オンプレミスでのCSSMの設定とISEへのライセンスの登録

ダウンロード オプション

  • PDF     (5.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2024 年 7 月 25 日
Document ID:222207

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、CSSM On-PremCisco Identity Service Engine(ISE)およびCisco Smart Accountの統合によるシームレスなセットアップについて説明します。

    前提条件

    要 件

    ISE 3.X

    Cisco Smart Software Manager(CSSM)バージョン8リリース202304 +

    使用するコンポーネント

    • Identity Service Engine(ISE)3.2パッチ2
    • Prem 8.20234のSSM
    • Windows Active Directory 2016(DNSおよび認証局サービス)
    • VMWare ESXiバージョン7

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    General topology一般的なトポロジ

    CSSMをオンプレミスでVMWARE ESXiにインストールします。

    1. Cisco IOS®をダウンロードします。次のリンクを使用できます。https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. ISOVMWARE ESXiにアップロードします。

    Storage > Datastore Browserの順に移動します。

    Data browser sectionData Browserセクション

    3. Create Directoryをクリックして新しいフォルダを作成します(オプション)。

    Creation of directoryディレクトリの作成

    次の例では、CSSMフォルダが作成されています。

    Creation of foldersフォルダの作成

    4. Uploadをクリックし、ISOファイルを選択します。

    Uploading ISOISOのアップロード

    これで、ISOファイルがCSSMフォルダ内に作成されました。

    The ISO upload is completedISOのアップロードが完了します

    5. 仮想マシンを作成します。仮想マシン> VMの作成/登録に移動します。

    Creating a new VM step 01新しいVMの作成の手順01

    6. Create a new virtual machineを選択し、nextをクリックします。

    Creating a new VM step 02新しいVMの作成の手順02

    7. 次のパラメータを設定します。

    • 名前:仮想マシンの名前を入力します。
    • 互換性: ESXi 6.0以降またはESXi 6.5以降のいずれかを選択します。 
    • ゲストOSファミリ:Linux
    • ゲストOSバージョン:CentOS 7(64ビット)または他の2.6x Linux(64ビット)のいずれかを選択します。

    [next] をクリックします。

    VM name and IOSVM名とIOS

    8. storageを選択し、nextをクリックします。

    Storage list記憶域リスト

    9. 次のパラメータを構成します。

    • CPU:4以上。実際のvCPU設定は、スケール要件によって異なります
    note-icon

    :選択した仮想ソケットの数に関係なく、ソケットあたりのコア数を1に設定する必要があります。たとえば、4つのvCPU構成は、4つのソケットおよびソケットごとに1つのコアとして設定する必要があります。

