ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
デバイスの管理
デバイスの管理
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

デバイスの管理


ヒント


デバイス インベントリ管理は、マルチ デバイス モードPRSM にのみ適用されます。 デバイスへの直接接続を使用して CX デバイスを設定する場合、設定のためにデバイスをインベントリにデバイスを追加する必要はありません。 シングル デバイス モードでは、デバイス インベントリ ページは表示されません。


デバイスをインベントリに追加することにより、管理するデバイスを識別する必要があります。 デバイス インベントリに追加すると、デバイス上で定義済みの設定を検出し、デバイス アクティビティをモニタして設定に必要な変更を加え、設定の変更を展開してデバイスに戻すことができます。

以降の各項では、デバイス インベントリの管理の基本内容を説明します。

マルチ デバイス モードでの CX デバイスの管理

PRSM マルチ デバイス モードCX デバイスを管理する場合、デバイスは管理対象モードになります。

CX デバイスが管理対象モードになると、シングル デバイス モードで Web インターフェイスから直接設定することができなくなります。 すべての設定とモニタリングは PRSM マルチ デバイス モードで実行する必要があります。 唯一の例外は、ローカル CLI を使用できるという点であり、これを使用して、IP アドレス、DNS、NTP、およびパスワードなど、基本設定をトラブルシューティングして、修正できます。

CX デバイスを管理対象モードにする

ASA CX を管理対象モードにするには、ASA CX SSP を含む ASA をデバイス インベントリに追加します。

デバイス構成の検出が正常に実行されると、CX デバイスは管理対象モードになります。


ヒント


CX で、別の PRSM サーバによってそれがすでに管理されていると判断されると、単一の CX デバイスを複数の PRSM サーバから管理することはできないため、検出は失敗します。 この場合、CX Web インターフェイスにシングル デバイス モードでログインし、リンクをクリックしてデバイスの管理解除を行います。 その後、インベントリにデバイスを追加してみます(必要に応じて、先に削除しておきます)。


管理対象モードの影響

CX デバイスを管理対象モードにすると、次の影響があります。
  • 設定のポリシー、ポリシー オブジェクト、ライセンス、および他の部分が検出され、PRSM データベースに追加されます。 将来的には、PRSM マルチ デバイス モードを使用して、Web インターフェイスから定義されているポリシー、オブジェクト、および他の設定を変更する必要があります。 ただし、すべてのデバイス設定が検出されるわけではなく、検出されなかった設定は現在データベースに定義されている設定に置き換えられます。
  • CX デバイスは、どの PRSM サーバから管理されているかを認識し続けます。 別の PRSM サーバから設定の変更をプッシュすることはできません。 ある PRSM サーバから別のサーバに CX デバイスの管理を移動する必要がある場合は、次の手順を実行します。
    • 親 ASA を古いサーバから削除し、新しいサーバに追加します。 ASA を削除すると ASA CX が削除され、削除されると ASA CX は非管理対象モードになります。 デバイスに現在インストールされているライセンスは、削除されるか、非管理対象になっても維持されます。
  • イベントは自動的に PRSM サーバに転送されます。 適切なサーバに転送されたイベントを取得するための設定はなく、自動的に実行されます。
  • PRSM は、自動的にすべての管理対象 CX デバイスからダッシュボードのデータを収集します。
  • CX デバイスの Web インターフェイスをシングル デバイス モードで開くと、大部分のインターフェイスは無効になりますが、デバイスが管理対象モードであることと、デバイスを管理している PRSM サーバへのリンクがホーム ページに表示されます。 これにより、どのサーバが特定の CX デバイスを管理しているかがわからなくなった場合は、Web インターフェイスを使用していつでも確認できます。
  • CX 管理インターフェイスから使用可能な CLI はアクティブのままとなり、完全な状態で機能します。 これを使用してトラブルシューティングを行い、基本デバイス管理設定の保守を行います。 CLI を使用して行った変更は、デバイスの管理対象モードに影響を及ぼしません。

非管理対象モードへの復帰

非管理対象モードに CX デバイスを戻す必要がある場合、2 種類の方法があります。
  • 推奨方法:デバイスをデバイス インベントリから削除します。 この操作で、デバイスが非管理対象モードに戻ります。
  • 緊急時の方法:何らかの理由で PRSM を使用できない場合、CX デバイスの Web インターフェイスをシングル デバイス モードで開き、リンクをクリックしてデバイスに対する管理を解除できます。 これにより、PRSM サーバとの接続が切断され、ローカル Web インターフェイスが有効になります。

