Cisco ISE の管理
Cisco ISE の管理
発行日;2013/01/21 | 英語版ドキュメント(2012/04/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

Cisco ISE の管理

ログイン

ログインの試行に失敗した後の管理者のロックアウト

Cisco ISE での FIPS モードの有効化

FIPS モードが有効のときの Cisco NAC Agent の要件

管理者 CAC 認証のための Cisco ISE の設定

Cisco ISE 管理者による事前セットアップ

ステップ 1:FIPS モードの有効化

ステップ 2:Active Directory の設定

ステップ 3:証明書認証プロファイルの作成

ステップ 4:Cisco ISE 証明書信頼ストアへの CA 証明書のインポート

ステップ 5:CA 証明書の失効ステータス チェックの設定

ステップ 6:クライアント証明書ベース認証の有効化

ステップ 7:管理者グループから AD グループへのマッピングの設定

ステップ 8:管理者許可ポリシーの設定

Cisco ISE でのプロキシ設定の指定

システム時刻と NTP サーバの設定

電子メール設定の指定

システム アラーム設定の指定

アラーム syslog ターゲットの設定

ソフトウェア パッチの管理

ソフトウェア パッチのインストール

ソフトウェア パッチのロールバック

監査レポートでのパッチ インストールと変更のロールバックの表示

ログイン

Cisco ISE GUI がサポートされるのは、次の HTTPS 対応ブラウザです。

Mozilla Firefox バージョン 3.6

Mozilla Firefox バージョン 9

Microsoft Internet Explorer バージョン 8

Microsoft Internet Explorer バージョン 9(Internet Explorer バージョン 8 互換モード)


) Cisco ISE GUI は、Internet Explorer バージョン 8 が Internet Explorer 7 互換モードで実行されている場合はサポートされません。Microsoft Internet Explorer バージョン 8 に関する既知の問題については、『Release Notes for Cisco Identity Services Engine, Release 1.1.1』の「Known Issues」の項を参照してください。


Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』の説明に従って、Cisco ISE のインストールを完了した後は、Cisco ISE にログインできます。

Cisco ISE GUI にログインするには、次の手順を実行します。


ステップ 1 ISE URL をブラウザのアドレス バーに入力します(たとえば https://<ise hostname or ip address>/admin/)。

ISE のログイン ページが表示されます。

ステップ 2 Cisco ISE の初期セットアップで設定したユーザ名とパスワードを入力します。

パスワードでは大文字と小文字が区別されます。

管理者のパスワードをリセットする必要がある場合は、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』の「Performing Post-Installation Tasks」の章を参照してください。

ステップ 3 [ログイン(Login)] をクリックするか、Enter を押します。

これで、ISE ユーザ インターフェイスのメニューにアクセスできるようになりました。


 


) ログインに失敗した場合は、[ログイン(Login)] ページの [ログインで問題が発生する場合(Problem logging in?)] リンクをクリックしてステップ 2 の説明に従ってください。



ヒント Cisco ISE GUI を表示してよりよいユーザ エクスペリエンスを得るために必要な最小画面解像度は、1280 X 800 ピクセルです。

関連項目

「ログインの試行に失敗した後の管理者のロックアウト」

ログインの試行に失敗した後の管理者のロックアウト

管理者ユーザ ID に対して誤ったパスワードを入力した回数が所定の数に達すると、ユーザは「ロックアウト」されて Cisco ISE ユーザ インターフェイスからシステムにアクセスできなくなり、ログ エントリが [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] > [サーバ管理者ログイン(Server Administrator Logins)] レポートに記録され、その管理者 ID のクレデンシャルは一時停止されます。一時停止を解除するには、その管理者 ID に関連付けられたパスワードをリセットする必要があります。手順については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』の「Performing Post-Installation Tasks」の章を参照してください。管理者アカウントを無効にするのに必要な試行失敗回数は、「管理者アカウントのパスワード ポリシーの設定」で説明しているガイドラインに従って設定できます。管理者ユーザ アカウントがロックアウトされると、関連付けられた管理者ユーザに電子メールが送信されます。

無効になったシステム管理者のステータスは、AD ユーザを含め、すべてのスーパー管理者が有効にできます。

Cisco ISE での FIPS モードの有効化

Cisco ISE は、連邦情報処理標準(FIPS)140-2 Common Criteria EAL2 準拠をサポートしています。FIPS 140-2 は、米国政府が定めるコンピュータ セキュリティ標準の 1 つであり、暗号化モジュールの認定に使用されています。Cisco ISE では、埋め込み型の FIPS 140-2 実装が使用されています。これは、検証済みの C3M および Cisco ACS NSS モジュールを使用するものであり、FIPS 140-2 Implementation Guidance セクション G.5 のガイドラインに準拠しています。

加えて、FIPS 標準では特定のアルゴリズムの使用について制限が設けられています。この標準を適用するには、Cisco ISE での FIPS 動作を有効にする必要があります。Cisco ISE による FIPS 140-2 準拠の有効化の手段として、RADIUS の共有秘密とキー管理が使用されます。FIPS モードのときは、FIPS に準拠しないアルゴリズムを使用する機能を実行しようとしても失敗し、したがって一部の認証機能は無効になります。プロトコルのサポートなどの詳細については、「Cisco ISE の概要」「FIPS 140-2 実装のサポート」および「Common Access Card 機能のサポート」の項を参照してください。

FIPS モードが有効のときは、Cisco ISE 管理者インターフェイスに FIPS モード アイコンが表示されます。表示される場所は、ページの右上部分の、ノード名のすぐ左です。


) データベース移行を行う場合は、移行が完了してから FIPS モードを有効にすることを推奨します。



) FIPS モードを有効にすると、Cisco ISE のゲスト ログイン機能に必要な PAP および CHAP プロトコルも自動的に無効になります。レイヤ 3 ゲスト ログイン実装に伴うこの問題への対処方法の詳細については、「ユーザ アクセスの管理」を参照してください。


