ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
デバイスの管理
デバイスの管理
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

デバイスの管理


ヒント


デバイス インベントリ管理は、マルチ デバイス モードPRSM にのみ適用されます。 デバイスへの直接接続で ASA CX を設定している場合、デバイスをインベントリに追加して設定する必要はありません。 シングル デバイス モードでは、デバイス インベントリ ページは表示されません。


デバイスをインベントリに追加することにより、管理するデバイスを識別する必要があります。 デバイス インベントリに追加すると、デバイス上で定義済みの設定を検出し、デバイス アクティビティをモニタして設定に必要な変更を加え、設定の変更を展開してデバイスに戻すことができます。

以降の各項では、デバイス インベントリの管理の基本内容を説明します。

マルチ デバイス モードでの ASA CX の管理

ASA CXPRSM マルチ デバイス モードで管理すると、ASA CX管理対象モードになります。

ASA CX が管理対象モードになると、シングル デバイス モードで Web インターフェイスから直接設定することができなくなります。 すべての設定とモニタリングは PRSM マルチ デバイス モードで実行する必要があります。 唯一の例外は、ローカル CLI を使用できるという点であり、これを使用して、IP アドレス、DNS、NTP、およびパスワードなど、基本設定をトラブルシューティングして、修正できます。

ASA CX を管理対象モードにする方法

ASA CX を管理対象モードにするには、ASA CX SSP を含む ASA をデバイス インベントリに追加します。 デバイス構成の検出が正常に実行されると、ASA CX は管理対象モードになります。


ヒント


ASA CX で、別の PRSM サーバによってそれがすでに管理されていると判断されると、単一の ASA CX を複数の PRSM サーバから管理することはできないため、検出は失敗します。 この場合、ASA CX Web インターフェイスにシングル デバイス モードでログインし、リンクをクリックしてデバイスの管理解除を行います。 次に、親 ASA をインベントリに追加します(必要に応じて、先に削除しておきます)。


管理対象モードの影響

ASA CX を管理対象モードにすると、次の影響があります。
  • 設定のポリシー、ポリシー オブジェクト、ライセンス、および他の部分が検出され、PRSM データベースに追加されます。 将来的には、PRSM マルチ デバイス モードを使用して、Web インターフェイスから定義されているポリシー、オブジェクト、および他の設定を変更する必要があります。 ただし、すべてのデバイス設定が検出されるわけではなく、検出されなかった設定は現在データベースに定義されている設定に置き換えられます。
  • ASA CX は、どの PRSM サーバから管理されているかを認識し続けます。 別の PRSM サーバから設定の変更をプッシュすることはできません。 ASA CX の管理をある PRSM サーバから別のサーバに移動することが必要になった場合は、親 ASA を古いサーバから削除して、それを新しいサーバに追加する必要があります。 ASA を削除すると ASA CX が削除され、削除されると ASA CX は非管理対象モードになります。 デバイスに現在インストールされているライセンスは、削除されるか、非管理対象になっても維持されます。
  • イベントは自動的に PRSM サーバに転送されます。 適切なサーバに転送されたイベントを取得するための設定はなく、自動的に実行されます。
  • PRSM は自動的にレポート データをすべての管理対象 ASA CX から収集します。
  • ASA CX の Web インターフェイスをシングル デバイス モードで開くと、大部分のインターフェイスは無効になりますが、デバイスが管理対象モードであることと、デバイスを管理している PRSM サーバへのリンクがホーム ページに表示されます。 これにより、どのサーバが特定の ASA CX を管理しているかがわからなくなった場合は、Web インターフェイスを使用していつでも確認できます。
  • ASA CX 管理インターフェイスから使用可能な CLI はアクティブのままとなり、完全な状態で機能します。 これを使用してトラブルシューティングを行い、基本デバイス管理設定の保守を行います。 CLI を使用して行った変更は、デバイスの管理対象モードに影響を及ぼしません。

非管理対象モードへの復帰

ASA CX を非管理対象モードに戻す必要がある場合は、次の 2 つの方法を使用できます。
  • 推奨方法:ASA CX をデバイス インベントリから削除します。 これにより、ASA CX は非管理対象モードになります。
  • 緊急時の方法:何らかの理由で PRSM を使用できない場合、ASA CX の Web インターフェイスをシングル デバイス モードで開き、リンクをクリックして ASA CX に対する管理を解除できます。 これにより、ASA CX サーバとの接続が切断され、ローカル Web インターフェイスが有効になります。