    注意    


    デバイスを シングル デバイス モード のインターフェイスから非管理対象にし、デバイスがまだデバイス インベントリに残っている場合、そのデバイスに展開しようとするとエラーが発生します。 この方法でデバイスを非管理対象にした後、PRSM からデバイスを継続的に管理する場合は、インベントリからデバイスを削除してから、そのデバイスをインベントリに追加し直す必要があります。 ローカル設定に何も変更を加えずに、デバイスを誤って非管理対象にしてしまった場合でも、この手順をすべて行う必要があります。


管理対象モード ホーム ページから実行できる作業

管理対象モードで実行している CX デバイスにログインすると、ホーム ページから次を実行できます。
  • Cisco Prime Security Manager マルチ デバイス モードにリダイレクト:デバイスはどの PRSM サーバから管理されているかを認識しているため、リンクをクリックして対象のサーバ情報を取得できます。 アドレスが表示されます。
  • ログのダウンロード:リンクをクリックしてシステム ログをダウンロードし、問題のトラブルシューティングに役立てます。 各管理対象デバイスの [Device Configuration] ページから PRSM サーバを介して各管理対象デバイスのログをダウンロードすることもできます。 デバイスのインベントリから [Device Configuration] ページにアクセスします。
  • シングル デバイス モードに切り替え:PRSM サーバとの管理接続を切断します。 詳細については、上記を参照してください。
  • すべての設定を Cisco Prime Security Manager から再同期:PRSM サーバでデータベースをリカバリした場合、PRSM サーバに保存されている設定と管理対象デバイスを一致させる必要があります。 このリンクをクリックすると、デバイスのデータベースを再度初期化し、PRSM サーバに定義されている設定に戻すことができます。 設定の再同期が完了すると、サービスは再起動されます。 サーバのアドレスが表示されます。

ASA デバイスを管理するための準備

ASA デバイスを管理するには、PRSM がデバイスと通信して設定を検出でき、変更に基づいてその設定を修正できることを確認する必要があります。 ASA モデルのハードウェア インストール ガイドに記載されている手順に従って、ASDM またはデバイス CLI を使用し、基本設定を実行します。

PRSM は SSL(HTTPS)を使用して ASA を管理します。 このため、次が設定されていることを確認する必要があります。

  • HTTP サーバがイネーブルになっていること。 コンフィギュレーション コマンドは、http server enable です。 デフォルトの ASA 設定では、HTTP サーバがあらかじめイネーブルになっています。
  • PRSM サーバの IP アドレスが HTTP サーバに接続できること。 サーバの特定の IP アドレスを指定するか、サーバが置かれているサブネットを指定することができます。 ASA の HTTP サーバへのアクセスを有効にするコマンドは、http IP_address subnet_mask interface_name です。ここで、各パラメータはサーバへのアクセスが許可された IP アドレスまたはネットワーク アドレス、そのサブネット マスク、および ASA インターフェイスであり、そのインターフェイスを介してアクセスが許可されます。 http 0.0.0.0 0.0.0.0 management を指定して、管理インターフェイスを介したすべてのホストからの接続を許可し、ユーザ名およびパスワードを使用して HTTP サーバへのアクセスを保護することができます。 http コマンドは、次の設定ではデフォルト設定に組み込まれています。 必要に応じて、設定を調整します。
    • ASA 5510 以降:http 192.168.1.0 255.255.255.0 management Management 0/0 インターフェイスには、IP アドレス 192.168.1.1 が設定されます。 デフォルト設定では、192.168.1.0/24 ネットワークは管理ネットワークです。

ヒント

  • 上記に加えて、ASA がシングル コンテキスト ルーテッド モードまたはトランスペアレント モードで設定されていることを確認する必要があります。 mode single コマンドはシングル コンテキスト モードを設定しますが、設定には表示されません。show mode コマンドを使用してファイアウォール モードを確認できます。 デフォルトの ASA 設定はシングル コンテキスト ルーテッド モードです。
  • 通常、特権 EXEC モード用のイネーブル パスワードも作成します。 また、デバイスにログインするためのユーザ アカウントを作成することもできます。 ユーザ アカウントを作成してログインを制御する場合、そのアカウントに権限レベル 15 を割り当てます。

デバイス検出の概要

デバイスを PRSM マルチ デバイス モードのインベントリに追加すると、デバイスに現在設定されているポリシーと設定が PRSM データベースに追加され、デバイスは PRSM サーバによって管理されていると見なされます。 デバイスの設定を変更するには、PRSM 内で変更を行い、変更をデバイスに展開します。 検出された各デバイスは、最初に一意のデバイス グループに割り当てられます。このグループは、検出プロセスの中で作成されます。