Cisco ISE での FIPS 140-2 準拠動作を有効にするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [FIPS モード(FIPS Mode)] を選択します。

図 8-1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [FIPS モード(FIPS Mode)]

 


) FIPS 140-2 レベル 1 標準でサポートされないプロトコルや証明書が検出された場合は、Cisco ISE からの警告にそのプロトコルの名前が表示されます。FIPS モードは、そのプロトコルへの適切な対処が完了するまで有効化されません。


ステップ 2 [FIPS モード(FIPS Mode)] ドロップダウン リストで [有効(Enabled)] オプションを選択します。

ステップ 3 [保存(Save)] をクリックします。Cisco ISE によって、自動的に、マシンの再起動を要求するメッセージが表示されます。

FIPS モードを有効にした後は、展開内の他のすべてのノードもリブートする必要があります。ネットワークの中断を最小限にするために、Cisco ISE は自動的に「ローリング再起動」を実行します。具体的には、最初にプライマリの管理 ISE ノードを再起動し、その後でセカンダリ ノードを 1 つずつ再起動します。

FIPS 140-2 準拠を完全に有効にするには、この設定をオンにした後で、必ず、下記の「次の手順」に示す FIPS 固有の機能も設定し、その後、展開内のすべての Cisco ISE ノードをリブートしてください。


 

次の手順

FIPS モードを有効にした後で、次の FIPS 140-2 準拠機能も有効にして設定することを推奨します。

「デバイスの追加と編集」

「自己署名証明書の生成」

「証明書署名要求の生成」

「RADIUS サーバの作成」

加えて、「管理者 CAC 認証のための Cisco ISE の設定」のガイドラインに従って、Common Access Card(CAC)機能を使用する管理者アカウント許可を有効にすることもできます。許可のために CAC 機能を使用することは、厳密には FIPS 140-2 の要件ではありませんが、セキュア アクセスの手法としてよく知られており、多くの環境で FIPS 140-2 準拠を強化するために使用されています。

FIPS モードが有効のときの Cisco NAC Agent の要件

Cisco NAC Agent は、Cisco ISE ネットワークを検出するために、常に Windows Internet Explorer TLS 1.0 の設定を探します。(この TLS 1.0 設定が Internet Explorer で有効化されている必要があります)。したがって、ネットワークにアクセスするクライアント マシン上で Cisco ISE のポスチャ評価機能を動作させるには、そのマシンに Windows Internet Explorer バージョン 7、8、または 9 がインストールされて TLS1.0 が有効化されている必要があります。Cisco NAC Agent は、Cisco ISE で FIPS モードが有効になっている場合に、自動的に Windows Internet Explorer の TLS 1.0 設定を有効化することができます。

管理者 CAC 認証のための Cisco ISE の設定

Cisco ISE は、Common Access Card(CAC)認証デバイスを使用して自身を認証する米国政府ユーザをサポートします。CAC とは、内蔵の電子チップに X.509 クライアント証明書が記録された身分証明バッジであり、この証明書によって、米国国防総省(DoD)などの特定の 1 人の職員が識別されます。CAC 経由でアクセスするには、カード リーダーが必要です。ユーザは、リーダーにカードを挿入して PIN を入力します。これで、カードからの証明書が Windows 証明書ストアに転送され、Cisco ISE を実行するローカル ブラウザなどのアプリケーションで使用できるようになります。

管理者の認証にはクライアント証明書のみを使用するように、管理者ユーザ インターフェイスを設定することができます(クレデンシャル ベースの認証、たとえばユーザ ID とパスワードによる認証は不要であり、許可されません)。このように設定されている場合は、管理者は CAC カードを挿入して正しい PIN を入力してから、Cisco ISE 管理者ユーザ インターフェイスの URL をブラウザのアドレス フィールドに入力します。ブラウザによって証明書が Cisco ISE に転送され、Cisco ISE はその管理者を、証明書の内容に基づいて認証および許可します。このプロセスが正常終了すると、Cisco ISE モニタリングおよびトラブルシューティングのホームページが表示され、適切な RBAC 権限がそのユーザに付与されます。

次に示す各項では、証明書ベースの管理者認証を CAC デバイスを使用して実行できるように Cisco ISE を設定する方法について説明します。

「Cisco ISE 管理者による事前セットアップ」

「ステップ 1:FIPS モードの有効化」

「ステップ 2:Active Directory の設定」

「ステップ 3:証明書認証プロファイルの作成」

「ステップ 4:Cisco ISE 証明書信頼ストアへの CA 証明書のインポート」

「ステップ 5:CA 証明書の失効ステータス チェックの設定」

「ステップ 6:クライアント証明書ベース認証の有効化」

「ステップ 7:管理者グループから AD グループへのマッピングの設定」

「ステップ 8:管理者許可ポリシーの設定」


) Windows Internet Explorer バージョン 8 または 9 を Windows 7 オペレーティング システムで使用している場合は、ActiveIdentity の ActivClient バージョン 6.2.0.133 をインストールする必要があります。このミドルウェアは、Cisco ISE を CAC とともに相互運用するためのサードパーティ製品です。ActiveIdentity のセキュリティ クライアント製品の詳細については、http://www.actividentity.com/products/securityclients/ActivClient/ を参照してください。


Cisco ISE 管理者による事前セットアップ

設定を開始する前に、次のことを確認してください。

Cisco ISE の DNS サーバ設定が、Active Directory に合わせて正しく設定されている。

Active Directory のユーザとユーザ グループ メンバーシップが、管理者証明書ごとに定義されている。

Cisco ISE による管理者の認証と許可を、ブラウザから送信された CAC ベースのクライアント証明書に基づいて実行できるようにするには、次の設定が完了していることを確認してください。

外部 ID ソース(次の例では Active Directory)