    注意    


    ASA CXシングル デバイス モードのインターフェイスから非管理対象にし、デバイスがまだデバイス インベントリに残っている場合、そのデバイスに展開しようとするとエラーが発生します。 この方法でデバイスを非管理対象にした後、PRSM からデバイスを継続的に管理する場合は、インベントリから親 ASA を削除してから、それをインベントリに追加し直す必要があります。 ローカル設定に何も変更を加えずに、デバイスを誤って非管理対象にしてしまった場合でも、この手順をすべて行う必要があります。


管理対象モード ホーム ページから実行できる作業

管理対象モードで実行している ASA CX にログインすると、ホーム ページから次を実行できます。
  • Cisco Prime Security Manager マルチ デバイス モードにリダイレクト:デバイスはどの PRSM サーバから管理されているかを認識しているため、リンクをクリックして対象のサーバ情報を取得できます。 アドレスが表示されます。
  • ログのダウンロード:リンクをクリックしてシステム ログをダウンロードし、問題のトラブルシューティングに役立てます。 各管理対象デバイスの [Device Configuration] ページから PRSM サーバを介して各管理対象デバイスのログをダウンロードすることもできます。 デバイスのインベントリから [Device Configuration] ページにアクセスします。
  • シングル デバイス モードに切り替え:PRSM サーバとの管理接続を切断します。 詳細については、上記を参照してください。
  • すべての設定を Cisco Prime Security Manager から再同期:PRSM サーバでデータベースをリカバリした場合、PRSM サーバに保存されている設定と管理対象デバイスを一致させる必要があります。 このリンクをクリックすると、デバイスのデータベースを再度初期化し、PRSM サーバに定義されている設定に戻すことができます。 設定の再同期が完了すると、サービスは再起動されます。 サーバのアドレスが表示されます。

ASA デバイスを管理するための準備

ASA デバイスを管理するには、PRSM がデバイスと通信して設定を検出でき、変更に基づいてその設定を修正できることを確認する必要があります。 ASA モデルのハードウェア インストール ガイドに記載されている手順に従って、ASDM またはデバイス CLI を使用し、基本設定を実行します。

PRSM は SSL(HTTPS)を使用して ASA を管理します。 このため、次が設定されていることを確認する必要があります。

  • HTTP サーバがイネーブルになっていること。 コンフィギュレーション コマンドは、http server enable です。 デフォルトの ASA 設定では、HTTP サーバがあらかじめイネーブルになっています。
  • PRSM サーバの IP アドレスが HTTP サーバに接続できること。 サーバの特定の IP アドレスを指定するか、サーバが置かれているサブネットを指定することができます。 ASA の HTTP サーバへのアクセスを有効にするコマンドは、http IP_address subnet_mask interface_name です。ここで、各パラメータはサーバへのアクセスが許可された IP アドレスまたはネットワーク アドレス、そのサブネット マスク、および ASA インターフェイスであり、そのインターフェイスを介してアクセスが許可されます。 http 0.0.0.0 0.0.0.0 management を指定して、管理インターフェイスを介したすべてのホストからの接続を許可し、ユーザ名およびパスワードを使用して HTTP サーバへのアクセスを保護することができます(。 http コマンドは、次の設定ではデフォルト設定に組み込まれています。 必要に応じて、設定を調整します。
    • ASA 5510 以降:http 192.168.1.0 255.255.255.0 management Management 0/0 インターフェイスには、IP アドレス 192.168.1.1 が設定されます。 デフォルト設定では、192.168.1.0/24 ネットワークは管理ネットワークです。

ヒント

  • 上記に加えて、ASA がシングル コンテキスト ルーテッド モードまたはトランスペアレント モードで設定されていることを確認する必要があります。 mode single コマンドはシングル コンテキスト モードを設定しますが、設定には表示されません。show mode コマンドを使用してファイアウォール モードを確認できます。 デフォルトの ASA 設定はシングル コンテキスト ルーテッド モードです。
  • 通常、特権 EXEC モード用のイネーブル パスワードも作成します。 また、デバイスにログインするためのユーザ アカウントを作成することもできます。 ユーザ アカウントを作成してログインを制御する場合、そのアカウントに権限レベル 15 を割り当てます。

