Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC アプライアンスとの統合
Cisco NAC アプライアンスとの統合
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC アプライアンスとの統合

概要

Cisco NAC アプライアンス統合の設定

Profiler Server 設定

SSH キーベース認証の設定

スタンドアロン Profiler Server

HA Profiler Servers

NAC イベントの作成

Cisco NAC Profiler と CAM デバイス フィルタ リスト(Device Filter List)の同期

同期および手動で作成/編集されたフィルタ リスト エントリ

Cisco NAC Profiler/Cisco NAC アプライアンスの統合の確認

NAC イベント リストの表示/編集

Cisco NAC アプライアンス統合のトラブルシューティング

ネットワーク通信の確認

統合デバッグ ログ

その他の潜在的な問題

Custom API 機能の使用

シナリオ A:Cisco NAC アプライアンス 4.0、アクセス タイプ CHECK および IGNORE

シナリオ B:Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2、アウト オブ バンド展開

シナリオ C:Cisco NAC アプライアンス 4.1.3、アウト オブ バンド展開

実装の手順

概要

Cisco NAC Profiler は Cisco NAC アプライアンスと密に統合できます。エンドポイント プロファイリングおよび動作モニタリングと Cisco NAC アプライアンスとの統合により、エンタープライズ ネットワーク内での Cisco NAC アプライアンスの展開と継続的な運用において明確ないくつかの利点が得られます。Cisco NAC Profiler によって管理上の負担は大幅に軽減され、さらに自動的またはユーザ入力を介して Cisco NAC アプライアンスと連携できないエンドポイント タイプの安全かつ信頼できる処理を大幅に改善できます。NAC 非対応のエンドポイントの例としては、プリンタ、UPS、IP 電話、HVAC コントロール システムに加え、アドミッション コントロール システムによるチャレンジ時にクレデンシャルを送信するための手段を持たないかプロセスを駆動するユーザを持たないその他無数のエンドポイントが挙げられます。

Cisco NAC アプライアンス システムは、プリンタや他のデバイスなど非 NAC エンドポイントを扱うための組み込みの機能を備えています。デスクトップやラップトップ コンピュータなどのユーザ デバイスと同じ方法で Cisco NAC アプライアンスと連携できないデバイスを識別して、Clean Access Manager(CAM)内のテーブルに追加できます。CAM の [Device Management] セクションからアクセス可能なこのテーブルは、一般的にデバイス フィルタ リスト(Device Filter List)と呼ばれています。デバイス フィルタ リスト(Device Filter List)は、ネットワークへの許可のために、Cisco NAC アプライアンス システムによって特別な処理が必要であるとわかっているエンドポイント(MAC アドレス単位)のリストとともに実装されます。

CAM のデバイス フィルタ リスト(Device Filter List)に追加される MAC アドレスを持つエンドポイントは、これらのデバイスがネットワークへの参加時に NAC システムによって例外で処理されます。デバイス フィルタ リスト(Device Filter List)上のデバイスは、認証とポスチャ アセスメントをバイパスするための与えられたオプションです。これにより、認証する機能において固有の制限を持つエンドポイント、または NAC 対応のネットワークに信頼と安全とともに許可されるポスチャ アセスメントを持つエンドポイントが実現します。

Cisco NAC Profiler がないときには、デバイス フィルタ リスト(Device Filter List)のエンドポイントのエントリの初期の実装および継続的な管理は Cisco NAC アプライアンスの展開時に手動で処理されます。このプロセスには MAC アドレスによるエンドポイントの識別が必要になるだけではなく、目的の許可ポリシーとともにデバイス フィルタへの各デバイスの手動による追加が必要になります。企業環境においてはデバイス フィルタ リスト(Device Filter List)の手動による管理から生じる、管理上の負担とエラーの可能性は高くなります。また、リストがデイリー ベースに近い頻度で提供されないと、デバイスが廃棄されたり、あるいはデバイスが環境から削除されたりしたために、デバイス フィルタ リスト(Device Filter List)のエンドポイント情報が最新のものではなくなる状況の場合にも、エラーが発生する可能性があります。デバイス フィルタ リスト(Device Filter List)の各エンドポイントは、それらの MAC アドレスがリスト上に存在する限り、ネットワークへのアクセスが許可される可能性があり、また Cisco NAC アプライアンス ソリューションにはこれらのデバイスのアクティビティを取り締まる組み込みのメカニズムは存在しないため、Cisco NAC Profiler ソリューションでは、エラーが発生しやすい継続的で集中的になり得る手動の介入に対するニーズを軽減します。

Cisco NAC Profiler と Cisco NAC アプライアンスとの統合により、NAC 対応ネットワークへの信頼できる安全なアクセスを提供する機能が大幅に高まり、また管理上の負担が大幅に軽減されます。Cisco NAC Profiler は、非常に正確かつ自動的で非横断的な方法で Cisco NAC アプライアンスが展開される全体のネットワーク環境を通じて、非 NAC エンドポイントの自動検出と検索を実現します。

Cisco NAC Profiler のプロファイルは、デスクトップやラップトップ コンピュータなどの NAC エンドポイントと、非 NAC エンドポイントを分離するように設計できます。非 NAC エンドポイントは、Cisco NAC アプライアンスと Cisco NAC Profiler の統合を通じて CAM のデバイス フィルタ リスト(Device Filter List)に自動的に追加できます。各エンドポイントは発見され、そして NAC 管理下のエッジ ポートを通じてネットワークへの接続を試みる可能性がある非 NAC エンドポイントのために作成される各プロファイルに分類されます。

同様に重要なこととして、Cisco NAC Profiler は、デバイス フィルタ リスト(Device Filter List)からデバイスを削除する機能を備えています。この機能は Cisco NAC Profiler の動作モニタリング機能から提供されます。Cisco NAC Profiler は、特定のオペレーティング システムのエンドポイントまたはマーカーにより生成されるアプリケーション固有のネットワーク トラフィックなどのエンドポイントの動作の監視可能な属性を、常にモニタリングします。監視によりプロファイルの変更を保証する動作が示された場合、Cisco NAC Profiler は新しいプロファイルにエンドポイントを再分類します。新しいプロファイルが NAC 対応のエンドポイントを分類するためにデザインされたものである場合、Cisco NAC Profiler は関連付けられた MAC アドレスを CAM のデバイス フィルタ リスト(Device Filter List)から削除します。エントリがフィルタ リストから削除されると、割り当てられているネットワーク アクセス権限はすべて破棄されます。該当のエンドポイントがネットワーク アクセスを取り戻すには、完全な NAC 認証と、NAC 対応のエンドポイント用に規定されているポスチャリングを受ける必要があります。基本的にこの機能は、エンドポイントの動作として言い表すことができる 1 つのクレデンシャルであるデバイス フィルタ リスト(Device Filter List)のエンドポイントの MAC アドレスとは別のクレデンシャルを、Cisco NAC アプライアンス ソリューションに追加します。Cisco NAC Profiler は、デバイス フィルタ リスト(Device Filter List)の個々のエンドポイントの動作を常にモニタリングします。これにより、現在の動作は、完全な NAC 認証とポスチャリングなしで該当のエンドポイントがネットワーク許可を持つことになった以前の監視状態の動作と一貫性を保つことになります。