管理者が属する Active Directory のユーザ グループ

ユーザのアイデンティティを証明書の中で見つける方法

Active Directory ユーザ グループから Cisco ISE RBAC 権限へのマッピング

クライアント証明書に署名する認証局(信頼)証明書

クライアント証明書がすでに CA によって失効させられたかどうかを判断する方法

ステップ 1:FIPS モードの有効化


) このステップは、CAC 設定では省略可能です。FIPS モードは証明書ベースの認証には必要ありませんが、この 2 つのセキュリティ手段は多くの場合、組み合わせて使用されます。Cisco ISE を FIPS 140-2 準拠の環境に展開する予定があり、CAC 証明書ベース許可も使用する場合は、必ず FIPS モードを有効にするとともに、適切な秘密キーと暗号化/復号化設定を最初に指定してください。


Cisco ISE で FIPS 140-2 準拠モードを有効にするには、「Cisco ISE での FIPS モードの有効化」に記載されているガイドラインと後続のセットアップ手順の説明を参照してください。


ヒント FIPS モードを有効にするときは、展開内のすべての Cisco ISE ノードの再起動が必要になります。

ステップ 2:Active Directory の設定

CAC カードを使用する管理者の認証と許可に、Active Directory を使用します。 「Microsoft Active Directory」 を参照してください。

この例で Cisco ISE が Active Directory を使用するように設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] に移動します。

ステップ 2 Active Directory の [ドメイン名(Domain Name)] と [ID ストア名(Identity Store Name)] を入力して [設定の保存(Save Configuration)] をクリックします。

図 8-2 CAC 用に Active Directory を使用する

 

ステップ 3 [設定の保存(Save Configuration)] をクリックします。

ステップ 4 Cisco ISE 展開ノードを Active Directory に参加させます。

図 8-3 CAC 用に Cisco ISE を Active Directory に参加させる

 

ステップ 5 後で管理者グループを AD のグループにマッピングすることが必要になります。したがって、管理者が属する AD グループをインポートする必要があります。[グループ(Groups)] タブをクリックし、[追加(Add)] をクリックし、ドロップダウンで [グループをディレクトリから選択(Select Groups From Directory)] オプションを選択します。

図 8-4 CAC 用にグループをディレクトリから選択する

 

ステップ 6 表示されたポップアップ ダイアログで、ディレクトリ グループを選択します。この例では、2 つの Cisco ISE 管理者グループが AD で定義されています。

図 8-5 CAC 用のディレクトリ グループの選択

 

ステップ 7 グループを選択した後で、必ず [設定の保存(Save Configuration)] ボタンをもう一度押してください。このようにしない場合は、グループの選択が保存されません。

図 8-6 CAC 設定の保存

 


 

ステップ 3:証明書認証プロファイルの作成

証明書認証プロファイルでは、Cisco ISE に対して、クライアント証明書内のどこにユーザのアイデンティティが記録されているかを知らせます。 「証明書認証プロファイルの追加または編集」 を参照してください。

この例の認証プロファイルを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [証明書認証プロファイル(Certificate Authentication Profile)] に移動します。

ステップ 2 [追加(Add)] をクリックしてプロファイル設定ペインを開きます。

図 8-7 CAC 用の認証プロファイルの作成

 

ステップ 3 プロファイル名と説明(任意)を入力します。

ステップ 4 [プリンシパル名 X.509 属性(Principal Name X.509 Attribute)] フィールドでは、証明書内で管理者ユーザ名が格納されている属性を選択します。(CAC カードの場合は、カード上の署名証明書が通常は Active Directory でのユーザの検索に使用されます。プリンシパル名は、この証明書の「サブジェクト代替名」拡張情報の中にあります。具体的には、この拡張情報の「他の名前」というフィールドです。したがって、ここで選択する属性は「Subject Alternative Name - Other Name」となります)。

ステップ 5 ユーザの AD レコードにユーザの証明書が格納されている場合に、ブラウザから受信した証明書を AD の証明書と比較するには、[証明書のバイナリ比較(Binary Certificate Comparison)] チェックボックスをオンにして、Active Directory インスタンス名を選択します(ステップ 2:Active Directory の設定」で指定したものです)。


 

ステップ 4:Cisco ISE 証明書信頼ストアへの CA 証明書のインポート

Cisco ISE アプリケーション サーバがクライアント証明書を受け入れるには、そのクライアント証明書の信頼チェーンの CA 証明書が Cisco ISE 信頼ストアの中にあることが条件となります。つまり、適切な CA 証明書を Cisco ISE 信頼ストアにインポートする必要があります。 「ルートおよび CA 証明書のプライマリ ノードの CTL へのインポート」 を参照してください。


ステップ 1 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [CA 証明書(CA Certificates)] に移動します。

ステップ 2 リスト ページの [追加(Add)] をクリックします。

ステップ 3 インポートする CA 証明書が格納されているファイルを選択し、[クライアント認証用に信頼する(Trust for client authentication)] チェックボックスをオンにします。

図 8-8 CAC 用に CA 証明書を指定する

 

ステップ 4 [送信(Submit)] をクリックします。


ヒント クライアント証明書を信頼するために必要な CA 証明書のインポートは、クライアント証明書ベース認証を有効にする前に行うことを推奨します。クライアント証明書ベース認証を有効にした後で CA 証明書をインポートする場合は、展開内のすべての Cisco ISE ノードのアプリケーション サーバ再起動が必要になります。

クライアント証明書ベース認証の有効化後に CA 証明書をインポートする必要がある場合は、再起動を延期することもできます。このことを利用すると、複数の CA 証明書をインポートするときに、インポートのたびに再起動する必要はなくなります。再起動を延期する場合は、再起動延期の通知が [通知(Notifications)] タブに表示されます。このタブは、ページの右下部分からアクセスできます。CA 証明書の変更を反映するには、このタブにアクセスして再起動を有効にする必要があります。


 