デバイス検出の概要

デバイスを PRSM マルチ デバイス モードのインベントリに追加すると、デバイスに現在設定されているポリシーと設定が PRSM データベースに追加され、デバイスは PRSM サーバによって管理されていると見なされます。 デバイスの設定を変更するには、PRSM 内で変更を行い、変更をデバイスに展開します。 検出された各デバイスは、最初に一意のデバイス グループに割り当てられます。このグループは、検出プロセスの中で作成されます。

検出の間に、検出されたオブジェクトと PRSM データベースにすでに存在するオブジェクトに名前の競合があると、検出されたオブジェクトに任意のサフィックスを付けるように要求されます。 このため、すべての一意のオブジェクトが検出されますが、名前が変更されることがあります。 検出されたオブジェクトが、データベース内で同じ名前が付けられたオブジェクトと同じものである場合、そのデータベース オブジェクトが単に再利用されます。 システム定義されたオブジェクトは常に同一であるため、検出されることはありません。

デバイス検出の制限について理解しておくことが重要です。これは、次のようにデバイスの種類によって異なります。
  • ASA デバイス:PRSM がサポートするポリシーと設定のみが検出されます。 他のデバイス ポリシーまたは設定を変更する必要がある場合は、ASA CLI を使用するか、ASDM などの別の管理アプリケーションを使用します。 ただし、PRSM によって現在管理されているポリシーまたは設定を自らも所有していると認識している管理アプリケーションは使用しないでください。 たとえば、PRSM と Cisco Security Manager の両方を使用して、ASA syslog サーバ設定を管理しようとしないでください。
    検出されたポリシーと設定の処理は、それらが管理対象であるかどうかによって異なります。
    • 管理対象の場合:管理対象ポリシーまたは設定を変更して、変更を保存すると、変更は ASA に展開されます。 管理対象ポリシーと設定には、トラフィック リダイレクション ポリシー、syslog サーバ、およびロギング設定が含まれます。
    • 非管理対象の場合:非管理対象ポリシーまたは設定は検出されますが、ASA に戻されて展開されることはありません。 つまり、検出は一方向で行われます。設定を一度取り込みますが、それ以降は、PRSM はポリシーまたは設定への変更を認識しません。 検出されても管理されない設定には、インターフェイス リスト、ネットワーク、ネットワーク グループ、サービス、およびサービス グループ オブジェクトなどがあります。 インターフェイスを編集することはできませんが、検出後にオブジェクトを編集することはできます。 ただし、編集内容を ASA 設定に反映する必要がある場合は、ASA CLI または ASDM を使用して変更を繰り返す必要があります。
  • ASA CX SSP デバイス:すべてのポリシーとポリシー オブジェクトが検出されますが、他の設定の検出は制限されているか、サポートされません。 次に、それぞれのポリシー以外の設定についての詳細を説明します。
    • ディレクトリ レルム:LDAP ディレクトリ レルムがインポートされます。このため、PRSM データベースにすでに定義されているレルムと名前の競合が発生した場合、任意のサフィックスを付けるように要求されます。 ただし、Active Directory(AD)レルムは、PRSM マルチ デバイス モードで AD レルムがまだ定義されていない場合にのみインポートされます。 AD レルムが ASA CXPRSM マルチ デバイス モードの両方に定義されている場合、それらは同一にする必要があり、同一でない場合は ASA CX をインベントリに追加できません。 サーバまたはデバイスから AD レルムを削除するか、定義を同一にする必要があります。 異なる AD レルムがどうしても必要な場合は、この PRSM サーバを使用してデバイスを管理することができないため、別の PRSM サーバが必要になります。
    • 復号化設定:復号化ポリシーをイネーブルにして、復号化ポリシーを定義する必要があります。 復号化ポリシーがデバイスと PRSM マルチ デバイス モード でイネーブルになっているかどうかによって、インポート中の動作は異なります。
      • デバイス上で復号化がイネーブルになっていない場合、デバイスのインポートは許可され、変更を保存するときに、PRSM マルチ デバイス モードに定義された設定(証明書など)はデバイスに展開されます。
      • デバイスでは復号化がイネーブルになっているが、PRSM マルチ デバイス モードではディセーブルになっている場合、復号化は PRSM マルチ デバイス モードでイネーブルになり、デバイスの復号化ポリシーと証明書がインポートされます。
      • デバイスとサーバの両方で復号化がイネーブルになっている場合、証明書と証明書設定は同一にする必要があります。同一ではない場合、デバイスの追加は行えません。 デバイスにログインして、PRSM マルチ デバイス モードの設定と同じように設定して、もう一度インポートします。
    • ライセンス:有効なライセンスがインポートされます。 無効なライセンス、または PRSM データベースにすでに存在するものと同じライセンスは、PRSM データベースでコピーと置き換えられます。 評価ライセンスはインポートされません。 インポートするすべてのデバイスに関して、PRSM サーバに十分なライセンスがすでにある必要があります。 たとえば、インポートされたデバイスに、アプリケーション、URL フィルタリング、または Web レピュテーションを使用するポリシーが含まれている場合、それらの機能について使用可能なライセンスが十分に存在する必要があります。 ライセンスが存在しない場合、ライセンスを PRSM サーバに追加するまで、デバイスをインポートできません。
    • PRSM ログ設定:これらは検出され、デバイス構成に含まれます。 PRSM マルチ デバイス モードログ設定は変更されません。このログ設定は、他と異なると見なされています。
    • ユーザ:ユーザはインポートされません。 既存のユーザが削除されることはなく、ユーザがサーバからインポートされることもありません。 ただし、admin ユーザ以外のすべての既存ユーザは、管理対象デバイスにログインできなくなります。 admin ユーザのパスワードは変更されません。

