ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
使用する前に
使用する前に

目次

使用する前に

次のトピックでは、コンテキスト対応セキュリティおよび PRSM の使用を開始する方法について説明します。

ブラウザ要件

Web インターフェイスにアクセスするには、ブラウザが JavaScript および Cookie をサポートし、受け入れがイネーブルになっている必要があります。 また、Cascading Style Sheet(CSS)を含む HTML ページをレンダリングできる必要があります。

次のリストに、引用したプラットフォームでサポートされる最小ブラウザ バージョンを示します。 より新しいバージョン、または別のオペレーティング システムを使用できる可能性があります。ただし、それらのバージョンおよびオペレーティング システムは、このアプリケーションでテストされていない可能性があり、したがっていくつかの機能の動作が異なるか、またはまったく動作しない可能性があります。

  • Windows 7、Mac OS X:Mozilla Firefox 22

  • Windows 7、Mac OS X:Google Chrome 17

  • Windows 7:Windows Internet Explorer 9(64 ビット)

いくつかのボタンおよびリンクで追加のウィンドウが開きます。 したがって、少なくともアプリケーションのホスト デバイスからのポップアップを許可するには、ブラウザのポップアップ ブロックの設定が必要になることがあります。

Web インターフェイスの言語の変更

英語と日本語の Web インターフェイスを表示できます。 日本語を取得するには、日本語にブラウザの言語設定を変更します。 日時が選択した言語に基づいてフォーマットされた可能性がありますが、他のすべての言語設定の英語を取得します。

Web インターフェイスの言語または日付/時間形式を直接変更できません。

システムへのログイン

PRSM 製品と CX 製品には、次の 2 つのインターフェイスがあります。

Web インターフェイス

この製品に対するメイン インターフェイスは Web ブラウザ上で動作します。 マルチ デバイス モードを使用して複数のデバイスを管理している場合でも、シングル デバイス モードを使用して CX デバイスに直接ログインする場合でも、この Web インターフェイスは Cisco Prime Security ManagerPRSM)と呼ばれます。 マルチ デバイス モード インターフェイスおよび シングル デバイス モード インターフェイスは、一方のモードで得た操作スキルを他方のモードでもすぐに使用できるように、互いに同一の外観を備えています。 両者の相違は、デバイス インベントリのような複数のデバイスの管理に関連する機能のアベイラビリティに関連するものです。

CXPRSM マルチ デバイス モード インベントリに追加する場合、PRSM マルチ デバイス モード で設定すべきポリシーをデバイス上で誤って直接設定できないようにするために、管理対象のデバイスの Web インターフェイスが制限されます。 Web インターフェイスには、デバイスを管理している PRSM サーバのアドレスを含めて、デバイスが管理対象モードであることが明確に示されます。

コマンドライン インターフェイス(CLI、コンソール)

最初のシステム セットアップおよびトラブルシューティングには、CLI を使用します。 システムを設定して正しく動作するようになれば、CLI の使用が必要になることはほとんどありません。 CLI コンソールにログインする方法は、PRSM のモードに基づいて異なります。

次のトピックで、これらのインターフェイスへのログイン方法を説明します。

Web インターフェイスへのログイン

Web インターフェイスを使用して、ポリシー、設定、および他のプロパティの設定を行います。 ログインするには、Web ブラウザを使用してサイトを開いてから、ユーザ名とパスワードでログインします。 ブラウザで設定可能な機能を、コマンドライン インターフェイス(CLI)で設定することはできません。セキュリティ ポリシーを実装するには、Web インターフェイスを使用する必要があります。

シングル デバイス モード および マルチ デバイス モード の Web インターフェイスでのログイン手順は同じです。単に別の Web サイトを開くだけです。

現在 PRSM サーバで管理されている CX デバイスにログインすると、そのデバイスが管理対象モードであることがホームページに示され、その管理を実行している PRSM サーバのアドレスが示されます。 管理対象モードでは、CX デバイスの大部分の Web インターフェイスがディセーブルになります。

はじめる前に

Web インターフェイスにログインする前に、初期システム セットアップを完了し、システムをネットワークに接続する必要があります。

手順
    ステップ 1   ブラウザを使用して、システムのホームページ(https://cx.example.com など)を開きます。

    設定済みのものであれば、IPv4 アドレス、IPv6 アドレス、または DNS 名を使用できます。 システム セットアップで設定した管理アドレスを使用します。

    ヒント   

    ブラウザがサーバ証明書を認識するように設定されていない場合、信頼されていない証明書に関する警告が表示されます。 証明書を例外として受け入れるか、または信頼されたルート証明書ストアのものを受け入れます。 IPv6 アドレスを使用して接続する場合、いくつかのバージョンの Firefox では、例外の作成が許可されません。 この場合には、サポートされている別のブラウザを使用するか、またはブラウザが信頼する証明書でシステムを設定します。

    ステップ 2   CX デバイスまたは PRSM について定義されているユーザ名とパスワードを入力し、[Login] をクリックします。

    事前定義されたユーザであるユーザ名 admin を使用できます。 CX デバイスのデフォルトの admin パスワードは Admin123 です。 PRSM マルチ デバイス モード にデフォルトのパスワードはありません。初期システム セットアップ中にパスワードの設定を要求されます。

    管理者が CX デバイスまたは PRSM のユーザ名として通常のディレクトリ ユーザ名を定義している場合は、DOMAIN\username(たとえば EXAMPLE\user1)、username@domain(たとえば user1@example.com)、または単にユーザ名でログインできます。


    ASA CX CLI へのログイン

    ASA CX コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。 CLI セッションからポリシーを設定することはできません。

    ASA CX CLI にログインするには、次のいずれかを実行します。
    • ASA 製品に付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。 コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。

    • ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。

    • SSH クライアントを使用して、管理 IP アドレスに接続します。 admin ユーザ名(デフォルトのパスワードは Admin123 です)を使用してログインします。