ステップ 5:CA 証明書の失効ステータス チェックの設定

認証局は、証明書を有効期限の前に失効させる、つまりその証明書は「使用不可能」であると宣言することがあります。Cisco ISE を使用して認証局に証明書の失効ステータスを問い合わせることができます。この問い合わせは、Online Certificate Status Protocol(OCSP)サーバまたは証明書失効リスト(CRL)経由で行われます。このチェックは、クライアント証明書の認証時に行うことができます。「OCSP サービス」および「認証局証明書の編集」を参照してください。


ステップ 1 OCSP を使用する場合は、最初に [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [OCSP サービス(OCSP Services)] に移動してください。そうでない場合は、ステップ 3 に進みます。

ステップ 2 OCSP サーバの名前、説明(任意)、およびサーバの URL を入力します。

図 8-9 CA 証明書の失効チェックに OCSP を使用するよう指定する

 

ステップ 3 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [CA 証明書(CA Certificates)] に移動します。

ステップ 4 クライアント証明書に署名できる CA 証明書のそれぞれについて、その CA の失効ステータス チェックを行う方法を指定する必要があります。リストから CA 証明書を選択して [編集(Edit)] をクリックします。

ステップ 5 表示された編集ページで、OCSP または CRL 検証を選択できます。OCSP を選択する場合は、その CA に使用する OCSP サービスを選択する必要があります。CRL を選択する場合は、[CRL 配布 URL(CRL Distribution URL)] と、その他の該当する設定パラメータを指定する必要があります。

図 8-10 CA 証明書の失効チェックに CRL を使用するよう指定する

 

ステップ 6 [保存(Save)] をクリックします。


 

ステップ 6:クライアント証明書ベース認証の有効化

デフォルトのパスワード ベース認証から証明書ベース認証に切り替えます。

管理者証明書の認証に使用する方法は、証明書認証プロファイルで指定します。ユーザ許可は、外部 ID ストア(この例では Active Directory)を通して行われます。Active Directory でのユーザの検索には、証明書認証プロファイルからのプリンシパル名属性が使用されることに注意してください。 「単純な認証ポリシーの設定」 を参照してください。


) FIPS が有効化された Cisco ISE サーバがクライアント マシンを認証するときに、そのクライアントで使用される証明書のキー強度が 1024 ビットの場合は、認証は成功となります。これは、クライアント証明書のキー サイズが、FIPS および Common Criteria の範囲外であるためです。この動作は、FIPS 準拠です。


この例のクライアント証明書ベース認証を有効にするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] に移動します。

ステップ 2 [認証方式(Authentication Method)] タブで、[クライアント証明書ベース(Client Certificate Based)] オプションを選択します。

ステップ 3 作成済みの証明書認証プロファイルを選択します。[ID ソース(Identity Source)] では、Active Directory インスタンス名を選択します。

図 8-11 CAC 用の証明書ベース認証の有効化

 


) クライアント証明書ベース認証を有効にするときは、展開内のすべての Cisco ISE ノード上のアプリケーション サーバ再起動が必要になります。



 

ステップ 7:管理者グループから AD グループへのマッピングの設定

Cisco ISE の管理者グループを定義し、各グループを Active Directory のグループにマッピングします。これで、管理者の RBAC 権限を決定するためのユーザ許可を、Active Directory でのグループ メンバーシップに基づいて行うことができます。 「管理者アクセス(RBAC)ポリシーの管理」 を参照してください。


) 事前定義済みの管理者グループを AD のグループにマッピングすることはできません。新しい管理者グループを作成する必要があります。また、このステップは、クライアント証明書ベース認証の有効化(「ステップ 6:クライアント証明書ベース認証の有効化」)の後で行う必要があります。このようにしない場合は、マッピング先として選択できる AD グループは表示されません。



ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] に移動します。

ステップ 2 テーブル ヘッダーの [追加(Add)] をクリックして新しい管理者グループの設定ペインを開きます。

図 8-12 CAC 用の管理者グループから AD グループへのマッピングの設定

 

ステップ 3 新しい管理者グループの名前と説明(任意)を入力します。

ステップ 4 グループの [タイプ(Type)] では、[外部(External)] を選択します。Active Directory のインスタンス名が表示されます。

ステップ 5 [外部グループ(External Groups)] の下の、[項目を選択(Select an item)] と表示されている場所の下矢印をクリックします。Active Directory をセットアップしたときにインポートした AD グループが一覧表示されます。

ステップ 6 この管理者グループのマッピング先となる AD グループを選択します。1 対多マッピングが必要な場合は、[+](プラス)アイコンをクリックして別の AD グループを選択します。

図 8-13 CAC 用の追加の管理者グループから AD グループへのマッピングの設定

 

この例では、作成した管理者グループの名前は External System Admin であり、マッピング先の AD グループの名前は ISESystemAdmin です。

ステップ 7 [送信(Submit)] をクリックして新しい管理者グループを保存します。

管理者グループへの割り当てが可能な、さまざまな RBAC 権限について説明するために、2 つ目のグループが External Identity Admin という名前で作成済みであり、AD グループ ISEIdentityAdmin にマッピングされています。

図 8-14 CAC 用の新しい管理者グループの表示

 


 

ステップ 8:管理者許可ポリシーの設定

「ステップ 7:管理者グループから AD グループへのマッピングの設定」で作成した管理者グループのそれぞれに RBAC 権限を割り当てます。 「許可ポリシーの設定」 を参照してください。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] に移動します。

このページには、管理アクセス用に有効になっている RBAC ポリシーが表示されます。新しいポリシーを追加するには、右側の [操作(Actions)] ドロップダウン リストをクリックして [新しいポリシーを下に挿入(Insert new policy below)] を選択します。

図 8-15 CAC 用の新しい管理者ポリシーの挿入

 

ステップ 2 External Identity Admin Policy という名前の新しいポリシーを作成します。このポリシーでは、新しい External Identity Admin グループを指定し、[ID 管理者のメニュー アクセス(Identity Admin Menu Access)] 権限を割り当てます。

図 8-16 CAC 用の新しい管理者ポリシー属性の指定

 

