライアンスでこの機能をイネーブルにし、コマンドライン コンソールにログインし、 /root/banner.pre ファイルを編集することで、プリログイン バナーのテキストを指定できます。プリログイン バナーのテキストは、ユーザが CAM または CAS にログインしようとしているときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。

プリログイン バナーのイネーブルとディセーブルは、CAM および CAS の初期設定時の CLI セッションで指定できるほか、CLI コマンド service perfigo config で CAM および CAS の基本設定を変更する場合に指定できます。

図 3-3 CAM 管理 Web コンソールのログイン ページ

 

ステップ 8 [Monitoring > Summary] ページが開き、左側にナビゲーション ペインが表示されます(図 3-4)。

ステップ 9 インストールおよび初期設定中に指定したユーザ名 admin と Web コンソール管理パスワードを入力して、[Login] をクリックします。

図 3-4 「[Monitoring Summary] ページ(非 FIPS CAM)

 

図 3-5 [Monitoring Summary] ページ(FIPS 140-2 準拠の CAM)

 

ライセンスの追加

ステップ 10 CAS 用の追加のライセンスを追加するには、CAM 管理 Web コンソールで [Administration] > [CCA Manager] > [Licensing](図 3-6)に移動します。


) HA-CAS マシンの場合は、Manager フェールオーバー ライセンスが存在する必要があります。Manager フェールオーバー ライセンスをインストールすると、サーバの増分数は 1 スタンドアロン CAS または 1 CAS HA ペアになります。


図 3-6 [Licensing] ページ

 

ステップ 11 [Clean Access FlexLM License File(s)] フィールドで、[Browse] で CAS または CAS バンドル用のライセンス ファイルを参照し、[Install License] をクリックします。ライセンスのインストールの成功または失敗、追加されたライセンスのタイプ、サーバの増加数(CAS ライセンスの場合)を示すページの上部に、緑色の確認テキスト文字列が表示されます(たとえば、「License added successfully.CCA Manager License added.Out-of-Band Server Count is now 20.」など)。ページ下部のステータス テキストには、Lite、Standard、または Super Manager ライセンスの有無、ライセンスがフェールオーバー用かどうか、および IB または OOB CAS ライセンス数が示されます。

ステップ 12 インストールする必要のあるライセンス ファイルごとに、ステップ 11 を行います(Customer Registration Form に入力した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部のサーバ カウント情報には、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます。


) [Remove All Licenses] ボタンをクリックすると、すべての FlexLM ライセンス ファイルがシステムから削除されます。ライセンス ファイルは個別に削除できません(すべてのライセンスを削除して、再インストールした場合、認証されたユーザ トラフィックは引き続き通過します)。

管理 Web コンソールにアクセスできるようにするには、CAM ライセンスを導入する必要があります。詳細については、『Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


ステップ 13 これで、ライセンスはインストールされました。CAM Web コンソールを使用して、構成の設定を継続できます。設定の詳細については、次のマニュアルを参照してください。

Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)

Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)

ステップ 14 Web コンソールからログアウトするには、コンソールの右上にある管理者セッションの [Logout] ボタンをクリックするか、ブラウザを閉じます。


 

SSL 証明書に関する重要事項

1. 一時的な SSL 証明書は、CAM のインストール中に作成しなければなりません。そうしないと、エンド ユーザとして CAM にアクセスできなくなります。

2. CAM および CAS のインストール後、Certificate Signing Request(CSR; 証明書署名要求)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。

3. CAM と CAS との間に安全な初期の通信チャネルを確立するには、CAM が CAS の証明書を信頼できるように、また CAS が CAM の証明書を信頼できるように、各アプライアンスからのルート証明書を他方のアプライアンスの信頼できるストアにインポートする必要があります。

4. 運用環境に CAM を導入する前に、サードパーティの Certificate Authority(CA; 認証局)から信頼できる証明書を取得し、一時証明書と置き換えることを強く推奨します(これによりユーザ ログイン中に Web ユーザにセキュリティ警告が表示されるのを防ぐことができます)。

CAM の詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Set System Time」および「Manage CAM SSL Certificates」を参照してください。CAS の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。


) 以前の配置で不完全、正しくない、順番が適切でない SSL 証明書のチェーンを使用している場合は、リリース 4.7(x) へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.7(x) にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.7(x) へのアップグレード後に CAM または CAS での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


CAS のインストール


) この章のインストール例と参考資料は、Cisco NAC アプライアンス CAM または CAS を対象にしています。Cisco NAC ネットワーク モジュールのインストールについては、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』および『Installing Cisco Network Modules in Cisco Access Routers』を参照してください。



) CAS で Cisco NAC アプライアンス Profiler Collector を設定する場合、詳細については『Cisco NAC Profiler Configuration Guide, Release 2.1.8』を参照してください。


ここでは、Clean Access Server(CAS)のインストールと初期設定方法について説明します。この章の内容は、次のとおりです。

「概要」

「バーチャル ゲートウェイ モード接続の要件」

「新規インストール手順の概要」

「CAS の接続」

「CD-ROM からの CAS ソフトウェアのインストール」

「CAM の初期設定の実行」

概要

新しい Cisco NAC アプライアンスを受け取ったら、アプライアンスに接続して初期設定を行う必要があります。アプライアンスに事前にインストールされているものとは異なるバージョンのソフトウェアをインストールする場合は、ます CD からソフトウェア インストールを実行します。Cisco NAC アプライアンス CAM/CAS プラットフォームでサポートされているソフトウェア バージョンの詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。

この章では、CD ソフトウェアのインストールと、CAS の初期設定の方法について説明します。Cisco NAC アプライアンス ソフトウェアの CD からのインストールでは、Clean Access Manager(CAM)または Clean Access Server(CAS)のどちらのアプリケーションをインストールするかを選択する必要があります。CAM または CAS をアプライアンスにインストールしたあと(アプリケーション、OS、および該当するコンポーネント)、その他のコンポーネントまたはアプリケーションを CAM または CAS にインストールすることはサポートされていません。


) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


スイッチおよびルータの設定

CAS は、ルートのアドバタイズは行いません。そのため、管理対象のサブネットへのトラフィックが CAS の信頼できるインターフェイスにリレーされるように、ネクスト ホップ ルータにスタティック ルートを追加する必要があります。

Real-IP ゲートウェイ モードの CAS は DHCP サーバまたは DHCP リレーとして機能できます。DHCP 機能がイネーブルになっていると、CAS は該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイスの IP アドレス)をクライアントに提供します。CAS が DHCP リレーとして機能している場合は、ネットワーク内の DHCP サーバが管理対象のクライアントに該当するゲートウェイ情報(つまり、その CAS の信頼できないインターフェイス IP アドレス)を提供するように設定しなければなりません。

バーチャル ゲートウェイ モード接続の要件

すべての配置で、CAS をバーチャル ゲートウェイ モード(IB または OOB)に設定する場合は、Web 管理コンソールから CAS を CAM に追加するまで、スタンドアロン CAS または High Availability(HA; ハイ アベイラビリティ)プライマリ CAS の信頼できないインターフェイス(eth1)を接続しないでください。バーチャル ゲートウェイ HA CAS ペアの場合も、HA の設定が完了するまでは HA セカンダリ CAS の eth1 インターフェイスを接続しないでください。eh1 インターフェイスが接続された状態のままバーチャル ゲートウェイ モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。

CAS をバーチャル ゲートウェイ モードで設定する場合は、CLI(コマンドライン インターフェイス)を介して CAS の初期インストールを実行している間に、信頼できるネットワーク インターフェイス(eth0)と信頼できないネットワーク インターフェイス(eth1)に同じ IP アドレスを指定する必要があります。インストールのこの時点で、CAS は自身を バーチャル ゲートウェイであると認識しません。両方のインターフェイスを使用してネットワークを接続しようとすると、競合が発生し、スイッチによってポートがディセーブルになることがあります。バーチャル ゲートウェイ モードで CAM に CAS を追加するまで、信頼できないインターフェイスのコードを抜いておくと、これらの接続問題を回避できます。バーチャル ゲートウェイ モードで CAS を CAM に追加してから、信頼できないインターフェイスを再び接続します。

