Cisco Secure ACS Solution Engine 4.2.1 インス トレーション ガイド
Cisco Secure ACS SE 4.2 .1 の設置と設定
Cisco Secure ACS SE 4.2.1 の設置と設定
発行日;2012/01/30 | 英語版ドキュメント(2009/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Cisco Secure ACS SE 4.2.1 の設置と設定

設置のクイック リファレンス

Cisco 1113 のラックへの取り付け

シャーシ レール マウントの取り付け

サーバ レールの取り付け

ラックへのシャーシの挿入

AC 電源への接続

ケーブルの接続

初期設定

シリアル コンソール接続の確立

の設定

初期設定の確認

GUI 管理者アカウントの設定

ping のオン/オフの切り替え

ICMP ping のイネーブル化

ICMP ping のディセーブル化

次のステップ

Cisco Secure ACS SE 4.2.1 の設置と設定

この章では、Cisco Secure ACS SE 4.2 の設置と初期設定の方法について説明します。

この章は、次の項で構成されています。

設置のクイック リファレンス

Cisco 1113 のラックへの取り付け

AC 電源への接続

ケーブルの接続

初期設定

初期設定の確認

ping のオン/オフの切り替え

次のステップ


) このガイドの情報は、CSACSE-1113-K9 プラットフォームだけに対応しています。


設置のクイック リファレンス

表 3-1 に、設置および初期設定のプロセスの概要を示します。設置と初期設定については、『 User Guide for Cisco Secure ACS 4.2.1 』を参照し、このインストレーションによって希望の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サービスが提供されるように、ブラウザと Web インターフェイスを使用して ACS SE を正しく設定してください。

 

表 3-1 クイック リファレンス

タスク
参照箇所

ラックマウント キットを使用して、ACS SE をラックに設置

Cisco 1113 のラックへの取り付け

ACS SE を AC 電源に接続

AC 電源への接続

ネットワーク ケーブルおよびコンソール ケーブルを接続

ケーブルの接続

ACS SE の初期設定を実行

ACS SE の設定

初期設定を確認

初期設定の確認

AAA サービスが提供されるように ACS SE を設定

次のステップ

Cisco 1113 のラックへの取り付け

Cisco 1113 をラックに取り付ける前に、「 設置場所の準備 」を参照し、適切な設置場所および環境条件を確認してください。これらの注意事項に従わないと、製品を正しく設置できず、システムおよびコンポーネントが破損するおそれがあります。Cisco Secure ACS SE の設置および保守を行う場合は、次の手順を実行してください。

ラックは床、天井、壁の上部、または隣接するラックに正しく固定する必要があります。床または壁面への固定器具は、ラックの製造業者または業界規格によって定められ、承認されているものを使用してください。

ACS SE の設置および保守を行う場合は、次の点に注意してください。

システムを設置する前に、すべての電源コードおよび外付けケーブルを外してください。

電気配線に関する一般規定および地域の規定に従ってシステムを設置してください。

米国:National Fire Protection Association(NFPA)70、United States National Electrical Code

カナダ:Canadian Electrical Code、Part I、CSA C22.1

その他の地域:電気配線に関する一般規定および地域の規定がない場合は、IEC 364、Part 1 ~ 7 を参照してください。

危険を伴う作業は、1 人では行わないでください。

人身事故や装置障害を引き起こす可能性のある作業は行わないでください。

正しく固定されていないラックに ACS SE を取り付けないでください。システムの破損および人身事故を引き起こすおそれがあります。

このコンピュータ システムは大きく重いため、設置の際には必ず複数の人員で作業を行ってください。

ラックへの設置に関するその他の安全上の注意事項については、「 ラック取り付けに関する注意事項 」を参照してください。

 


警告


ラック内で装置の設置または保守を行うときは、作業中の事故を防ぐため、ラックが安定していることを十分に確認してから作業を行ってください。安全を確保するため、次の注意事項に従ってください。

ラックに 1 台の装置しか設置しない場合は、その装置をラックの一番下に設置する必要があります。

すでに装置が設置されているラックにコンポーネントを設置する場合は、最も重量のあるコンポーネントを一番下にして、ラックの下から上へ順に設置していくようにします。

ラックに安定器具が付属している場合は、その安定器具を取り付けてから、ラック内での装置の設置または保守を行ってください。

システム 1U ラックにサーバを設置できます。ラック レール コンポーネントは、次のとおりです(カッコ内の番号については、図 3-1 を参照してください)。

伸縮レール 2 本(1、2)

