Cisco Identity Services Engine ハードウェア インストレーション ガイド リリース 1.2
インストール後のタスクの実行
インストール後のタスクの実行
発行日;2015/03/19 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

インストール後のタスクの実行

Web ブラウザを使用した Cisco ISE へのアクセス

Cisco ISE の Web ベースのインターフェイスへのログイン

ログインの試行に失敗した後の管理者のロックアウト

Cisco ISE の Web ベースのインターフェイスからのログアウト

ライセンスのインストール

証明書のインストール

Cisco ISE の設定の確認

Web ブラウザを使用した設定の確認

CLI を使用した設定の確認

VMware ツールのインストールの確認

VMware ツールのアップグレード

管理者パスワードのリセット

紛失、失念、侵害されたパスワードのリセット

管理者のロックアウトによるパスワードのリセット

Cisco ISE アプライアンスの IP アドレスの変更

Cisco ISE システムの設定

Cisco ISE でのシステム診断レポートのイネーブル化

インストール後のタスクの実行

この章では、Cisco Identity Services Engine(ISE)リリース 1.2 ソフトウェアのインストールおよび設定が正常に完了した後に実行が必要ないくつかの作業について説明します。この章で説明する内容は、次のとおりです。

「Web ブラウザを使用した Cisco ISE へのアクセス」

「Cisco ISE の設定の確認」

「VMware ツールのインストールの確認」

「管理者パスワードのリセット」

「Cisco ISE システムの設定」

「Cisco ISE でのシステム診断レポートのイネーブル化」

Web ブラウザを使用した Cisco ISE へのアクセス

Cisco SNS-3400 シリーズ アプライアンスは次の HTTPS 対応ブラウザを使用して Web インターフェイスをサポートします。

Mozilla Firefox バージョン 3.6.x 以降

Microsoft Internet Explorer 8.x 以降


) Cisco ISE ユーザ インターフェイスは Microsoft IE8 のブラウザの IE7 互換モードでの使用をサポートしません(Microsoft IE8 は IE8 モードのみでサポートされます)。


Apple Safari 4.x 以降

クライアント ブラウザを実行しているシステムに、Adobe Flash Player 11.2.0.0 以降がインストールされている必要があります。

この項では、次の内容について説明します。

「Cisco ISE の Web ベースのインターフェイスへのログイン」

「Cisco ISE の Web ベースのインターフェイスからのログアウト」

Cisco ISE の Web ベースのインターフェイスへのログイン

初めて Cisco ISE の Web ベースのインターフェイスにログインするときは、事前インストールされている評価ライセンスを使用します。前の項で挙げたサポートされている HTTPS 対応のブラウザのみを使用する必要があります。本マニュアルで説明するとおりに Cisco ISE をインストールしたら、Cisco ISE Web ベースのインターフェイスにログインできます。


ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。

 

ステップ 2 [Address(アドレス)] フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。

https://<IP address or host name>/admin/
 

たとえば、https://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。

 

ステップ 3 設定時に定義したユーザ名とパスワードを入力します。

ステップ 4 [Login(ログイン)] をクリックします。


 


) Cisco ISE CLI 管理ユーザ名またはパスワードを回復またはリセットするには、「管理者パスワードのリセット」を参照してください。



ヒント Cisco ISE の GUI を表示するのに最低限必要な画面解像度は 1280 x 800 ピクセルです。

CLI 管理および Web ベースの管理のユーザ名とパスワードは同じではありません。Cisco ISE へのログイン時。これらの違いの詳細については、「CLI 管理および Web ベース管理のユーザー権限の違い」を参照してください。


) ライセンス ページは、評価ライセンスの期限が切れた後、初めて Cisco ISE にログインするときにだけ表示されます。



) Cisco ISE ユーザ インターフェイスを使用して、定期的に管理者ログイン パスワードをリセットすることを推奨します。詳細については、『Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2)』を参照してください。


ログインの試行に失敗した後の管理者のロックアウト

指定された管理者のユーザ ID に対して誤ったパスワードを一定の回数入力すると、Cisco ISE ユーザ インターフェイスはシステムから「そのユーザをロックアウト」します。「管理者のロックアウトによるパスワードのリセット」 で説明されているように、Cisco ISE は、その管理者 ID に関連付けられたパスワードがリセットされるまで、[Monitor(モニタ)] > [Reports(レポート)] > [Catalog(カタログ)] > [Server Instance(サーバ インスタンス)] > [Server Administrator Logins report(サーバ管理者のログイン レポート)] にログ エントリを追加し、その管理者 ID のクレデンシャルを一時停止します。その管理者アカウントが無効になるまでの失敗回数は、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』の「Managing Administrators and Admin Access Policies(管理者および管理アクセスのポリシーの管理)」の章に記載されているガイドラインに従って設定できます。管理者ユーザ アカウントがロックアウトされると、関連する管理ユーザに電子メールが送信されます。