ステップ 3 別のポリシーを、別の新しい管理者グループ、External System Admin 用に作成します。

図 8-17 CAC 用の追加管理者ポリシーの作成

 

ステップ 4 ポリシーを追加した後、[保存(Save)] をクリックします。


 

Cisco ISE でのプロキシ設定の指定

既存のネットワーク トポロジにおいて、外部リソース(たとえば、クライアント プロビジョニングやポスチャ関連のリソースが存在するリモート ダウンロード サイト)にアクセスするために、Cisco ISE に対してプロキシを使用することが要求されている場合は、Cisco ISE ユーザ インターフェイスを使用してプロキシのプロパティを指定できます。

Cisco ISE のプロキシ設定を指定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] を選択します。

図 8-18 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)]

 

ステップ 2 プロキシの IP アドレスまたは DNS 解決可能ホスト名を [プロキシ アドレス(Proxy Address)] フィールドに入力し、Cisco ISE との間のプロキシ トラフィックを通過させるポートを [プロキシ ポート(Proxy Port)] フィールドで指定します。

ステップ 3 [保存(Save)] をクリックします。


 

次の手順

プロキシ設定の指定が完了した後で、次に示すクライアント プロビジョニング機能をシステム全体で有効化することもできます。

「クライアント プロビジョニング サービスの有効化および無効化」

「クライアント プロビジョニング リソースの自動ダウンロード」

トラブルシューティング項目

「リモート クライアントのプロビジョニング リソースをダウンロードできない」

システム時刻と NTP サーバの設定

Cisco ISE のシステム時刻の設定は、管理者ユーザ インターフェイスで表示できます。Cisco Application Deployment Engine(ADE)オペレーティング システム(Cisco ISE のオペレーティング システム)では、ネットワーク タイム プロトコル(NTP)サーバを 3 つまで設定できます。NTP サーバを使用すると、正確な時刻を維持でき、複数のタイムゾーンの間で時刻を同期できます。この手順を実行すると、ログが常に信頼できるものになります。また、認証済みの NTP サーバのみを Cisco ISE で使用するかどうかを指定することもでき、そのための認証キーを入力できます。


) システム時刻と NTP サーバの設定は、展開内の ISE ノードのそれぞれについて個別に行う必要があります。


前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

システム時刻の設定を表示して NTP サーバの設定を指定するには、次の手順を実行します。


ステップ 1 プライマリ ISE ノードで、[管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインの [システム時刻(System Time)] をクリックします。

図 8-19 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [システム時刻(System Time)]

 


) セカンダリ Cisco ISE ノードのシステム時刻設定を表示して NTP サーバ設定を指定する場合は、そのセカンダリ ノードのユーザ インターフェイスにログインして [管理(Administration)] > [システム(System)] > [設定(Settings)] > [システム時刻(System Time)] を選択する必要があります。


設定済みのタイムゾーンは [タイム ゾーン(Time Zone)] フィールドに表示されます。この値を ISE ユーザ インターフェイスで編集することはできません。タイムゾーンを設定するには、次のコマンドを ISE CLI から入力する必要があります。

clock timezone timezone

clock timezone コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

ステップ 3 [NTP サーバ設定(NTP Server Configuration)] グループ ボックスで、NTP サーバの IP アドレスを入力します。

ネットワーク内に 1 つのみ NTP サーバがある場合は、その IP アドレスを [プライマリ サーバ(Primary Server)] テキスト ボックスに入力します。NTP サーバが 2 つある場合は、それぞれの IP アドレスを [NTP サーバ 1(NTP Server 1)] と [NTP サーバ 2(NTP Server 2)] のテキスト ボックスに入力します。


) 同じ IP アドレスを NTP サーバ 1 と 2 に入力した場合は、NTP サーバ 1 がダウンしたときに Cisco ISE が他の NTP サーバにアクセスできなくなります。これは、同じアイデンティティが「他の」NTP サーバとして指定されているためです。NTP サーバ 2 の IP アドレスを確認すること、およびこのアドレスが NTP サーバ 1 のものと異なることを確認することを推奨します。


ステップ 4 Cisco ISE のシステムとネットワークの時刻維持に使用する NTP サーバを、認証済みのものだけに制限する場合は、[認証済みの NTP サーバのみを許可する(Only allow authenticated NTP servers)] チェックボックスをオンにします。

ステップ 5 指定したサーバの中に、認証キー経由での認証を必要とするものがある場合は、必ず [NTP 認証キー(NTP Authentication Keys)] タブをクリックして認証キーの設定も行ってください。手順は次のとおりです。

a. [追加(Add)] をクリックします。

b. [キー ID(Key ID)] と [キー値(Key Value)] に必要な値を入力します。そのキーが信頼できる場合は、[信頼できるキー(Trusted Key)] オプションをオンにします。

c. [OK] をクリックします。

図 8-20 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [システム時刻(System Time)]

 

d. NTP サーバ認証キーの入力が完了したら、[NTP サーバ設定(NTP Server Configuration)] タブに戻ります。

ステップ 6 [保存(Save)] をクリックして NTP サーバ設定を保存します。

保存された NTP 認証キーが [NTP サーバ設定(NTP Server Configuration)] ページに表示されます。Cisco ISE ダッシュボード ページの右上にあるホスト名にマウス カーソルを合わせると、現在のサーバの役割とサーバ システム時刻が [サーバ情報(Server Information)] クイック ビュー ダイアログに表示されます。


 


) すべての Cisco ISE ノードのタイムゾーンを協定世界時(UTC)に設定することを推奨します。この手順では、展開内にあるさまざまなノードからのレポートとログのタイムスタンプが常に同期されます。


電子メール設定の指定

この項では、電子メール サーバのアドレスと、このアドレスに対して表示される名前を指定する方法について説明します。このアドレスは、ログ メッセージの送受信に使用されます。


) アカウントに割り当てられているロールに応じて、次の手順で説明する操作を実行できる場合とできない場合があり、説明しているオプションが表示される場合と表示されない場合があります。詳細については、 ロールおよび管理者グループの影響についてを参照してください。