次のものが入った袋

ワッシャ付き丸ネジ 8 個(3)

丸ネジ 2 個(4)

ケージ ナット 10 個(5)

図 3-1 ラック レール コンポーネント

 

Cisco 1113 をラックに取り付けるには、次の手順を実行します。

1. シャーシ レール マウントをシャーシに取り付けます(「 シャーシ レール マウントの取り付け 」を参照)。

2. サーバ レールをラック アセンブリに取り付けます(「 サーバ レールの取り付け 」を参照)。

3. シャーシをラック アセンブリにスライドします(「 ラックへのシャーシの挿入 」を参照)。

シャーシ レール マウントの取り付け

まずサーバ レールからシャーシ レール マウントの部分を取り外して、シャーシに取り付ける必要があります。

シャーシ レール マウントを取り付けるには、次の手順を実行します。


ステップ 1 図 3-2 を参照してください。サーバ レールをできる限り延ばします。サーバ レールを完全に延ばすと、レールは引き出された位置でロックされます。

図 3-2 シャーシ レール マウントの取り外し

 

ステップ 2 図 3-3 を参照してください。白色のタブ(1)を矢印の方向にスライドさせて、シャーシ レール マウント部分を伸ばします (次のステップでシャーシに取り付けるために取っておきます)。

図 3-3 シャーシ レール マウントのリリース タブをスライドさせる

 

 

ステップ 3 シャーシ レール マウントの穴をシャーシの突起に合わせます(図 3-4 の 1 および 2)。

図 3-4 シャーシ上にシャーシ レール マウントを配置する

 

ステップ 4 図 3-5 を参照してください。穴の位置を合わせて(1)、所定の位置でロックされるまでレールをスライドします(2)。

図 3-5 シャーシにシャーシ レール マウントを取り付ける

 

図 3-6 は、シャーシ レール マウントが所定の位置にロックされた状態を示しています。

図 3-6 シャーシ レール マウントがロックされた状態

 


 

サーバ レールの取り付け

シャーシ レール マウントを取り付けたら、前の手順で引き延ばしたサーバ レールを元の長さに戻して、ラックに取り付けます。サーバ レールをすでに元の長さに戻している場合は、ステップ 2 に進んでください。

サーバ レールを取り付けるには、次の手順を実行します。


ステップ 1 サーバ レールのアームを元の長さに戻すには、図 3-7 に示されているタブを押します。タブを押したら、アームをスライドさせて元に戻してください。

図 3-7 サーバ レールを元の長さに戻す

 

ステップ 2 ご使用のラックに対応する図を参照して、サーバ レールをラックに取り付けます。

角穴のラックの場合は、図 3-8 を参照してください。

丸穴のラックの場合は、図 3-9 を参照してください。

図 3-8 角穴のラックへのレールの取り付け

 

 

図 3-9 丸穴のラックへのレールの取り付け

 

ステップ 3 もう一方のレールおよびラック アセンブリに対してこのプロセスを繰り返します。


) レールをラックに設置するまでブラケットとレールの間にいくらか遊びを残しておくと、レールをラックに簡単に取り付けることができます。レールをラックに取り付けた後、ネジをきつく締めることができます。



 

ラックへのシャーシの挿入

ラックにシャーシを挿入するには、次の手順を実行します。


ステップ 1 図 3-10 を参照してください。シャーシ レール マウントの紫のタブを矢印の方向にスライドさせてそのまま固定しておきます。これにより、シャーシ レール マウントをスライドさせてレールに押し込むことができるようになります。

図 3-10 シャーシ レール マウントの延長用タブをスライドさせる

 

ステップ 2 シャーシをラックに挿入します。図 3-11 を参照してください。

図 3-11 ラック上でシャーシをスライドさせる

 

ステップ 3 シャーシを前後に数回スライドさせます。すべてのネジを締めて固定します。


警告 この製品の短絡(過電流)保護は、建物の設備に依存しています。ヒューズまたは回路ブレーカーが 120 VAC、15A(米国/カナダ規格)、240 VAC、10A(国際規格)以下であることを確認してください。ステートメント 1005



 