バーチャル ゲートウェイ の中央配置を正しく設定するには、次の手順に従って作業を進める必要があります。CAS の両方のインターフェイスをスイッチに接続する際に、すべての中央/コア スイッチでループが生じないようにするため、次の手順を実行してください。


ステップ 1 CAS の両方のインターフェイスをスイッチに接続する前に、物理的に eth1 インターフェイスを外します。

ステップ 2 CAS の eth0 インターフェイスをネットワークに物理的に接続します。

ステップ 3 CAM Web コンソールの [Device Management] > [CCA Servers] > [New Server] で CAM に CAS を追加します(『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照)。

ステップ 4 CAS を管理するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] によって CAS 管理ページにアクセスします(『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照)。

ステップ 5 VLAN マッピングの設定 この手順は中央配置の場合の 必須の 手順です。中央配置では、CAS の両方のインターフェイスが同じスイッチに接続されます(エッジ配置で VLAN マッピングを設定してもかまいませんが、必須ではありません)。

a. [Enable VLAN Mapping] チェックボックスがクリックされていることを確認し、[Update] をクリックします。

b. 信頼できない VLAN から信頼できる VLAN へのマッピングを [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で設定します。『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「VLAN Mapping in Virtual Gateway Modes」を参照してください。


) バーチャル ゲートウェイ CAS では、[Enable VLAN Pruning] は、デフォルトでクリックされています(リリース 4.1(1)以降)。この設定は [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] にあります。


ステップ 6 上記の手順が完了したら、CAS の eth1 インターフェイスを物理的にスイッチに接続します。


) CAM がダウンし、「フェール オープン」状態で CAS が VLAN マッピングを実行する場合、CAM がオンラインに復帰するまで VLAN マッピング機能は失われたままとなるので、CAS をリブートしないでください。


ステップ 7 スイッチの 802.1q ポートの設定では、CAS の eh0 および eth1 にトランク接続しているスイッチの VLAN のうち、CAS 管理 VLAN とユーザ VLAN に使用されているもの以外のすべての VLAN を除外してください。

ステップ 8 CAS の eth0 および eth1 のインターフェイスに接続しているスイッチ ポートの VLAN 1 を除外します。詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/12122ea7/scg/swvlan.htm#wp1150302 を参照してください。


 

CAS バーチャル ゲートウェイおよび VLAN マッピングに対するスイッチのサポート(IB および OOB)

インバンド(IB)またはアウトオブバンド(OOB)配置の CAS の バーチャル ゲートウェイ VLAN マッピング機能に対する Cisco Catalyst スイッチ モデルと NME によるサポートについては、『 Switch Support for Cisco NAC Appliance 』を参照してください。

バーチャル ゲートウェイ用 VLAN の決定

CAS バーチャル ゲートウェイ配置の初期インストールを開始する前に、次のことを確認します。

CAS および CAM は異なるサブネット(および VLAN)上に配置する必要があります。

CAS 管理 VLAN は、ユーザ認証 VLAN やアクセス VLAN とは異なる VLAN に配置する必要があります。

ネイティブ VLAN は、CAS 管理 VLAN とは別に設定します。ネイティブ VLAN を設定すると、不注意によりスイッチがループするのを防ぐことができます。ネイティブ VLAN は、CAS の eth0 および eth1 インターフェイスと同じであっては なりません

CAS ネイティブ VLAN(eth0)(たとえば未使用の「ダミー」VLAN 999)

CAS ネイティブ VLAN(eth1)(たとえば未使用の「ダミー」VLAN 998)

スイッチ上で異なるユーザ認証 VLAN とアクセス VLAN を設定し、CAS 上の信頼できないサブネットを管理対象サブネットとして設定します(「 Configuring Managed Subnets 」を参照)。

CAS の信頼できるポート(eth0)および信頼できないポート(eth1)に接続されたスイッチ ポート上で転送される共通の VLAN がないことを確認します。バーチャル ゲートウェイ CAS 宛のトランク リンクで許可されるすべての VLAN に対し、対応する VLAN マッピング エントリが必要です(CAS 管理 VLAN を除く)。

CAS の信頼できないインターフェイス eth1 は、VLAN マッピングを設定するまではネットワークに設定しないでください。

ユーザ認証 VLAN 用の SVI(レイヤ 3)インターフェイスがネットワーク上のスイッチにあってはなりません。

ユーザ認証 VLAN は、CAS の信頼できないインターフェイスだけにあり、その他すべてのトランク リンクから取り除く必要があります。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Understanding VLAN Settings」および「VLAN Mapping in Virtual Gateway Modes」を参照してください。

新規インストール手順の概要


) 新規インストールのための追加の配置については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』を参照してください。



ステップ 1 ウェルカム レターの手順に従って有効なライセンス ファイルを入手します。詳細は『 Cisco NAC Appliance Service Contract/Licensing Support 』を参照してください(Cisco NAC アプライアンスを評価する場合は、 http://www.cisco.com/go/license/public にアクセスし評価ライセンスを入手してください)。


) CAS のライセンスは、CAM の eth0 アドレスに基づいて生成されます。CAM の Web 管理コンソールから CAM と CAS の両方のライセンスがインストールされます。


ステップ 2 最新版のソフトウェアのブート可能 CD を入手します。Cisco Secure Software にログインし、最新の 4.7(x) .ISO イメージをダウンロードできます。

ステップ 3 CAS をネットワークに接続するとともに、モニタとキーボードを CAS に接続するかワークステーションをシリアル ケーブルを介して CAS に接続します(「CAS の接続」を参照)。

ステップ 4 「CD-ROM からの CAS ソフトウェアのインストール」に従ってソフトウェアをインストールします。


) NAC-3310 アプライアンスで CD-ROM ドライブ上のソフトウェアが読み取れない場合は、代わりにハード ディスクからブートし、先に進む前に「Cisco NAC アプライアンス CAM/CAS でのブート設定の設定」に従って CD-ROM からブートするようにアプライアンスの設定を変更する必要があります。


ステップ 5 「CAS の初期設定の実行」に従って CAS を初期設定します。


) ハイ アベイラビリティ モードの場合、HA を設定する前にまず各 CAS を初期設定します。詳細については、「CAS のハイ アベイラビリティ ペアの導入」を参照してください。

CAM または CAS の HA ペアを設定するためには、同じアプライアンス(たとえば NAC-3350 と NAC-3350)を使用する必要があります。


ステップ 6 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』に従って CAM がインストールされ初期設定されていることを確認します。CAS の設定を完了するためには、CAM の Web コンソールから CAS の有効な FlexLM ライセンス ファイルをインストールする必要があります。

ステップ 7 CAS を CAM に追加します(『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照)。この時点で CAS を CAM の Web コンソールから設定できるようになります。一部の設定については、CAS ダイレクト アクセス Web コンソールから設定できます。


 

CAS の接続

CAS ソフトウェアを CD-ROM からインストールしたり、その初期設定を行うには、ターゲット マシンを接続し、CAS コマンド ライン インターフェイスにアクセスする必要があります。


ステップ 1 CAS では、eth0(信頼できる) と eth1(信頼できない)ネットワーク インターフェイス用に、2 つの 10/100/1000BASE-TX インターフェイス コネクタが CAS の背面パネル上に必要です。ターゲット マシン上の NIC1(eth0)ネットワーク インターフェイスを、CAT5 イーサネット ケーブルを使用して Local Area Network(LAN; ローカル エリア ネットワーク)に接続します。


警告 バーチャル ゲートウェイ CAS 上の信頼できないネットワーク インターフェイス eth1(NIC2)は、正しく設定を行うまでは物理的に接続しないでください。詳細については、「CD-ROM からの CAS ソフトウェアのインストール」を参照してください。


