Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
クライアント プロビジョニング ポリシーの設定
クライアント プロビジョニング ポリシーの設定
発行日;2013/01/21 | 英語版ドキュメント(2012/11/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

クライアント プロビジョニング ポリシーの設定

クライアント プロビジョニングの概要

Cisco ISE エージェント

エージェントとクライアント マシンのオペレーティング システムの互換性

エージェントおよび他のリソースの追加および削除

クライアント プロビジョニング リソースの表示

Cisco ISE へのクライアント プロビジョニング リソースの追加

リモート ソースからのクライアント プロビジョニング リソースの追加

ローカル マシンからのクライアント プロビジョニング リソースの追加

エージェント プロファイルの作成

Cisco ISE での Windows エージェント プロファイルの作成

Cisco ISE での Mac OS X エージェント プロファイルの作成

Cisco ISE での Windows および Mac OS X のエージェント プロファイルの変更

エージェント プロファイル パラメータおよび適用可能な値

ネイティブ サプリカント プロファイルの作成

クライアント プロビジョニング リソースの削除

Cisco NAC Agent MSI インストーラを使用したクライアント マシンのプロビジョニング

グローバル クライアント プロビジョニング機能の設定

クライアント プロビジョニング サービスの有効化および無効化

クライアント プロビジョニング リソースの自動ダウンロード

パーソナル デバイス登録動作の設定

クライアント プロビジョニング リソース ポリシーの設定

クライアント側エージェントのインストールおよびログイン:Cisco NAC Agent

ネットワークへのアクセスおよびパーソナル デバイスの登録

標準ネイティブ サプリカント プロビジョニングを介したログイン

iPhone または iPad を使用したネットワークへのアクセス

Android デバイスを使用したネットワークのアクセス

サプリカント プロビジョニングなしでのログイン

クライアント プロビジョニング レポートおよびイベントの表示

Cisco ISE でのクライアント プロビジョニング レポートの表示

Cisco ISE でのクライアント プロビジョニング イベント ログの表示

クライアント プロビジョニング ポリシーの設定

この章では、クライアント プロビジョニング リソースを管理し、ネットワークのクライアント プロビジョニング ポリシーを作成する方法について説明します。

「クライアント プロビジョニングの概要」

「エージェントおよび他のリソースの追加および削除」

「グローバル クライアント プロビジョニング機能の設定」

「クライアント プロビジョニング リソース ポリシーの設定」

「クライアント側エージェントのインストールおよびログイン:Cisco NAC Agent」

「ネットワークへのアクセスおよびパーソナル デバイスの登録」

「クライアント プロビジョニング レポートおよびイベントの表示」

クライアント プロビジョニングの概要

Cisco Identity Services Engine(ISE)では、内部ネットワークにユーザがアクセスするときに使用するログイン セッションのタイプを分類する場合に、次のようなさまざまな要素を調べます。

クライアント マシンのオペレーティング システムおよびバージョン

クライアント マシンのブラウザ タイプおよびバージョン

ユーザが属するグループ

(適用したディクショナリ属性に基づく)条件評価結果

Cisco ISE は、クライアント マシンを分類した後、クライアント プロビジョニング リソース ポリシーを使用して、適切なエージェント バージョン、アンチウイルスとアンチスパイウェアのベンダー サポートに対する最新のコンプライアンス モジュール、および(必要に応じて)正しいエージェント カスタマイズ パッケージとプロファイルで、クライアント マシンが設定されていることを確認します。

Cisco ISE エージェント

Windows クライアント用 Cisco NAC Agent

Cisco NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。

ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Cisco NAC Agent を使用すると、Windows の更新またはアンチウイルスやアンチスパイウェアの定義の更新を実行したり、正規の修復プログラムを起動したり、Cisco ISE サーバにアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布したりすることができます。


警告 NAC Agent は Cisco ISE サーバと安全に通信できず、Cisco ISE サーバは、Windows XP クライアントに最新の Windows のホットフィックスおよびパッチがインストールされていない場合、エラーをスローします。最新の Windows のホットフィックスおよびパッチが Windows XP クライアントにインストールされていることを確認し、NAC Agent が安全かつ暗号化された通信(TCP を介した SSL)を Cisco ISE サーバと確立できることを確認する必要があります。


Macintosh クライアント用 Cisco NAC Agent

Macintosh NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。

ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、アンチウイルスおよびアンチスパイウェアの定義の更新をチェックすることができます。

Cisco NAC Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージをチェックし、レポートを Cisco ISE サーバに送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、エージェントは満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログには、クライアント マシンを要件に適合させる手順および対処法が表示されます。または、指定された要件が満たされない場合、ユーザは制限付きネットワーク アクセスを受け入れ、クライアント システムがユーザ ログイン ロールの要件を満たすようにそのシステムの修復を試みることができます。

Cisco NAC Web Agent

Cisco NAC Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。

ユーザは Cisco NAC Web Agent 実行ファイルを起動することができ、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。


) ActiveX は、32 ビット版の Internet Explorer でのみサポートされます。ActiveX を Firefox Web ブラウザまたは 64 ビット版の Internet Explorer にインストールすることはできません。


Cisco NAC Web Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージのホスト レジストリ、プロセス、アプリケーション、およびサービスをチェックし、レポートを Cisco ISE サーバに送信します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。このダイアログには、クライアント マシンを要件に適合させる手順および対処法が表示されます。または、指定された要件が満たされない場合、ユーザは制限付きネットワーク アクセスを受け入れ、クライアント システムがユーザ ログイン ロールの要件を満たすようにそのシステムの修復を試みることができます。

エージェントとクライアント マシンのオペレーティング システムの互換性

サポートされているクライアント マシンのオペレーティング システムおよびエージェントの全リストについては、『 Cisco Identity Services Engine Network Component Compatibility, Release 1.1.1 』を参照してください。

エージェントおよび他のリソースの追加および削除

「クライアント プロビジョニング リソースの表示」

「Cisco ISE へのクライアント プロビジョニング リソースの追加」

「エージェント プロファイルの作成」

「ネイティブ サプリカント プロファイルの作成」

「クライアント プロビジョニング リソースの削除」

「Cisco NAC Agent MSI インストーラを使用したクライアント マシンのプロビジョニング」

クライアント プロビジョニング リソースの表示

クライアント プロビジョニング リソース ポリシーの設定に使用できる既存のリソースのリストを表示するには、Cisco ISE Web コンソール ユーザ インターフェイスを開き、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。[リソース(Resources)] ページに次のタイプのリソースが表示されます。

永続的なエージェントおよび一時的なエージェント:

Windows および Mac OS X の Cisco ネットワーク アドミッション コントロール(NAC)エージェント

Cisco NAC Web Agent

ネイティブ サプリカント プロファイル

エージェント プロファイル

ネイティブ サプリカント プロビジョニング ウィザード

エージェント コンプライアンス モジュール

エージェント カスタマイズ パッケージ

図 19-1 に [リソース(Resources)] ページを示します。

図 19-1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)]

 

 

この表示が空(つまり、Cisco ISE で使用できるクライアント プロビジョニング リソースがない場合)、「エージェントおよび他のリソースの追加および削除」の手順を使用してリソースを追加できます。

Cisco ISE へのクライアント プロビジョニング リソースの追加

ユーザがクライアント マシンにリソースをダウンロードしてインストールできるようにするクライアント プロビジョニング リソース ポリシーを設定する前に、これらのリソースが Cisco ISE アプライアンスにすでに存在することを確認する必要があります。ここで説明するリソースのダウンロードおよび作成の機能を使用して、次の Cisco ISE リソースを Cisco ISE で使用できることを確認します。

永続的なエージェントおよび一時的なエージェント(Windows および Mac OS X の Cisco NAC Agent、Cisco NAC Web Agent)。Cisco ISE で使用できるエージェントのタイプの詳細については、「Cisco ISE エージェント」を参照してください。

エージェント プロファイル

エージェント コンプライアンス モジュール

エージェント カスタマイズ パッケージ

ネイティブ サプリカント インストール ウィザード

次のトピックでは、クライアント プロビジョニング リソースをリモート ソースまたはローカル マシンから追加する方法について説明します。

「リモート ソースからのクライアント プロビジョニング リソースの追加」

「ローカル マシンからのクライアント プロビジョニング リソースの追加」


) Cisco ISE を設定して、クライアント プロビジョニング リソースを自動的に更新することもできます。詳細については、「クライアント プロビジョニング リソースの自動ダウンロード」を参照してください。


リモート ソースからのクライアント プロビジョニング リソースの追加

前提条件

クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、「Cisco ISE でのプロキシ設定の指定」の説明に従ってネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

Cisco.com のようなリモート ソースからクライアント プロビジョニング リソースを追加するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 [追加(Add)] > [Cisco サイトからリソースを追加(Add resources from Cisco site)] を選択します(図 19-2)。

図 19-2 Cisco サイトからリソースを追加(Add resources from Cisco site)

 

 

ステップ 3 表示される [ダウンロードしたリモート リソース(Downloaded Remote Resources)] ダイアログボックスで選択可能なリストから必要なリソースを 1 つ以上選択します。

ステップ 4 [保存(Save)] をクリックして、選択したリソースを Cisco ISE にダウンロードします。

選択したリソースのタイプと数、および使用可能なネットワーク帯域幅に応じて、Cisco ISE で新しいリソースをダウンロードし、これらを使用可能なクライアント プロビジョニング リソースのリストに表示するまでに数秒(またはリソースのサイズおよびタイプによっては数分)かかることがあります。


 

次の手順

クライアント プロビジョニング リソースを Cisco ISE に正常に追加したら、「クライアント プロビジョニング リソース ポリシーの設定」の説明に従ってリソース ポリシーの設定を開始できます。