      (注)  


      ASA CX を管理するために、PRSM マルチ デバイス モード を使用している場合は、ASA CX で管理ユーザのパスワードを変更しないでください。 パスワードを変更すると、PRSM はデバイスと通信できなくなります。 PRSM インベントリから親の ASA を削除し、それを追加し直して新しい管理パスワードで PRSM を更新する必要があります。


    • 次の設定は、インポートされません。 検出の後、変更を保存すると、設定は PRSM サーバに定義されている設定に置き換えられます。 デバイスをインポートする前に、これらの設定がどのように変更されるかについて、問題がないことを確認してください。
      • AD エージェント
      • 認証の設定
      • シグネチャの更新設定(頻度とプロキシの設定)
      • パケット キャプチャ設定

アウトオブバンド変更の処理

アウトオブバンド変更とは、PRSM の制御外で生じる、管理対象 ASA デバイスの設定に対する変更です。 これらの変更は、CLI や、ASDM などの他の管理アプリケーションから行われる可能性があります。 PRSM は、PRSM で設定できる機能またはコマンドに対する変更である場合にのみ、変更がアウトオブバンドであると見なします。つまり、非管理対象機能に対する変更の場合、アウトオブバンド変更とは見なされません。

アウトオブバンド変更が認識されることはありません。 インベントリに追加した時点でのデバイスの構成が、PRSM でのデバイス構成の基準になります。 つまり、
  • syslog サーバなどの管理対象設定を変更しても変更は認識されず、次に PRSM の設定を変更して、変更を展開したときに、上書きされる可能性があります。
  • インターフェイスの追加、削除、または名前変更など、インターフェイスに対する変更は認識されません。 このため、トラフィックのリダイレクションや syslog サーバなどのインターフェイス名を含む設定は、変更内容を反映したものになりません。 たとえば、デバイスが管理対象になってから追加されたインターフェイスを選択することはできません。 そのインターフェイス名を入力しても、PRSM はそれがデバイス上に存在することを認識せず、設定を展開しません。
  • ネットワーク オブジェクト、サービス オブジェクト、およびグループへの変更は認識されず、これらのオブジェクトの追加または削除も認識されません。 ASA オブジェクトを ASA CX ポリシーで使用した場合、ASA 検出でのオブジェクトの内容は変化しません。 ただし、ASA からオブジェクトを削除しても、ASA CX の設定は現在実行されている ASA 設定と関連付けられていないため、ASA CX ポリシーは影響を受けず、正常に機能します。

デバイス インベントリの管理

デバイス インベントリとは、管理しているデバイスの簡単なリストです。 各デバイスにログインするための資格情報が正しいことを確認する必要があります。正しくない場合、PRSM はデバイスを管理できません。