Cisco ISE の Web ベースのインターフェイスからのログアウト

Cisco ISE の Web ベースのインターフェイスからログアウトするには、Cisco ISE メイン ウィンドウ ツールバーで [Log Out(ログアウト)] をクリックします。これにより、管理セッションが終了してログアウトされます。


注意 セキュリティ上の理由から、管理セッションの完了時には、ログアウトすることを推奨します。ログアウトしない場合、30 分間何も操作しないと Cisco ISE の Web ベースのインターフェイスからログアウトされ、サブミットされていない構成データは保存されません。

Cisco ISE の Web ベースの Web インターフェイスの使用の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) を参照してください。


 

ライセンスのインストール

ライセンスの詳細については、 付録 D「Cisco ISE ライセンス」 を参照してください。

証明書のインストール

証明書の詳細については、 付録 E「Cisco ISE での証明書の管理」 を参照してください。

Cisco ISE の設定の確認

この項では、Cisco ISE 設定の確認にそれぞれ異なるユーザ名とパスワードの資格情報を使用する 2 つの方法について説明します。

「Web ブラウザを使用した設定の確認」

「CLI を使用した設定の確認」


) Cisco ISE システムに初めて Web によるアクセスを行う場合、管理者のユーザ名とパスワードはセットアップ時に設定した CLI ベースのアクセスと同じです。Cisco ISE システムへの CLI ベースのアクセスの場合、デフォルトの管理者ユーザ名は admin であり、管理者パスワードにはデフォルトがないためユーザ定義です。


CLI 管理ユーザと Web ベースの管理ユーザの違いをさらに詳細に理解するには、「CLI 管理および Web ベース管理のユーザー権限の違い」を参照してください。

Web ブラウザを使用した設定の確認

Cisco SNS-3400 シリーズ アプライアンスが正常に設定されたことを確認するには、Web ブラウザを使用して次の手順を実行します。


ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。

ステップ 2 [Address(アドレス)] フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。

https://<IP address or host name>/admin/
 

たとえば、https://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。

ステップ 3 Cisco ISE のログイン ページで、セットアップ時に定義したユーザ名とパスワードを入力し、[Login(ログイン)] をクリックします。

Cisco ISE ダッシュボードが表示されます。


) Cisco ISE ユーザ インターフェイスを使用して、定期的に管理者パスワードをリセットすることを推奨します。管理者パスワードをリセットの詳細については、『Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2)』を参照してください。



 

CLI を使用した設定の確認

Cisco ISE アプライアンスが正常に設定されたことを確認するには、Cisco CLI を使用して次の手順を実行します。


ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、PuTTY などのサポートされる製品を起動して、Cisco ISE アプライアンスへの Secure Shell(SSH)接続を確立します。

ステップ 2 [Host Name(ホスト名)](または [IP Address(IP アドレス)] )フィールドにホスト名(または Cisco ISE アプライアンスのドット付き 10 進表記の IP アドレス)を入力し、[Open(開く)] をクリックします。

ステップ 3 ログイン プロンプトで、セットアップ時に設定した CLI 管理ユーザ名(admin がデフォルト)を入力し、Enter を押します。

ステップ 4 パスワード プロンプトで、セットアップ時に設定した CLI 管理パスワード(これはユーザ定義であり、デフォルトはありません)を入力し、Enter を押します。

ステップ 5 システム プロンプトで、 show application version ise と入力し、Enter を押します。

コンソールに次の画面が表示されます。

 


) [Version(バージョン)] フィールドに、Cisco ISE ソフトウェアに現在インストールされているバージョンが表示されます。


ステップ 6 Cisco ISE プロセスの状態を調べるには、 show application status ise と入力し、Enter を押します。

コンソールに次の画面が表示されます。

 


) 最新の Cisco ISE パッチを入手し Cisco ISE を最新に保つには、Web サイト http://www.cisco.com/public/sw-center/index.shtml を参照してください。