トラブルシューティング項目

「リモート クライアントのプロビジョニング リソースをダウンロードできない」

ローカル マシンからのクライアント プロビジョニング リソースの追加


注意 Cisco ISE には、必ず現行のサポートされているリソースのみをアップロードしてください。古いサポートされていないリソース(たとえば、Cisco NAC Agent の古いバージョン)を使用すると、クライアント アクセスで重大な問題が発生する場合があります。詳細については、『Cisco Identity Services Engine Network Component Compatibility, Release 1.1.1』を参照してください。

Cisco ISE のこの機能を使用して、Agent カスタマイズ パッケージおよび Agent プロファイルのみをアップロードすることを推奨します。「Cisco ISE に追加するエージェント カスタマイズ ファイルの作成」および「エージェント プロファイルの作成」を参照してください。他のリソース タイプの場合、「リモート ソースからのクライアント プロビジョニング リソースの追加」で説明されているガイドラインを使用してください。

CCO からリソース ファイルを手動でダウンロードする場合、『 Release Notes for the Cisco Identity Services Engine, Release 1.1.1 』の「Cisco ISE Offline Updates」の項を参照してください。

ローカル マシン(たとえば、CCO からラップトップにダウンロード済みのファイル)から既存のクライアント プロビジョニング リソースを追加するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 [追加(Add)] > [ローカル ディスクからリソースを追加(Add resource from local disk)] を選択します(図 19-3)。

図 19-3 ローカル ディスクからリソースを追加(Add resource from local disk)

 

 

ステップ 3 [参照(Browse)] をクリックし、Cisco ISE にダウンロードするリソース ファイルがあるローカル マシン上のディレクトリに移動します。

ステップ 4 検索ウィンドウでリソース ファイルを強調表示し、[保存(Save)] をクリックします。

選択したリソース ファイルのタイプ、および Cisco ISE とローカル マシンの間で使用できるネットワーク帯域幅に応じて、Cisco ISE は、新しいリソース ファイルをダウンロードしてこれを使用可能なクライアント プロビジョニング リソースのリストに表示するまでに数秒から数分かかることがあります。


 

次の手順

クライアント プロビジョニング リソースを Cisco ISE に正常に追加したら、「クライアント プロビジョニング リソース ポリシーの設定」の説明に従ってリソース ポリシーの設定を開始できます。

Cisco ISE に追加するエージェント カスタマイズ ファイルの作成

カスタマイズ パッケージは zip ファイルであり、XML 記述子ファイルと、カスタマイズされたオプションのコンテンツを含む別の zip が含まれています。新しいカスタマイズ パッケージを作成するには、3 つの手順が必要です。


ステップ 1 logo.gif などの必須ファイルを変更した後、brand-win.zip という zip ファイルを作成します。たとえば、Linux または UNIX 環境で、次のコマンドを実行します。

zip -r brand-win.zip nacStrings_en.xml nac_login.xml nac_logo.gif nacStrings_cy.xml nacStrings_el.xml

brand-win.zip ファイルには、通常、次のファイルが含まれます。

nac_logo.gif

nac_login.xml

nacStrings_xx.xml

次のパラメータをカスタマイズできます。

ロゴ

エージェントのログイン画面

事前定義されたエージェントの文字列およびフィールドのセット

ロゴ

すべての Cisco NAC Agent 画面に表示される Cisco ロゴは、ブランド ロゴに置き換えることができます。画像は、67 x 40 ピクセルを超えない .gif ファイルである必要があります。ロゴ画像は、nac_logo.gif という名前にする必要があります。

エージェントのログイン画面

デフォルトでは、Cisco NAC Agent のログイン画面は、図 19-4 に示すように表示されます。

図 19-4 Cisco NAC Agent ログイン:デフォルト画面

 

 

Cisco NAC Agent のログイン画面に表示される要素は、次のいずれかの方法を使用してカスタマイズできます。

nac_login.xml ファイルの変更

nacStrings_xx.xml ファイルの変更


) デフォルトのロゴは、nac_logo.gif ファイルを使用して置き換えることができます。


Cisco NAC Agent がデフォルトの場所にインストールされているシステムでは、これらのファイルは次のディレクトリにあります。

nac_login.xml ファイルは「C:\Program Files\Cisco\Cisco NAC Agent\UI\nac_divs\login」ディレクトリにあります。

nacStrings_xx.xml ファイルで、「xx」はロケールを示します。ファイルの全リストは「C:\Program Files\Cisco\Cisco NAC Agent\UI\cues_utility」ディレクトリにあります。


) エージェントがデフォルトの場所にインストールされている場合、ファイルは上記のディレクトリにあります。エージェントが別の場所にインストールされている場合には、ファイルは「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。



ヒント nacStrings_xx.xml ファイルに変更を加えることを推奨します。

次に、nac_login.xml ファイルの一部を示します。カスタマイズしたテキストは、太字で示されています。

<tr class="nacLoginMiddleSectionContainerInput">
<td colspan="2">
<fieldset width="100%" id="nacLoginCustomAlert"
style="display:block" class="nacLoginAlertBox">
<table width="100%">
<tr>
<td id="nacLoginCustomAlert.img" valign="top" width="32px">
<img src="./cues_icons/Status_warning_icon.png" align="absmiddle" onload="cuesFixPNG(null,this)"></img>
</td>
<td id="nacLoginCustomAlert.content" class="nacLoginAlertText">
<cues:localize key="login.customalert"/>
</td>
</tr>
</table>
</fieldset>
</td>
</tr>
<tr id="nacLoginRememberMe" style="visibility:hidden">
<td>
<cues:localize key="cd.nbsp"/>
</td>
<td class="cuesLoginField" >
<nobr>
<input type="checkbox" alt="" title="" name="rememberme"
id="rememberme" checked="true" />
<cues:localize key="login.remember_me"/>
</nobr>
</td>
</tr>
 

次に、nacStrings_xx.xml ファイルの内容の一部を示します。カスタマイズしたテキストは、太字で示されています。

<cueslookup:name key="login.productname"> XYZ Co Inc. </cueslookup:name>
<cueslookup:name key="login.version">Version</cueslookup:name>
<cueslookup:name key="login.username"> Enter your username (same as your VPN) </cueslookup:name>
<cueslookup:name key="login.password">Enter your password (VPN password)</cueslookup:name>
<cueslookup:name key="login.remember_me">Remember Me</cueslookup:name>
<cueslookup:name key="login.server">Server</cueslookup:name>
<cueslookup:name key="login.customalert">Do not allow anyone else to use this PC</cueslookup:name>
<cueslookup:name key="login.Too many users using this account">This account is already active on another device</cueslookup:name>
<cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name>
<cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name>
 

前のファイルは、ログイン画面を図 19-5 に示すようにカスタマイズするように変更されています。

図 19-5 Cisco NAC Agent ログイン:カスタマイズされた画面

 

 

[ユーザ名を保存する(Remember Me)] チェックボックスが削除され、[ユーザ名(Username)] フィールドおよび [パスワード(Password)] フィールドのテキストが増加していることがわかります。


) カスタマイズするテキストに使用する文字数に制限はありません。ただし、ログイン画面でこれらのフィールドの占めるスペースが大きくなりすぎないように、長さを制限することを推奨します。


事前定義されたエージェントの文字列およびフィールドのセット

デバイス ポスチャ ステータス(DPS)の詳細を置き換えるには、nacStrings_xx.xml ファイルを変更します。次に、DPS 値を備えた nacStrings_xx.xml ファイルの内容の一部を示します。

nacStrings_xx.xml ファイルの例:

<cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name>
<cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name>
<cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name>
<cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name>
<cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name>
<cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name>
<cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name>
<cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network.</cueslookup:name>
<cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name>
<cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name>
<cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name>
<cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name>
<cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name>
<cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name>
<cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name>
<cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name>
<cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name>
<cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name>
<cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name>
 

ステップ 2 XML 記述子ファイルを次のように作成し、 updateFeed.xml という名前を付けます。

<?xml version="1.0" encoding="utf-8"?>
<feed xmlns="http://www.w3.org/2005/Atom" xmlns:update="http://www.cisco.com/cpm/update/1.0">
<title>Provisioning Update</title>
<updated>2011-12-21T12:00:00Z</updated>
<id>https://www.cisco.com/web/secure/pmbu/provisioning-update.xml</id>
<author>
<name>Cisco Support</name>
<email>support@cisco.com</email>
</author>
<!-- Custom Branding -->
<entry>
<id>http://foo.foo.com/foo/AgentCustomizationPackage/1/1/1/1</id> -- This id can be anything, but should be unique within an ISE deployment
<title>Agent Customization Package</title>
<updated>2010-06-07T12:00:00Z</updated>
<summary>This is the agent customization package </summary> - Can be anything
<link rel="enclosure" type="application/zip" href="brand-windows.zip" length="18884" />
<update:type>AgentCustomizationPackage</update:type>
<update:version>1.1.1.0</update:version> -- Important to have this as 4 digit
<update:os>Win</update:os>
</entry>
</feed>
 

ステップ 3 上記の記述子ファイルおよびステップ 1 で作成した zip ファイルを含む別の zip ファイルを作成します。たとえば、Linux または UNIX 環境で、次のコマンドを実行します。

zip -r custom.zip updateFeed.xml brand-win.zip

ステップ 4 「ローカル マシンからのクライアント プロビジョニング リソースの追加」で説明されているガイドラインを使用して、新しい custom.zip ファイルを Cisco ISE にアップロードします。


 

エージェント プロファイルの作成

「Cisco ISE での Windows エージェント プロファイルの作成」

「Cisco ISE での Mac OS X エージェント プロファイルの作成」

「Cisco ISE での Windows および Mac OS X のエージェント プロファイルの変更」

「エージェント プロファイル パラメータおよび適用可能な値」

エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を制御するために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。ただし、クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] 設定ページを使用して、同じ目的を達成できます。詳細については、「ポスチャ全般設定」を参照してください。