検出の間に、検出されたオブジェクトと PRSM データベースにすでに存在するオブジェクトに名前の競合があると、検出されたオブジェクトに任意のサフィックスを付けるように要求されます。 このため、すべての一意のオブジェクトが検出されますが、名前が変更されることがあります。 検出されたオブジェクトが、データベース内で同じ名前が付けられたオブジェクトと同じものである場合、そのデータベース オブジェクトが単に再利用されます。 システム定義されたオブジェクトは常に同一であるため、検出されることはありません。

次に説明するように、デバイス タイプに基づいて異なるデバイス検出の制限事項について理解することが重要です。

ASA デバイス

PRSM がサポートするポリシーとその設定だけが検出されます。 他のデバイス ポリシーまたは設定を変更する必要がある場合は、ASA CLI を使用するか、ASDM などの別の管理アプリケーションを使用します。 ただし、PRSM によって現在管理されているポリシーまたは設定を自らも所有していると認識している管理アプリケーションは使用しないでください。 たとえば、PRSM と Cisco Security Manager の両方を使用して、ASA syslog サーバ設定を管理しようとしないでください。

検出されたポリシーと設定の処理は、それらが管理対象であるかどうかによって異なります。
  • 管理対象の場合:管理対象ポリシーまたは設定を変更して、変更を保存すると、変更は ASA に展開されます。 管理対象ポリシーと設定には、トラフィック リダイレクション ポリシー、syslog サーバ、およびロギング設定が含まれます。
  • 非管理対象の場合:非管理対象ポリシーまたは設定は検出されますが、ASA に戻されて展開されることはありません。 つまり、検出は一方向で行われます。設定を一度取り込みますが、それ以降は、PRSM はポリシーまたは設定への変更を認識しません。 検出されても管理されない設定には、インターフェイス リスト、ネットワーク、ネットワーク グループ、サービス、およびサービス グループ オブジェクトなどがあります。 インターフェイスを編集することはできませんが、検出後にオブジェクトを編集することはできます。 ただし、編集内容を ASA 設定に反映する必要がある場合は、ASA CLI または ASDM を使用して変更を繰り返す必要があります。

CX デバイス

すべてのポリシーとポリシー オブジェクトが検出されますが、他の設定の検出は制限されているか、サポートされません。 次に、それぞれのポリシー以外の設定についての詳細を説明します。
  • ディレクトリ レルム:Active Directory(AD)のレルムは AD のレルムが PRSM マルチ デバイス モードで定義されていない場合にだけインポートされます。 AD レルムが CX デバイスと PRSM サーバの両方で定義され、それらが同一でない場合は、CX デバイスをインベントリに追加できません。 サーバまたはデバイスから AD レルムを削除するか、定義を同一にする必要があります。 異なる AD レルムがどうしても必要な場合は、この PRSM サーバを使用してデバイスを管理することができないため、別の PRSM サーバが必要になります。

    (注)  


    LDAP ディレクトリ レルムはインポートされます。すでに PRSM データベースに定義されているレルムと名前の競合がある場合、サフィックスを指定するよう求められます。


  • 復号化設定:復号化ポリシーを定義するには、復号化ポリシーをイネーブルにする必要があります。 復号化ポリシーがデバイスと PRSM マルチ デバイス モード でイネーブルになっているかどうかによって、インポート中の動作は異なります。
    • デバイス上で復号化がイネーブルになっていない場合、デバイスのインポートは許可され、変更を保存するときに、PRSM マルチ デバイス モードに定義された設定(証明書など)はデバイスに展開されます。
    • デバイスでは復号化がイネーブルになっているが、PRSM マルチ デバイス モードではディセーブルになっている場合、復号化は PRSM マルチ デバイス モードでイネーブルになり、デバイスの復号化ポリシーと証明書がインポートされます。
    • デバイスとサーバの両方で復号化がイネーブルになっている場合、証明書と証明書設定は同一にする必要があります。同一ではない場合、デバイスの追加は行えません。 デバイスにログインして、PRSM マルチ デバイス モードの設定と同じように設定して、もう一度インポートします。
  • ライセンス:有効なライセンスがインポートされます。 無効なライセンス、または PRSM データベースにすでに存在するものと同じライセンスは、PRSM データベースでコピーと置き換えられます。 評価ライセンスはインポートされません。 インポートするすべてのデバイスに関して、PRSM サーバに十分なライセンスがすでにある必要があります。 たとえば、インポートされたデバイスに、アプリケーション、URL フィルタリング、または Web レピュテーションを使用するポリシーが含まれている場合、それらの機能について使用可能なライセンスが十分に存在する必要があります。 ライセンスが存在しない場合、ライセンスを PRSM サーバに追加するまで、デバイスをインポートできません。
  • PRSM ログ設定:これらは検出され、デバイス構成に含まれます。 PRSM マルチ デバイス モードログ設定は変更されません。このログ設定は、他と異なると見なされています。
  • ユーザ:ユーザはインポートされません。 既存のユーザが削除されることはなく、ユーザがサーバからインポートされることもありません。 ただし、admin ユーザ以外のすべての既存ユーザは、管理対象デバイスにログインできなくなります。 admin ユーザのパスワードは変更されません。