必要に応じて『 Cisco NAC Appliance Hardware Installation Quick Start Guide 』の「Cisco NAC Appliance Hardware Summary」か、CAS に付属しているマニュアルを参照し、シリアル コネクタまたはイーサネット コネクタを探してください。

ステップ 2 AC 電源コードの一端をサーバ マシンの背面に、反対側の端を電源コンセントに差し込みます。

ステップ 3 外部 FIPS スマート カード リーダー モジュールを FIPS 140-2 準拠の NAC-3315、NAC-3355、または NAC-3395 に接続します。スマート カード リーダーのミニ DIN ケーブルを、アプライアンスの背面のメス ミニ DIN FIPS カード ポートに接続します(図 1-4図 1-9、および図 1-14 を参照)。

ステップ 4 アプライアンスの前面にある電源ボタンを押して、マシンの電源をオンにします。LED 診断テストの実行中、診断 LED が数回点滅します。CAS が起動すると、コンソールにステータス メッセージが表示されます。

ステップ 5 次のいずれかの方法でコマンドラインまたは CAS にアクセスします。

a. 背面パネルのキーボード コネクタとビデオ モニタおよびコンソール コネクタを通じて、モニタとキーボードを直接 CAS に接続します。

b. シリアル ケーブルで外部ワークステーション(PC またはラップトップ)と CAS を接続し、「CAM および CAS へのシリアル接続」に従って外部ワークステーションの端末エミュレーション ソフトウェア(ハイパーターミナル、SecureCRT など)を使用して、シリアル接続を開始します。


 


) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


CD-ROM からの CAS ソフトウェアのインストール

次の手順では、NAC-3310/3315 SERVER または NAC-3350/3355 SERVER アプライアンス上で CAS ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「CAM および CAS へのシリアル接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードします。

a. Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] > [Cisco NAC Appliance 4.7] に移動します。

c. 最新の 4.7(x) .ISO イメージ(たとえば、 nac-4.7_1-K9.iso )をダウンロードし、そのイメージをブート可能ディスクとして CD-R に書き込みます。


) .ISO イメージは、10 倍速以下の速度で CD-R に書き込むことをお勧めします。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 CAS の .ISO ファイルが入っている CD-ROM を、ご使用の CAS マシンの CD-ROM ドライブに入れます。

ステップ 4 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.7.1 Installer (C) 2009 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
 
- To install a Cisco Clean Access device over a serial console, enter serial a
t the boot prompt and press the <ENTER> key.
 
boot:
 

ステップ 5 boot : プロンプトで、接続の種類に応じて次のいずれかを入力します。

モニタとキーボードが直接 CAS に接続されている場合は、Enter キーを押します。

アプライアンスにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 6 インストール/アップグレード CD が Cisco NAC アプライアンスの既存のインストールを検出すると、次のプロンプトが表示されます。

Checking for existing installations.
Clean Access Server 4.7.0 installation detected.
Please choose one of the following actions:
1) Install.
2) Upgrade.
3) Exit.
 

ステップ 7 Cisco NAC アプライアンス ソフトウェアの新規インストールを実行するには、 1 を選択します。

ステップ 8 次に、Cisco NAC アプライアンス ソフトウェア インストーラにより CAM と CAS のどちらをインストールするかが質問されます。次のプロンプトで、 2 と入力して CAS のインストールを行います。

Please choose one of the following configurations:
1) CCA Manager.
2) CCA Server.
3) Exit.
 

注意 CAM または CAS ソフトウェアのインストールには、1 枚の CD だけを使用します。インストールを行うターゲット マシンに対し CAM か CAS のいずれか適切な種類を選択します。

ステップ 9 CAS Package Installation が実行されます。インストールには数分掛かります。インストールが終了すると、インストール スクリプトによって次のメッセージが表示され、Enter キーを押すと CAS がリブートし、CAS クイック コンフィギュレーション ユーティリティが起動されます。

Installation complete. Press <ENTER> to continue
 

リブートが完了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。この画面に表示される一連の質問に従って CAS の初期設定を行います(「コンフィギュレーション ユーティリティ スクリプト」を参照)。


 

CAS の初期設定の実行

CD-ROM から CAS をインストールする場合は、ソフトウェア パッケージのインストール後に自動的に 「コンフィギュレーション ユーティリティ スクリプト」 が表示され、CAS の初期設定を進めることができます。


「コンフィギュレーション ユーティリティ スクリプト」は、必要に応じていつでも手動で起動できます。起動方法は次のとおりです。

1. CAS へのシリアル接続または直接接続を通じ、root のパスワードを使用し、ユーザ root として CAS にログオンします。

2. 次のコマンドを入力して初期設定のスクリプトを実行します。

service perfigo config
 

service perfigo config コマンドを実行すると、Web 管理コンソールから到達できなくても、CAS の設定を変更できます。CLI コマンドの詳細は、「CAS CLI コマンド」を参照してください。


 

コンフィギュレーション ユーティリティ スクリプト


ステップ 1 コンフィギュレーション ユーティリティ スクリプトでは、特定のパラメータのデフォルト値が示されます。設定する際には、以下のように、デフォルト値を受け入れるか、または新しい値を入力します。

ステップ 2 CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Server quick configuration utility.
 
Note that you need to be root to execute this utility.
 
The utility will now ask you a series of configuration questions.
Please answer them carefully.
 
Cisco Clean Access Server, (C) 2009 Cisco Systems, Inc.

) Cisco NAC アプライアンス ソフトウェアをインストールして CAS を起動してもこのプロンプトが表示されない場合は、「CAM/CAS コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 3 CAS が FIPS 準拠のプラットフォーム(NAC-3315 または NAC-3355)である場合は、最初のプロンプトで、オンボード FIPS カード(アプライアンスでの FIPS 準拠の機能を保証するのに使用される)を初期化するかどうかの判断を求められます。初期化しない場合は、ステップ 7 に進みます。

Do you want to initialize the fips cards? (y/n)? [y]
 

ステップ 4 アプライアンスで FIPS を有効にするには、 y を選択します。アプライアンスは FIPS カードを自動的に初期化してセキュリティ ワールドの確立を試行します。

-- Running startup script 45drivers
 
-- Running startup script 46exard
 
-- Running startup script 50hardserver
 
Security world not found
Creating the security world and initializing the smart cards
 

次に、FIPS への準拠を CAS 上で有効にするために初期化するスマート カードの数(1 ~ 6)を指定するよう求められます。

How many cards do you want to initialize (1-6)? [1]
Set ncipher card switch in i mode and press Return to continue
 

ステップ 5 初期化するスマート カードの数を入力し、CAS の背面にある FIPS カードの操作スイッチが「I」(「初期化」)の状態になっていることを確認して Return キーを押します。

Module 1, command ClearUnit: OK
 
Create Security World:
Module 1: 0 cards of 1 written
Module 1 slot 0: unknown card
Module 1 slot 0: - no passphrase specified - overwriting card
Module #1 Slot #0: Processing ...
 