電子メール サーバの電子メール設定を指定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [モニタリング(Monitoring)] をクリックし、[電子メール設定(Email Settings)] をクリックします。

ステップ 3 [メール サーバ(Mail Server)] テキスト ボックスに、送信 SMTP メール サーバのホスト名または IPV4 アドレスを入力します。この情報は、アラームの通知を電子メールで送信するのに必要です。


) ホスト名は、mailman.cisco.com のような形式であることが必要です。IPv4 アドレスは、192.168.1.1 のような形式であることが必要です。


ステップ 4 名前または電子メール アドレス(たとえば admin@somedomain.com)を [送信者(Mail From)] テキスト ボックスに入力します。この名前または電子メール アドレスは、ユーザがメール サーバからメールを受信したときに表示されます。

ステップ 5 [送信(Submit)] をクリックします。


 

システム アラーム設定の指定

システム アラームとは、深刻な状況が発生したことを知らせるための機能です。システム アラームは標準であり、作成や削除はできません。

ここでは、使用可能なシステム アラームについて、およびアラームの有効化と無効化の方法と、通知を受信するように設定する方法について説明します。Cisco ISE には、次のシステム アラームがあります。

分散管理:このアラームは、次の操作のときに送信されます。

ノードの登録(成功または失敗)

ノードの削除

ノードの登録解除(成功または失敗)

ノードの更新(成功または失敗)

ライセンスの強制:このアラームは、同時エンドポイントまたはユーザの数が特定のライセンスで許容されている総数を超えたときに送信されます。

ソフトウェア管理:このアラームは、次の操作のときに送信されます。

ノードでのパッチのインストール(成功または失敗)

ノードでのパッチのロールバック(成功または失敗)

消去失敗:このアラームは、消去に失敗したときに送信されます。

コレクタ:このアラームは、収集失敗が発生したときに送信されます。

アラーム マネージャ:このアラームは、アラーム マネージャがすべてのしきい値のモニタリングを完了できないときに送信されます。

バックアップ失敗:このアラームは、バックアップに失敗したときに送信されます。

DNS 解決失敗:このアラームは、正しい DNS サーバが使用されていないか、使用されている DNS サーバでホストが定義されていないことを示します。これらはいずれも、DNS 解決エラーの原因となります。Cisco ISE が正しく動作するには、DNS サーバが使用されていることと、ホストが DNS から解決可能であることが必要です。

アラーム通知を電子メールで、および syslog メッセージとして送信するかどうかを選択できます。syslog メッセージを正常に送信するには、syslog メッセージの宛先となるアラーム syslog ターゲットを設定する必要があります。詳細については、 アラーム syslog ターゲットの設定を参照してください。

システム アラームの有効化と設定

次の手順では、システム アラームをアクティブ化して通知を設定する方法について説明します。

システム アラームを有効化して設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [モニタリング(Monitoring)] をクリックし、[システム アラーム設定(System Alarm Settings)] をクリックします。

ステップ 3 [システム アラームを通知(Notify System Alarms)] チェックボックスをオンにします。

ステップ 4 重複するシステム アラームを [電子メール通知ユーザ リスト(E-mail Notification User List)] で指定された受信者に送信せず抑制する時間の長さを指定します。

ステップ 5 電子メール通知をリクエストするには、有効な電子メール アドレスをテキスト フィールドに入力します。その後で、必要に応じて [電子メールを HTML 形式で送信(Email in HTML Format)] チェックボックスをオンにします。

システム アラームが発生したときは、[電子メール通知ユーザ リスト(E-mail Notification User List)] で指定されたすべての受信者に電子メールが送信されます。

ステップ 6 syslog 通知をリクエストするには、[syslog メッセージを送信(Send Syslog Message)] チェックボックスをオンにします。

ステップ 7 [送信(Submit)] をクリックして設定を適用します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 システム アラーム設定(System Alarm Settings)の項を参照してください。

システム アラームの無効化

次の手順では、システム アラームを非アクティブ化する方法について説明します。

システム アラームを無効にするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [モニタリング(Monitoring)] をクリックし、[システム アラーム設定(System Alarm Settings)] をクリックします。

ステップ 3 [システム アラームを通知(Notify System Alarms)] チェックボックスをオフにします。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 システム アラーム設定(System Alarm Settings)の項を参照してください。

アラーム syslog ターゲットの設定

この項では、アラーム syslog ターゲットを作成、編集、および削除する方法について説明します。

システム アラーム通知を syslog メッセージとして送信するように設定する場合は、通知を受け取る syslog ターゲットが必要です。アラーム syslog ターゲットは、アラーム syslog メッセージの送信先です。syslog サーバとして設定されているシステムも、syslog メッセージを受信する必要があります。

アラーム syslog ターゲットの作成と編集

アラーム syslog ターゲットを作成または編集するときは、syslog メッセージの送信先を指定または変更します。

アラーム syslog ターゲットを作成および編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [モニタリング(Monitoring)] をクリックし、[アラーム syslog ターゲット(Alarm Syslog Targets)] をクリックします。

ステップ 3 アラーム syslog ターゲットを作成するには、次の手順を実行します。

a. [作成(Create)] をクリックします。

b. 一意の名前を [名前(Name)] テキスト ボックスに入力し、わかりやすい説明を [説明(Description)] テキスト ボックスに入力します。

c. 有効な IP アドレスを [IP アドレス(IP Address)] テキスト ボックスに入力して [送信(Submit)] をクリックします。

新規作成されたアラーム syslog ターゲットがリストに表示されます。

ステップ 4 アラーム syslog ターゲットを編集するには、次の手順を実行します。

a. アラーム syslog ターゲットの [名前(Name)] のリンクをリストから選択します。

b. [名前(Name)] と [説明(Description)] を必要に応じて変更します。

c. IP アドレスを必要に応じて変更し、[送信(Submit)] をクリックします。

変更がアラーム syslog ターゲットに適用されます。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 アラーム Syslog ターゲット(Alarm Syslog Targets)の項を参照してください。