    ログインした後、CLI で使用可能なコマンドを確認するには、help または ? を入力してください。

    PRSM CLI へのログイン

    PRSM マルチ デバイス モード コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。 CLI セッションからポリシーを設定することはできません。

    PRSM CLI にアクセスするには、SSH クライアントを使用するか、または PRSM 仮想マシン(VM)用の VMware vSphere コンソールを使用します。 コンソールの使用方法の詳細については、vSphere のヘルプを参照してください。

    次の手順では、両方の方法について説明します。

    手順
      ステップ 1   SSH クライアントを使用するには、管理 IP アドレスに接続し、admin ユーザ名とパスワードを使用してログインします。
      ステップ 2   VMware vSphere コンソールを使用するには、次を実行します。
      1. vSphere クライアントにログインし、ユーザが PRSM VM を実行している vCenter サーバに接続します。
      2. サーバ上の VM のリストから PRSM VM を選択し、右側のパネルまたは別のウィンドウとして VM コンソールを開きます(ツールバーの [Launch Virtual Machine Console] ボタンをクリックするか、または [Inventory] > [Virtual Machine] > [Open Console] を選択します)。
      3. コンソール ウィンドウ内をダブルクリックしてコンソールに入り、次に admin ユーザ名とパスワードを使用してログインします。

        admin パスワードを回復するため、またはシステムを出荷時の初期状態にリセットするためにコンソールにログインする場合には、recovery ユーザ名を使用してログインします。 リカバリ ユーザとしてログインするには、コンソールを使用する必要があります。SSH クライアントは使用できません。

      ステップ 3   ログインした後、CLI で使用可能なコマンドを確認するには、help または ? を入力してください。

      Web インターフェイスの基礎

      ここでは、CX/PRSM Web インターフェイスの使用方法について概要を説明します。

      ユーザ ロールで表示および実行可能な対象の制御

      ユーザ名はロールに割り当てられ、ユーザ インターフェイスで何を実行できるか、また何を表示できるかがユーザ ロールによって決まります。 ある機能を使用する権限がない場合は、その機能にアクセスするためのメニューが表示されません。読み取り専用アクセス権を持つ場合は、変更を行うためのボタンまたはコントローラが表示されません。

      したがって、オンライン ヘルプやその他のマニュアルには、表示できない機能または使用できない機能が記載されている場合があります。

      ロールを判断するには、[Administration] > [Users] を選択してアカウントを確認してください。

      可能なロールとそれらの権限の詳細については、ユーザのロールと権限を参照してください。


      ヒント


      CLI にログインできるのは、admin ユーザに限られます。


      メニュー

      Web インターフェイスの上部には、アプリケーションのメイン ページにアクセスするためのメイン メニューがあります。 また、右上には重要なリンクがあります。 シングル デバイス モードマルチ デバイス モードのメニューはほぼ同一ですが、マルチ デバイス モードには追加のコマンドがあります。

      図 1. PRSM メニュー



      次に、メニュー バーのメイン メニューと機能について説明します。
      • [Dashboard]:[Dashboard] メニューには、プライマリ ランディング ページ、ネットワークの概要、および利用可能な各ダッシュボードへのリンクがあります。 これらの機能を使用して、デバイスやポリシーなどのパフォーマンスを監視および評価します。

      • [Events]:[Events] メニューから Event Viewer を開くことができます。 Event Viewer を使用して、トラフィックおよびシステム イベントの表示と分析を行います。 これらのイベントは、ユーザ アクセスまたはシステム パフォーマンスと動作に関する問題の識別と解決に役立ちます。

      • [Configurations]:[Configurations] メニューには、コア ポリシーおよび設定、およびセキュリティ ポリシーを実装するシグニチャとエンジン更新が含まれます。 マルチ デバイス モードでは、リポジトリ ビューの [Overview][Overview]タブに、デバイス インベントリがリストされます。

      • [Components]:[Components] メニューには、ポリシー オブジェクトおよびディレクトリ レルムを含む、ポリシーの構築ブロックとして使用する機能が含まれます。 ポリシーを設定できるアプリケーションおよび Next Generation IPS 脅威を表示することもできます。

      • [Administration]:[Administration] メニューには、ユーザ アカウント管理やライセンシングなど、システムの管理に関連する機能があります。

      • [License Alerts]:メニュー バーで [Administration] メニューの横の領域には、製品ライセンスに関して現在または保留中の問題がある場合に、ライセンス アラートが表示されます。 アラートは問題または潜在的な問題を示します。 アラートをクリックして [Licenses] ページに移動し、操作を行うことができます。

      • [Changes Pending]/[No Changes Pending]:メニュー バーの右端のリンクは常に表示され、[Commit and Deploy Changes]ページに移動します。 リンクのテキストは、データベースにコミットしてデバイスに展開する必要がある変更があるかどうかを示します。 ポリシーを変更した場合は、変更を保存して有効にする必要があります。

      • 右上のコマンド:右上のコマンドは次のとおりです。
        • [Quick Start]:概要情報およびビデオを提供するクイック スタート初期ページを開きます。

        • [Help]:オンライン ヘルプを開きます。

        • [Username]:現在ログインしているユーザ名を表示します。 これはリンクではありませんが、複数のユーザ アカウントがある場合、ログインに使用したユーザ名を確認するのに役立ちます。

        • [Logout]:Web インターフェイスからログアウトします。

      リストおよびテーブル

      ルール ベースのポリシーまたはポリシー オブジェクトなどのリスト、および Event Viewer およびダッシュボードなどのテーブルは、連続してスクロールします。 つまり、リストまたはテーブルの終端に向かってスクロール ダウンすると、新しいエントリが取得され、ビューに追加されます。

      項目が取得され、追加されるときに、通常、遅延が発生します。

      非常に大きなリストおよびテーブルを処理するときは、興味のある項目を見つけやすくするために内容を絞り込むフィルタリング機能を使用します。

      リストとテーブルを使用する次のヒントを考慮してください。
      • ポリシー オブジェクト リストをフィルタリングする場合、特定のオブジェクト タイプを対象とするためにオブジェクト タイプ リストを使用します。