    Configuration of Coresコアの構成

    • メモリ:8 GB
    • ハードディスク:200 GB。プロビジョニングがシンプロビジョニングに設定されていることを確認。

    Configuration of diskディスク構成

    • ネットワークアダプタ: E1000アダプタのタイプを選択し、電源オン時に接続します。

    Configuration of network settingsネットワーク設定の構成

    • CD / DVDドライブ:「データISOファイル」を選択し、ISOファイルを選択します。

    ISO imageISOイメージ

    前の手順を完了したら、設定の概要を確認できます。

    Summary VM configuration 01VM設定の概要01

    [next] をクリックします。

    10. Finishをクリックします。

    Summary VM configuration 02VM設定の概要02

    CSSMオンプレミス(Cisco IOS)の初期設定。

    1. VMWARE ESXiで、Virtual Machinesに移動し、使用しているVMを選択して、Power Onをクリックします。

    Power on option電源オンオプション

    1. VMコンソールを管理するには、複数のオプションがあります。Console > Open browser consoleの順に選択します。

    Options to manage the VMVMを管理するためのオプション

    1. ネットワク設定を構成します。
    note-icon

    :CSSM FQDNを解決するDNSサーバのIPアドレスを設定することが重要です。

    Configuration of CSSM network settingsCSSMネットワーク設定の構成

    Okをクリックして、新しいCLIパスワードを設定します。

    1. その後、インストールプロセスが開始され、アクセスプロンプトが表示されるまで完了します。

    CSSM initial configuration completedCSSM初期設定が完了しました

    1. ブラウザを開き、https://<ip_address_CSSM>と入力します。

    CSSM login pageCSSMログインページ

    デフォルトのクレデンシャルを使用します。

    ユーザ名:admin

    パスワード:CiscoAdmin!2345

    1. 言語を選択します。
    2. 新しいGUIパスワードを作成します。
    3. ホストの共通名を設定します。(例:hostname.yourdomain)。

    この例では、cssm.testlab.localはHost Common Nameとして設定されています。

    Host common name configurationホストの共通名設定

    1. 設定を検証し、Applyをクリックします。

    CSSM initial settings completedCSSMの初期設定が完了しました。

    オンプレミスのCSSMとスマートアカウントの統合

    スマートアカウントPrem ServerのCSSMに関連付ける必要があります。

    1. 次のリンクを使用してシスコスマートアカウントを開きます。

    https://software.cisco.com/

    1. 次に、Smart Software ManagerセクションでManage Licensesを選択します。
    Manage licenses optionライセンスの管理オプション
    1. Inventoryに移動し、スマートアカウント名と仮想アカウントの名前をコピーします。このガイドでは、これはInternalTestDemoAccount67およびAAA MEX TESTです。

    Software Cisco pageソフトウェアのCiscoページ

    1. CSSM GUIを開き、Admin Workspaceオプションを選択します。

    Main CSSM menuメインCSSMメニュー

    1. 次に、Accountsを選択します。

    CSSM Accountsアカウント:

    1. 新しい登録要求を作成するには、New Accountを選択します。

    Creation of CSSM accountCSSMアカウントの作成。

    1. 次の情報を入力します。
    • アカウント名:これは新しい登録のカスタム名です。
    • Ciscoスマートアカウント:スマートアカウント名を貼り付けます。
    • シスコの仮想アカウント:仮想アカウント名を貼り付けます。
    • 通知用の電子メール:電子メールを入力します。

    Account registrationアカウント登録。

    [Submit] をクリックします。

    1. 次にAccount Requestsをクリックします。

    このセクションでは、前の手順で行われた要求を確認できます。

    Account request.アカウント要求。

    1. [アクション(Actions)] をクリックします。

    Actions optionActionsオプションを使用します。

    次の 3 つのオプションがあります。

    • 承認:このオプションを使用して、CSSMをインターネット経由でスマートアカウントにオンプレミスで登録します。
    • 拒否:要求をドロップします。
    • 手動登録:このオプションを使用して、CSSMをインターネットなしでスマートアカウントにオンプレミスで登録します。

     オプション1:インターネット接続を使用してCSSMをオンプレミスで登録します。

    1. Approveを選択した場合は、シスコスマートアカウントのユーザ名とパスワードを入力して、Submitをクリックする必要があります。

    Approve option承認オプション。

    次にnextをクリックして、アカウント登録を受け入れます。

    Account registrationアカウント登録。

    登録のステータスを確認するには、Accountに移動します。Account statusactiveである必要があります。

    Account statusアカウントの状態。

    スマートアカウント(https://software.cisco.com/)を開きます。 次に、On-Prem Accountsオプションを選択して新しい登録を表示します。

    On Prem Account.オンプレミスアカウント。

    オプション2:インターネット接続なしでCSSMをオンプレミスで登録します。

    Manual Registrationを選択した場合は、Generate Registration Fileをクリックします。これにより、コンピュータにダウンロードされる登録要求が作成されます。

    Manual registration.手動登録:

    次に、スマートアカウント(https://software.cisco.com/)を開き、オンプレミスアカウントに移動します。

    New On-Premをクリックします。

    Adding new On-Prem.新しいオンプレミスの追加

    次に、次のパラメータを設定します。

    • On-Prem Name(オンプレミス名):これは新しいレジスタのカスタム名です。
    • Registration File:Choose Fileをクリックし、Registration Requestを選択します。
    • 仮想アカウント:仮想アカウント名を貼り付けます。