アラーム syslog ターゲットの削除

アラーム syslog ターゲットの削除は、いつでもできます。

アラーム syslog ターゲットを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [モニタリング(Monitoring)] をクリックし、[アラーム syslog ターゲット(Alarm Syslog Targets)] をクリックします。

ステップ 3 削除するアラーム syslog ターゲットの隣にあるチェックボックスをオンにします。

ステップ 4 [削除(Delete)] をクリックし、削除の確認を要求するダイアログで [はい(Yes)] クリックします。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 アラーム Syslog ターゲット(Alarm Syslog Targets)の項を参照してください。

ソフトウェア パッチの管理

展開内の ISE サーバにパッチをインストールする作業は、プライマリ管理ノードから行うことができます。ISE のパッチは、通常は累積的ですが、パッチのインストールに関して何らかの制約がある場合は、パッチ付属の README ファイルにその説明が記載されています。Cisco ISE のパッチのインストールとロールバックは、コマンドライン インターフェイス(CLI)と GUI のいずれからも実行できます。

パッチのインストールまたはロールバックをスタンドアロンまたはプライマリの管理ノードから実行したときは、ISE によってアプリケーションが再起動されます。再びログインできる状態になるまで、数分かかることがあります。


) 分散展開の一部であるプライマリ管理ノードからパッチのインストールまたはロールバックを実行したときは、Cisco ISE によってそのパッチが展開内のプライマリ ノードとすべてのセカンダリ ノードにインストールされます。プライマリ ノード上でパッチのインストールが成功した場合は、Cisco ISE によってセカンダリ ノードでのインストールが実行されます。プライマリ ノードで失敗した場合は、インストールが中止されます。ただし、何らかの理由でセカンダリ ノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリ ノードでインストールが実行されます。


展開内の ISE ノードからパッチをロールバックする場合は、変更をプライマリ ノードからロールバックする必要があります。ロールバックに成功した場合は、そのパッチがセカンダリ ノードからロールバックされます。プライマリ ノードで失敗した場合は、ロールバック プロセスが中止されます。ただし、セカンダリ ノードのいずれかで失敗した場合は、処理が続行され、展開内の次のセカンダリ ノードでパッチのロールバックが実行されます。


) インストールしようとしているパッチのバージョンが、その時点で ISE にインストール済みのパッチよりも低い場合は、インストールはできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco ISE にインストール済みの場合は、ロールバックはできません。たとえば、パッチ 3 が ISE サーバにインストール済みの場合に、パッチ 1 または 2 をインストールすることや、パッチ 1 または 2 をロールバックすることはできません。


パッチのインストールやロールバックを CLI から実行するには、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

この項では、次のトピックを扱います。

「ソフトウェア パッチのインストール」

「ソフトウェア パッチのロールバック」

「監査レポートでのパッチ インストールと変更のロールバックの表示」

ソフトウェア パッチのインストール

パッチを GUI からインストールするには、クライアント ブラウザを実行するシステムに、そのパッチを次の場所からダウンロードする必要があります。


) Cisco ISE のパッチをインライン ポスチャ ノードにインストールする作業を実行できるのは、CLI からに限られます。


前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

パッチを展開内の Cisco ISE ノードにインストールするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。

[パッチ管理(Patch Management)] ページに、ISE ノードにインストール済みのパッチが一覧表示されます。

ステップ 2 [インストール(Install)] をクリックします。

[パッチ バンドルのインストール(Install Patch Bundle)] ページが表示されます。

ステップ 3 [参照(Browse)] をクリックして、ダウンロード済みのパッチを選択します。

ステップ 4 [インストール(Install)] をクリックしてパッチをインストールします。

インストールするパッチが、ネットワーク内に展開されている Cisco ISE のバージョンに適用されるものであることを確認してください。Cisco ISE のバージョンとの不一致がある場合や、パッチ ファイルにエラーがある場合は、そのことが報告されます。

プライマリ管理ノードでのパッチのインストールが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。


) パッチ インストールの進行中は、[パッチ管理(Patch Management)] ページ上のオプションのうち、使用できるのは [ノード ステータスを表示(Show Node Status)] のみとなります。


ステップ 5 再びログインしたら、ダッシュボードのページの一番下にある [アラーム(Alarms)] リンクをクリックします(図 8-21 を参照)。


) アラームが生成されるのは、パッチのインストールまたはロールバックの操作を GUI から実行した場合のみです。CLI からのパッチ インストールのステータスを調べるには、ade.log ファイルを参照する必要があります。このファイルにアクセスするには、 サポート バンドルのダウンロードを行ってください。


図 8-21 ダッシュボードでのパッチ インストールのステータス

 

ステップ 6 [パッチ インストール(Patch Installation)] ページに戻ることができます([管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択)。

ステップ 7 [インストール済みのパッチ(Installed Patches)] ページが表示されます(図 8-22 を参照)。

図 8-22 [インストール済みのパッチ(Installed Patches)] ページ

 

このページには、これまでにインストールされたすべてのパッチが一覧表示されます。

ステップ 8 ステータスを表示するパッチの横にあるオプション ボタンをクリックし、[ノード ステータスを表示(Show Node Status)] をクリックします。

ポップアップに、展開内の各ノードでのそのパッチのステータス([インストール済み(Installed)]、[未インストール(Not Installed)]、または [ノードがダウン(Node is Down)])が表示されます(図 8-23 を参照)。

図 8-23 ノード ステータスのポップアップ

 

ステップ 9 プライマリ ノードでのパッチのインストールが完了すると、ISE によってセカンダリ ノードにもインストールされます。

セカンダリ ノードでのパッチ インストールの進行中は、プライマリ管理ノードは再起動されないため、プライマリ管理ノードでの管理作業を続行できます。この間に、各セカンダリ ISE ノードでのパッチのインストールが完了すると、そのノードが再起動されます。インストール プロセス進行中はいつでも、[ノード ステータスを表示(Show Node Status)] をクリックしてパッチ インストールのステータスを見ることができます。