      • フレーズでフィルタリングするには、二重引用符で囲みます。 たとえば、all remote のフィルタリングは「all」および「remote」に対する一致を示すけれども、「all remote」のフィルタリングはそのフレーズに対する一致のみを示します。

      • フィルタ結果は構文(完全一致)と意味(検索用語の意味を重視)の両方です。 たとえば、10.100.10.1 の検索は、10.100.10.0/24 にも一致します。 結果は、項目の名前だけでなく、内容を考慮します。

      • Event Viewer には、イベントのフィルタリングで説明している独自のフィルタリング機能があります。

      • カラム ヘッダーをクリックしてダッシュボードのテーブルをソートできます。 ヘッダーをクリックすると、そのカラムのソート順序が昇順または降順に切り替わります。

      • タイムスタンプが記載されたデータがテーブル示されているリストまたはテーブルは、時間範囲によってフィルタリングできます。 変更履歴に関しては、ユーザ名によってもフィルタリングできます。

      ポリシー、リスト、およびアラートのアイコン

      ポリシー リストには、ポリシーまたはポリシー セットのいくつかのアイコンが表示される場合があります。 これらのアイコンのいくつかは、Web インターフェイス内に表示されることがあります。 アイコンは、アクション ボタンにも使用されます。

      アイコンの目的や意味を決定するには、その上にマウスを置くか、またはクリックします。 ツールチップはアイコンの詳細を表示します。これらの詳細は、コンテキストによって変化します。 場合によっては、チップには通知に関連するアクションを実行するためのリンクが含まれています。 アクション ボタンの場合、チップにデバイス タイプのリンクが含まれる場合があり、対象のデバイスのリンクをクリックする必要があります。

      通常、次の機能に関連しているアイコンが表示されます。

      • 保留中の変更:行った編集で、保存されていますが、デバイス設定にまだコミットされていない編集。

      • アラート:ほとんどダッシュボードおよびインベントリ リストで表示され、到達不能なデバイスなどのデバイスの問題を示します。

      • ユーザの競合:自分の編集と他のユーザの編集間の潜在的または実際の競合。

      • ライセンスの問題:期限が切れたまたは期限切れが近づいている機能ライセンス、およびそのライセンスが適用される機能を使用したポリシーへの影響

      • パケット キャプチャ:アクセス ポリシーがパケット キャプチャに対して有効になっていることを示します。

      リスト項目を選択するか、それにマウスを置いてコマンドを表示

      リスト内の項目に作用するコマンドまたはボタンは、項目を選択するか、その上にマウスを置いたときにのみ表示されます。 選択またはマウスを置く動作は Event Viewer のイベントなど他の機能でも必要になることがあります。そのため、一般的に、そのページで行う作業がよくわからない場合は、項目を選択するか、その上にマウスを置いてコマンドが表示されるかどうかを確認することができます。

      次の例では、最初のアクセス ポリシーを選択することで、[Delete Policy]、[Edit Policy] などポリシーに関連する複数のボタンが左に表示されています。





      同様に、オブジェクト リストの次の例は、項目の上にマウスを置くことが関連するコマンドを表示するのに十分であることを示しています。 コマンドを表示するために、オブジェクトを選択することもできます。





      項目の選択

      多くのフィールドでは、情報を入力するか、またはリストから項目を選択できます。 多くの場合、複数の項目を選択でき、また異なるタイプの項目も選択できます。 たとえば、ASA CX アクセス ポリシーの [Source] フィールドでは、複数のネットワーク、ID、ユーザ エージェント、セキュア モビリティ、およびセキュア ポリシー オブジェクトを選択できます。 チケット ID の入力時には、リストから既存の項目を選択するだけでなく、複数の項目を入力できます。

      次の図に、項目選択フィールドを示します。 項目選択は従来のコンボ ボックスに似ていますが、複数の項目を選択できる点が独特で、また項目選択には 2 つの個別のドロップダウン リストを含めることができます。

      図 2. オブジェクトおよびオブジェクト タイプ リストでの項目ピッカー



      1

      オブジェクト リスト。

      2

      オブジェクト タイプ フィルタ。

      項目を 1 種類以上選択できる場合、特定のタイプのオブジェクトのみ表示するために、リストをフィルターする項目を選択できます。 たとえば、[Source] フィールドにフィルタ リストから [CX Network Group] を選択した場合、項目リストにネットワーク グループ オブジェクトのみ表示されます。 フィルタ リストからタイプを選択しても、フィールドに入力できる内容は制限されません。その代わり、リストに表示される内容が限定されるため、選択する項目を簡単に検索できるようになります。

      次に、項目ピッカーのその他のヒントを示します。

      • 項目選択の内部をクリックして入力を開始すると、項目リストが自動的にフィルタリングされ、項目名内のいずれかの位置にその文字列を含む項目だけが表示されます(項目名の先頭からの必要はありません)。

      • Shift を押しながらクリックして、リストから複数の項目を選択できます。

      • 項目選択で複数の項目を選択すると、項目がスペースで区切られます。 選択した項目の詳細を表示するには、その項目をクリックします。

      • どのオブジェクトを選択するか確信が持てない場合には、リスト内のオブジェクトをマウスでポイントし、右側の [View Details] リンクをクリックします。 オブジェクトを変更できる場合、[Edit Object] をクリックして詳細ウィンドウから実行できます。

      • 目的のコンテンツを持つオブジェクトがすでに存在しない場合、ドロップダウン リストの一番下で、[Create New Object] または [Create New Profile] をクリックして新しいオブジェクトを作成します。

      • 項目を削除する場合には、その項目の上にマウスを置き、項目名の右の [X] をクリックします。 別の項目を追加するには、最後の項目の右の空スペースをクリックします。

      ヘルプの表示

      オンライン ヘルプは製品に付属しています。 ヘルプは、Web インターフェイスを対象とするだけでなく、CLI で使用できるコマンドの参照も含みます。 ヘルプは シングル デバイス モードマルチ デバイス モードの両方をカバーしているため、現在のインターフェイスでは使用できない機能が表示される可能性があります。