AC 電源への接続


警告 この装置は、アースさせる必要があります。アース導体を破損させたり、アース線が正しく取り付けられていない状態で装置を稼動させたりしないでください。アースが適切かどうかがはっきりしない場合には、電気検査機関または電気技師に確認してください。ステートメント 1024


付属の電源ケーブルで AC 電源コンセントを AC 電源に接続します。

ケーブルの接続

標準の RJ-45 互換プラグを備えた UTP 銅線イーサネット ケーブルを使用して、ACS SE をネットワークに接続します。

ケーブルを接続するには、次の手順を実行します。


ステップ 1 イーサネット 0 ポート(NIC 1)にネットワークを接続します。イーサネット 0 ポートの場所については、図 1-3 を参照してください。

 

ステップ 2 付属のシリアル ケーブルおよび必要に応じて DB-9-to-RJ-45 コンソール アダプタを使用して、コンソールをコンソール(シリアル)ポートに接続します。シリアル ポートの場所については、図 1-3 を参照してください。

 


警告 雷が発生しているときは、システムに手を加えることや、ケーブルの接続または取り外しを行わないでください。


初期設定

このマニュアルでは、ACS の設定に必要な 4 つのステップのうち、最初の 3 つのステップについて説明します。

シリアル コンソール接続の確立

ACS SE の設定

初期設定の確認


) 設定の最後(4 番目)の部分では、Web インターフェイスから管理アカウントとユーザ アカウントおよびネットワーク接続を設定することによって、AAA サービスが提供されるようにします。詳細については、『User Guide for Cisco Secure ACS 4.2.1』を参照してください。


シリアル コンソール接続の確立

ACS SE の初期設定を実行するには、まずシリアル コンソール接続を確立する必要があります。そのためには、PC、2 つの DB-9 to RJ-45 アダプタ(付属品)、RJ-45 ケーブル(付属品)、ターミナル エミュレーション通信ソフトウェア(Hyper Terminal またはそれと同等のもの)が必要です。

シリアル コンソール接続を確立するには、次の手順を実行します。


) 「ケーブルの接続」の手順を実行した場合は、ステップ 2 に進んでください。



ステップ 1 コンソールを背面パネルのシリアル コンソール ポートに接続します。

a. DB-9 to RJ-45 アダプタ(付属品)をコンソールのシリアル ポートに取り付けます。

b. DB-9 to RJ-45 アダプタ(付属品)を ACS SE のシリアル ポートに取り付けます。シリアル ポートの場所については、図 1-3 を参照してください。

c. RJ-45 ケーブル(付属品)を使用して、ACS SE にコンソールを接続します。


ヒント 必要に応じて、シリアル コンセントレータ接続も使用できます。


ステップ 2 ACS SE およびコンソールの電源を入れ、コンソールでターミナル エミュレーション通信ソフトウェアを開きます。


ヒント 図 1-2 の電源スイッチの場所については、ACS SE を参照してください。


ステップ 3 ターミナル エミュレーション通信ソフトウェアを、次の設定で稼動するように設定します。

ボー = 115200

データ ビット = 8

ストップ = 1

フロー制御 = なし

ターミナル エミュレーション タイプ = ANSI

結果 login: プロンプトが表示されます。


 

ACS SE の設定

ACS SE を設定する必要があるのは、システムを初めて起動したときと、システムをイメージ変更したときです。システムのイメージ変更の詳細については、「 アップグレードのシナリオ 」を参照してください。

表 3-2 に、SE に固有の必要不可欠な設定作業を示します。

 

表 3-2 SE の設定作業

タスク
参照先

リモート エージェントの設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/NetCfg.html#wp386216

システムの設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCBasic.html

ACS のバックアップ

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCBasic.html#wp222373

ACS の復元

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.2/user/guide/
SCBasic.html#wp330795

証明書の設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCAuth.html#wp373226

EAP-FAST PAC ファイルの設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCAuth.html#wp419531

日付と時刻の設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCBasic.html#wp288064

SNMP の設定

Cisco.com:

http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4.2/
user/guide/SCBasic.html#wp288047