    (注)  


    CX デバイスを管理するために、PRSM マルチ デバイス モード を使用している場合は、CX デバイスで管理ユーザのパスワードを変更しないでください。 パスワードを変更すると、PRSM はデバイスと通信できなくなります。 PRSM インベントリからデバイスを削除し、それを追加し直して新しい管理パスワードで PRSM を更新する必要があります。


  • バックアップ スケジュール:バックアップ スケジュールは、PRSM サーバがデバイス設定の真の送信元を保持しているため、インベントリにデバイスを追加するときに削除されます。 それでもデバイス設定をバックアップする場合は、CLI を使用できます。
  • 次の設定は、インポートされません。 検出の後、変更を保存すると、設定は PRSM サーバに定義されている設定に置き換えられます。 デバイスをインポートする前に、これらの設定がどのように変更されるかについて、問題がないことを確認してください。
    • AD エージェント
    • 認証設定
    • シグネチャの更新設定(頻度とプロキシの設定)
    • パケット キャプチャ設定

アウトオブバンド変更の処理

アウトオブバンド変更とは、PRSM の制御外で生じる、管理対象 ASA デバイスの設定に対する変更です。 これらの変更は、CLI や、ASDM などの他の管理アプリケーションから行われる可能性があります。 PRSM は、PRSM で設定できる機能またはコマンドに対する変更である場合にのみ、変更がアウトオブバンドであると見なします。つまり、非管理対象機能に対する変更の場合、アウトオブバンド変更とは見なされません。

アウトオブバンド変更が認識されることはありません。 インベントリに追加した時点でのデバイスの構成が、PRSM でのデバイス構成の基準になります。 つまり、
  • syslog サーバなどの管理対象設定を変更しても変更は認識されず、次に PRSM の設定を変更して、変更を展開したときに、上書きされる可能性があります。
  • インターフェイスの追加、削除、または名前変更など、インターフェイスに対する変更は認識されません。 このため、トラフィックのリダイレクションや syslog サーバなどのインターフェイス名を含む設定は、変更内容を反映したものになりません。 たとえば、デバイスが管理対象になってから追加されたインターフェイスを選択することはできません。 そのインターフェイス名を入力しても、PRSM はそれがデバイス上に存在することを認識せず、設定を展開しません。
  • ネットワーク オブジェクト、サービス オブジェクト、およびグループへの変更は認識されず、これらのオブジェクトの追加または削除も認識されません。 ASA オブジェクトを ASA CX ポリシーで使用した場合、ASA 検出でのオブジェクトの内容は変化しません。 ただし、ASA からオブジェクトを削除しても、ASA CX の設定は現在実行されている ASA 設定と関連付けられていないため、ASA CX ポリシーは影響を受けず、正常に機能します。

デバイス インベントリの管理

デバイス インベントリとは、管理しているデバイスの簡単なリストです。 各デバイスにログインするための資格情報が正しいことを確認する必要があります。正しくない場合、PRSM はデバイスを管理できません。

デバイス インベントリの概要

現在の管理対象デバイスのリストを表示できます。 このリストから、デバイスを追加し、そのほかの基本のインベントリ管理タスクを実行できます。

デバイスごとに、インベントリ リストにデバイス名(PRSM でデバイスを参照する名前で、必ずしもホスト名ではありません)、説明、動作モード(ルーテッドまたはトランスペアレント)、管理 IP アドレス、デバイス タイプ、ソフトウェア バージョン、デバイスのシリアル番号、コンフィギュレーション コミット バージョン、デバイスが属するデバイス グループなど、デバイス情報の要約が表示されます。