また Cisco NAC Profiler は、ネットワーク上のアクティビティについてデータベースの個々のエンドポイントのモニタリングも行います。エンドポイントの MAC アドレスから提供されるネットワーク トラフィックにおける長い時の流れによって示される、また Cisco NAC Profiler により監視される、ネットワークから削除されたエンドポイントもまた、プロファイルの変更を引き起こし、デバイス フィルタ リスト(Device Filter List)から削除される可能性があります。このようにして Cisco NAC Profiler は、ライフサイクル全体を通じて Cisco NAC アプライアンス システム管理のこの側面の自動化に際してもはや使用されていないデバイスのエントリをデバイス フィルタ リスト(Device Filter List)から継続的に削除できます。

まとめると、Cisco NAC Profiler と Cisco NAC アプライアンスの組み合せにより、ネットワークのすべてのエンドポイントに対して非常に効率的な NAC システムを生み出すことができるということです。Cisco NAC アプライアンスと連携できるエンドポイントと、Cisco NAC アプライアンスと連携できないエンドポイントの双方が効率的に処理されます。Cisco NAC Profiler により、非 NAC エンドポイントの処理に必要とされる管理上の負担は大幅に軽減され、またエンドポイント ネットワークの動作の監視が提供され、さらにネットワーク ポリシーとの一貫性が保証されます。

Cisco NAC アプライアンス統合の設定

Cisco NAC Profiler と Cisco NAC アプライアンスの統合の設定は、2 つの明確なステップで構成されます。


ステップ 1 Profiler Server が Cisco NAC アプライアンス API を介して CAM サービスと通信するのに必要な情報と、以降で説明する同期機能の目的のために SSH キーベース認証を設定するのに必要な情報を Profiler Server に提供します。

ステップ 2 NAC イベントと呼ばれる特別な Cisco NAC Profiler イベント タイプを設定します。 第 10 章「Cisco NAC Profiler Events の設定」 のNAC イベント定義で述べられている特殊用途のプロファイル変更イベントであり、CAM のデバイス フィルタ リスト(Device Filter List)から MAC アドレスの追加や削除の決定を行う際のシステムのロジックを定義します。


 

Profiler Server 設定

このワークフローにおける最初のタスクは、API を介して Cisco NAC Profiler と CAM の間の通信を可能にするために、Cisco NAC アプライアンス システムの CAM についての必要な情報を Cisco NAC Profiler のサーバ モジュールに提供することです。このステップを開始する前にまず、以下のような Cisco NAC アプライアンス設定に関する必要な情報を収集します。

CAM の DNS 名または IP アドレス(CAM HA ペアの場合、CAM HA ペア サービス(VIP)の DNS 名または IP アドレス、および CAM HA ペア セカンダリ サービスの DNS 名/IP アドレスが必要になります)

CAM Web 管理者のユーザ名とパスワード

NAC のバージョン

ロールまたはチェック アクセス タイプとともにデバイス フィルタ エントリを追加する際にだけ適用される、非 NAC エンドポイントに割り当てられる可能性がある NAC ロール

NAC Profiler の DNS ドメイン名(代わりに Cisco NAC Profiler の IP アドレスも使用可能だが、推奨はできない)

Cisco NAC アプライアンスとの統合に必要な Profiler Server パラメータを設定するには、[Configuration] タブに移動し、[NAC Profiler Modules]、[List NAC Profiler modules]、そしてサーバ モジュール名を順番に選択し、[Configure Server] フォームを起動します。「External reference」 という名前のパラメータまでフォームを下にスクロールし、Cisco NAC Profiler の DNS ドメイン名または IP アドレスを入力します。図 11-1 に、環境用のパラメータのエントリに先がけて、[Configure Server] フォームの NAC 固有のパラメータが表示されます。

図 11-1 Profiler と Cisco NAC アプライアンスとの統合のためのサーバ パラメータ

 

以下のパラグラフは、これらのパラメータのそれぞれの目的を概説し、該当の部分の設定の完了をガイドします。

[External Reference]

管理インターフェイス Profiler Server の DNS ドメイン名(推奨)または IP アドレスを入力します。ここに入力される DNS ドメイン名または IP アドレスは、NAC Profiler によって CAM デバイス フィルタ リスト(Device Filter List)に作成される各エントリの説明フィールド内に埋め込まれる Web リンクのために使用されます。これらの Web リンクにより、管理者は Cisco NAC Profiler を参照して、CAM インターフェイスからデバイス フィルタ リスト(Device Filter List)に直接入れられたエンドポイントについてより多くの詳細を簡単に見つけることができます。

NAC Profiler が Ha ペアとして実行される NAC Profiler 実装では、これは HA ペア VIP/サービス DNS ドメイン名または IPアドレスになります。

[Username]

Clean Access Manager(CAM)サーバに設定されている有効な管理者ユーザ名を入力します。NAC Profiler はこの名前を使用して、Cisco NAC アプライアンス API を介した CAM への管理者レベル アクセスを取得します。


) API レベルの管理アクセス権限しか持たない管理者ユーザを、Cisco NAC Profiler 統合に固有の CAM に作成できます。API レベルのアクセス権しか持たない CAM 管理者ユーザを作成する方法については、適用可能な『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』を参照してください。管理者ユーザにはフル コントロールの API アクセス権を与える必要があるということに注意してください。


[Password]

Cisco NAC アプライアンス API へのアクセス時に Cisco NAC Profiler により使用される、上記で指定された CAM の管理者ユーザに割り当てられたパスワードを入力します。

[Address]

