セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンスの現場交換可能な FIPS カード ユニット設置ガイド

Cisco NAC アプライアンスの現場交換可能な FIPS カード ユニット設置ガイド
発行日;2012/06/21 | 英語版ドキュメント(2011/09/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

前提条件とハードウェア要件

現場交換可能な FIPS カード ユニットの取り付け

Cisco NAC-3310 での FIPS カードの取り付け

シャーシのオープンとライザー カード アセンブリの取り外し

ライザー カード アセンブリでの FIPS カードの取り付け

ライザー カード アセンブリの再取り付けとシャーシのクローズ

Cisco NAC-3350/3390 での FIPS カードの取り付け

シャーシのオープンと既存のライザー カード アセンブリの取り外し

新しいライザー カード アセンブリでの FIPS カードの取り付け

完成したライザー カード アセンブリの取り付けとシャーシのクローズ

現場交換可能な FIPS カード ユニットをオンラインにする

現場交換可能な FIPS カード ユニットの動作検証

コマンド ライン インターフェイスを使用する方法

CAM/CAS の Web コンソールを使用する方法

次に行う作業: FIPS 準拠のための CAM/CAS の設定

マニュアルの入手方法およびテクニカル サポート

前提条件とハードウェア要件

現場交換可能な FIPS カード コンポーネントを使用して FIPS 140-2 準拠の機能をサポートするには、現在の構成において CAM および CAS 上で Cisco NAC Appliance Release 4.8 が稼動している必要があります。FIPS 準拠の要件と制限を含むリリース 4.8 に固有な情報については、『 Release Notes for Cisco NAC Appliance, Version 4.8 』を参照してください。

現場交換可能な FIPS カードは次の Cisco NAC アプライアンス プラットフォームに取り付けることができます。

Cisco NAC-3310 CAM/CAS

Cisco NAC-3350 CAM/CAS

Cisco NAC-3390 CAM

現場交換可能な FIPS カード ユニットを Cisco NAC-3310/3350/3390 のシャーシに取り付けたら、シャーシは「FIPS 準拠」になります。シャーシまたは FIPS カード自体が原因の問題を適切に処理するには、シスコシステムズにアプライアンスの RMA を要求し、交換用の Cisco NAC-3310/3350/3390 を取得する必要があります。

NAC-3310/3350/3390 と他の Cisco NAC アプライアンス プラットフォームの詳細については、『 Cisco NAC Appliance Hardware Installation Guide, Release 4.8 』を参照してください。

現場交換可能な FIPS カード ユニットの取り付け


警告 現場交換可能な FIPS カード ユニットの部品または NAC-3310/3350/3390 のシャーシ コンポーネントに触れる前と次の手順を実行する前に、適切な ESD ストラップを必ず着用してください。


使用している特定の Cisco NAC アプライアンス プラットフォームに対する手順に従ってください。

「Cisco NAC-3310 での FIPS カードの取り付け」

「Cisco NAC-3350/3390 での FIPS カードの取り付け」

Cisco NAC-3310 での FIPS カードの取り付け

サポートされた Cisco NAC アプライアンス プラットフォームのいずれかで現場交換可能な FIPS カードを取り付ける前に、すべてのインターフェイス ケーブルを取り外し、アプライアンスの電源をオフにし、シャーシからの電力を切断します。

シャーシのオープンとライザー カード アセンブリの取り外し


ステップ 1 Cisco NAC-3310 をラック レール上の 4 支柱ラックの位置からスライドさせます。Cisco NAC-3310 がラック レールを使用しない場合は、ラックからシャーシを取り外し、適切な場所に置きます。

ステップ 2 Cisco NAC-3310 のシャーシの背面パネル上にある非脱落型カバー アンカー ネジを取り外し、カバーをシャーシの背面方向にスライドさせ、カバーを取り外します。

ステップ 3 取り外したカバーを横に置き、Cisco NAC-3310 のシャーシの内部コンポーネントが見えるようにします。

図 1 Cisco NAC-3310 のシャーシとライザー カード アセンブリ

 