Card writing complete.
 
security world generated on module #1; hknso = 65cc642b8d38a1f99b58c8afa560f4d94
522d2ad
Set ncipher card switch in o mode and press Return to continue
 

ステップ 6 FIPS カードのスイッチを「O」(「動作」)に戻し、Return キーを押します。

Module 1, command ClearUnit: OK
 
Card(s) check passed
 
Do you want to continue with the rest of the NAC Server Configuration? (y/n)? [y]
 

ステップ 7 プロンプトが表示されたら、CAS の eth0(信頼できる)インターフェイスの IP アドレスを入力します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interfaces:
 
Please enter the IP address for the interface eth0 []: 10.201.1.20
You entered 10.201.1.20 Is this correct? (y/n)? [y]
 

プロンプトで、CAS の eth0 IP アドレスを入力して、Enter キーを押します。なお、CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。確認のプロンプトで、 y を入力してエントリを受け入れるか、または n を入力してエントリを変更し、信頼できる eth0 ネットワーク インターフェイスの別のアドレスを入力します。プロンプトが表示されたら、Enter キーを押して、値を確認します。


) CAS の eth0 の IP アドレスは、Management IP アドレスと同じです。


ステップ 8 eth0 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 9 デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力します。プロンプトでデフォルト ゲートウェイを確認します。

Please enter the IP address for the default gateway []: 10.201.240.1
You entered 10.201.240.1 Is this correct? (y/n)? [y]
 

ステップ 10 「Vlan Id Passthrough」のプロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーをディセーブルのままにします。デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼できるネットワークから信頼できないネットワークに送信される場合、VLAN ID は CAS を通過できます。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]

) • ほとんどの場合、VLAN ID パススルーをイネーブルにする必要はありません。必要な場合にだけ VLAN ID パススルーをイネーブルにしてください。この時点でイネーブルにしない場合は、CAS の Web コンソールの [Network] > [IP] ページか、service perfigo config ユーティリティを使用していつでも変更できます。どちらの方法でも CAS のリブートが必要になります。

VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

デフォルトでは、VLAN ID はパススルーされません。CAS を通過するパケットからは、VLAN ID が除去されます(図 3-7 を参照)。この ID は CAS によって保持され、信頼できないネットワークから信頼できるネットワークに返信される応答メッセージに付加されます。

図 3-7 VLAN ID の終了

 

VLAN ID パススルーの場合、インターフェイスを通過するトラフィックの ID は維持されます。

図 3-8 VLAN ID パススルー

 

ステップ 11 「Management VLAN Tagging」のプロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします(管理 VLAN ID をあとで変更するには、CAS の Web コンソールの [Network] > [IP] ページから変更できます。しかし、CAS の [IP] ページで設定を変更するには、CAS のリブートが必要になります)。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]

) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。


管理 VLAN ID は、独自の VLAN ID がない場合、または ID が隣接インターフェイスで除去された場合に、パケットに追加されるデフォルト VLAN ID です。プロンプトでの設定は、信頼できないネットワークから信頼できるネットワークに送信されるトラフィックに適用されます。

図 3-9 管理 VLAN ID タギングを使用した場合の eth0 出力パケット

 


) • ほとんどの場合、管理 VLAN タギングをイネーブルにする必要はありません。必要な場合にだけイネーブルにしてください。この時点でイネーブルにしない場合は、あとで Web コンソールまたは service perfigo config ユーティリティを使用して、オプションを変更できます(管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼できる側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼できるインターフェイスが属する VLAN ID を指定します)。

また、VLAN 設定に問題があると、CAM から CAS に到達できなくなることがあるため、VLAN を設定するときは注意してください。


 

ステップ 12 次に、信頼できないインターフェイスを設定します。信頼できないインターフェイスは、信頼できない(管理対象)ネットワークに接続されたインターフェイスです。プロンプトで、信頼できないインターフェイス(eth1)に使用するアドレスを入力し、Enter キーを押します。CAS をブリッジ(バーチャル ゲートウェイ)構成に導入する場合を除き、信頼できるインターフェイスと信頼できないインターフェイスは異なるサブネット上になければなりません。プロンプトに従って値を確認します。

Please enter the IP address for the untrusted interface eth1 []: 10.10.10.10
You entered 10.10.10.10 Is this correct? (y/n)? [y]

) バーチャル ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 とネットワークを接続しないでください。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』を参照してください。


ステップ 13 eth1 インターフェイスのサブネット マスクを入力するか、Enter キーを押してデフォルトの 255.255.255.0 を受け入れます。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 14 信頼できないインターフェイスのデフォルト ゲートウェイ アドレスを入力します。

CAS が Real-IP ゲートウェイとして機能する場合は、CAS の信頼できないインターフェイス eth1 の IP アドレスを設定する必要があります。

CAS がバーチャル ゲートウェイ(ブリッジ)として機能する場合、信頼できる側で使用されるデフォルト ゲートウェイ アドレスと同じアドレスを設定できます。

Please enter the IP address for the default gateway []: 10.10.10.1
You entered 10.10.10.1 Is this correct? (y/n)? [y]
 

ステップ 15 信頼できないネットワークから信頼できるネットワークに送信されるトラフィックの VLAN パススルー動作を指定します。デフォルト動作(ディセーブル)を受け入れる場合は、プロンプトで n を入力し、Enter キーを押します(または単に Enter キーを押します)。信頼できないネットワークからのトラフィックに対して VLAN ID パススルーをイネーブルにする場合は、 y を入力します。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

図 3-10 VLAN ID パススルー

 

ステップ 16 次のプロンプトが表示されたら、信頼できないインターフェイスの管理 VLAN タギングを指定します。管理 VLAN タギングをディセーブル(デフォルト)のままにするには、 N と入力し、Enter キーを押します(または単に Enter キーを押します)。管理 VLAN タギングを有効にするには、 Y と入力して Enter キーを押し、CAS の信頼できないインターフェイスで使用する管理 VLAN ID を指定します。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

) 管理 VLAN ID をあとで変更するには、CAS の Web コンソール ページ [Network] > [IP] から変更できます。しかし、CAS の [IP] ページで設定を変更するには、CAS のリブートが必要になります。


図 3-11 管理 VLAN ID タギングを使用した場合の eth1 出力パケット

 

ステップ 17 CAS のホスト名を指定します(デフォルトは nacserver )。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the hostname [nacserver]: cas1
You entered cas1 Is this correct? (y/n)? [y]
 

ステップ 18 使用環境内の Domain Name System(DNS; ドメイン ネーム システム)サーバの IP アドレスを指定します。プロンプトが表示されたら、アドレスを入力して確認します。

Please enter the IP address for the name server: []: 172.10.16.16
You entered 172.10.16.16 Is this correct? (y/n)? [y]
 

ステップ 19 CAM および CAS はローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。必要なときにデータベース スナップショットを CAM に確実にリストアするとともに、HA 構成内の HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(システムが異なるマスター シークレット パスワードで設定されている場合、作成した CAM データベース スナップショットをアップロードできません。また、マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。プロンプトで、マスター シークレットを入力し確認します。

The master secret is used to encrypt sensitive data.
Remember to configure all HA pairs with the same secret.
Please enter the master secret:
Please confirm the master secret:

注意 マスター シークレットが失われた場合または破損状態になった場合は、「破損したマスター シークレットからの回復」の手順を使用してください。

ステップ 20 CAS の時間設定を次のように指定します。

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ 形式でタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 47 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイム ゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 21 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 21 現在の日時を hh:mm:ss mm/dd/yy の形式で入力して、確認します。

Updating timezone information...
 
Current date and time hh:mm:ss mm/dd/yy [07:52:52 04/30/07]: 15:52:00 04/30/07
You entered 15:52:00 04/30/07 Is this correct? (y/n)? [y]
Mon Apr 30 15:52:00 PDT 2007

) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。


ステップ 22 Enter キーを押して、一時 SSL 証明書を設定します。証明書を使用すると、CAS と信頼できない(管理対象)クライアント間のログイン交換が保護されます。証明書は次のように設定します。

a. 証明書を発行する IP アドレスまたはドメイン名を入力します。


) これは、Web サーバが応答する IP アドレスまたはドメイン名でもあります。ドメイン名に対して DNS がまだ設定されていない場合は、CAS Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAS のアドレスを使用します。


b. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( doc など)。

c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 23 値を確認してから Enter キーを押して、SSL 証明書を生成します。または、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.10
Organization unit: doc
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y

) 一時的な SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスできません。


ステップ 24 次のプロンプトで、CAS によるプリログイン バナーのサポートを有効にするかどうかを指定します。

Enable Prelogin Banner Support? (y/n)? [n]
 

プリログイン バナー機能の詳細および例については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。

ステップ 25 インストールした CAS の Linux オペレーティングシステムの root ユーザのパスワードを設定します。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスするために使用されます。

Cisco NAC アプライアンスは、root ユーザ ログインに対し強力なパスワードを使用できます。パスワードは 8 文字以上で、大文字と小文字、数字、その他の文字の組み合わせがサポートされています。たとえば、 10-9=One というパスワードは、各カテゴリの文字を 2 文字以上使用していないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「 Administering the CAM 」の章を参照してください。

For security reasons, it is highly recommended that you change the password for the root user.
 