) ポリシー適用または他の方法でクライアント マシンにエージェント プロファイルを設定してアップロードすると、そのエージェント プロファイルはクライアント マシン上で維持され、他の何かに変更するまで、クライアント マシンのログインおよび操作の動作に影響を及ぼします。したがって、エージェント プロファイルを Cisco ISE から削除しても、以前影響を受けたクライアント マシンからその動作はなくなりません。ログインおよび操作の動作を変更するには、クライアント マシン上の、既存のエージェント プロファイル パラメータの値を上書きする新しいエージェント プロファイルを定義し、これをポリシー適用によってアップロードする必要があります。


Cisco ISE での Windows エージェント プロファイルの作成

前提条件

Windows エージェント プロファイルを作成する前に、次のトピックのガイドラインに従って、エージェント ソフトウェアを Cisco ISE にアップロードすることを推奨します。

「リモート ソースからのクライアント プロビジョニング リソースの追加」

「ローカル マシンからのクライアント プロビジョニング リソースの追加」

Windows エージェント プロファイルを作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 [追加(Add)] > [ISE ポスチャ エージェント プロファイル(ISE Posture Agent Profile)] を選択します(図 19-6)。

図 19-6 ISE ポスチャ エージェント プロファイル(ISE Posture Agent Profile)

 

 

ステップ 3 Windows エージェント プロファイルの名前を指定します。

ステップ 4 パラメータの値を指定し、必要に応じてこれらの設定を既存のプロファイル設定とマージするかまたは上書きするかを指定し、Windows クライアント マシン エージェントの動作を適切に設定します。

既存のエージェント プロファイルとマージする 1 つ以上のパラメータを設定すると、新しい(今までに定義されていない)パラメータがマージされた値に従って設定されますが、エージェント プロファイル内の既存のパラメータ設定は維持されます。さまざまなパラメータとその設定の詳細については、「エージェント プロファイル パラメータおよび適用可能な値」を参照してください。

ステップ 5 [送信(Submit)] をクリックして、エージェント プロファイルを Cisco ISE に保存します。新しいファイルが使用可能なクライアント プロビジョニング リソースのリストに表示されます。


 

次の手順

クライアント プロビジョニング リソースを Cisco ISE に正常に追加し、1 つ以上のオプション エージェント プロファイルを設定したら、「クライアント プロビジョニング リソース ポリシーの設定」の説明に従ってリソース ポリシーの設定を開始できます。

プロファイル作成機能を使用して生成された XML ファイルの例

<?xml version="1.0" ?>
<cfg>
<VlanDetectInterval>0</VlanDetectInterval>
<RetryDetection>3</RetryDetection>
<PingArp>0</PingArp>
<PingMaxTimeout>1</PingMaxTimeout>
<EnableVlanDetectWithoutUI>0</EnableVlanDetectWithoutUI>
<SignatureCheck>0</SignatureCheck>
<DisableExit>0</DisableExit>
<PostureReportFilter>displayFailed</PostureReportFilter>
<BypassSummaryScreen>1</BypassSummaryScreen>
<LogFileSize>5</LogFileSize>
<DiscoveryHost></DiscoveryHost>
<DiscoveryHostEditable>1</DiscoveryHostEditable>
<Locale>default</Locale>
<AccessibilityMode>0</AccessibilityMode>
<SwissTimeout>1</SwissTimeout>
<HttpDiscoveryTimeout>30</HttpDiscoveryTimeout>
<HttpTimeout>120</HttpTimeout>
<ExceptionMACList></ExceptionMACList>
<GeneratedMAC></GeneratedMAC>
<AllowCRLChecks>1</AllowCRLChecks>
<DisableL3SwissDelay>0</DisableL3SwissDelay>
<ServerNameRules></ServerNameRules>
</cfg>

) このファイルには、2 つの静的(つまり、ユーザまたは Cisco ISE 管理者が編集できない)「AgentCfgVersion」パラメータおよび「AgentBrandVersion」パラメータも含まれています。これらのパラメータは、クライアント マシンでエージェント プロファイルおよびエージェント カスタマイズ ファイルの現在のバージョンをそれぞれ識別するために使用されます。クライアント マシンにあるものと異なるエージェント プロファイルが Cisco ISE にある場合(MD5 チェックサムを使用して判定)、Cisco ISE は、新しいエージェント プロファイルをクライアント マシンにダウンロードします。Cisco ISE から送信されるエージェント カスタマイズ ファイルが異なる場合にも、Cisco ISE は、新しいエージェント カスタマイズ ファイルをクライアント マシンにダウンロードします。


Cisco ISE での Mac OS X エージェント プロファイルの作成

Mac OS X クライアント マシン用の設定に使用できるパラメータは、Windows クライアント マシン用に使用できるもののサブセットのみです。「Mac プラットフォーム:適用外」という注釈があるパラメータの設定は Mac OS X クライアント マシンのエージェント動作に影響しないため、それらの設定は指定しないことを推奨します。

前提条件

Mac OS X エージェント プロファイルを作成する前に、次のトピックのガイドラインに従って、エージェント ソフトウェアを Cisco ISE にアップロードすることを推奨します。

「リモート ソースからのクライアント プロビジョニング リソースの追加」

「ローカル マシンからのクライアント プロビジョニング リソースの追加」

Mac OS X エージェント プロファイルを作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 [追加(Add)] > [ISE ポスチャ エージェント プロファイル(ISE Posture Agent Profile)] を選択します。

ステップ 3 エージェント プロファイルの名前を指定します。

ステップ 4 パラメータの値を指定し、必要に応じてこれらの設定を既存のプロファイル設定とマージするかまたは上書きするかを指定し、Mac OS X クライアント マシン エージェントの動作を適切に設定します。

既存のエージェント プロファイルとマージする 1 つ以上のパラメータを設定すると、新しい(今までに定義されていない)パラメータがマージされた値に従って設定されますが、エージェント プロファイル内の既存のパラメータ設定は維持されます。さまざまなパラメータとその設定の詳細については、「エージェント プロファイル パラメータおよび適用可能な値」を参照してください。

ステップ 5 [OK] をクリックして、Mac OS X エージェント プロファイルを Cisco ISE に保存します。新しいファイルが使用可能なクライアント プロビジョニング リソースのリストに表示されます。


 

次の手順

クライアント プロビジョニング リソースを Cisco ISE に正常に追加し、1 つ以上のオプション エージェント プロファイルを設定したら、「クライアント プロビジョニング リソース ポリシーの設定」の説明に従ってリソース ポリシーの設定を開始できます。

Cisco ISE での Windows および Mac OS X のエージェント プロファイルの変更

前提条件

Windows または Mac OS X のエージェント プロファイルを変更するには、次のトピックのガイドラインに従って、1 つ以上のエージェント プロファイルを手動ですでに作成済みである必要があります。

「Cisco ISE での Windows エージェント プロファイルの作成」

「Cisco ISE での Mac OS X エージェント プロファイルの作成」

既存の Windows または Mac OS X のエージェント プロファイルを変更するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 既存のエージェント プロファイル エントリを選択し、[編集(Edit)] をクリックします。

ステップ 3 既存のエージェント プロファイルで必要な変更を行い、[保存(Save)] をクリックします。さまざまなパラメータとその設定の詳細については、「エージェント プロファイル パラメータおよび適用可能な値」を参照してください。


) [リセット(Reset)] オプションを選択した場合、すべてのパラメータ値がそれぞれのデフォルト設定に自動的にリセットされます。



 

次の手順

クライアント プロビジョニング リソースを Cisco ISE に正常に追加し、1 つ以上の既存のオプション エージェント プロファイルを設定または変更したら、「クライアント プロビジョニング リソース ポリシーの設定」の説明に従ってリソース ポリシーの設定を開始できます。

エージェント プロファイル パラメータおよび適用可能な値

この項では、クライアント マシンにインストールされたエージェントのログイン、操作、およびログアウトの動作のカスタマイズに使用するエージェント プロファイル パラメータの説明、デフォルト値、および使用可能な範囲を示します。エージェント設定パラメータは、機能別にグループ化され、次のテーブルに表示されます。

「複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス」

「エージェント ログイン/ログアウト ダイアログの動作のカスタマイズ」

「クライアント側 MAC アドレスおよびエージェント Discovery Host の管理」

「エージェント ローカリゼーション設定の指定」

「レポートおよびログ表示設定」

「クライアント マシン接続確認の繰り返し」

「追加の SWISS 検出のカスタマイズ」

「HTTP 検出のカスタマイズ」

「修復タイムアウトのカスタマイズ」

「ユーザのログアウトまたはシャットダウンでのエージェント ダイアログの動作」

「クライアント マシンの IP アドレスの動作設定」

 

表 19-1 複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス

パラメータ
デフォルト値
有効な範囲
説明または動作

VLAN 検出間隔(Vlan detect interval)

01、5 2

0、5 ~ 900

この設定が 0 の場合、認証 VLAN 変更機能へのアクセスは無効にされます。

この設定が 1 ~ 5 の場合、エージェントは 5 秒ごとに ICMP クエリーまたは ARP クエリーを送信します。

この設定が 6 ~ 900 の場合は、x 秒ごとに ICMP クエリーまたは ARP クエリーを送信します。

UI なしの VLAN 検出の有効化(Enable VLAN detect without UI?)

no

yes または no

この値を no に設定すると、VLAN 検出機能は無効にされます。

この値を yes に設定すると、VLAN 検出機能は有効にされます。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

1.Cisco NAC Windows エージェントの場合、デフォルト値は 0 です。デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows に対して無効にされます。

2.Mac OS X エージェントの場合、デフォルト値は 5 です。Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、VlanDetectInterval を 5 秒として有効になっています。

 

表 19-2 エージェント ログイン/ログアウト ダイアログの動作のカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明または動作

エージェントの終了の無効化(Disable Agent Exit?)

no

yes または no

このパラメータを yes に設定すると、ユーザはエージェントをシステム トレイ アイコンから終了できません。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