ステップ 4 背面パネル インターフェイスの最上部にあるほぼ長方形のライザー カード アセンブリの位置を確認して、シャーシの背面上にある非脱落型ライザー カード アセンブリ固定ネジを取り外し、シャーシからアセンブリを垂直に持ち上げます。


 

ライザー カード アセンブリでの FIPS カードの取り付け

FIPS カードを取り付け、同時にシャーシ内部にカードを収めるのに十分なスペースを確保する方法は 1 つしかありません。


ステップ 1 ライザー カード アセンブリを適切な場所に上下逆に置きます。

図 2 Cisco NAC-3310 ライザー カード アセンブリ

 

ステップ 2 現場交換可能な FIPS カードを幅が広い左側のスロットに挿入し、FIPS カードの前面プレートがライザー カード アセンブリのフレームにぴったりと収まるようにします。


 

ライザー カード アセンブリの再取り付けとシャーシのクローズ


ステップ 1 ライザー カードの右側を上にして、ライザー カードを Cisco NAC-3310 のシャーシにある空の各スロット上に配置します。

ステップ 2 ライザー カードがシャーシに適切に収まるまでライザー カード アセンブリの前面と背面の両方を静かに押します。

ステップ 3 非脱落型ライザー カード アセンブリ固定ネジを締めて、シャーシ カバーを交換したときにライザー アセンブリがシャーシ内で移動しないようにします。

ステップ 4 シャーシ カバーを前方の位置から約 1 インチだけシャーシに戻し、シャーシ カバーを前方にスライドさせ、非脱落型カバー アンカー ネジを締めて Cisco NAC-3310 のシャーシを完全に閉じます。

ステップ 5 Cisco NAC-3310 を 4 支柱ラックの元の位置に戻します。


 

Cisco NAC-3350/3390 での FIPS カードの取り付け


) この特定の取り付けのために現場交換可能な FIPS カードと必要な Cisco NAC-3350/3390 ライザー カード アセンブリの交換部品の両方が同梱されています。


サポートされた Cisco NAC アプライアンス プラットフォームのいずれかで現場交換可能な FIPS カードを取り付ける前に、すべてのインターフェイス ケーブルを取り外し、アプライアンスの電源をオフにし、シャーシからの電力を切断します。

シャーシのオープンと既存のライザー カード アセンブリの取り外し


ステップ 1 Cisco NAC-3350/3390 をラック レール上の 4 支柱ラックの位置からスライドさせます。Cisco NAC-3350/3390 がラック レールを使用しない場合は、ラックからシャーシを取り外し、適切な場所に置きます。

ステップ 2 Cisco NAC-3350/3390 シャーシ カバー上の埋め込みグリップを使用してカバーをシャーシの背面方向にスライドさせ、カバーを取り外します。

ステップ 3 取り外したカバーを横に置き、Cisco NAC-3350/3390 のシャーシの内部コンポーネントが見えるようにします。

図 3 Cisco NAC-3350/3390 のシャーシとライザー カード アセンブリ

 

ステップ 4 背面パネル インターフェイスの最上部にある「T 字型」のライザー カード アセンブリの位置を確認して、シャーシの背面とシャーシ内のライザー カードの前面付近にある非脱落型ライザー カード アセンブリ固定ネジを取り外し、アセンブリをシャーシから垂直に持ち上げます。


 

新しいライザー カード アセンブリでの FIPS カードの取り付け

FIPS カードを取り付け、同時にシャーシ内部にカードを収めるのに十分なスペースを確保する方法は 1 つしかありません。


ステップ 1 シスコにより提供された新しいライザー カード アセンブリを適切な場所に上下逆に置きます。

図 4 Cisco NAC-3350/3390 のライザー カード アセンブリ

 

ステップ 2 現場交換可能な FIPS カードを幅が広い左側のスロットに挿入し、FIPS カードの前面プレートがライザー カード アセンブリのフレームにぴったりと収まるようにします。

ステップ 3 既存のすべてのインターフェイス カードを古いライザー カード アセンブリの右側のスロットから新しいライザー カード アセンブリのスロットに移動します。


 