何らかの理由で、プライマリ管理ノードでのパッチ インストールに失敗した場合は、セカンダリ ノードへのインストールは行われません。

ステップ 10 インストールが完了したかどうかを調べるには、インストールしたパッチの横のオプション ボタンをクリックし、[ノード ステータスを表示(Show Node Status)] をクリックします。


) [ノード ステータス(Node Status)] ダイアログに表示されるのは、ISE ノードでのパッチ インストールに関する情報のみです。インライン ポスチャ ノードでのパッチ インストールとロールバックは Cisco ISE CLI のみから実行できるため、このステータスは [ノード ステータス(Node Status)] ポップアップには表示されません。


図 8-24 に示すようなダイアログが表示されます。

図 8-24 [ノード ステータス(Node Status)] ダイアログ:インストール完了

 

これで、パッチのインストールがすべての ISE ノードで完了しました。

何らかの理由で、パッチがインストールされていないセカンダリ ノードがある場合は、そのノードが稼働中であることを確認してから、 ステップ 2 以降のプロセスをもう一度実行して残りのノードにインストールしてください。Cisco ISE によってパッチがインストールされるのは、そのバージョンのパッチがまだインストールされていないノードです。


 

関連項目:

「ソフトウェア パッチの管理」

「ソフトウェア パッチのロールバック」

「監査レポートでのパッチ インストールと変更のロールバックの表示」

ソフトウェア パッチのロールバック

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

展開内の Cisco ISE ノードからパッチをロールバックするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。

[インストール済みのパッチ(Installed Patches)] ページが表示されます。

ステップ 2 変更をロールバックするパッチ バージョンのオプション ボタンをクリックしてから、[ロールバック(Rollback)] をクリックします。


) パッチ ロールバックの進行中は、[パッチ管理(Patch Management)] ページ上のオプションのうち、使用できるのは [ノード ステータスを表示(Show Node Status)] のみとなります。


プライマリ管理ノードでパッチのロールバックが完了すると、Cisco ISE によってそのパッチがセカンダリ ノードからロールバックされます。何らかの理由で、プライマリ ノードでパッチ ロールバックが失敗した場合は、セカンダリ ノードからのパッチ ロールバックは行われません。

プライマリ管理ノードでのパッチのロールバックが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

ステップ 3 ログイン後に、ページの一番下にある [アラーム(Alarms)] リンクをクリックしてロールバック操作のステータスを表示します。


) アラームが生成されるのは、パッチのインストールまたはロールバックの操作を GUI から実行した場合のみです。CLI からのパッチ インストールのステータスを調べるには、ade.log ファイルを参照する必要があります。このファイルにアクセスするには、 サポート バンドルのダウンロードを行ってください。


ステップ 4 [インストール済みのパッチ(Installed Patches)] ページに戻り([管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択)、展開内の他のノードにおけるロールバックのステータスを調べます。

ステップ 5 パッチ ロールバックが進行中の場合は、このステータスを [インストール済みのパッチ(Installed Patches)] ページで見ることができます。パッチ ロールバックのステータスを表示するには、そのパッチを選択して [ノード ステータスを表示(Show Node Status)] をクリックします。

ダイアログに、展開内の各 ISE ノードでのそのパッチのステータスが表示されます。

Cisco ISE によるセカンダリ ノードからのパッチ ロールバックが進行中のときも、引き続きプライマリ管理ノード GUI から他の作業を実行することができます。セカンダリ ノードは、ロールバック後に再起動されます。

ステップ 6 パッチに対応するオプション ボタンをクリックし、[ノード ステータスを表示(Show Node Status)] をクリックし、そのパッチが展開内のすべてのノードからロールバックされたことを確認します。

そのパッチがロールバックされていないセカンダリ ノードがある場合は、そのノードが稼働中であることを確認してから、 ステップ 2 以降のプロセスをもう一度実行して残りのノードから変更をロールバックしてください。Cisco ISE によってパッチがロールバックされるのは、そのバージョンのパッチがまだインストールされているノードからのみです。


 

関連項目:

「ソフトウェア パッチの管理」

「ソフトウェア パッチのインストール」

「監査レポートでのパッチ インストールと変更のロールバックの表示」

監査レポートでのパッチ インストールと変更のロールバックの表示

Cisco ISE のモニタリング/トラブルシューティングのコンポーネントには、ISE ノード上で実行されたパッチのインストールやロールバックの操作に関する情報を表示する機能があります。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者、モニタリング管理者、ヘルプデスク管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

レポートを表示するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] ナビゲーション ペインの [サーバ インスタンス(Server Instance)] をクリックします。

図 8-25 に示すようなページが表示されます。

図 8-25 サーバ インスタンスの [レポート(Reports)] ページ

 

ステップ 3 [サーバ操作監査(Server Operations Audit)] オプション ボタンをクリックしてから [実行(Run)] をクリックし、レポートを生成する期間を選択します。

ステップ 4 図 8-26 に示すようなレポートが表示されます。

このレポートには、選択した期間内に実行されたパッチのインストールとロールバックに関する情報が表示されます。

図 8-26 Cisco ISE の [操作監査(Operations Audit)] レポート

 

ステップ 5 ページ右上の [Interactive Viewer を起動(Launch Interactive Viewer)] リンクをクリックすると、このレポートのデータの表示、並べ替え、およびフィルタリングを行うことができます。図 8-27 に示すような画面が表示されます。

図 8-27 Cisco ISE の [操作監査(Operations Audit)] レポート:Interactive View

 

Interactive Viewer の機能の使用方法については、「Interactive Viewer ツールバーの操作」を参照してください。


 

関連項目:

ソフトウェア パッチの管理

ソフトウェア パッチのインストール

ソフトウェア パッチのロールバック