デバイス インベントリの概要

現在管理されているデバイスのリストを表示できます。 このリストでは、デバイスを追加したり、他の基本的なインベントリ管理タスクを実行できます。

デバイスごとに、インベントリ リストにはデバイス名(ホスト名とは限らず、PRSM でデバイスが参照されている名前)、説明、動作モード(ルーテッドまたはトランスペアレント)、管理 IP アドレス、デバイス タイプとソフトウェア バージョン、デバイスのシリアル番号、設定保存バージョン、およびデバイスが属するデバイスグループなどのデバイス情報がまとめられています。


ヒント


右端に警告アイコンがある場合、そのアイコンの上にマウスを置くと、デバイスの現在のステータスについての情報が表示されます。 このステータスには、進行中の検出など、現在の状況が示されたり(デバイスを最初に追加した場合)、注意する必要のあるエラー状態が示される場合があります。 アラートの詳細については、デバイス アラートの解決を参照してください。


デバイス インベントリを表示するには、[Device] > [Devices] を選択します。

デバイス インベントリには、次の項目が含まれています。
  • [Filter]:リストをフィルタリングして、デバイスを見つけやすくすることができます。 文字列を入力すると、リストがフィルタリングされて、その文字列を含むデバイスのみが表示されます。 文字列がデバイス名の先頭に一致している必要はありません。 フィルタを削除するには、ボックスから削除します。
  • [I want to]:次のコマンドが含まれています。
    • [Add New Device]:インベントリにデバイスを追加し、その設定を検出します。 ASA CX SSP を追加するには、それを含む ASA デバイスを追加します。 デバイスの追加を参照してください。
  • [List of devices]:現在インベントリにあるデバイス。 ASA CX SSP は、それを含む ASA の子であると見なされます。
    デバイスに関連するコマンドを表示するには、コンポーネント モジュールの行など、デバイスの行の上にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • [Delete Device]:(ASA のみ)。デバイスと、それを含むモジュールを削除します。 デバイスの削除を参照してください。
    • [Refresh Certificate]:デバイスに関連付けられている SSL 証明書を更新します。 この証明書は、デバイスとの通信に使用されます。 デバイス証明書の更新を参照してください。
    • [Device Configuration]:デバイスの設定を表示または変更します。 デバイス構成の使用を参照してください。

デバイスの追加

ASA デバイスまたは ASA CX SSP を管理するには、それをデバイス インベントリに追加する必要があります。

ASA をインベントリに追加すると、デバイスに含まれている ASA CX SSP の設定として、そのデバイスの設定が検出されます。 ASA CX SSP ディレクトリは追加しません。

デバイスは、次の一般的要件を満たす必要があります。
  • ASA デバイス:シングル コンテキスト モード、ルーテッドまたはトランスペアレント モード、およびソフトウェア バージョン 8.4(4) 以降。 デバイスで HTTP サーバをイネーブルにする必要があります(デフォルトでイネーブルになります)。
  • ASA CX:すべての設定がサポートされます。
はじめる前に

PRSM マルチ デバイス モードでは、保留中の変更をすべて保存するか破棄する必要があります。 メニュー バーに [Changes Pending] リンクが表示されている場合は、それをクリックして、リストされている変更の処理方法を決定します。

手順
    ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
    ステップ 2   [I want to] > [Add New Device] を選択します。
    ステップ 3   次の情報を入力して、ASA デバイスの通信プロパティを定義します。
    • [Hardware Type]:デバイス タイプを表示します。 ASA を追加する必要があります。ASA CX を直接追加することはできません。
    • [Device Name]:デバイスが PRSM のセレクタに表示されるときの名前。通常、デバイスのホスト名と同じです。
    • [Description]:デバイスの説明(任意)。
    • [IP Address]:内部 HTTP サーバへのアクセスを許可する管理インターフェイスまたは別のインターフェイスの IP アドレス。
    • [Port]:内部 HTTP サーバへの HTTPS アクセスに使用されるポート番号。 デフォルトは 443 です。
    • [Username]、[Password]:デバイスにログインするためのユーザ名とそのユーザのパスワード。

      ASA デバイスの場合、ユーザは権限レベル 15 が必要です。 デバイスがその設定のみにイネーブル パスワードを必要としている場合、[Username] フィールドおよび [Password] フィールドをブランクのままにできます。