CAM の DNS ドメイン名を入力します。DNS が Cisco NAC Profiler 用にセットアップされていない場合、または DNS アドレス レコードが CAM 用に作成されていない場合、代わりに CAM の IP アドレスを入力することも可能です。

CAM が HA ペアとして展開される場合、Server 設定には以下のカンマ区切り形式の DNS ドメイン名または IP アドレスを指定する必要があります。

CAM HA ペア サービス(VIP)

CAM HA ペア セカンダリ ノード

[Version]

ドロップダウン メニューから展開される NAC バージョンを選択します。

[Allow only additions to CAM Filter List]

選択されている場合、NAC Profiler は CAM のフィルタ リストを以下の方法で管理します。NAC Profiler によってフィルタ リストにエントリが作成されたら、Profiler は該当エントリの削除もエンドポイントのアクセス タイプの修正も 行いません 。実際、このオプションを選択することにより、NAC Profiler の動作モニタリング機能は無効になります。

ここで注意したいのはこのオプションが選択されていても、NAC Profiler はフィルタ リストの説明フィールドに対する変更を依然として行うことができるということです。特にエンドポイントの説明に記録されているプロファイルを変更すると、その動作が変更されることになります。このオプションにより、プロファイルの変更の結果が変更されます。動作の変更により、トランジションのエンドポイントのネットワークへのアクセス権は破棄または修正されません。

[Perform Synchronization during ‘Update Modules']

このオプションは、Cisco NAC Profiler と Cisco NAC アプライアンスの間の同期機能の動作を制御します。選択されている場合、[Apply Changes] -> [Update Modules]、または [Apply Changes] -> [Re-model] が Profiler Server で実行時に、NAC Profiler と CAM の間で「Cisco NAC Profiler と CAM デバイス フィルタ リスト(Device Filter List)の同期」の説明にあるような完全な同期が実行されます。

このパラメータの設定に関係なく、NAC イベント ルール同期は、「NAC イベントの作成」の説明にあるように常に利用可能です。

[Custom API]

このチェックボックスは、カスタマイズされた代替の Cisco NAC アプライアンス API の使用を可能にする際に使用します。この高度な機能は、NAC Profiler ソフトウェアのアップグレードを伴うリリース ノートで指定されている場合に限り、またはシスコ システムズ テクニカル サポートによる指示がある場合に限り、有効にするようにします。

[Verbose Logging]

必要に応じてこのチェックボックスを使用して、詳細なロギングを有効にします。[Verbose Logging] を有効にすると、Cisco NAC アプライアンス API とのすべての連携(通常の動作とエラーの両方)がログされることになります。デフォルトではエラーだけがログされます。これらのログを表示する手順については次のセクションで述べます。

[NAC Roles]

非 NACエンドポイントにプロビジョニングされるネットワーク アクセスが Cisco NAC アプライアンス User Role 構成を介して区別される場合に限り、このフィールドが必要になります。CAM フィルタ テーブルの各エントリは、該当のエンドポイントに適用されるネットワーク アクセスのタイプを示す Access Type 属性を持っています。NAC Profiler が Use Role または Check のアクセス タイプによってエントリを追加することになる場合、このフィールドを埋めて、非 NAC エンドポイントへの割り当てが可能な Cisco NAC アプライアンス システムに定義されるすべてのユーザ ロールをリストアップする必要があります。NAC Profiler が Ignore、Allow、Deny のアクセス タイプによってエントリを追加するだけならば、このフィールドはブランクのままにします。

詳細、およびアクセス タイプとユーザ ロールについては、『 Cisco NAC Appliance- Clean Access Manager Installation and Configuration Guide 』および「NAC イベントの作成」を参照してください。

これらのステップが完了すると、Cisco NAC Profiler と Cisco NAC アプライアンスの統合のための Server モジュール設定が完了します。フォームの下にある [Update Server] ボタンを選択し、設定に対する変更を保存します。次に [Profiler Events] ページに進み、[Create NAC Events] を選択し、「NAC イベントの作成」の説明にあるように設定ワークフローの 2 番目のステップを完了させます。

SSH キーベース認証の設定

NAC イベントの定義に進む前にこのステップを完了させて、同期機能のために使用される Profiler Server モジュールと Cisco NAC アプライアンス Clean Access Manager(CAM)の間の安全な通信をセットアップします。

スタンドアロン Profiler Server

Profiler Server がスタンドアロン モードにある場合、SSH を介してユーザ名 beacon として Profiler Server にログオンし、以下のコマンドを実行します。

[beacon@beacon ~]$ cd /usr/beacon/etc
[beacon@beacon ~]$ # sh setup-CAM-key-auth.sh
 

画面上に示される手順に従い、SSH キーベース認証の設定を完了させます。

HA Profiler Servers

Profiler Server を HA ペアとして展開する場合、HA ペアの両方のメンバにおいてこの手続きを完了させる必要があります。以下のように進めます。


ステップ 1 HA NAC Profiler ペアの VIP/Service IP に対して SSH セッションを開始することによって現在の Primary アプライアンスへの SSH を実行します。

ステップ 2 以下のコマンドを入力します。

[beacon@beacon ~]$ cd /usr/beacon/etc
[beacon@beacon ~]$ # sh setup-CAM-key-auth.sh
 

ステップ 3 管理インターフェイス(eth0)を介してペアの Secondary メンバへの SSH を実行します。

ステップ 4 Primary から Secondary にファイルをコピーすることによって統合設定ファイルがカレントになるようにします。

cd /usr/beacon/config
scp PRIMARY_IP:/usr/beacon/config/cleanaccess.conf
 

ステップ 5 以下のコマンドを入力します。

[beacon@beacon ~]$ cd /usr/beacon/etc
[beacon@beacon ~]$ # sh setup-CAM-key-auth.sh
 

CAM へのログイン試行時に長い遅延が生じる場合、これは Profiler Server および/または CAM がネーム サーバ(DNS リゾルバ)によって設定されなかったことを示します。

CAM と Profiler Server の双方について DNS 名前解決を設定するようにします(NAC Profiler にネーム サービスを設定するには etc/resolv.conf を編集します。CAM の場合には Web インターフェイスを利用します)。DNS が利用可能ではない場合や望ましくない場合には、代わりに各システムの個々のネイバーのための IP アドレス-名前マッピングを作成し、各エントリを /etc/hosts ファイルに追加できます(これにより、Profiler Server のホスト ファイルに CAM エントリを追加し、CAM ホスト ファイルに Profiler Server エントリを追加します)。