Solution Engine の設定を始める前に、次の情報を用意する必要があります。

Solution Engine のネットワーク ホスト名。

DNS ドメイン名。

管理者の名前とパスワード。

データベース パスワード。

GUI 管理者の名前とパスワード。

DHCP を有効にするかどうか(DHCP を有効にすることはお勧めしません)。

ACS SE に割り当てる IP、ネットマスク、およびゲートウェイ アドレス。

NTP 同期を使用するかどうかと、使用する場合は NTP サーバのアドレス。

ACS SE を設定するには、次の手順を実行します。


ステップ 1 ACS SE へのシリアル コンソール接続を確立します。詳細については、「 シリアル コンソール接続の確立 」を参照してください。


) ACS SE が設定されていない場合(新規またはイメージ変更した場合)は、システムによってソフトウェア バージョンなどのシステム情報が表示されます。


ステップ 2 login プロンプトの上に次の情報が表示されることを確認します。

Cisco Secure ACS: [version number]
Appliance Management Software: [version number]
Appliance Base Image: [version number]
CSA build [version number]: (Patch: [version number])
 
Status: Appliance is functioning properly
The ACS Appliance has not been configured.
Logon as “Administrator” with password “setup” to configure appliance.
 

) この情報が表示されず、login プロンプトだけが表示される場合は、アプライアンスをリブートしてから、ログインする必要があります。


ステップ 3 login: プロンプトで Administrator と入力し、 Enter キーを押します。


) システムを初めて起動したとき、システムは未設定の状態です。Command Line Interface(CLI; コマンドライン インターフェイス)管理者としてログインして、システムを設定する必要があります。


ステップ 4 password: プロンプトで setup と入力し、 Enter キーを押します。


) パスワードは、大文字と小文字が区別されます。


結果 :コンソールに次のメッセージが表示されます。

Initialize Appliance.
Machine will be rebooted after initialization.
Entering Ctrl-C before setting appliance name will shutdown the appliance
 

ステップ 5 ACS Appliance name [deliverance1]: プロンプトで、ACS SE に使用する名前を入力し、 Enter キーを押します。


ヒント 名前には最大 15 字の文字と数字を使用できます。スペースは使用できません。


結果 :コンソールに次のメッセージが表示されます。

ACS Appliance name is set to xxx.
 

ステップ 6 DNS domain [ ]: プロンプトでドメイン名を入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

DNS name is set to xxx.com.
You need to set the administrator account name and password.
 

ステップ 7 Enter new account name: プロンプトで ACS SE 管理者アカウント名を入力し、 Enter キーを押します。


ヒント ACS SE CLI 管理者アカウントは 1 つしか登録できません。このアカウントで許可されているのは、シリアル ケーブルと CLI コマンドを使用したアクセスだけです。このアカウントのクレデンシャルは変更できます。詳細については、第 4 章「Solution Engine 管理者パスワードの再設定」を参照してください。


ステップ 8 Enter new password: プロンプトで新規 ACS SE パスワードを入力し、 Enter キーを押します。


) 新規パスワードは、一意なものにする必要があります。また、直近に使用した 10 個のパスワードとは別のものにしてください。少なくとも 6 文字を使用し、大文字、小文字、数字、特殊文字のうち少なくとも 3 種類の文字を組み合わせて使用する必要があります。たとえば、1PaSsWoRd、*password44、Pass*word などです。パスワードにアカウント名を組み込むことはできません。


ステップ 9 Enter new password again: プロンプトで新規 ACS SE パスワードを再度入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Password is set successfully.
Administrator name is set to xxx.
 

ステップ 10 新規データベース パスワードを要求する次のプロンプトが表示されます。

Please enter the Encryption Password for the Configuration Store.
Please note this is different from the administrator account,
it is used to encrypt the Database.
 

) 少なくとも 6 文字を使用し、大文字、小文字、数字、特殊文字のうち少なくとも 3 種類の文字を組み合わせて使用する必要があります。たとえば、1PaSsWoRd、*password44、Pass*word などです。


ステップ 11 Enter new password: プロンプトで新規データベース パスワードを入力し、 Enter キーを押します。

ステップ 12 Enter new password again: プロンプトで新規データベース パスワードを再度入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Password is set successfully.
 