CRL チェックの許可(Allow CRL Checks?)

yes

yes または no

このパラメータを no に設定すると、Cisco ISE ノードを検出およびネゴシエーションするときに、エージェント向けの証明書失効リスト(CRL)チェックが行われません。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

アクセシビリティ モード(Accessibility mode?)

no

yes または no

この設定が 1 の場合、エージェントは Job Access with Speech(JAWS)画面リーダーに対応します。

この設定が 0 の場合、エージェントは JAWS 画面リーダーとの対話を行いません。

(注) この機能を有効にすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能を有効にしても、エージェントは正常に機能します。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

署名のチェック(Check signature?)

no

yes または no

署名のチェック設定により、Windows が実行可能ファイルを起動する前にファイルを信頼できるかどうかを判断するためにエージェントが使用する、デジタル署名が検索されます。詳細については、「プログラム起動修復の追加、複製、編集、および削除」を参照してください。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

概要画面のバイパス(Bypass summary screen)

yes

yes または no

エージェントの要件に自動修復を採用している場合、この設定によって、エージェント ポスチャ評価の概要画面をスキップして自動修復の最初の機能に直接進むことにより、エージェント セッション ダイアログを自動化することができます。この手順を回避すると、エージェント ログインおよび修復セッション中のユーザ対話が削減、または完全になくなります。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

 

表 19-3 クライアント側 MAC アドレスおよびエージェント Discovery Host の管理

パラメータ
デフォルト値
有効な範囲
説明または動作

MAC 例外リスト(MAC Exception list)

--

有効な MAC アドレス

この設定で 1 つまたは複数の MAC アドレスを指定すると、エージェントは、ログインと認証の間、ネットワーク経由で不要な MAC アドレスが送信されることをを防ぐために、これらの MAC アドレスを Cisco ISE にアドバタイズしません。指定するテキスト文字列は、コロンを含む、カンマで区切られた MAC アドレスのリストでなければなりません。次に例を示します。

AA:BB:CC:DD:EE:FF,11:22:33:44:55:66
 
(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

Discovery host

--

IP アドレスまたは完全修飾ドメイン名(FQDN)

この設定では、レイヤ 3 配置で Cisco ISE に接続するためにエージェントが使用する Discovery Host のアドレスまたは解決可能なドメイン名を指定します。

Discovery host が編集可能か(Discovery host editable?)

yes

yes または no

このパラメータが yes(デフォルト値)に設定されている場合、ユーザは、エージェントの [プロパティ(Properties)] ダイアログボックスの [Discovery Host] フィールドにカスタム値を指定できます。このエントリを no に変更して、ユーザがクライアント マシンの [Discovery Host] フィールドの値を更新できないようにすることができます。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

サーバ名ルール(Server name rules)

--

FQDN

このパラメータは、関連する Cisco ISE ノードのカンマ区切り名から構成されます。エージェントは、このリストの名前を使用して、Cisco ISE アクセス ポイントを許可します。このリストが空の場合、許可は実行されません。いずれの名前も見つからない場合、エラーが報告されます。

サーバ名は FQDN 名である必要があります。同様の文字を持つ Cisco ISE ノード名の指定に、ワイルドカード文字(アスタリスク [ *]) を使用できます。たとえば、 *.cisco.com は、Cisco.com ドメインのすべてのサーバと一致します。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

生成された MAC(Generated MAC)

--

有効な MAC アドレス

このパラメータは、クライアント マシンでの Evolution-Data Optimized(EVDO)接続をサポートします。クライアント マシンにアクティブなネットワーク インターフェイス カード(NIC)がない場合、エージェントはシステム上にダミーの MAC アドレスを作成します。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

 

表 19-4 エージェント ローカリゼーション設定の指定

パラメータ
デフォルト値
有効な範囲
説明または動作

言語情報(Language Info)

OS の設定(「 default 」)

--

この設定が default の場合、エージェントはクライアント オペレーティング システムのロケール設定を使用します。

この設定が、サポートされている言語の ID、略称、または正式名称の場合、エージェントは自動的に、クライアント マシンのエージェント ダイアログをローカライズされたテキストで表示します。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

 

言語
ID
略称
正式名称

英語(米国)

1033

en

英語

カタロニア語

1027

ca

カタロニア語(スペイン)

簡体字中国語

2052

zh_cn

中国語(簡体字)

繁体字中国語

1028

zh_tw

中国語(繁体字)

チェコ語

1029

cs

チェコ語

デンマーク語

1030

da

デンマーク語

オランダ語

1043

nl

オランダ語(標準)

フィンランド語

1035

fi

フィンランド語

フランス語

1036

fr

フランス語

フランス語(カナダ)

3084

fr-ca

French-Canadian

ドイツ語

1031

de

ドイツ語

ハンガリー語

1038

hu

ハンガリー語

イタリア語

1040

it

イタリア語

日本語

1041

ja

日本語

韓国語

1042

ko

韓国語

ノルウェー語

1044

no

ノルウェー語

ポルトガル語

2070

pl

ポルトガル語

ロシア語

1049

ru

ロシア語

セルビア語(ラテン)

2074

sr

セルビア語(ラテン)

セルビア語(キリル)

3098

src

セルビア語(キリル)

スペイン語

1034

es

スペイン語(従来型)

スウェーデン語

1053

sv

スウェーデン語

トルコ語

1055

tr

トルコ語

 

表 19-5 レポートおよびログ表示設定

パラメータ
デフォルト値
有効な範囲
説明または動作

ポスチャ レポート フィルタ(Posture Report Filter)

displayFailed

--

このパラメータは、クライアント マシンでポスチャ評価が行われたときにユーザに表示される結果のレベルとタイプを制御します。

この設定が displayAll の場合、クライアント ポスチャ評価レポートが示され、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックするとすべての結果が表示されます。

この設定が DisplayFailed の場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートには修復エラーだけが示されます。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

ログ ファイル サイズ(MB 単位)(Log file size in MB)

5

0 以上

この設定では、クライアント マシン上のエージェント ログ ファイルのファイル サイズ(メガバイト単位)を指定します。

この設定が 0 の場合、エージェントは、クライアント マシン上のユーザ セッションに関するログインまたは操作の情報を記録しません。

管理者がそれ以外の整数を指定すると、エージェントは、指定された数値(メガバイト単位)までログインとセッションの情報を記録します。3

3.エージェント ログ ファイルは、クライアント マシンのディレクトリに記録、保存されます。1 回目のエージェント ログイン セッションの後、2 つのファイルがこのディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在のエージェント セッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、エージェントのログインおよび操作情報の最初の部分が自動的にディレクトリ内のバックアップ ファイルになり、エージェントは引き続き最新のエントリを現在のセッション ファイルに記録していきます。

 

表 19-6 クライアント マシン接続確認の繰り返し

パラメータ
デフォルト値
有効な範囲
説明または動作

検出の再試行(Detect Retries)

3

0 以上

インターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)ポーリングが失敗した場合、クライアント IP アドレスの更新の前に、この設定はエージェントが x 回再試行するよう設定します。

ping ARP

0

0 ~ 2

この値が 0 に設定されている場合は、ICMP を使用してポーリングします。

この値が 1 に設定されている場合は、ARP を使用してポーリングします。

この値が 2 に設定されている場合は、まず ICMP を使用してポーリングしてから、(ICMP が失敗した場合は)ARP を使用します。

ping の最大タイムアウト(Max Timeout for Ping)

1

1 ~ 10

ICMP を使用してポーリングし、x 秒内に応答がない場合は、ICMP ポーリング失敗を宣言します。

 

表 19-7 追加の SWISS 検出のカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明または動作

Swiss タイムアウト(Swiss timeout)

1

1 以上

この設定が 1 の場合、エージェントは設計どおりに SWISS 検出を実行し、追加の UDP 応答パケット遅延タイムアウト値はありません。

設定が 1 よりも大きい整数の場合、エージェントは Cisco ISE からの SWISS UDP 検出応答パケットを追加の秒数だけ待機してから、別の検出パケットを送信します。エージェントは、このアクションを実行して、ネットワークで応答パケットの遅延が発生していないことを確認します。

(注) Swiss タイムアウトは UDP SWISS タイムアウトでのみ機能します。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

L3 Swiss 遅延の無効化(Disable L3 Swiss Delay?)

no

yes または no

この設定が yes の場合、エージェントはレイヤ 3 検出パケットの転送間隔を長くする機能を無効にします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。デフォルト設定は no です。

(注) この設定は、Mac OS X クライアント マシン エージェントには適用されません。

 

表 19-8 HTTP 検出のカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明または動作

Http 検出のタイムアウト(Http discovery timeout)

30

0、3 以上

Windows:Http 検出のタイムアウトは、エージェントからの HTTPS 検出が Cisco ISE からの応答を待機する時間で、デフォルトで 30 秒に設定されています。指定された時間内に応答がないと、検出プロセスはタイムアウトになります。有効な範囲は、3 秒以上です。値 1 または 2 を入力すると、パラメータ値が自動的に 3 に設定されます。

Mac OS X:Mac OS X クライアント マシン エージェント プロファイルには、この値を 5 秒に設定することを推奨します。

この値が 0 に設定されると、クライアント マシン オペレーティング システムのデフォルトのタイムアウト設定値が使用されます。

Http タイムアウト(Http timeout)

120

0、3 以上

Http タイムアウトは、エージェントからの HTTP 要求が応答を待機する時間で、デフォルトで 120 秒に設定されています。指定された時間内に応答がないと、要求はタイムアウトになります。指定された時間内に応答がないと、検出プロセスはタイムアウトになります。有効な範囲は、3 秒以上です。値 1 または 2 を入力すると、パラメータ値が自動的に 3 に設定されます。

この値が 0 に設定されると、クライアント マシン オペレーティング システムのデフォルトのタイムアウト設定値が使用されます。

 

表 19-9 修復タイムアウトのカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明または動作

修復タイマー(Remediation timer)