Server モジュール設定における CAM の Address パラメータが絶え間なく変わる場合(IP から DNS に、また DNS から IP に、あるいは別のアドレスに)、このセクションで説明しているように SSH セットアップ スクリプトの再実行が必要になります。

NAC イベントの作成

NAC イベントの作成を通じて、Cisco NAC Profiler は CAM へのフィルタ リストの読み込みとその管理に必要な情報によって設定されます。定義される個々の NAC イベントは、エンドポイントの特定のサブセットのために提供されるタイプ エンドポイント アクセスを示します。それは NAC Profiler が 1 つ以上のプロファイルの対象に分類したエンドポイントです。通常、これらのプロファイルは、NAC 対応ではないと知られているデバイスを含んだプロファイルになります(非 NAC エンドポイントについては、本章の冒頭部分を参照してください)。NAC イベントは基本的に、CAM のホワイト リストを介して対応の必要があるプロファイルを明示することによって、NAC Profiler が CAM へのフィルタ リストの 読み込み とその 管理 を行えるように設定します。このレベルでの NAC Profiler と Cisco NAC アプライアンスとの統合では、最初の章で示しているようにエンドポイント プロファイリングおよび動作モニタリングの機能をフルに利用します。

一般的に各 NAC イベントは、CAM に読み込まれるデバイスを示す各プロファイルのシステム構成に追加されます。プロファイルは名前で示されます。代わりに以下で詳述するように、正規表現(ワイルドカード表現と似ているがこちらのほうがずっと柔軟性が高い)の使用を介してこれらのプロフィル名とマッチさせることにより、複数のプロファイルを同じ NAC イベントによって処理できます。

NAC イベントを作成するには、[Profiler Events] テーブルの [Create NAC Events] リンクを選択します。図 11-2 は、[Create NAC Events] リンクを選択するとブラウザで開くページにフォームが表示される様子を示しています。

図 11-2 [Add NAC Event] フォーム

 

フォーム内で以下のエントリを記入し、新しい NAC イベントを作成します。

[NAC Event Name]

システムの管理者にとって意味のある、NAC イベントに対する一意の名前を入力します。


) NAC イベント名は、NAC Profiler との統合を通じて、テーブルに追加される各エンドポイントの CAM で表示可能なデバイス フィルタ リスト(Device Filter List)の説明フィールドを読み込む際に使用されます。記述名の使用は、NAC Profiler と統合される Cisco NAC アプライアンス システムの管理者とオペレータによって、容易な解釈のためにデバイスの NAC Profiler プロファイル/タイプが推奨されることを示します。


[Matches Profiler Profile(s)]

これは、CAM デバイス フィルタ リスト(Device Filter List)での自動読み込みのために Cisco NAC アプライアンスに送られるエンドポイントを示すプロフィル名(または、密に関連付けられたプロファイルの名前とマッチする正規表現)です。通常、これらは、認証を強制されることなく、また Cisco NAC アプライアンスを介したポスチャを強制されることなく、ネットワークアクセスを提供されるデバイスを示すプロファイルになります。さらに、NAC Profiler は、明示されたプロファイルのエンドポイントの動作をモニタリングします。エンドポイントが新しいプロファイルに移行する場合、また新しいプロファイルと関連付けられた NAC イベントが存在しない場合、それは CAM のデバイス フィルタ リスト(Device Filter List)から削除されます(この場合、Server モジュール設定の [Allow only additions] オプションが選択されていないものと仮定します)。


) [Matches NAC Profiler Profile(s)] フィールドは、複数のプロフィル名と単一の NAC イベントとのマッチを可能にするために正規表現を受け付けます。たとえば、説明の中に IP Phone という文字列が入っているすべてのプロファイルとマッチさせるには、正規表現 /ip phone/i を使用します。



) [Matches Profiler Profile(s)] に入力するプロフィル名の先頭と末尾にはスラッシュ(/)を追加する必要があります。Matches Profiler Profile(s)は有効な NAC イベントを作成するための [Add NAC Event] フォームのフィールドです。たとえば、/NoAuth/ は有効なエントリですが、NoAuth は有効なエントリではありません。



) 正規表現の詳細は、Web リファレンスを参照してください。
http://www.regular-expressions.info/
http://www.ilovejackdaniels.com/cheat-sheets/regular-expressions-cheat-sheet/


[Allow only additions to CAM Filter List]

このオプションにより、NAC イベント レベルでの [Allow only additions] オプションの設定が可能になります。前のセクションで取り上げている、似たような Server オプションと同様、NAC イベントに対してこのオプションを選択すると、NAC Profiler 連携を介したフィルタ リストからの削除またはアクセス タイプの修正の影響を受けることなく、デバイス フィルタ リスト(Device Filter List)エントリは該当の NAC イベントによって読み込まれることになります。


) NAC イベント レベルの [Allow only additions] では、* という特殊なフィルタ リスト説明フィールドのプレフィクス文字が伴います。この文字は、説明フィールドを除いて該当エントリへの更新を許可しないように統合レイヤに指示します。エンドポイントのプロファイルが変更された場合には説明が変わる可能性がありますが、エントリが削除されたり、またはフィルタ リストへの初期の追加に続いて NAC Profiler によってアクセス タイプが修正される可能性はありません。このオプションが有効になっている場合、これにより、NAC イベントを介してフィルタ リストに追加されるエンドポイントに対する動作モニタリング機能は効率的に無効になります。さらに、定期的な同期の間に生じる可能性がある説明フィールドを除いてこれらのエンドポイントには修正が及ばないようになります。


[Minimum Profile Confidence]

NAC イベント アクションが起動する前にプロファイルに割り当てられるエンドポイントに対して必要な最小の確実度値を指定します(CAM フィルタ リストにエントリを作成)。たとえば、この値が 40% の場合、35% の確実度しか持たない関連のプロファイルとマッチするエンドポイントは定義されたアクションを起動しません。確実度値は 第 9 章「エンドポイント プロファイルの設定」 のエンドポイント プロファイルの設定において詳細に述べられているように個々のプロファイルとバインドされたルールから導かれます。この値は、複数のルールを持つプロファイルに特に関係してきます。

[NAC Access Type]

該当のルールを介してデバイス フィルタ リスト(Device Filter List)に追加されるエンドポイントに対して作成される NAC デバイス フィルタ リスト(Device Filter List)エントリのアクセス タイプを指定します。選択肢は [Allow]、[Deny]、[Role]、[Check] または [Ignore] の 4 つです。