      ヘルプを開くには、Web インターフェイスの右上端の [Help] リンクをクリックします。 このリンクでは、通常、現在表示しているアプリケーション ページに関連するページが開きます。

      フォームに入力するとき(たとえば、ポリシーを作成しているとき)、通常、入力フォームの右上隅に [Help] リンクがあります。 フォームの詳細については、このリンクをクリックします。

      オンライン ヘルプは、アプリケーションとは別のウィンドウで開きます。 ヘルプ システムが開いているときは、目次または索引を使用して詳細を検索できます。 また、[Search] を使用して、ヘルプ システム内の情報を検索できます。


      ヒント


      また、 http://www.cisco.com/go/asacxhttp:/​/​www.cisco.com/​go/​asacx または http://www.cisco.com/c/en/us/support/security/asa-next-generation-firewall-services/tsd-products-support-series-home.html と Cisco.com の詳細情報およびドキュメントを参照してください。


      基本的なシステム情報の表示

      [Administration] > [About PRSM] を選択すると、システムに関する基本的な情報を表示できます。 このページに表示される情報には、次の項目が含まれます。
      • PRSM server name:CLI の setup コマンドを使用して定義された、このシステムのホスト名。

      • Version:システム上で実行されているソフトウェアのバージョン。

      • PID:製品 ID。

      • Serial number:システムのシリアル番号。

      • Device mode:CX デバイス(シングル デバイス モード)または PRSM サーバ(マルチ デバイス モード)に直接ログインするかどうか。

      • Last Upgrade Attempt:システム ソフトウェアのアップグレードを最後に試行した日付。

      • Last Upgrade Status:システム ソフトウェアのアップグレードを最後に試行した結果。

      他のユーザとの作業

      Web インターフェイスでポリシーを設定できる複数のユーザを作成できます。 ただし、複数ユーザが存在する場合は、複数のユーザが同じオブジェクト、ポリシー、またはその他の設定を同時に編集しようとする可能性があります。

      Web インターフェイスでは、複数のユーザが同じ項目を編集できないわけではありません。 これにより、ユーザが変更をコミットせずに、休暇で出かけた場合や、退社した場合に、他のユーザが妨げられることなく必要な編集をおこなうことができるようになります。

      ただし、このことは、自分の編集、つまり意図した編集が別のユーザが行いたいことと競合する場合があることを意味します。

      特定の項目の変更をコミットできるのは一度に 1 人のユーザだけであることを理解することが重要です。 他のユーザが編集したオブジェクトを編集し、コミットするまえに他のユーザが変更をコミットした場合、そのオブジェクトだけでなく、変更した他のすべてのオブジェクト(それらに競合がなくても)の変更をすべて廃棄する必要があります。 項目を変更する必要があり、他のユーザがそれをすでに編集していたことがわかった場合、他のユーザと直接連携して、自分の変更を完了できるようにタイムリーに変更がコミットされることを確認します。

      Web インターフェイスでは、アイコンにより、項目が他のユーザによって編集されているかどうか、およびそのオブジェクトに存在する競合タイプが示されます。

      • [Warning]:この項目は他のユーザによって編集されています。 ユーザ名を確認するには、アイコンの上にマウスを置きます。 特別な状況を除き、ユーザが変更をコミットするまで項目を編集しないようにしてください。

      • [Pending]:あなたと他のユーザがこの項目を編集しています。 変更を最初にコミットしたユーザが他のユーザに対してコミットの競合を作成します。

      • [Commit]:あなたも編集しているこの項目に対して、他のユーザが変更をコミットしました。 ここで、この項目の変更だけでなく、保留中のすべての変更を廃棄する必要があります。 この時点で、変更を破棄する前に追加の編集を行った時間を無駄にすることになります。 やり直す必要がある編集を理解するために保留中の変更を調べることができます。

      Web インターフェイスに問題がある場合のトラブルシューティング

      Web インターフェイスの使用で問題が発生した場合は、サポートされているブラウザを使用しているかを最初に確認してください(ブラウザ要件を参照)。

      次に、Web インターフェイスの使用時に発生する可能性のある問題、およびその解決策を示します。

      値エラーまたは他の javascript エラーが表示される、またはユーザが実行しようとした操作が失敗する(何かを削除する試みなど)。

      ログアウトし、キャッシュをクリアしてみてください。 ブラウザの失効したキャッシュ エントリが問題になっている可能性があります。

      ブラウザのポップアップにスクリプトの実行に時間がかかっていると表示される。

      スクリプトの実行を待つようにするオプションを選択する必要があります。

      単純な動作が停止しているように見える。

      メニューを選択したか、またはボタンをクリックした場合で、非常に長い時間(30 秒以上)待機していることがブラウザまたはインターフェイスに示された場合は、ブラウザとデバイス間の通信に影響を及ぼす何らかの変更を、他のユーザが行った可能性があります。 たとえば、他のユーザが、Web インターフェイスで使用する証明書を変更したか、または CLI で setup コマンドを使用して重要な設定を変更した可能性があります。 ブラウザ ページをリフレッシュしてみるか、またはログアウトして、ログインし直してください。 ポリシーやオブジェクトの長いリストを表示するページをロードする場合など、操作によっては長時間かかる場合があることに注意し、通信の問題と見なさず待つようにしてください。

      アイデンティティ オブジェクトまたはユーザ フォームにユーザ名を入力しても、ユーザがディレクトリに表示されない。
      たとえば、PRSM 用の ID オブジェクトを作成する場合やリモート(ディレクトリ)ユーザ アカウントを定義する場合には、ディレクトリ ベースの項目に対するユーザ名を入力するときに、ドロップダウン リストに AD/LDAP ディレクトリから取得したオートコンプリート入力提案が示されます。 この問題は、DNS サーバの設定が誤っているため、ディレクトリの DNS 名が誤った IP アドレスに解決される場合に発生しますが、システムとディレクトリ間の通信に別の問題がある場合、またはディレクトリ設定に別の問題がある場合にも発生する可能性があります。 これらのオートコンプリート入力提案が表示されない場合は、次の点を確認してください。
      • AD レルムに対して、[Components] > [Directory Realm] を選択し、レルムにマウスを置いて [Edit Realm] をクリックし、次に [Test Domain Join] リンクをクリックします。 ドメインの参加が失敗する場合、問題を修正します。