    ステップ 4   [Discover] をクリックして、デバイス設定の検出を開始します。

    デバイスには、提供された資格情報を使用して接続されます。 接続が正常に行われると、デバイスから取得された証明書が表示されます。

    ステップ 5   証明書を表示して確認した後、[Accept] をクリックします。

    デバイスのモジュールが分析されます。

    ステップ 6   ASA に ASA CX SSP が含まれている場合、通信プロパティの入力が要求されます。
    このプロパティについては、上記に説明があります。 ASA CX のプロパティを入力するときは、次の点に注意します。
    • admin ユーザ名とパスワードが必要です。 admin ユーザ名のみが、デバイスの検出に許可されています。
      ヒント   

      インベントリに追加した後、デバイスで admin パスワードを変更しないでください。変更すると、デバイスとの通信が失敗します。 インベントリからデバイスを削除し、それをもう一度追加して、新しいパスワードを使用する必要があります。

    • ポート番号は 443 のままにします。
    • デバイス名を変更することはできませんが、デフォルトの説明は変更できます。
    • IP アドレスが親 ASA から検出されます。 IPv4 と IPv6 の両方の管理アドレスを設定した場合、IPv4 のほうが使用されます。 必要に応じて、グローバル IPv6 アドレスに置き換えることができます。
    ステップ 7   [Discover] をクリックして、デバイス設定の検出を開始します。

    デバイスには、提供された資格情報を使用して接続されます。 接続が正常に行われると、デバイスから取得された証明書が表示されます。

    ステップ 8   証明書を表示して確認した後、[Accept] をクリックします。

    設定を実行しているデバイスが分析され、アプリケーションに接続されます。

    ヒント   

    少し待ちます。 デバイス検出には時間がかかる場合があります。また、検出の完了に要する時間は、デバイス設定の規模に応じて増加します。 検出が完了したときに、検出された項目と、データベースにすでに定義されている同等の項目の間に名前の競合がある場合は、その処理方法を尋ねられます。

    ステップ 9   名前に競合がある場合の処理方法を決定します。

    検出された設定の項目が、データベースにすでに存在する項目と同じ名前の場合、項目の内容が同一であれば、データベースの項目が使用され、検出された項目は置き換えられます。 たとえば、2 つのネットワーク オブジェクトの名前が同じで、同じアドレスを定義している場合、名前が競合しているとは見なされません。

    名前の競合は、同じ名前の項目の内容が異なる場合に発生します。たとえば、同じ名前の 2 つのネットワーク オブジェクトに異なるアドレスが含まれている場合などです。 このタイプのすべての競合は、名前競合のテーブルにリスト表示されます。

    競合を解決して、デバイスのインポートを完了するには、競合するすべての名前に追加するサフィックスを定義する必要があります。 デフォルトでは、検出されたデバイスのデバイス名が使用されますが、名前が一意になるのであれば、どのようなサフィックスでも使用できます。 サフィックスを変更する場合は、[Preview] をクリックして更新された提案名を確認します。

    選択したサフィックスに問題がなければ、[Rename] をクリックします。 この方法でオブジェクトの名前を変更しない場合は、[Cancel] をクリックしてデバイスのインポートを中止します。 名前変更の手順を踏まずにデバイスをインポートするには、データベースまたはデバイスでオブジェクトの名前を変更する必要があります。

    ステップ 10   [Commit] をクリックして、インポートを完了します。

    インポートを完了し、ASA CX を管理対象モードにするには、変更を保存する必要があります。

    保存後、ASA CX SSP はインベントリに追加され、管理対象モードになります。

    ASA デバイスの場合、サポートされるすべてのデバイス コンフィギュレーション コマンドまたはポリシーはデータベースに追加され、PRSM マルチ デバイス モードを使用した変更に使用できます。 他のツールまたは手法を使用して、設定の検出された部分に変更を行ってはいけません。

    一意のデバイス グループが ASA 用に作成されます。 インポートされたポリシーを、他のデバイスと共有されているポリシーに置き換える場合、デバイスを別のデバイス グループに移動できます。 また、他のデバイスを新しいデバイス グループに追加することもできます。

    ステップ 11   ASA から ASA CX SSP へのトラフィック リダイレクションが現在オンになっていない場合、その状況が通知されます。 [Go to Device Group] をクリックして、リダイレクションをイネーブルに設定できるようにリダイレクション ポリシーを取得します。