デバイスフィルタの詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』を参照してください。

[Desired NAC Role]

このフィールドは、NAC アクセス タイプが Role または Check に設定されている場合にだけ必須です。NAC イベントの起動時に CAM フィルタ リスト エントリに指定される、該当の NAC ユーザ ロールを選択します。他のすべてのアクセス タイプ(Allow、Deny、Ignore)に対して、このフィールドは無視されます。


) [Add NAC Event] フォームの [Desired NAC Role] のドロップダウン リストは、Profiler Server 設定パラメータを介して読み込まれます。[Role] または [Check Access] のアクセス タイプを持つエンドポイントに対して NAC ロールを割り当てるよう NAC Profiler NAC イベントが設定されるように、これらのロールは [NAC Roles] という名前のフィールドの Profiler Server 設定に指定する必要があります。NAC 統合のための Profiler Server パラメータの設定の手順については、「Cisco NAC Profiler Server の設定」を参照してください。


[Event Enabled]

定義後、目的のオプションのラジオ ボタンを選択することによってイベントをいつでも有効化または無効化できます。

[Add NAC Event]

[Add NAC Event] ボタンを選択し、NAC イベントを Cisco NAC Profiler 設定に保存します。

必要に応じて上記のプロセスを繰り返し、追加の NAC イベントをシステム構成に追加します。


) NAC Profiler NAC イベントに行われた設定変更は、NAC Profiler Web インターフェイスの [Apply Changes] ページの [Update Modules] または [Re-Model] ボタンを選択することによってアクティブになります。[Apply Changes] ページに移動するには、任意のページから [Configuration] タブを選択し、左側のナビゲーション オプションから [Apply Changes] を選択します。



) Update Modules の間に同期を実行する [Server] オプションが有効になっている場合、次のセクションで説明するような完全な同期が実行されます。


Cisco NAC Profiler と CAM デバイス フィルタ リスト(Device Filter List)の同期

Server モジュール設定のための上記のステップを完了させ、必要に応じて NAC イベントを追加することにより、Cisco NAC Profiler は CAM 内でデバイス フィルタ リスト(Device Filter List)を管理できるようになります。Cisco NAC アプライアンスとの統合がいったん正常に有効になると、エンドポイントは NAC イベント内でプロファイルという名前に移行し、これらのエンドポイントはプロファイルと CAM デバイス フィルタ リスト(Device Filter List)に追加されるということから、統合はイベント駆動です。

時々、システム間で一貫性を図るために、Cisco NAC Profiler と CAM を同期させることが必要になります。基本的に同期により、有効にされた NAC イベントとマッチするプロファイルの現在のエンドポイントと、フィルタ リストの CAM に読み込まれる現在のデバイス フィルタ リスト(Device Filter List)およびフィルタ リストのアクセス タイプとの一貫性が保証されることになります。同期が必要になる場合の例として、既存の NAC イベントに対する修正の場合が挙げられます。これにより、現在プロファイル内にエンドポイントによってすでに有効にされている追加のプロファイルは NAC イベントのマッチしているプロファイルの 1 つになります。上記で述べたように、プロファイル内の既存のエンドポイントは、統合が持つイベント駆動の性質上、フィルタ リストには追加されません。同期の実行により、Cisco NAC Profiler は現在のフィルタ リストとともに、フィルタ リストにあると思われるすべてのエンドポイントを評価し、順次更新を行います。

同期プロセスは 2 つの方法のうちのいずれかの方法で開始されます。本章の Server 設定を説明するセクションで述べているように、Update Modules の間に同期を実行するための 1 つのオプションが NAC 設定にあります。このオプションを選択すると、[Apply Changes] -> [Update Modules] または [Apply Changes] -> [Re-Model] のいずれかを Cisco NAC Profiler で実行するたびに、完全な同期プロセスが発生します。これは完全同期と呼ばれるものです。以下にその説明を示します。

完全同期プロセスにより、Cisco NAC Profiler はシステム設定のアクティブな NAC イベントとマッチする、プロファイル内の現在のすべてのエンドポイントのリストをビルドアウトすることになります。それは、リストにあるそれぞれのエンドポイントに対して CAM のフィルタ リスト エントリを探し、該当のエンドポイントのプロファイルとマッチする適切な NAC イベント(たとえばアクセス タイプなど)に指定されたパラメータとの一貫性をチェックします。これにより、Cisco NAC Profiler データと、統合を介してフィルタ リストに追加されたすべてのエンドポイントに対して現在 CAM に入っているものとの一貫性が保証されます。一部の説明やアクセス タイプなどのパラメータが同期の影響を受けないように、デバイス フィルタ リスト(Device Filter List)のエントリを指定できます。「同期および手動で作成/編集されたフィルタ リスト エントリ」を参照してください。

完全同期プロセスの 2 番目のフェーズでは、Cisco NAC Profiler は、最初のステップでコンパイルされたリストにないエンドポイントに対してフィルタ リストのエントリをチェックします。これらはフィルタ リストにあるエンドポイントであり、またそれらは Cisco NAC Profiler の現在のほとんどのデータに従い、NAC イベントとマッチするプロファイルには現存していないためフィルタ リストにはないはずのエンドポイントです。これらのエンドポイントにおいて説明フィールド(「同期および手動で作成/編集されたフィルタ リスト エントリ」を参照)の先頭文字に同期プロセスにより削除されてはいけないことを示す特殊文字が存在しない場合、それらはフィルタ リストから削除されることになります。

また、手動による部分的な同期を NAC イベント レベルで実行することもできます。NAC イベントが保存され、システム設定で有効にされると、[Save NAC Event] フォームが、[Synchronize] という名前の追加のボタンとともに読み込まれます。このフォームに移動するには、[Configuration] タブ に進み、[Endpoint Events] オプションを選択し、[View/Edit NAC Events] を選択します。設定され有効にされた NAC イベントの 1 つを選択すると、図 11-7 に示すようにそのイベントに対する [Save NAC Event] フォームが表示されます。

図 11-3 [Save NAC Event] - [Synchronize]

 