4

1 ~ 300

クライアント マシンで失敗したポスチャ評価チェックをユーザが何分以内に修復することが必要であるかを指定します。この分数を経過すると、ログイン プロセス全体を再び実行する必要があります。

ネットワーク遷移遅延(Network Transition Delay)

3

2 ~ 30

エージェントがネットワーク遷移(IP アドレスの変更)を待機する必要がある秒数を指定します。これが経過すると、修復タイマーのカウントダウンが開始されます。

は送信されません。

 

表 19-10 ユーザのログアウトまたはシャットダウンでのエージェント ダイアログの動作

パラメータ
デフォルト値
有効な範囲
説明または動作

ログイン画面の自動クローズの有効化(Enable auto close login screen?)

no

yes または no

クライアント マシン ユーザがログイン クレデンシャルを入力するエージェント ログイン ダイアログを認証後に自動的に閉じるかどうかを決定できます。

<x> 秒後にログイン画面を自動的に閉じる(Auto close login screen after <x> sec)

0

0 ~ 300

クライアント マシンでユーザ クレデンシャルを認証した後、エージェントが自動的に閉じるまでに待機する秒数を指定します。


) クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] ページで指定した設定を使用して、同じ機能を実行できます。詳細については、「ポスチャ全般設定」を参照してください。


 

表 19-11 クライアント マシンの IP アドレスの動作設定

パラメータ
デフォルト値
有効な範囲
説明または動作

VLAN 変更後にエージェント IP 更新を有効化(Enable agent IP refresh after VLAN change?)

no

yes または no


注意 ネイティブ Windows、Cisco Secure Services Client、または AnyConnect サプリカントを介してネットワークにアクセスする Windows クライアント マシンに対してこのオプションを有効にすることは推奨しません。

切り替え後またはそれぞれの切り替えポートでクライアントのログイン セッションの VLAN を WLC が変更した後にクライアント マシンが IP アドレスを更新する必要があるかどうかを指定します。

ポスチャを備えた MAB に対して有線と無線の両方の環境で Windows クライアント IP アドレスを更新するには、[VLAN 変更後にエージェント IP 更新を有効化(Enable agent IP refresh after VLAN change)] パラメータをオンにします。

割り当てられた VLAN を変更したときに Mac OS X クライアント IP アドレスが更新されるようにするために、有線と無線の両方の環境でネイティブ Mac OS X サプリカントを介してネットワークにアクセスする Mac OS X クライアント マシンに対してこのパラメータが必要です。

は送信されません。

DHCP 更新遅延(DHCP renew delay)

0

0 ~ 60

ネットワーク DHCP サーバから新しい IP アドレスを要求しようとする前にクライアント マシンが待機する秒数。

DHCP リリース遅延(DHCP release delay)

0

0 ~ 60

現在の IP アドレスをリリースする前にクライアント マシンが待機する秒数。

ネイティブ サプリカント プロファイルの作成

ネイティブ サプリカント プロファイルを作成して、ユーザが独自のデバイスを Cisco ISE ネットワークに含めることを可能にします。ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE は、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスします。

前提条件:

リモート デバイス登録に TLS デバイス プロトコルを使用しようとしている場合、「Simple Certificate Enrollment Protocol プロファイル」の説明に従って、少なくとも 1 つの Simple Certificate Enrollment Protocol(SCEP)プロファイルを設定してください。

TCP ポート 8909 および UDP ポート 8909 を開き、Cisco NAC Agent、Cisco NAC Web Agent、およびサプリカント プロビジョニング ウィザードのインストールを有効にしてください。ポートの使用法の詳細については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』の付録「Cisco ISE 3300 Series Appliance Ports Reference」を参照してください。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

ステップ 2 [追加(Add)] > [ネイティブ サプリカント プロファイル(Native Supplicant Profile)] を選択します。

図 19-7 ネイティブ サプリカント プロファイルの作成

 

 

ステップ 3 エージェント プロファイルの [名前(Name)] を指定します。

ステップ 4 (任意)[ネイティブ サプリカント プロファイル(Native Supplicant Profile)] の説明を [説明(Description)] に入力します。

ステップ 5 このプロファイルの [オペレーティング システム(Operating System)] を選択します。選択可能なオプションは、[すべて(ALL)]、[Android]、[Mac OS X](Apple Macintosh マシン用)、[Apple iOS すべて(Apple iOS All)](Apple iPhone および iPad 用)、[Windows すべて(Windows All)]、[Windows 7(すべて)(Windows 7 (All))]、[Windows Vista(すべて)(Windows Vista (All))]、および [Windows XP(すべて)(Windows XP (All))] です。

ステップ 6 このプロファイルの有線または無線の接続タイプ(あるいは両方)に適切なオプションを有効にします。

無線接続オプションを有効にした場合、次の項目も指定してください。

デバイス SSID

無線セキュリティ タイプ:WPA2 Enterprise または WPA Enterprise

ステップ 7 デバイス プロファイルの [許可されるプロトコル(Allowed Protocol)] を選択します。

[TLS]:TLS プロトコルを使用して最高レベルのデバイス登録セキュリティを提供します。TLS の方法を指定した場合、Cisco ISE は、デバイスの証明書用に [証明書署名要求(Certificate Signing Request)] を生成し、SCEP 要求を適切な認証登録局に転送します。SCEP 認証局に接続を設定する方法の詳細については、「Simple Certificate Enrollment Protocol プロファイル」を参照してください。

[PEAP]:通常、PEAP では、ユーザはネットワークにログインするときにアクセス クレデンシャルを入力でき、代わりに標準登録証明書を受け取ります。

[EAP-FAST]:EAP-FAST を使用して、Apple iOS および Mac OS X デバイスに接続します。接続は、通常、証明書タイプおよびその有無から独立して行われます。


) iPhone および iPad での Apple iOS のデフォルト動作のため、Cisco ISE は、単一の Service Set Identifier(SSID)を介して接続している場合、ネイティブ サプリカント プロファイルでの EAP-FAST プロトコルの使用をサポートしていません。Cisco ISE ネットワークにログインするとき、iOS ベースのデバイスは、デバイスにインストールされたサプリカント プロビジョニング プロファイルが EAP-FAST プロトコルを指定している場合でも、デフォルトで PEAP-MSCHAPv2 プロトコルを使用して自動的にネゴシエーションします。デュアル SSID 環境では、iOS ベースのデバイスはこの制約を受けません。


ステップ 8 このプロファイルに対して他の [任意の設定(Optional Settings)] を適切に有効または無効にします。選択可能な任意の設定には、[Windows]、[Mac OS X]、および [iPhone/iPad] 設定などがあります。

ステップ 9 [送信(Submit)] をクリックします。


 

次の手順

従業員が「複数のポータルのホスト」の説明に従ってパーソナル デバイスをネットワークに直接接続できるセルフプロビジョニング機能を有効にします。

クライアント プロビジョニング リソースの削除


注意 既存のリソースを Cisco ISE から削除する前に、そのリソースを必要としているクライアント プロビジョニング リソー ポリシーがないことを確認します。

既存のクライアント プロビジョニング リソースを Cisco ISE から削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。

図 19-8 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)]

 

 

ステップ 2 クライアント プロビジョニング リソースのリストから 1 つ以上の既存のリソースを選択し、[削除(Delete)] をクリックします。

ステップ 3 表示される確認ポップアップで、指定したリソース(または複数のリソース)を削除することを確認します。指定したリソースは、クライアント プロビジョニング リソースのリストに表示されなくなります。


 

トラブルシューティング項目

「リモート クライアントのプロビジョニング リソースをダウンロードできない」

Cisco NAC Agent MSI インストーラを使用したクライアント マシンのプロビジョニング

Cisco には、Windows クライアント マシン用に Cisco NAC Agent の MSI(Microsoft Installer 形式)インストーラが用意されています( nacagentsetup-win.msi )。ファイル転送時のローカル メモリ使用量が少ない、同じインストーラ パッケージの zip バージョンもあります。MSI または zip パッケージは、Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードできます。Cisco NAC Agent MSI または zip パッケージを取得したら、MSI インストーラを Agent 設定 XML ファイル( NACAgentCFG.xml )とともにクライアント マシン上のディレクトリに置きます。このファイルは、ネットワークに共存している必要がある適切な Agent プロファイル情報を含んでいます。


ステップ 1 nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルを Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードします。

ステップ 2 nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:\temp\nacagentsetup-win.msi)。

MSI インストーラを直接クライアントにコピーする場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、 nacagentsetup-win.msi ファイルを置きます。

nacagentsetup-win.zip インストーラを使用する場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、zip ファイルの内容を抽出します。

ステップ 3 Agent 設定 XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。Agent 設定 XML ファイル、およびそのパラメータと構文については、「Cisco ISE での Windows エージェント プロファイルの作成」および「プロファイル作成機能を使用して生成された XML ファイルの例」を参照してください。

Agent 設定 XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent 設定 XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、エージェントは最初に起動されたとき、正しいレイヤ 3 ネットワーク上の場所をポイントすることができます。


) [Discovery Host] フィールドは、Agent 設定 XML ファイルの DiscoveryHostEditable パラメータを変更して、編集可能または編集不可にすることができます。詳細については、「エージェント プロファイル パラメータおよび適用可能な値」を参照してください。


ステップ 4 クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。

msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log
 

/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します。


Cisco NAC Agent はクライアント マシンにインストールされ、Agent 設定 XML ファイルで指定された Discovery Host を使用してバックグラウンドで自動的に起動して、Cisco ISE ネットワークに接続します。


 