ヒント


右端に警告アイコンがある場合は、アイコンをマウスでポイントすると、デバイスの現在のステータスに関する情報が表示されます。 このステータスには、進行中の検出など、現在の状況が示されたり(デバイスを最初に追加した場合)、注意する必要のあるエラー状態が示される場合があります。 アラートの詳細については、デバイス アラートの解決を参照してください。


デバイス インベントリを表示するには、[Device] > [Devices] を選択します。

デバイス インベントリには、次の項目が含まれています。
  • [Filter]:リストをフィルタリングして、デバイスを見つけやすくすることができます。 1 つ以上の文字列を入力し、[Filter] をクリックすると、文字列のうち少なくとも 1 つを含むデバイスだけが表示されます。 文字列がデバイス名の先頭に一致している必要はありません。 フィルタを削除するには、ボックスから削除し、[Filter] をクリックします。
  • [I want to]:次のコマンドが含まれています。
    • [Add New Device]:インベントリにデバイスを追加し、その設定を検出します。 ASA CX SSP を追加するには、それを含む ASA デバイスを追加します。 ASA および ASA CX デバイスの追加を参照してください。
  • [List of devices]:現在インベントリにあるデバイス。 ASA CX SSP は、それを含む ASA の子であると見なされます。
    デバイスに関連するコマンドを表示するには、コンポーネント モジュールの行など、デバイスの行の上にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • [Delete Device]:デバイスと、それに含まれているモジュールを削除します。 デバイスの削除を参照してください。
    • [Refresh Certificate]:デバイスに関連付けられている SSL 証明書を更新します。 証明書は、デバイスとの通信に使用されます。 デバイス証明書の更新を参照してください。
    • [Device Configuration]:デバイスの設定を表示または変更します。 デバイス構成の使用を参照してください。

ASA および ASA CX デバイスの追加

ASA デバイスまたは ASA CX SSP を管理するには、それをデバイス インベントリに追加する必要があります。

ASA をインベントリに追加すると、デバイスに含まれている ASA CX SSP の設定として、そのデバイスの設定が検出されます。 ASA CX SSP ディレクトリは追加しません。

デバイスは、次の一般的な要件を満たす必要があります。詳細については、サポートされるデバイスとソフトウェア バージョンを参照してください。
  • ASA デバイス:コンテキスト モード、ルーテッドまたはトランスペアレント モード。 デバイスで HTTP サーバをイネーブルにする必要があります(デフォルトでイネーブルになります)。
  • ASA CX:すべての設定がサポートされます。
はじめる前に

PRSM マルチ デバイス モードでは、保留中の変更をすべて保存するか破棄する必要があります。 メニュー バーに [Changes Pending] リンクが表示されている場合は、それをクリックして、リストされている変更の処理方法を決定します。

手順
    ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
    ステップ 2   [I want to] > [Add New Device] を選択します。
    ステップ 3   次の情報を入力して、ASA デバイスの通信プロパティを定義します。
    • [Hardware Type]:デバイス タイプを表示します。 ASA を追加する必要があります。ASA CX を直接追加することはできません。
    • [Device Name]:デバイスが PRSM のセレクタに表示されるときの名前。通常、デバイスのホスト名と同じです。
    • [Description]:デバイスの説明(任意)。
    • [IP Address]:内部 HTTP サーバへのアクセスを許可する管理インターフェイスまたは別のインターフェイスの IP アドレス。
    • [Port]:内部 HTTP サーバへの HTTPS アクセスに使用されるポート番号。 デフォルトは 443 です。
    • [Username]、[Password]:デバイスにログインするためのユーザ名とそのユーザのパスワード。

      ASA デバイスの場合、ユーザは権限レベル 15 が必要です。 デバイスがその設定のみにイネーブル パスワードを必要としている場合、[Username] フィールドおよび [Password] フィールドをブランクのままにできます。

    ステップ 4   [Discover] をクリックして、デバイス設定の検出を開始します。

    デバイスには、提供された資格情報を使用して接続されます。 接続が正常に行われると、デバイスから取得された証明書が表示されます。

    ステップ 5   証明書を表示して確認した後、[Accept] をクリックします。

    デバイスのモジュールが分析されます。

    ステップ 6   ASA に ASA CX SSP が含まれている場合、通信プロパティの入力が要求されます。
    このプロパティについては、上記に説明があります。 ASA CX のプロパティを入力するときは、次の点に注意します。
    • admin ユーザ名とパスワードが必要です。 admin は、デバイスの検出が許可される唯一のユーザ名です。
      ヒント   