[Save NAC Event] フォームから [Synchronize] ボタンを選択すると、該当の NAC イベントだけを対象として同期が発生します。この同期プロセスは、上述した完全同期とは若干異なります。NAC イベント レベルの同期では、同期プロセスは、選択された NAC イベントとマッチするプロファイルだけを考慮します。Cisco NAC Profiler は、該当のイベントだけにマッチする現在のプロファイル内にあるすべてのエンドポイントを決定し、フィルタ テーブルから個々のエンドポイントをチェックし、マッチしているプロファイルの各エンドポイントのエントリが、同期のために選択された NAC イベントで指定されたものと一貫性を保てるようにします。また、完全同期プロセス(この間にエントリはフィルタ リストから削除される可能性があります)のフェーズ 2 は、NAC イベント レベルの同期の間には実行されません。

同期および手動で作成/編集されたフィルタ リスト エントリ

Cisco NAC Profiler がフィルタ リストのすべての管理を提供し、またネットワーク操作要員による手動の介入が発生しない実装においては、フィルタ リストをカレントなものにするためには上述したような同期プロセスを介したシステムの通常の連携で十分です。本章ですでに述べたように、完全同期プロセスは、フィルタ リストへのエンドポイントの追加に加え、フィルタ リスト エントリの修正または削除を行う権限を持っています。

ケースによっては、特定のエンドポイントをフィルタ リストに手動で追加したり、またはCisco NAC Profiler によって当初追加されたエントリに修正を行うことが望ましい場合もあります。Cisco NAC Profiler/Cisco NAC アプライアンス同期の間、デフォルトではフィルタ リストのすべてのエントリが修正および/または削除の影響を受けます。ただし、正しいものとされるより高い権限によってエントリが決定されるケースでは、特定のフィルタ リスト エントリを自動的な同期プロセスによって個別に処理するべきであることを明示することにより、エントリ単位ベースでこのデフォルトの動作を修正できます。

これは、フィルタ リスト エントリのフィルタ リスト説明フィールドにある先頭文字位置の予約済みプレフィックス文字のオプション使用を通じて遂行されます。 表 11-1 は、予約済みプレフィックス文字が表示され、そしてこれらの文字がフィルタ リスト エントリの説明フィールドの先頭文字として入力される場合に生じるであろう同期への修正を示しています。

 

表 11-1 予約済み文字

予約済み文字
名前
同期プロセスへの影響

+

カスタム コメント

カスタムのコメント テキストが続くことを示します。同期プロセスの間、Cisco NAC Profiler は説明フィールド(さらに他のすべてのフィールド)を更新する可能性がありますが、+記号の後に入力された説明テキストは保持されます。

*

ロックされたアクセス

説明フィールドに関しては + プレフィクスと同じ影響を与えます。加えて、このプレフィクスは同期プロセスに以下の事柄を指示します。

エントリは削除できません。

エントリのアクセス タイプは修正できません。

**

凍結

該当のエントリは、同期プロセスによってどのような方法でも削除または修正できないことを示します。実際、これは手動で修正されない限り、永久的なエントリです。

Cisco NAC Profiler/Cisco NAC アプライアンスの統合の確認

Cisco NAC Profiler が CAM のデバイス フィルタ リスト(Device Filter List)にエントリを適切に読み込んでいることを確認するには、管理者として CAM にログインします。左手のナビゲーション バーのデバイス マネジメントの下の [Filters] ボタンを選択します。以下の画面がブラウザのメイン ペインに表示され、現在の CAM デバイス フィルタ リスト(Device Filter List)にあるすべてのエンドポイントが列挙されます。

Server モジュール パラメータを設定し、NAC イベントを追加し、そして同期プロセス(完全または NAC イベント レベル)を実行したら、有効にされた(さらに同期された)NACイベントとマッチするプロファイルにあるエンドポイントは CAM のデバイス フィルタ リスト(Device Filter List)に読み込まれることになります。

図 11-4 CAM デバイス フィルタ リスト(Device Filter List)

 

Cisco NAC Profiler との統合を通じて CAM のデバイス フィルタ リスト(Device Filter List)に追加されたエンドポイントは、個々のプロフィル名に続くブラケット内の [Profiler] リンクにより明示的にマークされます。[MAC Address]、[IP Address]、[Clean Access Server]、[Description] および [Access Type] の各フィールドは、統合レイヤを介してフィルタ リストに追加された各エンドポイントに対する Cisco NAC Profiler によって読み込まれます。

[Description] フィールドのテキストに続くリンクは、Cisco NAC Profiler により管理されているエンドポイントに関する入手可能な情報(リアルタイムおよび履歴データ)のサマリーへのホットリンクです。CAM から [NAC Profiler] リンクを選択すると、管理者側から見た場合、このサマリー ページは CAM Web インターフェイスのコンテキスト内に表示されます。これにより、エンドポイント ロケーション情報、MAC および IP 履歴、そしてレイヤ 2 トレース詳細への容易なアクセスが可能になります。すべての項目は CAM GUI 内から直接表示され、単一の統合されたインターフェイスから Cisco NAC Profiler により収集されたすべてのコンテキスト データへのアクセスが提供されます(エンドポイント サマリー表示に関する完全な情報は、 第 13 章「エンドポイント コンソールの使用」 を参照してください)。

図 11-5 CAM から Cisco NAC Profiler エンドポイント データを表示する

 

NAC イベント リストの表示/編集

Cisco NAC Profiler システムの既存の NAC イベントのリストを表示するには、Cisco NAC Profiler Web インターフェイスの任意のページから [Configuration Tab] を選択します。[NAC Profiler Events] を選択し、次に [View/Edit NAC Events] を選択します。図 11-6 に示すように、NAC イベント ルールのテーブルを含んだ新しいページがブラウザに表示されます。

図 11-6 NAC イベントのテーブル

 

このテーブルは、現在 Cisco NAC Profiler 設定に保存されている NAC イベントのサマリー表示を提供します。このテーブルには、テーブルの名前、NAC イベントに適用可能なプロファイル、CAM の Cisco NAC Profiler NAC イベントにより作成されたデバイス フィルタ リスト(Device Filter List)エントリ用に指定されたアクセス タイプ、および各 NAC イベントについて、イベントの現在のステータス(有効/無効)が表示されます。NAC イベント の [Matches NAC Profiler Profile(s)] フィールドに正規表現が指定されている場合、NAC イベントのテーブルのプロファイル列には正規表現が表示されます。たとえば、図 11-6 のように正規表現 [/phone/i] の場合、20% 以上の確実度を持つ文字列 phone(大文字小文字を問わない)を含んだプロフィル名を持つ NAC Profiler プロファイルにプロファイルされているエンドポイントは、CAM のデバイス フィルタ リスト(Device Filter List)に追加されることになります。