ステップ 13 Would you like to add GUI Administrator now?: プロンプトで、「はい」の場合は Y 、「いいえ」の場合は N を入力し、 Enter キーを押します。


Y または N を入力しないまま Enter キーを押すと、デフォルト値 Yes になります。


ステップ 14 Y を入力した場合は、次の手順を実行します。

a. Enter new GUI administrator name: プロンプトが表示されたら、新規 GUI 管理者名を入力します。

次のプロンプトが表示されます。

Enter new password:
 

b. 新規パスワードを入力します。


) パスワードは、4 ~ 32 文字の範囲で設定できます。


次のプロンプトが表示されます。

Enter new password again:
 

c. 新規パスワードを再度入力します。

結果:コンソールに次のメッセージが表示されます。

GUI Administrator added successfully.
 

GUI 管理者アカウント追加の詳細については、「 GUI 管理者アカウントの設定 」を参照してください。

ステップ 15 Use Static IP Address [Yes]: プロンプトで、「はい」の場合は Y 、「いいえ」の場合は N を入力し、 Enter キーを押します。


) ACS SE の IP アドレスを設定または変更する場合は、動作中のイーサネット接続に ACS SE が接続されている必要があります。



) ACS SE には、固定 IP アドレスを割り当てる必要があります。このステップで Y と応答し、ステップ 16 で説明しているサブステップを実行することで、IP アドレスを直接設定できます。また、変更されない 1 つの IP アドレスを DHCP アドレスが割り当てる場合は、DHCP アドレスを使用してもかまいません。


ステップ 16 次の各プロンプトが表示されるのは、固定 IP アドレスを手動で設定する場合だけです。それ以外の場合は、次のメッセージが表示されます。

No change to the configuration.
Accept network setting [Yes]
 

a. ACS SE の IP アドレスを指定するには、 IP Address [xx.xx.xx.xx]: プロンプトで IP アドレスを入力し、 Enter キーを押します。

b. Subnet Mask [xx.xx.xx.xx]: プロンプトでサブネット マスク値を入力し、 Enter キーを押します。

c. Default Gateway [xx.xx.xx.xx]: プロンプトでデフォルト ゲートウェイ値を入力し、 Enter キーを押します。

d. DNS Servers [xx.xx.xx.xx]: プロンプトで、使用する DNS サーバのアドレスをすべて入力し(それぞれを単一のスペースで区切ります)、 Enter キーを押します。


DNS サーバを使用しない場合は、DNS Servers [xx.xx.xx.xx] プロンプトで ACS SE の IP アドレスを入力します。DNS サーバを使用するように ACS SE を設定しない場合は、ホスト名または IP アドレスのすべてのプロンプトに対して、常に IP アドレスで応答する必要があります。


結果 :コンソールに次のメッセージが表示されます。

IP Address is reconfigured.
 

e. Confirm the changes?[Yes]: プロンプトで Y と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

New ip address is set.
Default gateway is set to xx.xx.xx.xx
DNS servers are set to: xx.xx.xx.xx xx.xx.xx.xx.
 

f. Accept network setting: プロンプトで Y と入力し、 Enter キーを押します。

結果:アプライアンスの IP アドレスが設定されます。

g. Test network connectivity [Yes]: プロンプトで Y と入力し、 Enter キーを押します。


ヒント このステップでは、ping コマンドを実行して ACS SE の接続を確認します。


h. Enter hostname or IP address: プロンプトで、ACS SE に接続されたデバイスの IP アドレスまたはホスト名を入力し、 Enter キーを押します。

結果 :成功した場合は、システムによって ping 統計が表示され、 Test network connectivity プロンプトが表示されます。

i. 前の 2 つのステップでネットワークの接続性が検証されたら、 Test network connectivity [Yes]: プロンプトで N を入力し、 Enter キーを押します。


ヒント no という応答を入力するまで、ネットワーク接続性のテストに関するプロンプトがシステムによって表示され続けます。これにより、ネットワーク接続を訂正したり、IP アドレスを再入力したりできます。


ステップ 17 設定が正しく表示された場合は、 Accept network setting [Yes]: プロンプトで Y と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Current Date Time Setting:
Time Zone: (GMT -xx:xx) XXX Time
Date and Time: mm/dd/yyyy
NTP Server(s): NTP Synchronization Disabled.
 