      インベントリに追加した後、デバイスで admin パスワードを変更しないでください。変更すると、デバイスとの通信が失敗します。 インベントリからデバイスを削除し、それをもう一度追加して、新しいパスワードを使用する必要があります。

    • ポート番号は 443 のままにします。
    • デバイス名を変更することはできませんが、デフォルトの説明は変更できます。
    • IP アドレスが親 ASA から検出されます。 IPv4 と IPv6 の両方の管理アドレスを設定した場合、IPv4 のほうが使用されます。 必要に応じて、グローバル IPv6 アドレスに置き換えることができます。
    • PRSM サーバとデバイスの間に NAT 境界がある場合、検出されるアドレスはデバイスの実際の IP アドレスであることに注意してください。 検出を成功させるために、NAT アドレスに変更する必要があります。
    ステップ 7   [Discover] をクリックして、デバイス設定の検出を開始します。

    デバイスには、提供された資格情報を使用して接続されます。 接続が正常に行われると、デバイスから取得された証明書が表示されます。

    ステップ 8   証明書を表示して確認した後、[Accept] をクリックします。

    設定を実行しているデバイスが分析され、アプリケーションに接続されます。

    ヒント   

    少し待ちます。 デバイス検出には時間がかかる場合があります。また、検出の完了に要する時間は、デバイス設定の規模に応じて増加します。 検出が完了したときに、検出された項目と、データベースにすでに定義されている同等の項目の間に名前の競合がある場合は、その処理方法を尋ねられます。

    ステップ 9   名前に競合がある場合の処理方法を決定します。

    検出された設定の項目が、データベースにすでに存在する項目と同じ名前の場合、項目の内容が同一であれば、データベースの項目が使用され、検出された項目は置き換えられます。 たとえば、2 つのネットワーク オブジェクトの名前が同じで、同じアドレスを定義している場合、名前が競合しているとは見なされません。

    名前の競合は、同じ名前の項目の内容が異なる場合に発生します。たとえば、同じ名前の 2 つのネットワーク オブジェクトに異なるアドレスが含まれている場合などです。 このタイプのすべての競合は、名前競合のテーブルにリスト表示されます。

    競合を解決して、デバイスのインポートを完了するには、競合するすべての名前に追加するサフィックスを定義する必要があります。 デフォルトでは、検出されたデバイスのデバイス名が使用されますが、名前が一意になるのであれば、どのようなサフィックスでも使用できます。 サフィックスを変更する場合は、[Preview] をクリックして更新された提案名を確認します。

    選択したサフィックスに問題がなければ、[Rename] をクリックします。 この方法でオブジェクトの名前を変更しない場合は、[Cancel] をクリックしてデバイスのインポートを中止します。 名前変更の手順を踏まずにデバイスをインポートするには、データベースまたはデバイスでオブジェクトの名前を変更する必要があります。

    ステップ 10   [Commit] をクリックして、インポートを完了します。

    インポートを完了し、ASA CX を管理対象モードにするには、変更を保存する必要があります。

    保存後、ASA CX SSP はインベントリに追加され、管理対象モードになります。

    ASA デバイスの場合、サポートされるすべてのデバイス コンフィギュレーション コマンドまたはポリシーはデータベースに追加され、PRSM マルチ デバイス モードを使用した変更に使用できます。 その他のツールや技術を使用して、設定の検出された部分を変更しないでください。

    一意のデバイス グループが ASA 用に作成されます。 他のデバイスと共有されているポリシーでインポートされたポリシーを置き換える場合、別のデバイス グループにデバイスを移動できます。 また、他のデバイスを新しいデバイス グループに追加することもできます。

    ステップ 11   ASA から ASA CX SSP へのトラフィック リダイレクションが現在オンになっていない場合、その状況が通知されます。 [Go to Device Group] をクリックして、リダイレクションをイネーブルに設定できるようにリダイレクション ポリシーを取得します。

    リダイレクション設定をすぐに編集しない場合は、[Close] をクリックします。 [Close] をクリックしてもインポートはキャンセルされません。デバイスのインポート中にリダイレクション ポリシーを変更する必要はありません。


    デバイス証明書の更新

    デバイスで新しい証明書を生成するか、PRSM とデバイスの間の通信に何らかの問題がある場合は、デバイスに関連付けられている SSL 証明書の更新が必要になることがあります。 CX デバイスの証明書を更新すると、PRSM サーバ証明書も CX デバイスで更新されます。


    (注)  