Altiris または SMS を使用して MSI インストーラを配布している場合、次の作業を実行して Agent のカスタマイズを適用します。

Agent のカスタマイズ ファイルをディレクトリ「%TEMP%/CCAA」の「brand」というサブディレクトリに置きます。

Cisco NAC Agent がクライアントにインストールされるとき、このカスタマイズは Agent に適用されます。

カスタマイズを削除するには、カスタマイズ ファイルなしの MSI を送信します。

グローバル クライアント プロビジョニング機能の設定

「クライアント プロビジョニング サービスの有効化および無効化」

「クライアント プロビジョニング リソースの自動ダウンロード」

「パーソナル デバイス登録動作の設定」

クライアント プロビジョニング サービスの有効化および無効化

前提条件

クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、「Cisco ISE でのプロキシ設定の指定」の説明に従ってネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

クライアント プロビジョニング リソースを自動的に検出してダウンロードするように Cisco ISE を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。

図 19-9 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)]

 

 

ステップ 2 [プロビジョニングの有効化(Enable Provisioning)] ドロップダウン リストから、[有効(Enable)] または [無効(Disable)] を選択します。

ステップ 3 [保存(Save)] をクリックします。

Cisco ISE のこの機能を無効にすることを選択した場合、ネットワークにアクセスしようとするユーザは、クライアント プロビジョニング リソースをダウンロードできないことを示す警告メッセージを受信します。


 

次の手順

次のトピックのガイドラインに従って、システム全体のクライアント プロビジョニング機能を設定します。

「エージェントおよび他のリソースの追加および削除」

「クライアント プロビジョニング リソース ポリシーの設定」

トラブルシューティング項目

「リモート クライアントのプロビジョニング リソースをダウンロードできない」

クライアント プロビジョニング リソースの自動ダウンロード


) リソースの自動アップロードを選択するのではなく、「Cisco ISE へのクライアント プロビジョニング リソースの追加」のガイドラインに従って、可能な場合には必ずリソースを手動でアップロードすることを推奨します。この機能は、Cisco からのすべての使用可能なソフトウェアをアップロードしますが、多くの項目が展開に適していない場合があります。


前提条件

クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、「Cisco ISE でのプロキシ設定の指定」の説明に従ってネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

すべての既知の使用可能なクライアント プロビジョニング リソースを自動的に検出してダウンロードするように Cisco ISE を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。

図 19-10 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)]

 

 

ステップ 2 [自動ダウンロードの有効化(Enable Automatic Download)] ドロップダウン リストから、[有効(Enable)] を選択します。

ステップ 3 自動ダウンロードを有効にするとき、[更新フィード URL(Update Feed URL)] テキスト ボックスで Cisco ISE がシステム更新を検索する URL を指定してください。クライアント プロビジョニング リソースをダウンロードするデフォルトの URL は、 https://www.cisco.com/web/secure/pmbu/provisioning-update.xml です。

[自動ダウンロードの有効化(Enable Automatic Download)] 機能を使用しないことを選択した場合、クライアント プロビジョニング リソース ファイルをローカル システムに手動でダウンロードしてから、「ローカル マシンからのクライアント プロビジョニング リソースの追加」に記載されているガイドラインに従ってこれらを Cisco ISE にインポートできます。

ステップ 4 [保存(Save)] をクリックします。Cisco ISE は、Cisco ISE が初めてインストールされた時刻に基づいて、更新されたリソースを 24 時間ごとに自動的にチェックします。


 

次の手順

次のトピックのガイドラインに従って、システム全体のクライアント プロビジョニング機能を設定します。

「エージェントおよび他のリソースの追加および削除」

「クライアント プロビジョニング リソース ポリシーの設定」

トラブルシューティング項目

「リモート クライアントのプロビジョニング リソースをダウンロードできない」

パーソナル デバイス登録動作の設定

この機能を使用して、Cisco ISE がネイティブ サプリカント プロビジョニング ウィザードをインストールできないパーソナル デバイスを介したユーザ ログイン セッションを Cisco ISE が処理する方法を指定します。パーソナル デバイスを介したサポートされているユーザ ログイン方法の詳細については、「ネットワークへのアクセスおよびパーソナル デバイスの登録」を参照してください。

Cisco ISE を設定して、サプリカント プロビジョニング ウィザードがインストールされていない、または起動されないパーソナル デバイスを介してユーザがネットワークにアクセスするログイン セッションを管理するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。

図 19-11 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)]

 

 

ステップ 2 [ネイティブ サプリカント プロビジョニング ポリシーを使用できない(Native Supplicant Provisioning Policy Unavailable)] ドロップダウン リストから、次のいずれかのオプションを選択します。

[ネットワーク アクセスの許可(Allow Network Access)]:ユーザは、ネイティブ サプリカント ウィザードをインストールおよび起動せずに、デバイスをネットワークに登録することを許可されます。詳細については、「サプリカント プロビジョニングなしでのログイン」を参照してください。

[定義済みの許可ポリシーの適用(Apply Defined Authorization Policy)]:ユーザは、標準認証および(ネイティブ サプリカント プロビジョニング プロセスではない)許可ポリシーを適用して Cisco ISE ネットワークへのアクセスを試みる必要があります。このオプションを有効にすると、ユーザ デバイスに対して、ユーザの ID に適用されたすべてのクライアント プロビジョニング ポリシーに従った標準登録が行われます。ユーザのデバイスが Cisco ISE ネットワークにアクセスするための証明書を必要とする場合、「カスタム スポンサー言語テンプレートの追加」および「カスタム ゲスト言語テンプレートの追加」で説明されている、ユーザに表示されるカスタマイズ可能なテキスト フィールドを使用して、有効な証明書を取得して適用する方法を説明する詳細指示をユーザに提供する必要があります。

ステップ 3 [保存(Save)] をクリックします。


 

次の手順

従業員が「複数のポータルのホスト」の説明に従ってパーソナル デバイスをネットワークに直接接続できるセルフプロビジョニング機能を有効にします。

クライアント プロビジョニング リソース ポリシーの設定

クライアント プロビジョニング リソース ポリシーは、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザ セッション開始時に Cisco ISE から受信するかを決定します。

前提条件

有効なクライアント プロビジョニング リソース ポリシーを作成するには、次のトピックに従って、システム全体のクライアント プロビジョニング機能を設定済みであることを確認します。

「Cisco ISE でのプロキシ設定の指定」

「グローバル クライアント プロビジョニング機能の設定」

「エージェントおよび他のリソースの追加および削除」

クライアント プロビジョニング リソース ポリシーを設定するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。

図 19-12 [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)]

 

リソース ポリシーの有効化または無効化

ステップ 2 動作のドロップダウン リストから [有効(Enable)]、[無効(Disable)]、または [モニタ(Monitor)] を選択します。このリストには、緑のチェック マークが含まれています。

[有効(Enable)]:ユーザがネットワークにログインし、クライアント プロビジョニング ポリシーのガイドラインに従っている場合に、Cisco ISE がこのポリシーを使用して、クライアント プロビジョニング機能を果たすようにします。

[無効(Disable)]:Cisco ISE は、指定されたリソース ポリシーを使用せずにクライアント プロビジョニング機能を果たします。

[モニタ(Monitor)]:ポリシーを無効にし、クライアント プロビジョニング セッション要求を監視し、Cisco ISE が [モニタ対象(Monitored)] のポリシーに基づいて起動しようとした回数を確認します。

リソース ポリシーの定義

ステップ 3 [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。

クライアント マシンまたはデバイスの分類

ステップ 4 Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。

[任意(Any)] ID グループ タイプを指定するか、または「ユーザ ID グループの設定」で設定した既存の ID グループのリストから 1 つ以上のグループを選択します(たとえば、スポンサーが作成した「ゲスト」または管理者が作成したグループ)。

ステップ 5 [オペレーティング システム(Operating Systems)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するクライアント マシンまたはデバイスで動作している 1 つ以上のオペレーティング システムを指定します。

[Android]、[Mac iOS](iPhone/iPad 用)、[Mac OS X] など単一のオペレーティング システムを指定するか、あるいは [Windows XP(すべて)(Windows XP (All))] または [Windows 7(すべて)(Windows 7 (All))] のようなクライアント マシンの多数のオペレーティング システムを指す包括的なオペレーティング システムを指定できます。サポートされているクライアント マシンのオペレーティング システムの全リストについては、『 Cisco Identity Services Engine Network Component Compatibility, Release 1.1.1 』を参照してください。

ステップ 6 [その他の条件(Other Conditions)] フィールドで、この特定のリソース ポリシー用に作成する新しい式を指定します。このリソース ポリシー用に新しい条件を開発する場合、「ディクショナリおよび属性のユーザ インターフェイス」で説明しているガイドラインに従って、このリソース ポリシー用の新しい式のコンポーネントを指定します。

Windows および Mac OS X のクライアント マシンに配布するリソースの定義

ステップ 7 クライアント マシンに対して、前のトピックで定義した分類に基づいて、クライアント マシンで使用可能にし、プロビジョニングするエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ、またはプロファイルを指定します。

a. [エージェント(Agent)] ドロップダウン リストから使用可能なエージェントを選択し、ここで定義したエージェントのアップグレード(ダウンロード)がクライアント マシンに対して必須かどうかを [アップグレードは必須か(Is Upgrade Mandatory)] オプションを有効または無効にして、適切に指定します。


) [アップグレードは必須か(Is Upgrade Mandatory)] 設定は、エージェントのダウンロードにのみ適用されます。Agent プロファイル、コンプライアンス モジュール、および Agent カスタマイズ パッケージの更新は常に必須です。


b. [プロファイル(Profile)] ドロップダウン リストから既存のエージェント プロファイルを選択します。

c. [コンプライアンス モジュール(Compliance Module)] ドロップダウン リストを使用して使用可能なコンプライアンス モジュールを選択し、クライアント マシンにダウンロードします。