      • [Components] > [Directory Realm] を選択し、次に各ディレクトリにマウスを置いて [Edit Directory] をクリックします。 [Test Connection] リンクをクリックして、ディレクトリとの通信を確認します。 発生する問題をすべて修正します。

      • 各ディレクトリに関して、[User Search Base] 値と [Group Search Base] 値が正しいことを確認します。 AD/LDAP 設定を評価して、ユーザ エントリを検証する必要があります。

      変更のコミットまたは破棄

      Web インターフェイスでポリシーまたは設定を更新した場合、変更がすぐにはデバイスに適用されません。 設定の変更には、次の 2 つの手順を実行します。
      • 変更を行います。

      • 変更を保存します。

      この 2 ステップの手順により、デバイスを「部分的に設定された」状態で実行することなく、関連する変更のグループ化を行えるようになります。 たとえば、ディレクトリ レルムを追加する場合、レルムの ID ポリシーも追加する必要があり、また新しいアクセス ポリシーを作成するか、または新しいレルムを使用するよう既存のポリシーを変更する場合もあります。

      目的の変更を完了した後、次の手順を使用して変更をコミットします。

      手順
        ステップ 1   メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページを開きます。




        最後のコミット以降に変更が行われていない場合、このリンクには [No Pending Changes] というラベルが付きます。 その状態でも、展開ステータスを確認する場合などに、リンクをクリックして [Commit and Deploy Changes] ページを表示できます。 また、ポリシー オブジェクトやポリシーなど、変更された項目に表示される [Pending Change] アイコンをクリックすることでもページを表示できます。

        マルチ デバイス モード)。ASA の変更がある場合、[View ASA device transcript (CLI)] をクリックして、デルタ変更(最後のコミット以降の変更)、完全な設定、展開中の通信のトランスクリプト、およびアウトオブバンド変更問題を表示できます。

        ステップ 2   保留中の変更リストを評価し、その変更を本当に適用することを確認します。

        最後にコミットしてから行われたすべての変更は、展開/縮小したフォルダの [Pending Changes] タブに表示されます。 タブは、シングル デバイス モードでは明示的にラベル付けされません。

        ステップ 3   [Commit] をクリックし、デバイス設定を更新します。




        管理対象デバイスは、次のように更新されます。
        • CX デバイス、シングル デバイス モード:変更はただちに適用されます。 ページには、展開の進行状況が表示されます。

        • CX デバイス、PRSM マルチ デバイス モードCX デバイスに変更が通知されます。 影響を受ける各デバイスは変更を取得し、それらを適用します。 これは、ポーリング モデルです。

        • ASA:変更は ASA に送信(プッシュ)され、ASA 設定に適用されます。

        ヒント   

        変更をコミットしない場合は、[Discard] をクリックします。 最後のコミット以降に設定されたすべてのポリシーまたは設定が消去されます。変更のグループから 1 つの変更を選択して元に戻す、または破棄することはできません。

        ステップ 4   PRSM マルチ デバイス モード のみ)。変更の展開ステータスを追跡するため、[Deployment Status] タブに自動的に移動します。

        ジョブの進行状況を追跡するため、メッセージおよびステータス インジケータを確認します。 正常に完了したジョブは、ページを終了するまでページに残されます。 完了したジョブをあとから確認するには、このタブの [View Historic Changes] リンクをクリックするか、[Administration] > [Change History] を選択します。

        その他のアクティブな展開ジョブがある場合は、それらもこのタブに表示されます。

        展開に問題がある場合は、注意を必要とするデバイスがセクションに表示されます。 2 つの主要な問題が考えられます。設定が PRSM の制御の外側で変更された ASA アウトオブバンド(OOB)変更、またはデバイスの設定が古い(たとえば、そのデバイスのデータベースを回復した、または展開の連続した失敗でデバイスが旧レベルになっている)。 次のような選択を行い、変更を再展開するには、[Deploy] をクリックします。
        • 再試行しないデバイスの選択を解除します。

        • アウトオブバンド変更が行われたデバイスの場合、正常に展開するには、これらの変更を上書きすることを選択する必要があります。


        [Commit and Deploy Changes] ページ

        変更をデータベースに保存して、該当するすべてのデバイスに変更を展開するには、[Commit and Deploy Changes] ページを使用します。

        ページの外見は、PRSM のモードによって大きく異なります。
        • シングル デバイス モードCX デバイスを直接設定する場合、ページでは単に変更をコミットまたは廃棄することだけができます。

        • マルチ デバイス モード:このモードでは、すべての機能がページに含まれており、Deployment Manager とも呼ばれます。 このページは、現在の変更を表示するタブと、現在の展開ジョブとそれらの変更およびステータスの一覧を表示するタブに分割されています。

        [Commit and Deploy Changes] ページ(Deployment Manager)を開くには、メニュー バーの右端にあるリンクをクリックします。 リンクの名前は、次のようにさまざまなものがあります。
        • [Changes Pending]:このリンク名は、コミットする必要のある未処理の変更があることを示します。

        • [No Pending Changes]:このリンク名は、コミットできる未処理の変更がないことを示します。

        PRSM マルチ デバイス モードでは、[Commit and Deploy Changes] ページが個別のタブに分かれています。 シングル デバイス モードでは、[Pending Changes] タブは表示されますが、タブとしては表示されません。

        [Pending Changes] タブ

        このタブをクリックすると、コミットする必要がある未処理の変更が表示されます。 現在ログインしているユーザのすべての変更が表示されます。各変更は、既存の項目の変更か、または新しい項目の作成のいずれかを示します。 別のユーザの変更は表示できません。