** Please enter a valid password for root user as per the requirements below! **
 
Changing password for user root.
 
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
 

ステップ 26 次に、CAS ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。

Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.
 

ステップ 27 初期設定プロセスでの最後の手順は、NAC-3315 または NAC-3355 CAS に対して FIPS モードをオンにするかどうかを選択することです。

Would you like to turn on fips mode? (y/n)? [y]
 
-- Running startup script 45drivers
 
-- Running startup script 46exard
 
-- Running startup script 50hardserver
 
Security world already exists
Do you want to recreate security world and initialize cards (y/n)? [n]
writing RSA key
Card(s) check passed
 

ステップ 28 設定が完了したら、Enter キーを押して、CAS をリブートします。

Configuration is complete.
Changes require a REBOOT of Clean Access Server.
 

ステップ 29 設定が完了したら、次のコマンドを入力して CAS をリブートします。

# reboot
 

これで、CAS の初期設定は完了です。CAM のインストールおよび初期設定も完了したら、CAM Web 管理コンソールを使用して、CAM に CAS を追加します(『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照)。

ステップ 30 CAS のインストールおよび初期設定に続き次のことを行います。

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. FIPS 準拠の CAS の場合、次のように FIPS 機能を検証します。

FIPS カードの動作スイッチが「O」(動作モードの場合)に設定されていることを確認します。

CAS コンソール インターフェイスに root としてログインします。

/perfigo/common/bin/ ディレクトリに移動します。

./test_fips.sh と入力し、次の出力を確認します。

Installed FIPS card is nCipher
Info-FIPS file exists
Info-card is in operational mode
Info-httpd worker is in FIPS mode
Info-sshd up
 

c. CAS が応答しない場合は、SSH を使用して CAS へ接続してください。 root のユーザ名およびパスワードを使用して接続します。接続したら、CAS からゲートウェイまたは外部 Web サイトへ ping を実行して、CAS が外部ネットワークに接続できるかどうか確認してください。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。


 

インストール後に、CAS の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAS 機器に接続し、 service perfigo config コマンドを使用してください。

SSL 証明書に関する重要事項

1. 一時的な SSL 証明書は、CAS のインストール中に作成しなければなりません。そうしないと、CAS にアクセスできなくなります。使用環境へ設置する前に、CAS 用に CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。

2. CAM および CAS のインストール後、Certificate Signing Request(CSR; 証明書署名要求)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。

3. CAM と CAS との間に安全な初期の通信チャネルを確立するには、CAM が CAS の証明書を信頼できるように、また CAS が CAM の証明書を信頼できるように、各アプライアンスからのルート証明書を他方のアプライアンスの信頼できるストアにインポートする必要があります。

4. 運用環境に CAS を導入する前に、第三者の Certificate Authority(CA; 認証局)から信頼できる証明書を取得し、一時証明書と置き換えることを強く推奨します(これによりユーザ ログイン中にエンド ユーザにセキュリティ警告が表示されるのを防ぐことができます)。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Manage CAS SSL Certificates」および「Synchronize System Time」を参照してください。CAM 証明書についての詳細は、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。

ファイアウォール経由の Cisco NAC アプライアンスの接続

Clean Access Manager(CAM)は、Clean Access Server(CAS)との通信の一環として Java Remote Method Invocation(RMI)を使用します。つまり、動的に割り当てられたポートを使用して通信します。CAS と CAM との間にファイアウォールが存在する場合は、CAS マシンと CAM マシンとの間の通信を可能にするための規則、すなわち、CAM から CAS へのトラフィックおよび CAS から CAM へのトラフィックを許可する規則をファイアウォール内に設定する必要があります。


) CAS と CAM との間に NAT ルータが存在する場合、詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』の「Installation」の章の「Configuring the CAS Behind a NAT Firewall」も参照してください。


表 3-1 に、CAS と CAM との間の通信に必要なポートを示します(Cisco NAC アプライアンスのバージョンごと)。

 

表 3-1 CAM/CAS のポート接続

Cisco NAC アプライアンスのバージョン
必要なポート
4.7(x)
4.6(1)
4.5(x)
4.1(x)
4.0(x)

TCP ポート 443、1099、および 8995 ~ 8996

3.6(x)

TCP ポート 80、443、1099、および 8995 ~ 8996

3.5(x)

TCP ポート 80、443、1099、および 32768 ~ 61000(通常は、32768 ~ 32999 で十分)

たとえば、Single Sign-On(SSO)機能の場合、Agent と Active Directory サーバとの間の通信を可能にするには CAS とファイアウォール(存在する場合)で追加のポートを開く必要があります( 表 3-2 を参照)。 表 3-2 では、通信装置、影響を受けるポート、および各ポートの目的についての詳細を説明します。

 

表 3-2 ポートの用途

装置
通信装置
開くポート
目的

ファイアウォール(存在する場合)

CAM および CAS

TCP 8995、8996

TCP 1099

CAM と CAS 間の Java Management Extensions(JMX)通信(接続前メッセージと接続メッセージなど)

TCP 443

Agent/CAM/CAS 間の HTTP over Secure Sockets Layer(SSL)通信(Agent を介したエンド ユーザ マシンの修復)

TCP 80(バージョン 3.6.x 以前)

Agent/CAS/CAM 間の HTTP 通信 CAM からエンド ユーザ マシンへの Agent のダウンロードに使用

CAS および Agent

UDP 8905、8906

SWISS(Agent で CAS の UDP 検出に使用される独自の CAS-Agent 通信プロトコル)。レイヤ 2 ディスカバリの場合は UDP 8905 が使用され、レイヤ 3 ディスカバリの場合は 8906 が使用されます。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Connecting to the CAS Using the SWISS Protocol」を参照してください。

TCP 443

Agent/CAS/CAM 間の HTTP over SSL 通信(Web ログイン ページへのユーザのリダイレクションの場合など)

TCP 80(バージョン 3.6.x 以前)

Agent/CAS/CAM 間の HTTP 通信 CAM からエンド ユーザ マシンへの Agent のダウンロードに使用

CAS およびファイアウォール(存在する場合)

Agent(Windows OS)および Active Directory(AD)サーバ

TCP 88、135、389、445、1025、1026

UDP 88、389

AD SSO では次のポートを開く必要があります。

TCP 88(Kerberos)

TCP 135(RPC)

TCP 389(LDAP)または TCP 636(SSL を使用した LDAP)

ディレクトリ パーティションのより効率的な検索が可能になります。

TCP 445(Microsoft-SMB。たとえば、DC から PC へのパスワード変更の通知に必要)

TCP 1025(RPC):非標準

TCP 1026(RPC):非標準

AD サーバが Kerberos を使用しているかどうかがわからない場合は、次の UDP ポートを代わりに開く必要があります。

UDP 88(Kerberos)

UDP 389(LDAP)または UDP 636(SSL を使用した LDAP)

配置において LDAP サービスが必要な場合は、TCP/UDP 389(プレーン テキスト)ではなく TCP/UDP 636(SSL 暗号化を使用した LDAP)を使用します。

AD SSO の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。

NAT ファイアウォールの背後にある CAS の設定


注意 CAS と CMS の間に NAT ファイアウォールを配置する場合には、CAS はスタンドアロン モードであることが必要です。Cisco NAC アプライアンスでは、CAS HA ペアの信頼できる側に NAT ファイアウォールが配置されている場合、ハイ アベイラビリティ CAS ペアをサポートしていません。

CAS をファイアウォールの背後に導入する(CAS と CAM の間に NAT ルータがある)場合は、次のステップを実行して CAS にアクセスできるようにする必要があります。