ステップ 18 ACS SE の時刻と日付を設定するには、 Change Date & Time Setting [N]: プロンプトで Y を入力し、 Enter キーを押します。

結果 :コンソールに時間帯の番号付きリストが表示されます。

ステップ 19 Enter desired time zone index (0 for more choices): プロンプトで、地理上の位置に応じた適切な時間帯のインデックス番号を入力し、 Enter キーを押します。

結果 :コンソールに新しい時間帯が表示されます。

ステップ 20 Synchronize with NTP server?[N]: プロンプトで次のいずれかを実行します。

時刻を手動で設定する場合は、 N を入力し、 Enter キーを押します。

NTP サーバを使用して時刻を設定するには、 Y を入力し、プロンプトが表示されたら、使用する NTP サーバの IP アドレスを入力します。


ヒント NTP サーバを使用することを選択した場合に限り、後で ntpsync コマンドを使用できます。


結果 :選択を反映した確認メッセージがコンソールに表示されます。

ステップ 21 Enter date [mm/dd/yyyy]: プロンプトで日付を特定の形式で入力し、 Enter キーを押します。

ステップ 22 Enter time [hh:mm:ss]: プロンプトで現在の時刻を特定の形式で入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Initial configuration is successful. Appliance will now reboot.
 
システムが再起動します。


 

初期設定の確認

ACS SE の初期設定が正しく完了したことを確認するには、次の手順を実行します。

始める前に

ACS SE へのシリアル コンソール接続を確立します。詳細については、「 シリアル コンソール接続の確立 」を参照してください。


ステップ 1 ACS SE を再起動します。詳細については、「 シリアル コンソールの使用による Solution Engine のリブート 」を参照してください。

結果 :システムが起動すると、コンソールに login プロンプトが表示されます。

ステップ 2 login: プロンプトで新規管理者名を入力し、 Enter キーを押します。

ステップ 3 password: プロンプトで、初期設定中に作成したパスワードを入力し、 Enter キーを押します。

ステップ 4 system プロンプトで show と入力し、 Enter キーを押します。

結果 :コンソールにステータス情報が表示されます。

ステップ 5 画面上の情報が正しいことを確認します。


 

GUI 管理者アカウントの設定

初期設定時に セットアップ スクリプトを使用して GUI 管理者アカウントを指定していない限り、初期インストールまたはイメージ変更の後は、単一の管理者アカウント( CLI 管理者 アカウント)だけが存在しています。このアカウントで許可されているのは、シリアル コンソール ログインと CLI コマンドを使用したアクセスだけです。

セットアップ スクリプトで設定を求められたときに GUI 管理者アカウントを指定した場合は、その GUI 管理者アカウントが存在します。ただし、指定した GUI 管理者ユーザがこのアカウントを使用できるようにするには、 unlock guiadmin コマンドを入力してアカウントのロックを解除する必要があります。

SE にアクセスできる、追加の GUI 管理者アカウントを設定することもできます。

初期の Web GUI アカウントを設定するには、次の手順を実行します。


ステップ 1 CLI 管理者としてログインします。

ステップ 2 初期設定時にセットアップ スクリプトを使用して GUI 管理者アカウントを指定した場合は、次のように unlock guiadmin コマンドを入力し、その GUI 管理者アカウントのロックを解除します。

unlock guiadmin <Admin> <Password>
 

ここで、 Admin はこの GUI 管理者アカウントの名前、 Password はアカウントのパスワードです。

ステップ 3 GUI 管理者アカウントが設定されていない場合、または追加の GUI 管理者アカウントを設定する場合は、コマンド プロンプトで次のように入力します。

add guiadmin

結果 :コンソールに次のメッセージが表示されます。

Adding new GUI Administrator
Note! All ACS services will be restarted.
GUI Administrator password policy is:
Password must be at least 4 character(s) long.
 

ステップ 4 Enter new GUI administrator name: プロンプトで新規 GUI 管理者名を入力し、 Enter キーを押します。

ステップ 5 Enter new password: プロンプトで新規パスワードを入力し、 Enter キーを押します。


) パスワードは、4 ~ 32 文字の範囲で設定できます。


ステップ 6 Enter new password again: プロンプトで新規パスワードを再度入力し、 Enter キーを押します。

結果:コンソールに次のメッセージが表示されます。

GUI Administrator added successfully.
 