ステップ 7 Cisco Application Deployment Engine リリース 2.0.5 オペレーティング システム(ADE-OS)のバージョンを確認するには、 show version と入力し、Enter を押します。

コンソールに次のような出力が表示されます。

Cisco Application Deployment Engine OS Release: 2.0

ADE-OS Build Version: 2.0.5.083

ADE-OS System Architecture: i386


 

VMware ツールのインストールの確認

VMware ツールのインストールは次の 2 つの方法で確認できます。

vSphere クライアントの [Summary(概要)] タブを使用する

CLI の使用

vSphere クライアントの [Summary(概要)] タブを使用する

vShpere クライアントで指定された VMware ホストの [Summary(概要)] タブに移動します。[VMware Tools(VMware ツール)] フィールドの値が OK である必要があります。(図 7-1 を参照)。

図 7-1 vSphere Client での VMware ツールの確認

 

CLI の使用

show inventory コマンドを使用して、VMware ツールがインストールされているかどうかを確認することもできます。このコマンドは NIC ドライバ情報をリストします。VMware ツールがインストールされている仮想マシンの [Driver Descr(ドライバの説明)] フィールドに、VMware Virtual Ethernet ドライバが表示されます。

vm36/admin# show inventory

NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis"

PID: ISE-VM-K9 , VID: V01 , SN: 8JDCBLIDLJA

Total RAM Memory: 4016564 kB

CPU Core Count: 1

CPU 0: Model Info: Intel(R) Xeon(R) CPU E5504 @ 2.00GHz

Hard Disk Count(*): 1

Disk 0: Device Name: /dev/sda

Disk 0: Capacity: 64.40 GB

Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders

NIC Count: 1

NIC 0: Device Name: eth0

NIC 0: HW Address: 00:0C:29:BA:C7:82

NIC 0: Driver Descr: VMware Virtual Ethernet driver

(*) Hard Disk Count may be Logical.

vm36/admin#

VMware ツールのアップグレード

Cisco ISE ISO イメージ(通常、アップグレード、またはパッチ)には、サポートされる VMware ツールが含まれています。VMware クライアント ユーザ インターフェイスを使用した VMware ツールのアップグレードは、Cisco ISE ではサポートされていません。VMware ツールを新しいバージョンにアップグレードする場合、サポートは Cisco ISE の新しいバージョンで提供されます(通常、アップグレード、またはパッチ リリース)。

管理者パスワードのリセット

Cisco ISE 管理者パスワードをリセットする方法には次の 2 通りがあります。

「紛失、失念、侵害されたパスワードのリセット」:管理者パスワードの紛失、失念、または侵害により、誰も Cisco ISE システムにログインできない場合、この手順を使用します。

「管理者のロックアウトによるパスワードのリセット」:ログイン試行の失敗回数が多すぎたことが原因で管理者アカウントがロックされた場合は、この手順を使用します。

紛失、失念、侵害されたパスワードのリセット

管理者パスワードの紛失、失念、または侵害により、誰も Cisco ISE システムにログインできない場合は、Cisco ISE ソフトウェア DVD を使用して、管理者パスワードをリセットすることができます。

はじめる前に

次の接続関連の状態が原因で、Cisco ISE ソフトウェア DVD を使用して Cisco ISE アプライアンスを起動しようとしたときに問題が発生する場合があることを理解しておいてください。

ターミナル サーバにシリアル コンソールから Cisco ISE アプライアンスへの exec に設定された接続が関連付けられている。これを no exec に設定すると、KVM 接続およびシリアル コンソール接続を使用できるようになります。

Cisco ISE アプライアンスへのキーボードおよびビデオ モニタ(KVM)接続がある(これはリモート KVM または VMware vSphere Client コンソール接続のいずれかの場合があります)。

Cisco ISE アプライアンスへのシリアル コンソール接続がある。


ステップ 1 Cisco ISE アプライアンスの電源がオンになっていることを確認します。

ステップ 2 Cisco ISE ソフトウェア DVD を挿入します。

ステップ 3 DVD から起動するように Cisco ISE アプライアンスをリブートします。

コンソールに次のメッセージが表示されます(これは Cisco ISE 3355 の例です)。

Welcome to Cisco Identity Services Engine - ISE 3355

To boot from hard disk press <Enter>

Available boot options:

[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)

[2] Cisco Identity Services Engine Installation (Serial Console)

[3] Reset Administrator Password (Keyboard/Monitor)

[4] Reset Administrator Password (Serial Console)