    ASA で自己署名証明書を使用している場合は、ASA がリブートするたびに新しい証明書が生成されるため、PRSM で証明書を更新する必要があります。


    手順
      ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
      ステップ 2   デバイスの上にマウスを置き、[Refresh Certificate] をクリックします。
      ステップ 3   デバイスから証明書が取得され、表示されます。 証明書が正しい場合は、[Accept] をクリックして保存します。

      デバイス構成の使用

      デバイス構成とは、ASA デバイスでのロギング設定や syslog サーバ設定など、ファイアウォール ポリシーに直接関連しない設定です。 デバイス構成は、デバイスのインベントリ ページを使用して編集します。

      手順
        ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
        ステップ 2   デバイスの上にマウスを置き、[Device Configuration] をクリックします。

        さまざまな設定がリスト表示されたパネルが開きます。 パネルには関連する設定がグループ化されて表示され、パネルは開いたり、閉じたりできます。

        設定を変更するには、設定名をクリックしてページを開き、そのページで変更を行います。 特定の設定グループの詳細情報を確認するには、設定ページにある [Help] リンクをクリックします。


        デバイスの削除

        PRSM でデバイスを管理する必要がなくなった場合、インベントリからそのデバイスを削除できます。 デバイスを削除してもデバイス構成はまったく変更されません。現在の設定と割り当てられているライセンスを使用して、デバイスは機能し続けます。

        また、インベントリにデバイスを追加したときに作成された項目もまったく削除されません。 たとえば、検出されたポリシー、ポリシー セット、ポリシー オブジェクト、ディレクトリ レルム、およびライセンスはデータベースに残ります。 デバイスがインベントリに残っていた期間が、ダッシュボードの時間範囲内に含まれているかどうかに応じて、そのデバイスのダッシュボード データも保持され、ダッシュボードに表示されます。 ただし、インベントリにデバイスを追加したときに作成されたデバイス グループは、名前を変更するか、他のデバイスをグループに追加しなかった場合は、削除されます。

        ASA CX SSP を含む ASA を削除すると、ASA CX SSP は非管理対象モードになります。 これで、別の PRSM サーバに追加したり、Web インターフェイスから直接管理できるようになります。

        はじめる前に

        デバイスを削除するには、保留中の変更を保存する必要があります。

        手順
          ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
          ステップ 2   デバイスの上にマウスを置き、[Delete Device] をクリックします。

          削除の確認が求められます。

          ヒント   

          何らかの理由で CX デバイスとの通信が失敗すると、システムはそれを非管理対象モードにできなくなる場合があります。 その場合は、CX デバイスのホーム ページにログインしてリンクをクリックし、シングル デバイス モードに切り替えます。


          デバイス通信のトラブルシューティング

          PRSM がデバイスと通信するときは常に、正常な通信を妨げる問題が発生する可能性があります。 デバイスに変更を保存する場合や、ダッシュボード内に表示するためにモニタリング データが収集される場合、設定の検出中に通信が必要です。 ネットワーク概要ダッシュボードまたはデバイス インベントリ リストに、通信に関連する警告が表示されることがあります。また、デバイスを追加したり、それらに展開するときにエラー メッセージが表示されることもあります。