    Authorization file.許可ファイル。

    Generate Authorization Fileをクリックします。

    次に、許可ファイルをダウンロードします。

    Downloading authorization file承認ファイルをダウンロードしています。

    CSSM GUIを開いて許可ファイルをアップロードします。Browseをクリックし、ファイルを選択して、Uploadをクリックします。

    Uploading authorization file.承認ファイルをアップロードしています。

    次に、Synchronizationに移動して、Actions > Manual Synchronization > Full Synchronizationの順にクリックします。

    Manual Sync.手動同期:

    同期要求ファイルをダウンロードします。

    Downloading file Syncファイル同期をダウンロードしています。

    スマートアカウントを開き、オンプレミスアカウントを選択し、リストでCSSMオンプレミス名を探して、アクション>ファイルの同期をクリックします

    Uploading file Syncファイルの同期をアップロードしています。

    次に、同期要求ファイルをアップロードし、応答ファイルの生成をクリックします。

    Generating a response file応答ファイルを生成します。

    次に、Download Synch Response Fileをクリックします。

    Sync fileファイルを同期します。

    最後に、オンプレミスのCSSMでSynch Response Fileをアップロードします。

    Sync completed同期が完了しました。

     CSSMをオンプレミスでISEと統合します。

    1. CSSM GUIを開き、Admin Workspaceを選択します。

    Main CSSM menu.メインCSSMメニュー

    1. Security > Certificates > Generate CSRの順に移動します。
    note-icon

    :ISEはCSSMとの接続を確立するためにこのパラメータを使用するため、ホストの共通名(CN)ホスト名+ドメインを設定することが重要です。hostname + domainの代わりにIPアドレスを使用できますが、hostname + domainを使用することを推奨します

    note-icon

    :次の手順では、CSSMにGUI証明書をインストールする手順について説明します。個人の認証局(CA)によって署名された証明書を使用してGUI CSSMへの管理接続を保護する場合は、次の手順を確認する必要があります。それ以外の場合は、ステップ9を直接確認します。

    CSR optionCSRオプション。

    1. 次に、個人情報を入力します。サブジェクト代替名は、共通名と同じ値を使用して自動的に作成されることに注意してください。CSRは、Generateをクリックすると自動的にダウンロードされます。

    CSR detailsCSR詳細。

    1. 詳細については、このドキュメントの「Windows CAからの証明書の作成」を参照してください。
    1. ルートCA証明書をアップロードします。

    Uploading Root CAルートCAをアップロードしています。

    [続行(Proceed)] をクリックします。

    Proceed optionProceedオプション

    1. 説明を入力し、ルート証明書を選択して、OKをクリックします。

    Description root CA説明ルートCA。

    1. CAによって署名されたCSR(CSSM ID証明書)をアップロードします。

    Uploading CSSM Identity CertCSSM ID証明書のアップロード

    note-icon

    :この場合、中間証明書はCAに存在しません。ただし、アーキテクチャで中間証明書を使用する場合は、中間証明書が必須です。

    8. 次に、両方の証明書がインストールされていることを確認します。

    Certificates validation証明書の検証。

    1. SSM On-Prem: Select licensing Workspaceトークン作成します。

    Workspace pageワークスペースページ。

    1. Smart Licensingに移動します。

    CSSM Smart licensing pageCSSMスマートライセンスページ

    1. ローカル仮想アカウントを探し、New TokenをクリックしてProceedをクリックします。

    New token option新しいトークンオプション。

    1. Create Tokenを選択してコピーします。

    Creation of new token新しいトークンの作成。

    Token detailsトークンの詳細

    1. ISE GUIを開き、Administration > Systems > Licensingに移動し、Registration detailsをクリックし、SSM On-Prem server Host methodを選択して、トークンを貼り付けます。