表示される NAC イベント名はリンクです。NAC イベント名を選択すると、図 11-7 に示すように [Save NAC Event] フォームが表示されます。

図 11-7 [Save NAC Event] フォーム

 

保存された NAC イベントの Save NAC Event フォームを通じて、NAC イベントの任意のパラメータの変更が可能であり、変更後にその内容をシステム設定に保存できます。

NAC イベント設定の各パラメータの詳細については、「NAC イベントの作成」を参照してください。

NAC イベントの設定パラメータに変更を行ったら、フォームの下にある [Save NAC Event] ボタンを選択し、設定に対する変更をコミットします。


) [Save NAC Event] に先がけて [Synchronize] ボタンを選択すると、NAC イベントへの変更は行われません。NAC イベントへの変更を行う場合には、[Save NAC Event] を選択し、変更をデータベースにコミットします。NAC イベント レベルの同期を実行するには、[Save NAC Event] を再び開いて、[Synchronize] ボタンを使用します。あるいは、[Apply Changes] -> [Re-Model] または [Update Modules] を実行して、完全同期を実行します。


必要な場合には、[Save NAC Event] フォームの下にある [Delete NAC Event] ボタンを選択すれば、既存の NAC イベントを設定から削除できます。

Cisco NAC アプライアンス統合のトラブルシューティング

Cisco NAC Profiler/Cisco NAC アプライアンス統合が正しく機能するためには、これまで述べてきたように適切な設定が必要になります。これを実現するには、以下の内容を含む外部に依存する要件を満たす必要があります。

Server モジュールを実行する Cisco NAC Profiler アプライアンスと Cisco NAC アプライアンス CAM の間にはネットワーク通信に対するバリア(たとえば、ファイアウォールや ACL)を設けない。

Profiler Server モジュールの Cisco NAC アプライアンス CAM 管理者 Web クレデンシャル(または、フルコントロールの API アクセス権を持つ他の管理者アカウント)の正しい設定。

Cisco NAC Profiler のプロファイラ ユーザと CAM のルート ユーザ間の SSH キーベース認証の正しい設定。

以下は、統合が期待どおりに動作しない状況が生じた場合にトラブルシューティングを支援できる方策のリストです。

ネットワーク通信の確認

Profiler Server(コンソールまたは SSH )にログインし、以下の事柄を確認します。

1. Profiler Server アプライアンスがネットワーク経由で CAM と通信できるようにします。

$ ping <CAM-IP>
$ traceroute -n <CAM-IP>

2. API 通信を確認します。

$ telnet <CAM-IP> 443

Telnet セッションの確立の成功は通常、以下のメッセージにより示されます。

Trying <CAM-IP>...
Connected to <CAM-IP>.
Escape character is '^]'.
(to exit, hit CTRL-], type “quit” and hit ENTER)

3. SSH キーベース認証セットアップを確認します。

$ ssh root@<CAM-IP> ls /

SSH キーベース認証が正常に機能している場合、パスワードの要求なしで CAM ルート ディレクトリにあるディレクトリが表示されます。

PING または Telnet を使用してネットワーク経由でシステム間の通信ができない場合、ファイアウォールあるいはルータ ACL といった方策が講じられて通信を妨げている可能性があります。ネットワーク経由によるデバイス間の通信の確立を妨げている要因を知るには、ネットワーク運用またはセキュリティ グループに相談するようにします。実現可能であれば、Cisco NAC Profiler と CAM 間の通信が可能になるようにそれらの方策を調整するか、あるいは同じネットワークセグメント上に各システムを移動することを検討します。

統合デバッグ ログ

Cisco NAC Profiler(コンソールまたは SSH)から、Cisco NAC アプライアンスとの統合に関連したエントリのシステム ログをチェックできます。その種のログ エントリには文字列 CCA_REQUEST または CCA_SYNC が含まれています。以下は、これらのログ エントリの表示に使用できる一般的なコマンドです。

1. 現在までのすべての関連するログ メッセージを表示

# grep CCA_ /var/log/messages | less
 

2. メッセージ発生時に関連のログ メッセージを表示

# tail -f /var/log/messages | grep CCA_

ログ エントリ例:

Jan 3 12:23:59 beacon CCA_REQUEST[28140]: [addmac 00:c0:b7:78:01:37] Success
Jan 3 12:24:01 beacon CCA_REQUEST[28168]: [addmac 00:c0:b7:66:82:b5] Success
Jan 3 12:24:02 beacon CCA_REQUEST[28169]: [addmac 00:c0:b7:67:3a:c7] Success

その他の潜在的な問題

本章ですでに述べているように、Cisco NAC Profiler と Cisco NAC アプライアンス間の統合はイベント駆動です。Add MAC および Remove MAC の統合のアクションは、NAC イベントとマッチするプロファイルにエンドポイントがプロファイルされる(Add MAC)場合、または NAC イベントとマッチするプロファイルから NAC イベントとマッチしない別のプロファイルにエンドポイントが変わる(Remove MAC)場合に、該当のエンドポイントに対して起動されます。

統合の設定と適用が行われている際に、NAC イベントに指定されたものとマッチするプロファイル内にすでにエンドポイントが存在する場合、Add MAC アクションは起動されません。プロファイルにすでに存在するエンドポイントは、イベントが起動されないため、デバイス フィルタ リスト(Device Filter List)に追加されません。

Custom API 機能の使用

Server モジュール NAC 設定([Configuration] -> [Profiler Modules] -> [Server] -> [NAC Configuration])の [Custom API] オプションは、このドキュメントで示されている特定の状況、または Cisco TAC から示される特定の状況においてだけ実装するものです。Cisco NAC Profiler または Cisco NAC アプライアンス ソフトウェアのアップグレード時には、リリース ノートを慎重に読んで、Custom API を有効にするのが適切かどうかを判断するようにします。

Custom API 機能は、3 つの特定のシナリオのために Cisco NAC アプライアンス API に対する機能拡張を提供するために実装されました。

「シナリオ A:Cisco NAC アプライアンス 4.0、アクセス タイプ CHECK および IGNORE」

「シナリオ B:Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2、アウト オブ バンド展開」

「シナリオ C:Cisco NAC アプライアンス 4.1.3、アウト オブ バンド展開」

シナリオ A:Cisco NAC アプライアンス 4.0、アクセス タイプ CHECK および IGNORE

Cisco NAC アプライアンス リリース 4.0 の API は、デバイス フィルタ リスト(Device Filter List)アクセス タイプ CHECK と IGNORE をサポートしていません。これらのアクセス タイプのいずれかを NAC イベント ルールとともに使用する場合は、パッチファイル cca4_api_addmac.diff を使用して Custom API を有効にする必要があります。