) 新規 GUI 管理者アカウントは、unlock guiadmin コマンドを入力してそのアカウントのロックを解除するまで使用できません。


これで、ACS SE 上で動作している ACS GUI にリモートから GUI 管理者アカウントを使用してアクセスできます。


 

ping のオン/オフの切り替え

インストールおよび初期設定が完了した後は、CLI 管理者アカウントまたは GUI 管理者アカウントを使用して、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)の ping をイネーブルにできます。


) Solution Engine のデフォルトでは、ICMP ping はディセーブルになっています。


ここでは、アプライアンスで ICMP ping をイネーブルまたはディセーブルにするために必要な作業について説明します。

ICMP ping のイネーブル化


) ICMP ping をイネーブルにするには、まずアプライアンスに applAcs_4.x-PingTurnOn_CSCsf15057_Patch.zip をインストールする必要があります。次に、.bat ファイルの実行場所となる Windows システムに applAcs_4.x-PingTurnOn_CSCsf15057_Patch.zip ファイルをコピーする必要があります。


アプライアンスで ICMP ping をイネーブルにするには、次の手順を実行します。


ステップ 1 .bat ファイルの実行場所となる Windows システム内のフォルダに、 applAcs_4.x-PingTurnOn_CSCsf15057_Patch . zip のファイルを抽出します。

ステップ 2 autorun.bat ファイルを実行します。

ステップ 3 CLI のシステム プロンプトで stop csagent と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Stopping service: CSAgent. . . . . .
CSAgent is stopping
CSAgent is not running

 

ステップ 4 システム プロンプトで download <ip_address> と入力し、 Enter キーを押します。

ip_address は、 .bat ファイルを実行するマシンの IP アドレスです。たとえば、download 198.133.219.25 と入力します。

結果 :コンソールに次のメッセージが表示されます。

Attempting to download package 'applAcs_4.x PingTurnOn_CSCsf15057 Patch' Version
: 0 Patch: 1_0_0.
Successfully downloaded the package. Run upgrade command to install the package.
 

ステップ 5 システム プロンプトで upgrade と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Extracting...
Verifying...
Signature is verified.
Signature is verified.
The certificate's subject CN=Cisco Systems, Inc.
The certificate's issuer CN=ACS CA, Cisco Systems, Inc.
Upgrade package applAcs_4.x PingTurnOn_CSCsf15057 PatchPatch: 1_0_0
Installing the patch could adversely affect the system.
 

ステップ 6 Do you still want to continue?---y(yes), n(no): プロンプトで、「はい」の場合は Y を入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Installing applAcs_4.x PingTurnOn_CSCsf15057 Patch Patch: 1_0_0
Upgrading...
Upgrade process initiated successfully
(12/3/2007 3:50:25 PM) Attempting to install the CSA with ICMP Enabled
(12/3/2007 3:50:25 PM) Check if service CSAgent is running...
(12/3/2007 3:50:28 PM) !!!!!!! The service CSAgent is not running !!!!!!!
(12/3/2007 3:50:28 PM) Attempting to install the patch files
(12/3/2007 3:50:28 PM) Attempting to save the file rollbackhotfixpatch.wsf
(12/3/2007 3:50:28 PM) Attempting to save the file includeappliance.wsf
(12/3/2007 3:50:28 PM) Attempting to save the file ping-enable.exe
(12/3/2007 3:50:28 PM) applying applAcs_4.x-PingTurnOn_CSCsf15057_Patch
(12/3/2007 3:51:25 PM) Completed the installation of the CSA with icmp enabled
(12/3/2007 3:51:26 PM) Setting CSA start type to manual
Successfully upgraded applAcs_4.x PingTurnOn_CSCsf15057 Patch Patch: 1_0_0
The process cannot access the file because it is being used by another process.
Completed upgrade and system will be rebooted.
 

結果 :CSAgent がインストールされます。

ステップ 7 アップグレードが完了すると、アプライアンスは自動的にリブートします。アプライアンスがリブートした後に、CSAgent を再開する必要があります。

システム プロンプトで start csagent と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Starting service: CSAgent. . . . . .
CSAgent is starting
CSAgent is running

 

これで、リモート ホストから ACS SE デバイスに ping を実行できます。


 

ICMP ping のディセーブル化


) ICMP ping をディセーブルにするには、まずアプライアンスに applAcs_4.x-PingTurnOff_CSCsk50309_Patch.zip をインストールする必要があります。次に、.bat ファイルの実行場所となる Windows システムに applAcs_4.x-PingTurnOff_CSCsk50309_Patch.zip ファイルをコピーする必要があります。