<Enter> Boot from hard disk

Please enter boot option and press <Enter>.

boot:

ステップ 4 システム プロンプトで、アプライアンスへのキーボードおよびビデオ モニタ接続を使用している場合は 3 を入力し、ローカル シリアル コンソール ポート接続を使用している場合は 4 と入力します。

コンソールにパラメータのセットが表示されます。

ステップ 5 表 7-1 にリストされている説明に従って、パラメータを入力します。

 

表 7-1 パスワード リセット パラメータ

パラメータ
説明

Admin username

パスワードをリセットする管理者の番号を入力します。

Password

新しいパスワードを入力します。

Verify password

再度パスワードを入力します。

Save change and reboot

保存するには Y と入力します。

コンソールに次のメッセージが表示されます。

Admin username:

[1]:admin

[2]:admin2

[3]:admin3

[4]:admin4

Enter number of admin for password recovery:2

Password:

Verify password:

Save change and reboot?[Y/N]:


 

詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2(Cisco Identity Services Engine CLI リファレンス ガイド リリース 1.2) 』を参照してください。

管理者のロックアウトによるパスワードのリセット

管理者が、誤ったパスワードをアカウントが無効になる所定の回数入力する場合があります。デフォルトの最小試行回数は 5 です。


) 管理者ユーザ インターフェイス パスワードをリセットするには、次のコマンドを使用します。このコマンドは、管理者の CLI のパスワードには影響を与えません。



ステップ 1 ダイレクト コンソール CLI にアクセスして、次を入力します。

application reset-passwd ise administrator_ID

ステップ 2 この管理者 ID に使用されていた前の 2 つのパスワードと異なる新しいパスワードを指定して、確認します。

Enter new password:
Confirm new password:
 
Password reset successfully
 

正常に管理者パスワードをリセットすると、クレデンシャルはただちにアクティブになり、システムをリブートせずにログインできます。

application reset-passwd ise コマンドの使用の詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2(Cisco Identity Services Engine CLI リファレンス ガイド リリース 1.2) 』を参照してください。


 

Cisco ISE アプライアンスの IP アドレスの変更

Cisco SNS-3400 シリーズ アプライアンスの IP アドレスを変更するには、次の手順を実行します。

はじめる前に

IP アドレスを変更する前に、Cisco ISE ノードがスタンドアロン状態であることを確認します。ノードが分散導入環境の一部である場合は、その環境からノードを登録解除して、スタンドアロン ノードにします。


ステップ 1 Cisco ISE CLI にログインします。

ステップ 2 次を入力します。

configure terminal

interface GigabitEthernet 0

ip address new_ip_address new_subnet_mask

exit


 


) Cisco ISE アプライアンスの IP アドレスを変更する際に no ip address コマンドを使用しないでください。



) Cisco ISE アプライアンスの IP アドレスを変更した後、すべての Cisco ISE サービスを再起動する必要はありません。


Cisco ISE システムの設定

Cisco ISE の Web ベースのユーザ インターフェイスのメニューおよびオプションを使用して、Cisco ISE システムをニーズに合わせて設定できます。認証および認証ポリシーの設定、および他の機能、メニュー、およびオプションの詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』を参照してください。

Cisco ISE の操作およびモニタリングやレポートなどのその他の管理機能の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』を参照してください。

本リリースの最新情報については、『 Release Notes for Cisco Identity Service Engine, Release 1.2(Cisco Identity Service Engine のリリース ノート リリース 1.2) を参照してください。

Cisco ISE でのシステム診断レポートのイネーブル化

初めて Cisco ISE をインストールした後またはアプライアンスのイメージ再適用を行った後、Cisco ISE CLI を使用してシステム レベルの診断レポートを有効にすることができます(システム診断についてのレポートを行うロギング機能は、デフォルトでは Cisco ISE で有効になっていません)。

システム診断レポートを有効にするには、次のことを実行します。


ステップ 1 デフォルトの管理者ユーザ ID およびパスワードを使用して Cisco ISE CLI コンソールにログインします。

ステップ 2 次のコマンドを入力します。

a. configure terminal

b. logging 127.0.0.1:20514

c. end

d. write memory


 

Cisco ISEユーザ インターフェイス([Administration(管理)] > [System(システム)] > [Logging(ロギング)] > [Logging Categories(ロギングのカテゴリ)] > [System Diagnostics(システム診断)])からシステム診断設定を指定できます。