シナリオ B:Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2、アウト オブ バンド展開

アウト オブ バンド(OOB)展開の場合、通常、スイッチポート VLAN プロビジョニングによって、更新後は直ちにデバイス フィルタ リスト(Device Filter List)への更新が実施されます。つまり、該当のポートに接続されたエンドポイントの MAC アドレスを指定する、デバイス フィルタ リスト(Device Filter List)エントリの追加、削除、または変更が行われると、ポートに割り当てられた VLAN は直ちに更新されることになります。Cisco NAC アプライアンス リリース 4.1.0、4.1.1、4.1.2 による OOB 展開の場合、デバイス フィルタ リスト(Device Filter List)の変更を通じたネットワーク アクセス ポリシーの即時の実施は起こりません。たとえば、すでにプリンタがネットワークに接続している状態で、プリンタの MAC アドレスのデバイス フィルタ リスト(Device Filter List)エントリが追加された場合、プリンタにはネットワーク アクセスは直ちには付与されません(また、フィルタ リスト エントリが削除された場合もアクセスは直ちには破棄されません)。

Cisco NAC アプライアンス4.1.0、4.1.1、4.1.2 の実行時にこの動作が要求される場合、パッチ ファイル cca41x_api_bounceport.diff を使用して Custom API を有効にする必要があります。


) このモードの Custom API 使用は、以下の Cisco NAC アプライアンス リリースとの使用に関してテストと承認が行われています。

Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2

リリース 4.1.0 または 4.1.1 を使用する場合、「実装の手順」「重要な警告」の説明の中にあるように ssl.conf のパッチが必要になります。


 

シナリオ C:Cisco NAC アプライアンス 4.1.3、アウト オブ バンド展開

このシナリオは、Cisco NAC アプライアンス 4.1(3) に影響があるということを除けば、「シナリオ B:Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2、アウト オブ バンド展開」のシナリオと同様のものです。

このシナリオの場合、パッチファイルは利用されません。実装の際には、以下の実装の手順のステップ #2 に示されるように Profiler Server 設定で Custom API チェックボックスを有効にします。


) このモードの Custom API 使用は、以下の Cisco NAC アプライアンス リリースとの使用に関してテストと承認が行われています。

Cisco NAC アプライアンス 4.1.3


 

実装の手順

以下の手順を実行するにあたっての注意事項を示します。

PATCH_FILE は、該当のセクションで示された選択されたパッチ ファイルです。

CAM は、Clean Access Manager システムの IP または DNS アドレス(HA CAM ペア用の VIP/service アドレス)です。

Custom API を有効にするには、以下のステップを実行します。

前提条件

1.シナリオ A と B の場合:パッチ API ファイル

2.すべてのシナリオに適用:Profiler Server UI の機能の有効化

3.Cisco NAC アプライアンス 4.1.0 と 4.1.1 のシナリオ B と C:パッチ ssl.conf

重要な警告

前提条件

Custom API を有効にする前に、「Cisco NAC アプライアンス統合の設定」で説明されているように Cisco NAC アプライアンスと Cisco NAC Profiler 統合を設定します。

1.シナリオ A と B の場合:パッチ API ファイル

SSH 経由で Profiler Server にユーザ beacon としてログインし、以下のコマンドを実行します。


) 特に最後のコマンドには注意します。


1. profiler# cd /usr/beacon/etc
2. profiler# scp root@CAM:/perfigo/control/tomcat/normal-webapps/admin/cisco_api.jsp cisco_api.jsp
3. profiler# patch -b < cca_api/PATCH_FILE
4. profiler# scp cisco_api.jsp root@CAM:/perfigo/control/tomcat/normal-webapps/admin/cisco_api_alt.jsp
 

2.すべてのシナリオに適用:Profiler Server UI の機能の有効化

Cisco NAC Profiler Server Web インターフェイスで、以下の手順を実行します。


ステップ 1 [Configuration] -> [NAC Profiler Modules] -> [List NAC Profiler Modules] -> [Server] と順番に移動して、Server モジュール設定画面を参照します。

ステップ 2 [NAC Configuration] セクションで、[Custom API] というラベルが貼られたチェックボックスを有効にします。

ステップ 3 [Update Server] をクリックします。

ステップ 4 [Configuration] -> [Apply Changes] -> [Re-Model] と選択してServer モジュールを再起動します。


 

3.Cisco NAC アプライアンス 4.1.0 と 4.1.1 のシナリオ B と C:パッチ ssl.conf


) このステップは、Cisco NAC アプライアンス リリースが 4.1.0 または 4.1.1 の「シナリオ B:Cisco NAC アプライアンス 4.1.0、4.1.1、4.1.2、アウト オブ バンド展開」および「シナリオ C:Cisco NAC アプライアンス 4.1.3、アウト オブ バンド展開」の場合にだけ必要になります。このステップは、リリースが 4.0 または 4.1.2 以降の場合には必要ありません。


SSH 経由で Profiler Server システムにユーザ beacon としてログインし、以下のコマンドを実行します。

1. profiler# cd /usr/beacon/etc
2. profiler# scp root@CAM:/perfigo/control/apache/conf/ssl.conf ssl.conf
3. profiler# patch -b < cca_api/cca41x_ssl_conf.diff
4. profiler# scp ssl.conf root@CAM:/perfigo/control/apache/conf/ssl.conf
5. profiler# scp ssl.conf root@CAM:/perfigo/control/apache/conf/ssl_alt.conf
6. On CAM, execute these commands:
7. cam# /perfigo/control/bin/stopapache
8. cam# /perfigo/control/bin/startapache

重要な警告

CAM を再起動しているか、またはコマンド server perfigo restart を CAM で実行している場合、このセットアップにより稼動は停止します。この状況が発生した場合は、以下のコマンドを実行して Custom API を稼動状態に戻す必要があります。

cam# cd /perfigo/control/apache/conf/ssl_alt.conf
cam# cp ssl.conf.patched ssl.conf ssl.conf
cam# /perfigo/control/bin/stopapache
cam# /perfigo/control/bin/startapache
 

) Cisco NAC アプライアンス リリース 4.1(2) 以降へのアップグレードでは、この CAM ssl.conf ファイルによる回避の必要は取り除かれます。