アプライアンスで ICMP ping をディセーブルにするには、次の手順を実行します。


ステップ 1 .bat ファイルの実行場所となる Windows システム内のフォルダに、 applAcs_4.x-PingTurnOff_CSCsk50309_Patch.zip のファイルを抽出します。

ステップ 2 autorun.bat ファイルを実行します。

ステップ 3 CLI のシステム プロンプトで stop csagent と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Stopping service: CSAgent. . . . . .
CSAgent is stopping
CSAgent is not running

 

ステップ 4 システム プロンプトで download <ip_address> と入力し、 Enter キーを押します。

ip_address は、 .bat ファイルを実行するマシンの IP アドレスです。たとえば、download 198.133.219.25 と入力します。

結果 :コンソールに次のメッセージが表示されます。

Attempting to download package ‘applAcs_4.x-PingTurnOff_CSCsk50309_Patch’ Version
: 0 Patch: 1_0_0.
Successfully downloaded the package. Run upgrade command to install the package.
 

ステップ 5 システム プロンプトで upgrade と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Extracting...
Verifying...
Signature is verified.
Signature is verified.
The certificate's subject CN=Cisco Systems, Inc.
The certificate's issuer CN=ACS CA, Cisco Systems, Inc.
Upgrade package applAcs_4.x-PingTurnOff_CSCsk50309 PatchPatch: 1_0_0
Installing the patch could adversely affect the system.
 

ステップ 6 Do you still want to continue?---y(yes), n(no): プロンプトで、「はい」の場合は Y を入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Installing applAcs_4.x-PingTurnOff_CSCsk50309 Patch Patch: 1_0_0
Upgrading...
Upgrade process initiated successfully
(12/3/2007 3:50:25 PM) Attempting to install the CSA with ICMP Disabled
(12/3/2007 3:50:25 PM) Check if service CSAgent is running...
(12/3/2007 3:50:28 PM) !!!!!!! The service CSAgent is not running !!!!!!!
(12/3/2007 3:50:28 PM) Attempting to install the patch files
(12/3/2007 3:50:28 PM) Attempting to save the file rollbackhotfixpatch.wsf
(12/3/2007 3:50:28 PM) Attempting to save the file includeappliance.wsf
(12/3/2007 3:50:28 PM) Attempting to save the file ping-disable.exe
(12/3/2007 3:50:28 PM) applying applAcs_4.x-PingTurnOff_CSCsk50309_Patch
(12/3/2007 3:51:25 PM) Completed the installation of the CSA with icmp disabled
(12/3/2007 3:51:26 PM) Setting CSA start type to manual
Successfully upgraded applAcs_4.x-PingTurnOff_CSCsk50309 Patch Patch: 1_0_0
The process cannot access the file because it is being used by another process.
Completed upgrade and system will be rebooted.
 

結果 :CSAgent がインストールされます。

ステップ 7 アップグレードが完了すると、アプライアンスは自動的にリブートします。アプライアンスがリブートした後に、CSAgent を再開する必要があります。

システム プロンプトで start csagent と入力し、 Enter キーを押します。

結果 :コンソールに次のメッセージが表示されます。

Starting service: CSAgent. . . . . .
CSAgent is starting
CSAgent is running

 

これで、リモート ホストから ACS SE デバイスへの ping はディセーブルになります。


 

次のステップ

このマニュアルの手順を正常に実行したら、ACS SE の設置と初期設定は完了です。次のステップでは、GUI 管理者アカウントを使用してログインし、このインストレーションによって希望の AAA サービスが提供されるように、ブラウザと Web インターフェイスを使用して ACS SE を完全に設定します。HTML アドレスの形式は、http://<ip address>:2002 です。ここで、ip address は、設定中に割り当てたアドレスです。

ユーザ、グループ、ネットワーク、その他のパラメータの詳細については、『 User Guide for Cisco Secure ACS 4.2.1 』を参照してください。


) ACS Solution Engine は自動的に Self という名前のエントリを [AAA Servers Table] に作成します。このエントリは Solution Engine マシンを識別します。

ただし、RDMS と同期する [Proxy Distribution Table] と [AAA Server Table] には、ACS Solution Engine によって ACS Solution Engine を実行しているデバイスのホスト名のエントリが作成されます。