完成したライザー カード アセンブリの取り付けとシャーシのクローズ


ステップ 1 ライザー カードの右側を上にして、ライザー カードを Cisco NAC-3350/3390 のシャーシにある空の各スロット上に配置します。

ステップ 2 ライザー カードがシャーシに適切に収まるまでライザー カード アセンブリの前面と背面の両方を静かに押します。

ステップ 3 4 つの非脱落型ライザー カード アセンブリ固定ネジを締めて、シャーシ カバーを交換したときにライザー アセンブリがシャーシ内で移動しないようにします。

ステップ 4 シャーシ カバーを前方の位置から約 1 インチだけシャーシに戻し、シャーシ カバーを前方にスライドさせて Cisco NAC-3350/3390 のシャーシを完全に閉じます。

ステップ 5 Cisco NAC-3350/3390 を 4 支柱ラックの元の位置に戻します。


 

現場交換可能な FIPS カード ユニットをオンラインにする

FIPS カードを取り付け、インターフェイスと電源をシャーシに再び接続したら、CAM/CAS のコンソール CLI にアクセスし、 root としてログインし、 service perfigo config コマンドを入力して、FIPS 設定に固有な項目以外のすべての設定項目に対して既存の値を使用します。


ステップ 1 外部の FIPS スマート カード リーダーのミニ DIN ケーブルを、新しく取り付けられた FIPS カード上のメス ミニ DIN ポートに接続して FIPS スマート カード リーダー モジュールを接続します(スマート カードがリーダーに挿入されていることも確認します)。

ステップ 2 CAM/CAS の CLI で、 service perfigo config と入力し、初期設定ダイアログを表示します。設定プロンプトに従うことにより既存の設定値を検証できます。この場合、アプライアンスで FIPS モードを有効にするかどうかを尋ねられます。アプライアンスで FIPS を有効にするには、 y を選択します。

Would you like to turn on fips mode? (y/n)? [y]
---- Stopping any nCipher servers ----
 
No nCipher init scripts installed.
 
---- Cleaning up any old install ----
 
No nCipher components requiring cleanup found.
 
---- Installing ----
 
-- Running install fragment 10nfastug
 
Checking for user 'nfast' in group 'nfast'
User 'nfast' or group 'nfast' do not exist. To create the 'nfast' user,
in group 'nfast', with home directory /opt/nfast please select one of the
following options, based on the current linux distribution:
1) Run 'useradd -r nfast' (this should work with Red Hat, SuSE, and
Fedora-based distributions).
2) Run 'adduser --group --system nfast' (this should work with Debian
and Ubuntu-based distributions).
3) Edit /etc/passwd and /etc/group (this should work with most
distributions that do not use shadow passwords).
4) Exit the script so you can create the user and group manually.
Rerun the install script when this is complete.
5) Abort the installation process.
Please select a number from 1 to 5:
 
-- Running install fragment 15makefiles
Setting up directories.
Making default config file.
 
-- Running install fragment 45drivers
Unloading old nCipher PCI nfp driver.
Checking for PCI nfp hardware.
Found: /dev/nfastpci0
Installing startup scripts for 'drivers'.
Linking in init scripts
Loading nCipher PCI nfp driver.
 
-- Running install fragment 46exard
Remove old nCipher PCI miniHSM devices.
Checking for nCipher PCI miniHSM hardware.
No nCipher PCI miniHSM devices found.
Installing startup scripts for 'exard'.
Not linking in init scripts or loading drivers.
 
-- Running install fragment 50hardserver
Making privconn setuid and root.
Installing startup scripts for 'hardserver'.
Linking in init scripts
Starting nCipher 'hardserver' server process.
waiting for nCipher server to become operational ...
waiting for nCipher server to become operational ...
waiting for nCipher server to become operational ...
nCipher server now running
 
-- Running install fragment 60cmdadp
 
---- Installation complete ----
-- Running shutdown script 50hardserver
 
-- Running shutdown script 46exard
 
-- Running shutdown script 45drivers
 
-- Running startup script 45drivers
 
-- Running startup script 46exard
 
-- Running startup script 50hardserver
 
Security world not found
Creating the security world and initializing the smart cards
How many cards do you want to initialize (1-6)? [1] 1
Set ncipher card switch in i mode and press Return to continue
 