ステップ 1 SSH またはシリアル コンソールを使用して CAS に接続します。 root ユーザとしてログインします。

ステップ 2 /perfigo/access/bin/ にディレクトリを変更します。

ステップ 3 2 つのファイル restartweb starttomcat を編集する必要があります。

ステップ 4 各ファイル内で CATALINA_OPTS 変数の定義を検索します。

ステップ 5 変数に -Djava.rmi.server.hostname=< caserver1_hostname > を追加し、 caserver1_hostname を変更対象サーバのホスト名で置き換えます。次の例を参考にしてください。

CATALINA_OPTS="-server -Xms64m -Xmx${MAX}m -Xincgc -Djava.util.logging.config.file=${CATALINA_HOME}/conf/redirect-log.properties -Dperfigo.jmx.context=${PERFIGO_SECRET} -Djava.security.auth.login.config=${CATALINA_HOME}/conf/sso-login.conf -Dsun.net.inetaddr.ttl=60 -Dsun.net.inetaddr.negative.ttl=10 -Djava.security.egd=file:/dev/urandom"
-Djava.rmi.server.hostname=caserver1”
 

ステップ 6 service perfigo restart コマンドを入力して、CAS を再起動します。

ステップ 7 配置内の CAS ごとに上記手順を繰り返します。

ステップ 8 SSH またはシリアル コンソールを使用して CAM に接続します。 root としてログインします。

ステップ 9 ディレクトリを /etc/ に変更します。

ステップ 10 次の行を追加して、hosts ファイルを編集します。

<public_IP_address> <caserver1_hostname> <caserver2_hostname>
 

値は次のとおりです。

< public_IP_address >:ファイアウォール外部からアクセス可能なアドレス

< caservern_hostname >:ファイアウォールの背後にある各 CAS のホスト名

これでファイアウォールの背後にある CAS がアドレス指定可能になります。


 

WAN(Wide Area Network)での接続

WAN を通じて CAM/CAS を配置する場合は、すべての CAM/CAS トラフィックと SNMP トラフィックを優先し、HA ペアのサービス IP アドレスに加えて CAM および CAS の eth0/eth1 IP アドレスを含める必要があります。

NIC カードの追加設定

コンフィギュレーション ユーティリティ スクリプトでは、CAM および CAS マシンに eth0(NIC1)および eth1(NIC2)インターフェイスがデフォルトで装備されていることを前提としていて、初期インストール中にこれらを設定する必要があります。ご使用のシステムにその他のネットワーク インターフェイス カード(NIC3、NIC4 など)がある場合は、次の手順で、これらのカード上のインターフェイス(eth2、eth3 など)を追加設定できます。通常、CAS システムをハイ アベイラビリティ(HA)構成に設定する場合は、eth2 を設定する必要があります。HA の場合、eth2(NIC3)インターフェイスに適切なアドレッシングを設定すれば、eth2 は HA-CAM/CAS の専用または冗長 UDP ハートビート インターフェイスとして設定できます。


) • 以下に示す手順では、Cisco NAC アプライアンス ハードウェアに NIC が装着され、「機能している」(BIOS および Linux によって認識されている)ことを想定しています。

NIC カードが BIOS に認識されていない場合(非アプライアンス サーバ マシンの場合など)は、メーカーの推奨に従って IRQ とメモリの設定を調整しなければならないこともあります。

BIOS が NIC を認識していれば、ソフトウェア(Linux)も自動的にその NIC を認識します。なんらかの理由で、NIC が BIOS に認識されているのに、Linux には認識されていない場合は、システムにログインし、kudzu を実行します。これによって、NIC の設定に役立つユーティリティが起動されます。


 

追加の NIC を設定する手順は、次のとおりです。


ステップ 1 NIC が Linux で認識されているか確認するには、 ifconfig eth n を入力します( n はインターフェイス番号)。たとえば、イーサネット インターフェイスが 2 つ(eth0 および eth1)内蔵されているシステムに NIC を追加する場合、 n は 2 です。したがって、 ifconfig eth2 と入力します。

ステップ 2 MAC アドレスや送受信カウンタなどのインターフェイス情報が表示されることを確認します。この場合、インターフェイスが Linux で認識されていて、使用できる状態です。

ステップ 3 次のディレクトリに変更します。

cd /etc/sysconfig/network-scripts
 

ステップ 4 次のように vi を使用して、インターフェイスの ifcfg-eth n ファイルを編集します。

vi ifcfg-eth2
 

ステップ 5 ファイルに次の行を追加し、 IPADDR NETMASK BROADCAST 、および NETWORK の値をネットワークの実際の値で置き換えます。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
 

ステップ 6 ファイルを保存し、システムをリブートします。これで、このネットワーク インターフェイスを HA に使用する準備が整いました。


 


) NIC カードが BIOS で認識されない場合は(アプライアンス以外のサーバ マシンの場合など)、製造元の推奨設定に従って、IRQ/メモリ設定を調整する必要があります。

BIOS で認識された NIC は、ソフトウェア(Linux)で自動的に認識されます。何らかの理由により、NIC が BIOS で認識されているにもかかわらず、Linux で認識されない場合は、システムにログインして kudzu を実行してください。NIC の設定を支援するユーティリティが起動します。



) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


HA の設定の詳細については、 第 4 章「ハイ アベイラビリティ(HA)の設定」 を参照してください。

CAM および CAS へのシリアル接続

ここでは、シリアル接続を通じて CAM および CAS のコマンドラインにアクセスする方法について説明します。


ステップ 1 管理コンピュータのシリアル ポートを、CAM または CAS の空いているシリアル ポートにシリアル ケーブルで接続します。


) CAM または CAS でハイ アベイラビリティ(フェールオーバー)が構成済みの場合は、シリアル ポートの 1 つがピア ハートビート接続用に使用中の可能性があります。そのような場合、シリアル接続を通じてピア CAM または CAS を管理するためには、マシンにシリアル ポートが 2 つ以上必要です。2 つ以上ない場合は、ピア接続のためにイーサネット ポートを使用できます。詳細については、「CAM のハイ アベイラビリティ ペアの導入」を参照してください。


ステップ 2 ワークステーションを CAM または CAS に物理的に接続したら、端末エミュレーション ソフトウェアを使用して、シリアル接続インターフェイスにアクセスします。以下の説明は、Microsoft® ハイパーターミナルを使用する場合の接続手順です。他のソフトウェアを使用する場合は、手順が異なることもあります。

ハイパーターミナルの接続の設定

ステップ 3 [ Start] > [Programs] > [Accessories] > [Communications] > [HyperTerminal] の順番にクリックすると、ハイパーターミナルのウィンドウが開きます。

ステップ 4 セッションの名前を入力し、[OK] をクリックします。

 

ステップ 5 [ Connect using] ドロップダウン リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(通常は COM1 または COM2)を選択し、[OK] をクリックします。

 

ステップ 6 [Port Settings] を次のように設定します。

[Bits per second]:9600

[Data bits]:8

[Parity]:なし

[Stop bits]:1

[Flow control]:なし

ステップ 7 [File] > [Properties] を選択し、セッションのプロパティ ダイアログを開き、[Emulation] の設定を VT100 に変更します。

ステップ 8 これで、CAM または CAS のコマンド インターフェイスにアクセスできるようになります。次の作業に進んでください。

「CD-ROM からの CAM ソフトウェアのインストール」

「CD-ROM からの CAS ソフトウェアのインストール」

「CAM の初期設定の実行」

「CAS の初期設定の実行」


) すでに初期インストールが実行済みで、元の設定値を変更する必要がある場合は、root としてログインし、service perfigo config コマンドを実行します。



 

Cisco NAC アプライアンス CAM/CAS でのブート設定の設定

CAM または CAS が CD-ROM ドライブ上のソフトウェアを読み込まず、代わりにハード ディスクからブートしようとする場合は、CD からイメージの再作成やアプライアンスのアップグレードを行う前に、次の手順に従って CD-ROM からブートするようにアプライアンスを設定します。


ステップ 1 システムのブート中に F10 キーを押します。

ステップ 2 ブート メニューが表示されます(図 3-12)。

図 3-12 ブート メニュー

 