          次に、一般的な通信エラーの例を示します。

          • サポート対象外のデバイス:サポートされないタイプまたはオペレーティング システムのバージョンのデバイスを追加した可能性があります。 デバイス ディレクトリにログインして、デバイス タイプとオペレーティング システムのバージョンを確認します。 正しいデバイスの IP アドレスを入力したことを確認します。 このエラーは、通常、デバイスを追加しようとすると発生します。 また、サポートされているデバイスからサポート対象外のデバイスに IP アドレスを割り当て直すと、エラーが表示されることがあります。 この場合は、インベントリからデバイスを削除します。
          • ユーザの認証エラー、無効なユーザ名、パスワード:デバイスにログインするためのユーザ名またはパスワードがデバイスで拒否されました。 インベントリにデバイスを追加するときにこのエラーが発生した場合は、ユーザ名とパスワードを修正します。 デバイスに直接ログインして(たとえば、SSH を使用)、ユーザ名/パスワードが機能することを確認します。 デバイスを追加して、それを正常に管理していてもこれが起こる場合は、デバイスを追加したときに指定したユーザのパスワードが変更されている可能性があります。 パスワード(またはユーザ名)は変更できません。 インベントリからデバイスを削除し、それをもう一度追加して、ユーザ名とパスワードを更新します。 ASA では、ユーザ パスワードがない場合、HTTP サーバのデフォルト パスワードとしてイネーブル パスワードが使用されます。
          • 証明書が無効、証明書が期限切れ、証明書の更新が必要、HTTPS(SSL)エラー、SSL とネゴシエーションできない、通信エラー:保護された SSL(HTTPS)通信を確立できませんでした。 デバイスの通信には、常に SSL が使用されます。 デバイスを追加するときにこれが発生した場合は、まず、デバイスとの SSL 通信に使用されるポート番号が正しく指定されていることと、ASA で HTTP サーバがイネーブルになっていることを確認します。 問題が無効な証明書である場合、証明書が期限切れとなっているか、証明書の有効期間の開始日が PRSM サーバの現在時刻と比較して未来の時間になっているかのいずれかです。 証明書が期限切れの場合は、デバイスにログインして新しい証明書を生成します。 問題が時刻に関連している場合は、時刻が不正確になっているシステムで時刻設定を修正します。 サーバで管理するすべてのシステムに対して、NTP を使用し、同じタイムゾーンを設定することを検討してください。 問題が古い証明書である場合、または証明書を更新する必要があるというメッセージが表示された場合は、[Device] > [Devices] を選択し、デバイスの上にマウスを置き、[Refresh Certificate] を選択して新しい証明書を取得します。 問題が証明書でない場合は、HTTP サーバが ASA でイネーブルになっていることと、デバイスをインベントリに追加後に SSL ポートを変更していないことを確認してください。 SSL のポートを変更した場合、インベントリに指定された番号に変更し直すことができます。そうしない場合は、インベントリからデバイスを削除して、新しいポート番号を使用して追加し直す必要があります。 さらに、システム間に時刻の不一致がある場合に、SSL 通信が失敗する可能性があります。 たとえば、デバイス証明書の有効期間が、サーバの現在時刻から外れている場合などです。 ベスト プラクティスは、すべてのシステムに NTP を使用して、時刻を確実に同期することです。
          • PRSM 証明書が無効:このエラーは、PRSM サーバ自体の証明書に問題があることを意味しています。 デバイスの検出と展開は、問題を修正するまで機能しません。 証明書が期限切れになっているか、サーバと管理対象デバイスの時刻設定の間に時間のずれがある可能性があります。 時刻設定が正しく行われていることを確認し、新しいサーバ証明書を取得します。 証明書をアップロードするには、[Administration] > [Server Certificates] を選択します。
          • デバイスが応答しない、ホストに接続できない、デバイスを使用できない、展開のタイムアウト、通信エラー:サーバとデバイスの間にルートがない可能性があります。 また、デバイス設定でデバイスの IP アドレスまたはホスト名を変更したか、SSL 通信のポート番号を変更した可能性もあります。 さらに、デバイス間のトラフィックを拒否するファイアウォール ルールがある場合があります。

            ヒント


            同じ PRSM サーバで同じデフォルト以外の名前を持つ 2 台の CX デバイスを管理することはできません。 同じ名前のデバイスでは、証明書のサブジェクトが同じであるため、証明書の検証エラーが原因で検出がタイムアウトすることがあります。 デフォルトを使用しない場合は、各 CX デバイスで一意の名前を使用する必要があります。


            ネットワーク接続を確認します。 問題はデバイスとサーバ間のネットワーク接続にあります。デバイスとサーバが互いに接続できない場合でも、ワークステーションからデバイスとサーバの両方に接続できることがあります。 両方のシステムの CLI にログインし、ping または traceroute を使用して接続を確認します。 ルートがある場合は、HTTP サーバが ASA でイネーブルになっていることを確認します。 デバイスとサーバの間にルートがあり、IP アドレス、ホスト名、または SSL ポート番号を変更した場合は、インベントリからデバイスを削除し、新しいアドレス情報を指定して、それを追加し直す必要があります。 これらの対応で問題が解決しない場合は、PRSM とデバイスの間のパスで、すべてのファイアウォール対応ネットワーク デバイスのアクセス ルールをチェックします。CX デバイスの場合、そのデバイスが存在するデバイスが含まれます。 既存のルールがポート 443 の HTTPS トラフィックをホスト間で転送することを許可していることを確認してください。PRSM が発信元のルールと、利用できないデバイスが発信元の、2 つの許可ルールが必要です。 443 以外の HTTPS ポートを設定した場合、設定したポートを許可する必要があります。 ネットワーク パス上のすべてのホップに通信を許可する必須のアクセス ルールがあることを確認します。