        マルチ デバイス モード)。ASA の変更がある場合、[View ASA device transcript (CLI)] をクリックして、デルタ変更(最後のコミット以降の変更)、完全な設定、展開中の通信のトランスクリプト、およびアウトオブバンド変更問題を表示できます。

        次のボタンを使用できます。

        • [Commit]:このボタンをクリックすると、データベースへの変更がコミットされ、展開ジョブが開始されます。 データベース コミットが実行されている間、少し待つ必要があります。 マルチ デバイス モードで、次に、ジョブの結果を追跡できる [Deployment Status] タブに移動します。

        • [Discard]:このボタンをクリックすると、リストされているすべての変更が消去されます。 変更を 1 つだけ選択して削除することはできません。 いずれかの変更を破棄するには、すべての変更を破棄する必要があります。 したがって、大量の変更がリストされている中から少数の変更を削除するだけの場合は、該当するページに戻り、必要に応じて項目を削除または変更します。

        [Deployment Status] タブ

        マルチ デバイス モードのみ)。このタブをクリックすると、現在の展開ジョブの結果が表示されます。 ジョブのリストは、最近のジョブから古いジョブへという順番で表示されます。

        各展開ジョブには番号が付いているため、ジョブの相対順序を確認できます。番号が大きいほど最近の展開ジョブであることを示します。 ジョブの詳細が表示されていない場合は、バージョンの見出しをクリックして詳細を開きます。 ジョブ情報には、ジョブの日付と時刻、ジョブによって影響を受けるデバイスの名前とアドレス、全体的なジョブ ステータス、ジョブ内の各デバイスの展開ステータス、および変更をコミットしているユーザが含まれます。 変更の種類がリストされます。変更によっては、新しい変更(INSERT)であるか、または既存の設定への変更(UPDATE)であるかも示されています。

        [Deployment Status] タブには、次のコントロールが含まれています。

        • [View Historic Changes]:このリンクをクリックすると、[Change History] ページが開きます。ここでは、以前の展開ジョブ、およびアクティブになっていないコミットされたバージョンを確認できます。 また、[Administration] > [Change History] を選択しても [Change History] ページを表示できます。

        • [Devices Require Your Attention]:このセクションは、1 つ以上のデバイスで展開ジョブが失敗した場合に表示されます。 このセクションには、失敗したデバイスの一覧が表示されます。 再展開を試行するには、次のような選択を行い、変更を再展開するには、[Deploy] をクリックします。
          • 再試行しないデバイスの選択を解除します。

          • PRSM 制御外で設定が変更されたアウトオブバンド変更が行われたデバイスの場合、正常な展開するには、これらの変更を上書きすることを選択する必要があります。

        展開ジョブの管理

        PRSM マルチ デバイス モードの展開ジョブでは、一連の変更が、その変更の影響を受けるデバイスに適用されます。 デバイスへの変更をコミットするたびに、変更は適用可能なデバイスに展開されます。 Deployment Manager を使用して変更をコミットし、現在の展開ジョブの結果を表示します。 一度に 1 つの展開ジョブを実行できます。

        PRSM シングル デバイス モードでは、変更をコミットすると、変更が即座に適用されます。

        次の手順では、展開ジョブを管理する際に実行可能なさまざまな内容を説明します。


        ヒント


        シングル デバイス モードでは、[Commit and Deploy Changes] ページがタブに分割されません。タブは常にアクティブであり、命名されていないため、この手順で [Pending Changes] タブをクリックする指示がある場合、何も実行する必要はありません。


        手順
          ステップ 1   メニュー バーの右端にあるリンクをクリックし、[Commit and Deploy Changes] ページを開きます。 リンクの名前は、次のようにさまざまなものがあります。
          • [Changes Pending]:このリンク名は、コミットする必要のある未処理の変更があることを示します。
          • [No Pending Changes]:このリンク名は、コミットできる未処理の変更がないことを示します。
          ステップ 2   次のいずれかを実行します。
          • 現在の変更の表示:(すべてのモード)。最後に変更がコミットされてから行われた変更を表示するには、[Pending Changes] タブを選択します。 ポリシー、オブジェクト、設定およびその他の変更は、展開/縮小フォルダに表示されます。 これらの変更は表示のみであるため、このビューから変更を修正することはできません。
          • 変更のコミット:(すべてのモード)。行った変更をコミットして適用可能なすべてのデバイスに展開するには、[Pending Changes] タブを選択して [Commit] をクリックします。 シングル デバイス モードでは、変更が即座に展開されます。 マルチ デバイス モードでは、展開の進行状況を追跡できる [Deployment Status] タブに移動します。
          • 変更の破棄:(すべてのモード)。実装しない変更を破棄するには、[Pending Changes] タブを選択して [Discard] をクリックします。 前回のコミット後に行われたすべての変更が破棄されます。変更のサブセットを選択して破棄することはできません。
          • 現在アクティブなジョブの表示:(マルチ デバイス モードのみ)。現在のアクティブなジョブを表示するには、[Deployment Status] タブを選択します。 リストには、ジョブ ステータス、ジョブの日付と時刻および変更をコミットしたユーザの情報を含めて、すべてのアクティブ ジョブが表示されます。 バージョンの見出しをクリックして開き、コミットされた変更、影響を受けるデバイスおよび各デバイスの展開結果を表示します。 展開が完了すると、そのジョブはこのページからなくなります。 完了したジョブを確認するには、[View Historic Changes] リンクをクリックします。
          • 失敗したデバイスへの変更の再展開:(マルチ デバイス モードのみ)。1 つ以上のデバイスへの展開に失敗した場合は、注意を必要とするデバイスがこのページのセクションに表示されます。 再展開を試行するには、次のように選択し、[Deploy] をクリックして変更を再展開します。
            • 再試行しないデバイスは、選択を解除します。