    リダイレクション設定をすぐに編集しない場合は、[Close] をクリックします。 [Close] をクリックしてもインポートはキャンセルされません。デバイスのインポート中にリダイレクション ポリシーを変更する必要はありません。

    インポートされた各デバイスは、最初は独自のデバイス グループに置かれます。 デバイスを他のグループに移動して、デバイス間で同じポリシーを共有できます。


    デバイス証明書の更新

    デバイスで新しい証明書を生成するか、PRSM とデバイスの間の通信に何らかの問題がある場合は、デバイスに関連付けられている SSL 証明書の更新が必要になることがあります。 ASA CX 証明書を更新すると、PRSM サーバの証明書も ASA CX で更新されます。


    (注)  


    ASA で自己署名証明書を使用している場合は、ASA がリブートするたびに新しい証明書が生成されるため、PRSM で証明書を更新する必要があります。


    手順
      ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
      ステップ 2   デバイスの上にマウスを置き、[Refresh Certificate] をクリックします。
      ステップ 3   デバイスから証明書が取得され、表示されます。 証明書が正しい場合は、[Accept] をクリックして保存します。

      デバイス構成の使用

      デバイス構成とは、ASA デバイスでのロギング設定や syslog サーバ設定など、ファイアウォール ポリシーに直接関連しない設定です。 デバイス構成は、デバイスのインベントリ ページを使用して編集します。

      手順
        ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
        ステップ 2   デバイスの上にマウスを置き、[Device Configuration] をクリックします。

        さまざまな設定がリスト表示されたパネルが開きます。 パネルには関連する設定がグループ化されて表示され、パネルは開いたり、閉じたりできます。

        設定を変更するには、設定名をクリックしてページを開き、そのページで変更を行います。 特定の設定グループの詳細情報を確認するには、設定ページにある [Help] リンクをクリックします。


        デバイスの削除

        PRSM でデバイスを管理する必要がなくなった場合、インベントリからそのデバイスを削除できます。 デバイスを削除してもデバイス構成はまったく変更されません。現在の設定と割り当てられているライセンスを使用して、デバイスは機能し続けます。

        また、インベントリにデバイスを追加したときに作成された項目もまったく削除されません。 たとえば、検出されたポリシー、ポリシー セット、ポリシー オブジェクト、ディレクトリ レルム、およびライセンスはデータベースに残ります。 デバイスがインベントリに残っていた期間が、レポートの時間範囲内に含まれているかどうかに応じて、そのデバイスのレポート データも保持され、レポートに表示されます。 ただし、インベントリにデバイスを追加したときに作成されたデバイス グループは、名前を変更するか、他のデバイスをグループに追加しなかった場合は、削除されます。

        ASA CX SSP を含む ASA を削除すると、ASA CX SSP は非管理対象モードになります。 これで、別の PRSM サーバに追加したり、Web インターフェイスから直接管理できるようになります。

        はじめる前に

        デバイスを削除するには、保留中の変更を保存する必要があります。

        手順
          ステップ 1   [Device] > [Devices] を選択してインベントリ リストを開きます。
          ステップ 2   デバイスの上にマウスを置き、[Delete Device] をクリックします。

          削除の確認が求められます。

          ヒント   

          何らかの理由で ASA CX との通信が失敗すると、システムはそれを非管理モードにできなくなる場合があります。 その場合は、ASA CX ホーム ページにログインしてリンクをクリックし、シングル デバイス モードに切り替えます。


          デバイス通信のトラブルシューティング

          PRSM がデバイスと通信するときは常に、正常な通信を妨げる問題が発生する可能性があります。 デバイスに変更を保存する場合や、レポート内に表示するためにモニタリング データが収集される場合、設定の検出中に通信が必要です。 ネットワーク概要ダッシュボードまたはデバイス インベントリ リストに、通信に関連する警告が表示されることがあります。また、デバイスを追加したり、それらに展開するときにエラー メッセージが表示されることもあります。