) ポリシー設定プロセスを使用し、[操作(Action)] アイコンをクリックし、ドロップダウン リストから [リソースのダウンロード(Download Resource)] または [リソースのアップロード(Upload Resource)] をクリックして、これら 3 つのリソース タイプに対してエージェント リソースを「すぐに」ダウンロードすることもできます。これによって、[ダウンロードしたリモート リソース(Downloaded Remote Resources)] または [リソースの手動アップロード(Manual Resource Upload)] ダイアログボックスが開き、ここで「Cisco ISE へのクライアント プロビジョニング リソースの追加」の説明に従って 1 つ以上のリソースを Cisco ISE にダウンロードできます。


d. [エージェント カスタマイズ パッケージ(Agent Customization Package)] ドロップダウン リストから、クライアント マシンに使用可能なエージェント カスタマイズ パッケージを選択します。

パーソナル デバイスに配布するリソースの定義(Androids または iPhone/iPad)

ステップ 8 パーソナル デバイスに対して、上記で定義した分類に基づいて、登録したパーソナル デバイスで使用可能にし、プロビジョニングする ネイティブ サプリカント 設定を指定します。

a. 特定の [設定ウィザード(Configuration Wizard)] を選択して、これらのパーソナル デバイスに配布します。

b. 指定されたパーソナル デバイス タイプに適用可能な [ウィザード プロファイル(Wizard Profile)] を指定します。

ステップ 9 [保存(Save)] をクリックします。


 

次の手順

1 つ以上のクライアント プロビジョニング リソース ポリシーを正常に設定したら、「クライアント ポスチャ ポリシーの設定」のトピックに従って、ログイン中にクライアント マシンのポスチャ評価を実行するように Cisco ISE の設定を開始できます。

クライアント側エージェントのインストールおよびログイン:Cisco NAC Agent

ユーザは、Cisco ISE によって管理され、エージェントを介したアクセスが必要なネットワークに初めてログインするとき、ネットワーク アクセス、ポスチャ評価、およびその他の Cisco ISE ネットワーク サービスを容易にするために、一時的または永続的なエージェント(および場合によっては関連するクライアント プロビジョニング リソース)をクライアント マシンにインストールするように要求されます。

エージェントおよびその他のクライアント プロビジョニング リソースをダウンロードするには、ユーザは、Cisco ISE にログインしようとする際に使用するクライアント マシンおよびブラウザ セッションの管理者特権を持っている必要があります。また、エージェントを正常にインストールするには、ユーザは、ActiveX または Java アプレットのインストーラ機能を明示的に受け入れることが必要になることがあります。


) ActiveX は、32 ビット版の Internet Explorer でのみサポートされます。ActiveX を Firefox Web ブラウザまたは 64 ビット版の Internet Explorer にインストールすることはできません。


そのクライアント マシンからのブラウザ セッションが指定されたアクセス ポータルに到達すると、Cisco ISE は、永続的なエージェント(Cisco NAC Agent、Mac OS X Agent など)または一時的なエージェント(Cisco NAC Web Agent など)をダウンロードおよびインストールすることをユーザに要求します。

図 19-13 は、Cisco NAC Agent をクライアント マシンにダウンロードしてインストールするようにユーザに求めている Cisco ISE の welcome 画面を示しています。

図 19-13 Cisco ISE Agent ダウンロードおよびインストール

 


) Cisco ISE のハードウェアおよびソフトウェアのインストール中、リモート クライアント マシンからネットワークの接続をテストできます。Cisco ISE ネットワークのユーザ アクセス部分に接続されたテスト クライアント マシン上でブラウザ ウィンドウを起動して、https://a.b.c.d のようなダミーの IP アドレスに移動することによって、このテストを実行できます。Cisco ISE インストールのテストの詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1』を参照してください。


エージェントのクライアント マシンへのダウンロードおよびインストールを容易にするために必要な証明書(または複数の証明書)をユーザが検証して受け入れたら、ActiveX または Java アプレットのインストーラ プロセスが起動し、クライアント マシンにエージェント インストール パッケージをプロビジョニングします。

図 19-14 は、エージェント インストール ファイルがダウンロードされ、インストーラが Cisco NAC Agent アプリケーション ファイルをクライアント マシンにインストールする準備をしているときのユーザの Cisco ISE ブラウザ セッションの例を示しています。

図 19-14 Cisco NAC Agent のインストールの準備

 

 

エージェントの [InstallShield Wizard] 画面が表示されます(図 19-15)。

図 19-15 Cisco NAC Agent InstallShield Wizard:[Welcome]

 

 

エージェントのすべてのファイルをインストールするか、[カスタム(Custom)] を選択して 1 つまたは複数のファイルを指定するかを選択し、[次へ(Next)] をクリックします(図 19-16)。

図 19-16 Cisco NAC Agent のインストール:[Setup Type]

 

 

エージェントの [InstallShield Wizard] 画面が表示されます(図 19-17)。

図 19-17 Cisco NAC Agent InstallShield Wizard:[Ready to Install]

 

 

エージェントをクライアント マシンの C:\Program Files\Cisco\Cisco NAC Agent ディレクトリにインストールするための簡単なインストール手順がセットアップ ウィザードによって示されます。

図 19-18 進行中の Cisco NAC Agent のインストール

 

図 19-19 完了した Cisco NAC Agent のインストール

 

 

[InstallShield Wizard] が完了し、ユーザが [完了(Finish)] をクリックしたら、エージェントは、ユーザのオペレーティング システムのネイティブ ログイン クレデンシャルを Cisco ISE に自動的に送信し、内部ネットワークの認証およびこれへのアクセス権を要求します。


) クライアントのサーバ証明書は、クライアント マシンが DNS 解決を実行し、Cisco ISE クライアント プロビジョニングやポスチャ評価などのサービスを許可できるようにするのに役立ちます。Cisco ISE ドメイン名を変更した場合(たとえば、Cisco ISE CLI にログインし、新しいドメイン名を手動で指定した場合など)、新しいサーバ証明書を生成し、同じドメイン名の変更を反映する必要があります。


ポスチャ評価またはプロファイリング ポリシーを該当するユーザに割り当てられているユーザ ロールと関連付けている場合、これらのサービスはこのときに開始されます。Cisco ISE を介してネットワークにアクセスしているユーザ(登録された「ゲスト」を除く)は、ログインするたびに [利用規定(Acceptable Use Policy)] に同意する必要があります。また、ユーザ ロールに指定済みである場合がある次の他のクライアント プロビジョニング リソースは、クライアント マシンにダウンロードされ、ネットワーク アクセスを容易にするのに役立ちます。

エージェント プロファイル

エージェント コンプライアンス モジュール

エージェント カスタマイズ パッケージ

図 19-20 は、クライアント マシンへのエージェント インストール時のエージェント コンプライアンス モジュール更新(常に必須)の例を表示しています。

図 19-20 Cisco NAC Agent:エージェント コンプライアンス モジュールの更新

 

 

クライアント プロビジョニング リソース ポリシーの [アップグレードは必須か(Is Upgrade Mandatory)] 設定を有効にしなかった場合、エージェントのアップグレード ダイアログに [キャンセル(Cancel)] ボタンおよび [OK] ボタンが表示されます。これは、さらに新しいバージョンが使用可能な場合にエージェントのアップグレードをキャンセルするオプションをユーザに提供します。

詳細については、「クライアント プロビジョニング リソース ポリシーの設定」を参照してください。

エージェントのインストール、クライアント ポスチャ評価、および修復を正常に完了した後、エージェントは、ログイン セッションが完了し、割り当てられたユーザ ロールに基づいてネットワークへのアクセス権が付与されたことをユーザに通知します。


) エージェントが、(エージェント プロファイルで設定したリトライ回数に従って接続を試行した後に)関連クライアント プロビジョニング ポリシーで設定したプライマリ Discovery Host アドレスに到達できない場合、エージェントは、ネットワークに正常に接続するために、URL リダイレクトを介して、アクセス スイッチから受信した Discovery Host アドレスを自動的に試します。


 

ネットワークへのアクセスおよびパーソナル デバイスの登録

パーソナル デバイスを持つユーザがログインし、デバイスを Cisco ISE ネットワークに登録するために従うことができるパスは 2 つあります。

「標準ネイティブ サプリカント プロビジョニングを介したログイン」

「サプリカント プロビジョニングなしでのログイン」

標準ネイティブ サプリカント プロビジョニングを介したログイン

1. サポートされているデバイスを持つユーザがネットワークにアクセスすると、Cisco ISE ゲスト ポータルにリダイレクトされます。このポータルでネットワーク アクセス クレデンシャルを入力するように求められます(ただし、同じクレデンシャルが自動的に渡される PEAP 経由でネットワーク アクセス セッションが認証される場合を除きます)。

2. 次に、ユーザは登録ページに移動します。このページでは、デバイス ID(MAC アドレス)が自動的に決定され、ユーザはオプションのデバイス説明を入力するように求められます。この時点で、ユーザは登録をキャンセルするか送信するかを選択できます。

登録情報を送信すると、デバイスが登録され、保護されたネットワークにアクセスするために必要な正しいクレデンシャルおよびサプリカント プロファイルをデバイスが持つようにする、適切なサプリカント プロビジョニング ウィザードが起動します。

登録プロセスをキャンセルすると、ログイン セッションが終了し、デバイスは Cisco ISE に登録されません。(その後同じデバイスでネットワークにアクセスしようとすると、前述の Cisco ISE ゲスト ポータルにリダイレクトされます)。

3. サポートされているデバイスの場合、このプロセスの結果によって、デバイスの「アクティブな」ネットワークが保護されたネットワークに変更され、デバイスの状態が Cisco ISE データベースで [登録済み(Registered)] に切り替わります。

4. サポートされていないデバイスの場合、このプロセスの結果によって、デバイスの「アクティブな」ネットワークが保護されたネットワークに変更され、デバイスの状態が Cisco ISE データベースで [登録済み(Registered)] に切り替わります(サポートされているデバイスと同様)。ただし、Cisco ISE は、許可変更(CoA)イベントも発行し、アクセス権を付与する前に保護されたネットワークを使用して強制的に再認証します。