ステップ 3 初期化するスマート カードの数を入力し、CAM/CAS の背面にある FIPS カードの操作スイッチが「I」(「初期化」)の状態になっていることを確認して Return を押します。また、アプライアンスで FIPS 機能を有効にするためにパスフレーズを入力する必要があります。

Module 1, command ClearUnit: OK
Create Security World:
Module 1: 0 cards of 1 written
Module 1 slot 0: unformatted card
Module 1 slot 0:- passphrase specified - writing card
Card writing complete.
security world generated on module #1; hknso = 32f3a58da27cd15cd2a7fda08526f1d0ca96ac63
Set ncipher card switch in o mode and press Return to continue
 

ステップ 4 FIPS カードのスイッチを「O」(「動作」)に戻し、Return を押します。

Module 1, command ClearUnit: OK
writing RSA key
Card(s) check passed
 

ステップ 5 既存のすべての設定項目に対して現在の値を使用して CAM/CAS の初期設定ダイアログ セッションを続行し、設定の完了後に次のコマンドを入力して CAM/CAS をリブートします。

Configuration is complete.
Changes require a REBOOT of Clean Access Server.
 
# reboot
 

ステップ 6 CAM/CAS のリブート後に、ステップ 2ステップ 5を繰り返します。

これで、初期設定は完了です。


 

現場交換可能な FIPS カード ユニットの動作検証

CAM/CAS での適切な取り付けと FIPS の動作を検証するには 2 つの方法があります。

コマンド ライン インターフェイスを使用する方法

CAM/CAS の Web コンソールを使用する方法

コマンド ライン インターフェイスを使用する方法

次のように CAM/CAS で FIPS の機能を検証します。

FIPS カードの動作スイッチが「O」(動作モードの場合)に設定されていることを確認します。

CAM のコンソール インターフェイスに root としてログインします。

/perfigo/common/bin/ ディレクトリに移動します。

./test_fips.sh info と入力し、次の出力を検証します。

Installed FIPS card is nCipher
Info-FIPS file exists
Info-card is in operational mode
Info-httpd worker is in FIPS mode
Info-sshd up

CAM/CAS の Web コンソールを使用する方法

CAM で FIPS の動作を検証するには、次の手順に従ってください。


ステップ 1 ローカル マシンでブラウザ セッションを起動し、CAM の Web コンソールにログインします。

ステップ 2 CAM の [Monitoring] > [Summary] ページ(図 5)のステータス メッセージを確認します。ページは次のように表示されます。

Installed card in the system: nCipher
System is running in FIPS mode

図 5 CAM の [Monitoring] > [Summary] ページ

 


 

CAS で FIPS の動作を検証するには、次の手順に従ってください。


ステップ 1 ローカル マシンでブラウザ セッションを起動し、CAS の Web コンソールにログインします。

CAS の [Administration] > [Network Settings] > [IP] ページ(図 6)のステータス メッセージを確認します。ページは次のように表示されます。

Installed card in the system: nCipher
System is running in FIPS mode

図 6 CAS の [Administration] > [Network Settings] > [IP] ページ

 


 

次に行う作業: FIPS 準拠のための CAM/CAS の設定

NAC-3310/33/50/3390 で現場交換可能な FIPS カードを取り付け、有効にした後、多くの場合、RADIUS サーバ、ワイヤレス LAN コントローラ、VPN コンセントレータなどの外部コンポーネントとの接続は失敗します。この現場交換可能ユニットの設置ガイドには、このような外部コンポーネントとの接続を確保するために CAM/CAS で FIPS 機能を設定し、有効にする方法は記載されていません。FIPS 準拠の環境で他の外部コンポーネントとの接続を動作し、維持するために CAM/CAS を設定する方法の詳細については、次のマニュアルを参照してください。

Release Notes for Cisco NAC Appliance, Version 4.8 』( http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html )の「FIPS 140-2 Compliance」

Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.8 』( http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html )の「FIPS Compliance in the Cisco NAC Appliance Network」

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。

シスコは世界各国 200 箇所にオフィスを開設しています。
各オフィスの住所、電話番号、FAX 番号は当社の Web サイト(www.cisco.com/go/offices)をご覧ください。