ステップ 3 メニューから [CD-ROM Drive] を選択してプラス(+)キーを押し、CD ROM からブートするように設定を変更します(図 3-13)。

図 3-13 CD-ROM ドライブからのブート

 

ステップ 4 F10 キーを押し、保存して終了します。


 

CAM/CAS 関連で役立つ CLI コマンド

ここでは、CAM および CAS 用の CLI コマンドについて説明します。

「CAM CLI コマンド」

「CAS CLI コマンド」

CAM CLI コマンド

CAM の管理タスクの大部分(動作の設定など)を Web 管理コンソールを介して実行するとともに、CAM の起動やリブートなどの操作を実行できます。ただし、場合によっては、ネットワークまたは VLAN の設定が正しくないために Web 管理コンソールを利用できない場合など、CAM の設定に直接アクセスすることが必要なことがあります。Cisco NAC アプライアンスのコマンドライン インターフェイス(CLI)を使用すれば、CAM で基本的な動作パラメータを直接設定することができます。

CLI コマンドを実行するには、SSH を使用して CAM にアクセスし、ユーザ root でログインし、対応するパスワードを入力します。すでに CAM にシリアルで接続している場合は、 root でログインしたあとにターミナル エミュレーション コンソールから CLI コマンドを実行することができます(「CAM の接続」を参照)。コマンドラインからコマンドを入力するには、 service perfigo <command> の形式を使用します。 表 3-3 に、頻繁に使用する Cisco NAC アプライアンスの CLI コマンドの一覧を示します。

 

表 3-3 CLI コマンド

コマンド
説明
service perfigo start

アプライアンスを起動します。CAM がすでに稼動している場合は、警告メッセージが表示されます。このコマンドを実行するには、CAM が停止していなければなりません。

service perfigo stop

Cisco NAC アプライアンスのサービスをシャットダウンします。

service perfigo restart

Cisco NAC アプライアンスのサービスをシャットダウンし、再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。

の使用を推奨します。

service perfigo reboot

マシンをシャットダウンし、再起動します。Linux の reboot コマンドも使用できます。

service perfigo config

コンフィギュレーション スクリプトを起動します。このスクリプトで CAM の設定を変更できます。 service perfigo config が完了したら、CAM を再起動する必要があります。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。

CAM の電源オフ

CAM の電源をオフにする場合は、SSH を介して接続している間に、次のいずれかを実行します。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。

初期設定の再起動

コンフィギュレーション スクリプトを起動するには、SSH を介して接続した状態で service perfigo config と入力します。例: [root@camanager root]# service perfigo config

このコマンドにより、コンフィギュレーション ユーティリティ スクリプトが起動します(CAS または CAM のどちらでも)。スクリプトでは CAM 用のネットワーク設定を構成します(手順については、「CAM の初期設定の実行」を参照してください)。 service perfigo config を実行し完了した後、必ず、 service perfigo reboot または reboot を実行し、修正済みの設定で CAM をリセットします。


) コマンドライン ユーティリティを使用して、自動および手動によるバックアップ スナップショットからデータベースを復元する方法については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』を参照してください。


CAS CLI コマンド

CAM Web 管理コンソールを使用すれば、Cisco NAC アプライアンスの導入に必要なタスクをほとんど実行できます。しかし、以下の 2 つの場合には、CAS のコマンドライン インターフェイスを使用できるか使用する必要があります。

CAS の初期設定のために 「Cisco NAC アプライアンスの CAS CLI コマンド」 を使用して CAS の設定に直接アクセスする場合や、ネットワークまたは VLAN の設定が正しくないために Web 管理コンソールが使用できない場合。

Cisco NAC Profiler ソリューションを購入した場合は、 「NAC Profiler 用の CAS CLI コマンド」 を使用して Cisco NAC Profiler Collector アプリケーションを CAS 上で有効にします。

CLI コマンドを実行するには、SSH を使用して CAS にアクセスし、ユーザ root でログインし、root ユーザのパスワードを入力します。すでに CAS にシリアルで接続している場合は、 root でログインしたあとにターミナル エミュレーション コンソールから CLI コマンドを実行することができます(「CAM の接続」を参照)。

Cisco NAC アプライアンスの CAS CLI コマンド

コマンドラインからコマンドを入力するには、 service perfigo <command> の形式を使用します。 表 3-3 に、頻繁に使用する Cisco NAC アプライアンスの CLI コマンドの一覧を示します。

 

表 3-4 CAS 用の Cisco NAC アプライアンスの CLI コマンド

コマンド
説明
service perfigo start

CAS を起動します。CAS がすでに稼動している場合は、警告メッセージが表示されます。このコマンドを実行するには、CAS が停止していなければなりません。

service perfigo stop

Cisco NAC アプライアンスのサービスをシャットダウンします。

を使用することもできます。

service perfigo maintenance

このコマンドを実行すると CAS がメンテナンス モードになります。メンテナンス モードでは、基本的な CAS ルータだけが動作し、VLAN タグ付きパケットの処理が継続されます。このコマンドを使用すると、管理 VLAN を通じた通信が可能になります。このコマンドは、CAS がトランク モードで、ネイティブ VLAN が管理 VLAN とは異なる環境での使用を想定しています。

を使用して、サービスを停止することができます。

service perfigo platform

このコマンドを使用すると、CAS が標準の CAS アプライアンスなのか、Cisco ISR ルータ シャーシに設置されている Cisco NAC ネットワーク モジュールなのかを判別できます。出力では、プラットフォーム設定として APPLIANCE または NME-NAC が表示されます。

詳細と設定情報については、『 Getting Started with Cisco NAC Network Modules in Cisco Access Routers 』および『 Installing Cisco Network Modules in Cisco Access Routers 』を参照してください。

service perfigo restart

Cisco NAC アプライアンスのサービスをシャットダウンし、再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。

を実行します。

service perfigo reboot

マシンをシャットダウンし、再起動します。Linux の reboot コマンドも使用できます。

service perfigo config

コンフィギュレーション スクリプトを起動します。このスクリプトで CAS コンフィギュレーションを変更できます。 service perfigo config が完了したら、CAS を再起動する必要があります。スクリプトの使用法については、「CAM の初期設定の実行」を参照してください。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。

NAC Profiler 用の CAS CLI コマンド

CAS には、Cisco NAC Profiler Collector コンポーネントのデフォルトのバージョンが付属しています。Cisco NAC Profiler Collector を Cisco NAC Profiler ソリューションと統合するときには、個別に有効にして設定する必要があります。 表 3-5 に、Cisco NAC Profiler Collector サービス向けに CAS 上で実行される CLI コマンドの一覧を示します。Cisco NAC Profiler ソリューションの詳細は、『 Cisco NAC Profiler Installation and Configuration Guide 』および『 Release Notes for Cisco NAC Profiler 』を参照してください。


) CAS 上の Collector のバージョンを表示するには、Collector サービスが稼動している CAS に SSH で接続し、rpm -q Collector と入力します。


 

表 3-5 CAS 用の Cisco NAC Profiler Collector CLI コマンド

コマンド
説明

service collector start

CAS 上で Collector サービスを開始します。

service collector stop

CAS 上で Collector サービスをシャットダウンします。

service collector verify

CAS 上で実行中の設定済み Collector サービスを表示します。

Collector Network Configuration
Collector Name = bcas1-fw
Connection Type = server
Listen on IP = 10.40.1.10
Network IP ACL
127.0.0.1
10.10.0.211
10.10.0.210
10.10.0.212
Port Number = 31416
Encryption type = AES
Shared secret = profiler

service collector status

CAS 上の個別の Collector モジュールの実行ステータスを表示します。例:

Profiler Status
o Server Not Installed
o Forwarder Running
o NetMap Running
o NetTrap Running
o NetWatch Running
o NetInquiry Running
o NetRelay Running

service collector restart

CAS 上で Collector サービスを停止して再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。

service collector config

Collector サービスの設定スクリプトを起動し、Cisco NAC Profiler Server との通信を可能します。次の例を参考にしてください。

[root@caserver12 /]# service collector config
Enable the NAC Collector (y/n) [y]:
Configure NAC Collector (y/n) [y]:
Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [client]:
Connect to IP [127.0.0.1]: 192.168.96.20
Port number [31416]:
Encryption type (AES, blowfish, none) [AES]: none
Shared secret []: cisco1232
-- Configured caserver12-fw
-- Configured caserver12-nm
-- Configured caserver12-nt
-- Configured caserver12-nw
-- Configured caserver12-ni
-- Configured caserver12-nr
 
NAC Collector has been configured
 

インストールと設定の詳細は、『 Cisco NAC Profiler Installation and Configuration Guide 』を参照してください。

CAM/CAS コンフィギュレーション ユーティリティの手動での再起動

インストール後に設定をリセットする必要がある場合、またはコンフィギュレーション ユーティリティを手動で起動する必要がある場合は、CAS または CAM のいずれかで service perfigo config CLI コマンドを発行します。 service perfigo config を使用する場合は、設定終了後に service perfigo reboot または reboot を入力してマシンをリブートする必要があります。


ステップ 1 ダイレクト コンソール接続、シリアル接続、または SSH を使用して、CAS または CAM に接続します。

ステップ 2 正しいパスワードを使用して root としてログインします。

ステップ 3 service perfigo config コマンドを入力します。

ステップ 4 デフォルト値を使用するか、すべてのプロンプトに新しい値を入力します(「CAM の初期設定の実行」または「CAS の初期設定の実行」を参照)。

ステップ 5 設定が終了したら、 service perfigo reboot または reboot を入力してマシンをリブートします。


 

インストールに関するトラブルシューティング

ここでは、トラブルシューティングに関する次の内容について説明します。

「CAM/CAS での現在のマスター シークレットの確認/変更」

「破損したマスター シークレットからの回復」

「NIC ドライバがサポートされていない」

「CAS の設定のリセット」

「Internet Explorer バージョン 6 での TLSv1 のイネーブル化」


) CAM/CAS 内の FIPS カードが正常に動作しない場合は、『Release Notes for Cisco NAC Appliance, Version 4.7(1)』の「FIPS and SSH」の機能拡張の説明に従って、FIPS カードの動作スイッチが「O」(動作モード)に設定されているか確認します。FIPS カードの動作が引き続き正常でない場合は、シスコシステムズにアプライアンスの RMA を依頼し、アプライアンスを新しい Cisco NAC-3315/3355/3395 プラットフォームと交換する必要があります。詳細については、『Cisco NAC Appliance Service Contract/Licensing Support』の「Cisco NAC Appliance RMA and Licensing」を参照してください。


トラブルシューティングに関する詳細は、最新版の リリース ノート を参照してください。

CAM/CAS での現在のマスター シークレットの確認/変更

CAM および CAS ではローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。HA 構成内で HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。CAM/CAS マスター シークレットが HA 構成内のピアと異なると考えられる場合、次のように CAM/CAS HA ピアでマスター シークレットの確認および変更を行うことができます。


ステップ 1 HA プライマリ CAM/CAS の CLI に「root」としてログインします。

ステップ 2 cat /root/.perfigo/master と入力し、その CAM/CAS のマスター シークレット シグニチャを記録します。

ステップ 3 HA セカンダリ CAM/CAS の CLI に「root」としてログインし、同じ cat /root/.perfigo/master コマンドを入力します。

ステップ 4 2 つの CAM/CAS マスター シークレット シグニチャが異なる場合、 service perfigo config を使用して、誤ったマスター シークレットを持つ CAM/CAS を再構成します。マスター シークレット(HA ペアの場合、HA ペア内の他方のアプライアンスと一致するよう指定する)以外の設定はすべて前の値を使用します。

a. HA セカンダリ CAM/CAS で service perfigo stop と入力します。

b. HA プライマリ CAM/CAS で service perfigo stop と入力します。

c. service perfigo config と入力して、誤ったマスター シークレットを持つ CAM/CAS を「再構成」します(初期設定が完了したら、さらにアプライアンスをリブートする必要があります)。

d. service perfigo start を入力して、HA プライマリ CAM/CAS を起動します。

e. HA プライマリ CAM/CAS が起動したら、 service perfigo start を入力して HA セカンダリ CAM/CAS を起動します。

約 5 分後、HA セカンダリ CAM は HA プライマリと自動的に同期します。


 

破損したマスター シークレットからの回復


) この手順は、スタンドアロンと HA CAM および CAS に適用されます。この手順を破損状態にあるマスター シークレットを持つ HA CAM/CAS に使用するには、HA 構成内の両方のピアを起動して「スタンドアロン」状態にしたあとで、破損状態のマスター シークレットから回復するのに必要な手順を実行します。


マスター シークレットが変更され(たとえば、 service perfigo config を使用することにより)、CAM/CAS データベースが、異なるマスター シークレットを持つピア CAM/CAS から同期されると、データベースは破損状態になりアプライアンスは使用できなくなります。この状態から復元するには、次の手順を実行します。


ステップ 1 破損状態のマスター シークレットを持つ CAM/CAS の CLI に「root」としてログインします。

ステップ 2 影響を受けた CAM/CAS から /root/.perfigo/master ファイルを削除します。

ステップ 3 service perfigo config を使用して、CAM/CAS の初期設定を再構成します。マスター シークレット(HA ペアの場合、HA ペア内の他方のアプライアンスと一致するよう指定する)以外の設定はすべて前の値を使用します。

ステップ 4 HA ペアの一部として配置された場合、HA プライマリ CAM/CAS を起動し、次に HA セカンダリ CAM/CAS を起動します。アクティブ CAM とスタンバイ CAM との間でデータベース同期が自動的に行われ、データベースとファイル システムの両方に適切なマスター シークレットが復元されます。


 

NIC ドライバがサポートされていない

詳細は、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「Troubleshooting Network Card Driver Support Issues」を参照してください。

CAS の設定のリセット

ネットワーク、SSL 証明書、または VLAN 設定が不正なために CAM から CAS に到達できない場合は、CAS の設定をリセットできます。設定をリセットすると、CAS 設定がインストール時の状態に戻ります。インストール後に設定された設定値は失われます。

設定をリセットする手順は、次のとおりです。


ステップ 1 SSH を使用して CAS に接続します。

ステップ 2 env ファイルを削除します。

# rm /perfigo/access/bin/env

ステップ 3 次のコマンドを使用して、リブートします。

# service perfigo reboot

これで、CAM に CAS を追加できます。『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。


 

Internet Explorer バージョン 6 での TLSv1 のイネーブル化

Web コンソール および クライアント マシンのブラウザ(FIPS 準拠の Cisco NAC アプライアンス リリース 4.7(0) ネットワークにアクセスする)を介して CAM/CAS を管理する Cisco NAC アプライアンス ネットワーク管理者は、ネットワークと「対話」するために TLSv1(Microsoft Internet Explorer バージョン 6 においてデフォルトでディセーブルになっている)をイネーブルにする必要があります。

IE バージョン 6 で、この設定を探しイネーブルにするには、次の手順を実行します。


ステップ 1 [Tools] > [Internet Options] に進みます。

ステップ 2 [Advanced] タブを選択します。

ステップ 3 下方にスクロールして、[Security] の [Use TLS 1.0] オプションを探します。

ステップ 4 チェックボックスをオンにして、[Use TLS 1.0] オプションをイネーブルにします。[Apply] をクリックします。

ステップ 5 必要に応じて、ブラウザを閉じ、新たに開きます。TLS 1.0 オプションが自動的にイネーブルになっているはずです。


 


) Mozilla Firefox では、この制限はありません。


NAC アプライアンスの電源切断

CAM/CAS の電源をオフにする場合は、コンソール/SSH を介して接続している間に、次のいずれかを実行します。このようにすると、CAM の電源切断中にデータベースが破壊されなくなります。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。