サポートされているデバイスのログインおよび登録のフローの例については、「デバイス アクセス管理」を参照してください。

Android または iPhone/iPad ユーザがネットワークにアクセスしようとした場合、ユーザ クレデンシャルを入力する既存のゲスト登録ポータルが自動的に表示されます。

図 19-21 パーソナル デバイスによる Cisco ISE ネットワークへのユーザ アクセス

 

 

デバイスがまだネットワークに登録されていない場合、Cisco ISE は、デバイス セッションを自己登録ポータルにし、ここでユーザはデバイスに関する情報の指定を求められます。

図 19-22 デバイス登録情報のユーザによる指定

 

 

ユーザが割り当てられたプロファイルおよびそのプロファイルに設定される認証方法に基づいて(設定のガイドラインの詳細については、「ネイティブ サプリカント プロファイルの作成」を参照してください)、Cisco ISE は、適切なネイティブ サプリカント設定ウィザードをデバイスにインストールすることをユーザに求めます。

図 19-23 ユーザによるネイティブ サプリカント ウィザードのパーソナル デバイスへのインストール

 

 

インストール時、ユーザは、パーソナル デバイスを使用してネットワークにアクセスできます。Cisco ISE でサポートされている 2 つの主なネイティブ サプリカントは、iPhone/iPad サプリカントと Android サプリカントです。

「iPhone または iPad を使用したネットワークへのアクセス」

「Android デバイスを使用したネットワークのアクセス」

iPhone または iPad を使用したネットワークへのアクセス

iPhone/iPad ユーザには、ネゴシエーションおよび登録プロセスを行うウィザードをインストールするプロンプトが表示されます。

ユーザがネットワークにアクセスして iPhone または iPad デバイスを登録しようとしており、このデバイスで iOS バージョン 4.0 以前が実行され、かつアクセスに単一の SSID のみが採用されている場合、ユーザに対して、「カスタム スポンサー言語テンプレートの追加」および「カスタム ゲスト言語テンプレートの追加」に記載されているガイドラインに従って、iOS デバイスを登録した後、プロファイルを手動で設定してネットワークに接続する必要があることを説明するカスタム メッセージを表示する必要があります。

図 19-24 iPhone/iPad ユーザによるウィザードのインストール

 

 

ウィザードは、認証キーを生成し、デバイス証明書の SCEP 要求を起動します。

図 19-25 iPhone/iPad のキー生成

 

図 19-26 iPhone/iPad SCEP 証明書の登録

 

 

ウィザードは、登録プロセスを完了し、iPhone/iPad を Cisco ISE 管理対象ネットワークに接続します。

図 19-27 インストールおよび登録完了

 

図 19-28 インストール確認

 

 

プロファイル インストール後、画面上のメッセージによって、ネットワークに参加できる、元のネットワーク アドレスの場所に移動するように指示されます。


) 該当のネットワークが一般のユーザ アクセスに対して非表示または閉じられている(つまり、既知の使用可能なローカル ネットワークのリストに表示されない)場合、ユーザは、表示される iOS メッセージによって指定されたネットワークに接続するために、指定されたネットワーク名を手動で入力する必要があることがあります。


図 19-29 ネットワークに接続された iPhone/iPad

 

Android デバイスを使用したネットワークのアクセス

Android パーソナル デバイスを介して Cisco ISE ネットワークにアクセスするには、ユーザは、Android App Store に移動し、Cisco Setup Assistant のインストール アプリケーションをダウンロードする必要があります。

Android ユーザには、ネゴシエーションおよび登録プロセスを行う App Store からウィザードをインストールするためのプロンプトが表示されます。

図 19-30 App Store からの Android プロビジョニング ウィザードのインストール

 

 

ユーザは、Android デバイスでウィザード アプリケーションを起動し、ウィザードは、Cisco ISE に接続し、ユーザ用の適切なアクセス プロファイルを取得します。

図 19-31 設定ウィザードによるプロビジョニング プロセスの開始

 

 

ウィザードは、認証キーを生成し、(必要に応じて)デバイス証明書の証明書要求を起動します。

図 19-32 認証キー設定に必要なユーザ パスワード

 

図 19-33 証明書要求プロセス

 

図 19-34 ユーザによる証明書の命名

 

図 19-35 ユーザによる証明書の抽出

 

 

証明書がデバイスを認証したら、ユーザは、Android デバイスをネットワークに接続できます。

図 19-36 Android デバイスのネットワークへの接続

 

図 19-37 ネットワーク接続確認

 


) ユーザが Android デバイスの安全なネットワークを「忘れた」場合、設定プロセスを再実行し、ネットワークに再接続する必要があります。


サプリカント プロビジョニングなしでのログイン

1. サポートされているデバイスを持つユーザがネットワークにアクセスすると、Cisco ISE ゲスト ポータルにリダイレクトされます。このポータルでネットワーク アクセス クレデンシャルを入力するように求められます(ただし、同じクレデンシャルが自動的に渡される PEAP 経由でネットワーク アクセス セッションが認証される場合を除きます)。

2. 次に、ユーザは登録ページに移動します。このページでは、デバイス ID(MAC アドレス)が自動的に決定され、ユーザはオプションのデバイス説明を入力するように求められます。この時点で、ユーザは登録をキャンセルするか送信するかを選択できます。

「パーソナル デバイス登録動作の設定」の [ネットワーク アクセスの許可(Allow network access)] オプションを有効にしている限り、ユーザは登録情報を送信できます。

登録プロセスをキャンセルすると、ログイン セッションが終了し、デバイスは Cisco ISE に登録されません。(その後同じデバイスでネットワークにアクセスしようとすると、前述の Cisco ISE ゲスト ポータルにリダイレクトされます)。

3. このプロセスの結果によって、デバイスの「アクティブな」ネットワークが保護されたネットワークに変更され、デバイスの状態が Cisco ISE データベースで [登録済み(Registered)] に切り替わります(サポートされているデバイスと同様)。ただし、Cisco ISE は、許可変更(CoA)イベントも発行し、アクセス権を付与する前に保護されたネットワークを使用して強制的に再認証します。

クライアント プロビジョニング レポートおよびイベントの表示

「Cisco ISE でのクライアント プロビジョニング レポートの表示」

「Cisco ISE でのクライアント プロビジョニング イベント ログの表示」

Cisco ISE でのクライアント プロビジョニング レポートの表示

ネットワーク管理者として、Cisco ISE のモニタリングおよびトラブルシューティング機能にアクセスし、ユーザ ログイン セッションの成功または失敗の全体のトレンドをチェックし、特定の期間にネットワークにログインしたクライアント マシンの数およびタイプに関する統計情報を収集し、また、クライアント プロビジョニング リソースでの最近の設定変更をチェックすることが必要となる場合があります。

次の例では、いくつかの一般的なシナリオを示しますが、Cisco ISE のモニタリングおよびトラブルシューティングの機能を使用してネットワーク展開内のツールを最大化する方法の詳細については、「モニタリングおよびトラブルシューティング」を参照してください。

クライアント プロビジョニングの要求

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [クライアント プロビジョニング(Client Provisioning)] ページには、クライアント プロビジョニング要求の成功および失敗に関する統計情報が表示されます(図 19-38)。

図 19-38 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [クライアント プロビジョニング(Client Provisioning)]

 

 

[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます(図 19-39)。

図 19-39 クライアント プロビジョニング レポートの結果

 

 

クライアント アクセス セッション

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [一意のユーザ(Unique Users)] ページには、特定の期間に起動された既知の特定のクライアント アクセス セッションに関する統計情報が表示されます(図 19-40)。

図 19-40 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [一意のユーザ(Unique Users)]

 

 

[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます(図 19-41)。

図 19-41 一意のユーザのレポートの結果

 

 

クライアント プロビジョニング リソースの設定変更

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] > [サーバ設定監査(Server Configuration Audit)] ページには、最近のクライアント プロビジョニング リソースの設定変更に関する情報が表示されます(図 19-42)。

図 19-42 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] > [サーバ設定監査(Server Configuration Audit)]

 

 

[実行(Run)] を選択していずれかのプリセット期間を指定すると、指定した期間内に行われた Cisco ISE のクライアント プロビジョニング リソースの設定変更(たとえば、新しくアップロードされたエージェント バージョン)が表示されます(図 19-43)。

図 19-43 サーバ設定監査レポートの結果

 

 

サプリカント プロビジョニングの要求

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [サプリカント プロビジョニング(Supplicant Provisioning)] ウィンドウには、最近の成功および失敗したユーザ デバイス登録およびサプリカント プロビジョニング要求に関する情報が表示されます。(図 19-44)。

図 19-44 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] > [サプリカント プロビジョニング(Supplicant Provisioning)]

 

 

[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたサプリカント プロビジョニング データが表示されます(図 19-45)。

図 19-45 サプリカント プロビジョニング レポートの結果

 

 

サプリカント プロビジョニング レポートは、特定の期間にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が提供されます。これには、ログイン日時、ユーザ ID、IP アドレス、MAC アドレス、サーバ、オペレーティング システム、SPW バージョン、障害理由(ある場合)、登録のステータスなどのデータが含まれます。

Cisco ISE でのクライアント プロビジョニング イベント ログの表示

Cisco ISE の操作中、イベント ログ エントリを検索し、クライアントのログイン動作の問題を診断する必要がある場合があります。たとえば、ネットワーク上のクライアント マシンがログイン時にクライアント プロビジョニング リソースの更新を取得できないという問題の原因を特定する必要がある場合があります。

クライアント プロビジョニングおよびポスチャの監査メッセージおよび診断のロギング エントリをコンパイルして表示できます。Cisco ISE ログ コンパイル機能を使用してネットワーク展開内のツールを最大化するための詳細情報については、「ロギング」を参照してください。

図 19-46 [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング カテゴリ(Logging Categories)] > [ポスチャおよびクライアント プロビジョニングの診断(Posture and Client Provisioning Diagnostics)]