            • 設定が PRSM の制御外で変更されたアウトオブバンド変更のあるデバイスの場合は、展開を成功させるために、これらの変更を上書きする必要があります。


          変更履歴の表示

          [Change History] ページには、展開ジョブの履歴またはその他のコミットされた変更が表示されます。 [Commit and Deploy Changes] ページの [Commit] をクリックするごとに、変更履歴バージョンが作成されます。 デバイス設定の変更に関係するバージョンも、PRSM マルチ デバイス モードでは展開ジョブと呼ばれます。

          各バージョンには番号が付いているため、ジョブの相対順序を確認できます。番号が大きいほど最近の展開ジョブであることを示します。

          変更履歴リストを使用して、展開ジョブのステータス、変更者、変更の種類を含めて、過去の変更を確認します。 これらのバージョンは、内部的な追跡のために使用できる監査情報を提供します。

          手順
            ステップ 1   [Administration] > [Change History] を選択します。

            リストは、最初は 1 日前にコミットされたバージョンのみを表示するようにフィルタリングされています。

            ヒント   

            PRSM マルチ デバイス モードでは、[Commit and Deploy Changes] ページの [Deployment Status] タブにある [View Historic Changes] リンクをクリックしても、[Change History] ページを表示できます。

            ステップ 2   レコードの表示を制限するフィルタ条件を設定します。 次の基準を使用できます。
            • [Device]:(PRSM マルチ デバイス モードのみ)。 デバイスの IP アドレスまたはホスト名と部分一致するフィルタ文字列を入力し、[Filter] をクリックします。 ドロップダウン リストからフィルタリングする基準を選択できます。
            • [Time Range]:リストの時間制限を選択します。 直前の 30 分、1 時間、24 時間、7 日間、または 30 日間を選択するか、[Custom Date Range] を選択して開始時刻と終了時刻(最小値は 30 分)を指定することもできます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。
            • [Users]:変更をコミットしたユーザを選択します。 特定のユーザにリストを制限しない場合は、[All Users](デフォルト)を選択します。
            ステップ 3   バージョン レコードを分析および評価します。

            バージョンは、最近のバージョンから古いバージョンへと順番に表示されます。 [Version] 見出しには、バージョン番号、日付と時刻および変更をコミットしたユーザを含む、ジョブの概要が示されます。

            PRSM マルチ デバイス モードでは、デバイス展開に関係する各バージョンには、ジョブによって影響を受けるデバイスの名前とアドレス、全体的なジョブ ステータス、およびジョブ内の各デバイスの展開ステータスが含まれます。 インベントリから削除されたデバイスにジョブが展開された場合は、デバイス名と IP アドレスがジョブ情報から削除され、デバイスは削除済みとして示されます。

            バージョン レコードでは、次の操作を実行できます。

            View Changes

            [Version] 見出しをクリックしてレコードを開き、そのバージョンに対してコミットされた変更を表示します。

            設定のアクションが INSERT になっている場合、設定は新しい(データベースに挿入された)設定です。 UPDATE アクションは、既存の設定への変更を示します。

            障害の評価

            PRSM マルチ デバイス モードでは、失敗したデバイスがジョブに含まれている場合は、バージョンの見出しに赤いアイコンが含まれ、ジョブ レコードが縮小されている場合でも失敗したデバイスのリストが表示されます。 また、エラーの履歴も表示されます。

            メニュー バーの [Pending Changes/No Pending Changes] リンクをクリックして [Deployment Status] タブを選択すると、これらの失敗したデバイスに再展開を試みることができます。 デバイスは、注意が必要なデバイスとしてタブに表示されます。 2 つの主要な問題が考えられます。設定が PRSM の制御の外側で変更された ASA アウトオブバンド(OOB)変更、またはデバイスの設定が古い(たとえば、そのデバイスのデータベースを回復した、または展開の連続した失敗でデバイスが旧レベルになっている)。 次のような選択を行い、変更を再展開するには、[Deploy] をクリックします。
            • 再試行しないデバイスの選択を解除します。

            • アウトオブバンド変更が行われたデバイスの場合、正常に展開するには、これらの変更を上書きすることを選択する必要があります。

            CLI およびトランスクリプトの表示

            マルチ デバイス モード)。ASA の変更がある場合、[View ASA device transcript (CLI)] をクリックして、デルタ変更(最後のコミット以降の変更)、完全な設定、展開中の通信のトランスクリプト、およびアウトオブバンド変更問題を表示できます。


            アウトオブバンド変更の処理

            マルチ デバイス モード のみ)アウトオブバンド変更とは、PRSM の制御外で生じる、管理対象 ASA デバイスの設定に対する変更です。 これらの変更は、CLI や、ASDM などの他の管理アプリケーションから行われる可能性があります。 PRSM は、PRSM で設定できる機能またはコマンドに対する変更である場合にのみ、変更がアウトオブバンドであると見なします。つまり、非管理対象機能に対する変更の場合、アウトオブバンド変更とは見なされません。

            展開時にアウトオブバンド変更を処理する方法を決定するようにグローバル設定を指定できます。 アウトオブバンド変更が検出されたときに展開が失敗するよう選択した場合、失敗した後で設定を緩和し、ジョブを再展開できます。

            次の手順では、グローバル設定を指定する方法について説明します。

            手順
              ステップ 1   [Administration] > [Out-of-band Settings] を選択します。
              ステップ 2   デフォルトのアウトオブバンド変更動作を選択します。
              • [Abort and alert]:アウトオブバンド変更がある場合、展開が失敗します。 このオプションを使用すると、変更を調べることができます。 これらを保持する場合、PRSM で変更を複製し、再展開する前にデバイスの展開ジョブで変更を上書きすることを選択します。
              • [Overwrite]:アウトオブバンド変更がある場合、警告なしに上書きします。 このオプションで展開の失敗を防ぐことができますが、保持したい場合がある設定変更を消去することがあります。

              ステップ 3   [Save] をクリックします。

              また、デフォルト設定を使用する場合は、[Restore to Default] をクリックできます。


              設定変更がアクティブになるタイミング

              変更をデバイスに展開すると、変更は、デバイスが変更を適用するとすぐにデバイス設定の一部となります。 ただし、そのデバイスを通過して送信されるトラフィックを処理する方法に関係する変更の場合、その変更は必ずしも既存の接続に影響を与えるわけではありません。