          次に、一般的な通信エラーの例を示します。

          • サポートされていないデバイス:サポートされていないタイプのデバイスやオペレーティング システムのバージョンを追加した可能性があります。 デバイス ディレクトリにログインして、デバイス タイプとオペレーティング システムのバージョンを確認します。 正しいデバイスの IP アドレスを入力したことを確認します。 通常、このエラーはデバイスを追加しようとするときに発生します。 サポートされているデバイスからサポートされていないデバイスに IP アドレスを再割り当てする場合も、エラーが発生する可能性があります。 その場合は、そのデバイスをインベントリから削除します。
          • ユーザの認証エラー、無効なユーザ名、パスワード:デバイスにログインするためのユーザ名またはパスワードがデバイスで拒否されました。 インベントリにデバイスを追加しているときにこれが起こった場合は、単にユーザ名とパスワードを修正します。 デバイスに直接ログインして(たとえば、SSH を使用)、ユーザ名/パスワードが機能することを確認します。 デバイスを追加して、それを正常に管理していてもこれが起こる場合は、デバイスを追加したときに指定したユーザのパスワードが変更されている可能性があります。 パスワード(またはユーザ名)は変更できません。 インベントリからデバイスを削除し、それをもう一度追加して、ユーザ名とパスワードを更新します。 ASA では、ユーザ パスワードがない場合、HTTP サーバのデフォルト パスワードとしてイネーブル パスワードが使用されます。
          • 証明書が無効、証明書が期限切れ、SSL エラー、SSL とネゴシエーションできない、通信エラー:保護された SSL(HTTPS)通信を確立できませんでした。 デバイスの通信には、常に SSL が使用されます。 デバイスを追加するときにこれが発生した場合は、まず、デバイスとの SSL 通信に使用されるポート番号が正しく指定されていることと、ASA で HTTP サーバがイネーブルになっていることを確認します。 問題が無効な証明書である場合、証明書が期限切れとなっているか、証明書の有効期間の開始日が PRSM サーバの現在時刻と比較して未来の時間になっているかのいずれかです。 証明書が期限切れの場合は、デバイスにログインして新しい証明書を生成します。 問題が時刻に関連している場合は、時刻が不正確になっているシステムで時刻設定を修正します。 サーバで管理するすべてのシステムに対して、NTP を使用し、同じタイムゾーンを設定することを検討してください。 問題が証明書の期限切れの場合は、[Device] > [Devices] を選択し、デバイスの上にマウスを置いて [Refresh Certificate] を選択します。 問題が証明書でない場合は、HTTP サーバが ASA でイネーブルになっていることと、デバイスをインベントリに追加後に SSL ポートを変更していないことを確認してください。 SSL のポートを変更した場合、インベントリに指定された番号に変更し直すことができます。そうしない場合は、インベントリからデバイスを削除して、新しいポート番号を使用して追加し直す必要があります。 さらに、システム間に時刻の不一致がある場合に、SSL 通信が失敗する可能性があります。 たとえば、デバイス証明書の有効期間が、サーバの現在時刻から外れている場合などです。 ベスト プラクティスは、すべてのシステムに NTP を使用して、時刻を確実に同期することです。
          • PRSM 証明書が無効:このエラーは、PRSM サーバ自体の証明書に問題があることを意味しています。 デバイスの検出と展開は、問題を修正するまで機能しません。 証明書が期限切れになっているか、サーバと管理対象デバイスの時刻設定の間に時間のずれがある可能性があります。 時刻設定が正しく行われていることを確認し、新しいサーバ証明書を取得します。 証明書をアップロードするには、[Administration] > [Server Certificates] を選択します。
          • ホストに接続できない、デバイスを使用できない、展開のタイムアウト、通信エラー:サーバとデバイスの間にルートがない可能性があります。 また、デバイス設定でデバイスの IP アドレスまたはホスト名を変更したか、SSL 通信のポート番号を変更した可能性もあります。 ネットワーク接続を確認します。 問題はデバイスとサーバ間のネットワーク接続にあります。デバイスとサーバが互いに接続できない場合でも、ワークステーションからデバイスとサーバの両方に接続できることがあります。 両方のシステムの CLI にログインし、ping または traceroute を使用して接続を確認します。 ルートがある場合は、HTTP サーバが ASA でイネーブルになっていることを確認します。 デバイスとサーバの間にルートがあり、IP アドレス、ホスト名、または SSL ポート番号を変更した場合は、インベントリからデバイスを削除し、新しいアドレス情報を指定して、それを追加し直す必要があります。