              したがって、以前は許可されていた特定タイプのトラフィックを拒否するようポリシーを変更した場合は、有効になるまで遅延が発生する可能性があります。
              • ポリシー コミットの後に開始した接続は、新しいルールに従って処理されます。

              • HTTP には、シングル トラフィック フローで多数の個別トランザクションを伝送できることを意味する、「永続的な接続」という概念があります。 新しい Web ページにナビゲートする際に、ブラウザは必ずしも永続的な接続を閉じるわけではありません。 ブラウザは、どこか新しい場所に移動する場合は、まず宛先への接続がすでに開かれているかどうかを確認します。接続が存在する場合、可能であれば接続を再使用します。

                したがって、ポリシーの変更によって特定のサイトのページをユーザが閲覧できないようにする場合、サイトへの既存の接続を持つユーザは、不定の期間(通常は数分間)、新しいページへのブラウズを継続できる可能性があります。 この動作は、ポリシーを個別にトランザクションに適用する Web プロキシの通常の動作によって異なります。

              展開ジョブとデバイス ステータス

              各展開ジョブおよびジョブ内に含まれているデバイスには、ジョブの結果を示す独自のステータスがあります。 ここでは、ジョブとデバイスで可能性のある展開ステータスについて説明します。

              展開ジョブ ステータス

              次に、可能性のある展開ジョブ ステータスを示します。 これらのステータスは、全体としてジョブに適用されます。
              • [Queued]:ジョブの準備が完了し、展開キューで開始まで待機しています。

              • [Deploying]:ジョブが実行中で、変更が該当するデバイスに展開されています。

                [Deploying] 状態のジョブは、CX デバイスからの応答を待っている間にタイムアウトする可能性があるため、複数の [Deploying] 状態のジョブが存在する可能性があります。 PRSM がアクティブに変更を送信するのではなく、CX デバイスが PRSM サーバから設定変更をプルするため、デバイスは、更新が正常に行われたことを PRSM サーバに通知する必要があります。 最終的に、[Deploying] ステータスのジョブは、[Deployed] または [Deploy Failed] に変化します。 応答が受信されない場合、ジョブは失敗したと見なされます。

              • [Deployed]:ジョブは、該当するすべてのデバイスに正常に変更を展開しました。

              • [Partially Deploy]:ジョブは、いくつかのデバイスに正常に変更を展開しましたが、該当するすべてのデバイスではありません。

              • [Deploy Failed]:ジョブは、該当するデバイスに変更を展開できませんでした。

              デバイス ステータス

              各デバイスは、個別のステータスを持っています。 展開ジョブに含まれている場合、ステータスはそのデバイスでの展開の結果に基づいたものになります。 場合によっては、特定の問題を識別するために役立つ、詳細なメッセージを利用できます。ステータス メッセージの横に [+] が表示されている場合は、クリックして詳細なメッセージを表示します。

              次に、設定の展開と、デバイス検出に関連するステータスを含む各種ステータスを示します。
              • [Discovering]:PRSM は、現在、デバイス設定をデータベースにロードしています。

              • [Discovered]:PRSM は正常にデバイスを検出しました。 展開に使用できます。

              • [Discover Failed]:PRSM がデバイスを検出中に、エラーが発生しました。 デバイスを削除し、インベントリへの追加を再試行する必要があります。 この状態のデバイスには、操作を行うことができません。

              • [Deleting]:ユーザがデバイスを削除し、PRSM がデータベースからすべてのデバイス情報を削除している途中です。

              • [Delete Failed]:PRSM が、デバイスをインベントリから削除できませんでした。 もう一度試行します。

              • [Queued]:デバイスはキュー内にあり、変更を展開する準備が整っています。

              • [Deploying]:PRSM は、現在、変更をデバイスに展開しています。 CX デバイスでは、PRSM が変更を取得するようにデバイスに通知したことを示します。

              • [Deployed]:変更が、デバイスに正しく展開されました。

              • [Deploy Failed]:変更をデバイスに展開できませんでした。 最も可能性の高い問題は次のとおりです。
                • デバイスへの接続に失敗。ユーザ名またはパスワードが無効:エラーにユーザ名とパスワードが無効なことが示されている場合、通常は、デバイスをインベントリに追加したときに指定されたユーザのパスワードが変更されたことを意味しています。 デバイスの概要タブでクレデンシャルを更新します。

                • デバイスの展開がタイムアウト:デバイスが、一定の時間内に応答しませんでした。 デバイスがオンラインで、使用可能であり、また重大な遅延を発生させるネットワークの問題が存在しないことを確認します。

                • CX デバイスから、展開された変更を受信した確認応答がない:デバイスが、更新された設定の受信を確認応答しませんでした。 ネットワークの問題が存在しないことを確認し、展開を再試行します。

              • [Unavailable]:デバイスに到達できません。 一般的なメッセージには次のものがあります。
                • Device is unavailable (not reachable):PRSM サーバとデバイス間にネットワーク パスの問題がないこと、およびデバイスが電源オンされて機能していることを確認し、展開ジョブを再試行します。

                • Certificate for device is out of date:PRSM 内のデバイスの TLS/SSL 証明書が最新ではありません。 最新の証明書を取得するには、インベントリ リストでデバイスを選択し、[Refresh Certificate] コマンドを使用します。 その後、ジョブを再展開します。

                • Device is unavailable (not reachable) for unknown reason:問題を判定しやすいよう、詳細なメッセージが表示されます。

              • [Out of Band]:アウトオブバンド変更が ASA デバイスで検出されました。

              • [Not Allowed] :デバイスの現在の状態では展開が許可されません。 展開先にできるデバイスは、正しく検出されたデバイス、展開されたデバイス、展開に失敗したデバイス、または現在の状態が不明なデバイスです。 現在検出中のデバイス、検出が失敗したデバイス、展開中のデバイス、またはインベントリから削除したデバイスには展開できません。