    Registration of licensesライセンスの登録。

    1. SSM On-Prem server HostSSM On-Prem FQDNを入力し、Registerをクリックします。

    CSSM and ISE settingsCSSMとISEの設定

    note-icon

    :ISEはCSSMとの接続を確立するためにこのパラメータを使用するため、ホスト名+ドメインホストの共通名(CN)に設定することが重要です。ホスト名+ドメインの代わりにIPアドレスを使用できますが、ホスト名+ドメインを使用することを推奨します

    1. そして最後に、登録が完了しました。

    Registration completed登録が完了しました。

     Windows CAから証明書を作成します。

    認証局の管理者は、次の手順を実行する必要があります。

    1. Webブラウザを開き、http://localhost/certsrv/に移動します。
    2. Request a certificateをクリックします。

    Request certificate証明書を要求します。

    1. [advanced certificate request] をクリックします。

    Advanced certificate request証明書の要求の詳細設定

    1. 前に生成したCSRを開きます。  次に、情報をコピーして、Saved requestに貼り付けます。

    Submit certificate証明書を送信します。

    Submitをクリックすると、証明書が自動的にダウンロードされます。

    1. 次に、CA証明書ルートをダウンロードします。http://localhost/certsrv/に戻り、Download a CA Certificate, Certificate Chain, or CRLを選択します。

    Download root CAルートCAをダウンロードします。

    1. エンコド方式としてBase64を使用して、CA証明書をダウンロードします。

    Base 64 optionBase 64オプション

    Windows ServerでDNSレコードを追加します。

    管理者の場合は、ISEおよびCSSM FQDNを追加します。

    1. DNS Managerを開きます。Windowsのファインダで「DNS」と入力し、DNSアプリを開きます。

    DNS optionDNSオプション。

    1. Forward Lookup Zonesに移動し、ドメインを選択します。

    DNS managerDNSマネージャ。

    1. 画面上の黒いスペースを右クリックし、「New Host (A or AAAA)(新しいホスト(AまたはAAAA)」(新しいホスト(AまたはAAAA))を選択します。

    Adding recordレコードを追加しています。

    1. レコードDNSを次のように設定します。
    • 名前:ホストの名前を意味します。
    • デバイスのIPアドレス

    Add Host」をクリックします。

    Record settingsレコード設定。

    トラブルシュート

    ホスト/IPアドレスに到達できません。  (ISEでのエラー)

    Not reachable error到達可能なエラー

    解決策1:ISEノードのDNS設定を確認し、修正します。

    1. ISE CLIを開き、「nslookup <CSSM_FQDN>」と入力します。

    次の例では、ISEノードからcssm.testlab.localが解決されていないことが確認できます。

    CSSM resolution failedCSSM解決に失敗しました。

    正しい解決策は次のとおりです。

    CSSM resolution successfullyCSSM解決に成功しました。

    アクションプラン:

    1. このドキュメントの「DNS設定」のトピックを確認してください。
    2. ip name-server」を確認するには、ISE CLIでshow running-configコマンドを入力します。「ip name-server」はDNSサーバのIPアドレスと一致している必要があります。

    解決策2:CSSM GUIを開き、ホストの共通名およびブラウザ証明書が、ISE側のCSSMオンプレミスサーバホストパラメータと同じであることを確認します。

    誤ったシナリオ:

    CSSM resolution and ISE setting are incorrectCSSM解決とISE設定が正しくない

    正しいシナリオ:

    CSSM resolution and ISE setting are correctCSSM解決とISE設定が正しい。

    アクションプラン:詳細については、このガイドの「ISEおよびCSSMの設定」を参照してください。

    SSOサービス:シスコにアクセスできません。(CSSMオンプレミスのエラー)

    Account registration failedアカウント登録に失敗しました。

    解決方法:インターネットへの接続を確認してください。

    アクションプラン:

    1. インターネットにアクセスするためにプロキシが必要な場合は、Network > Proxyに移動し、Use A Proxy Serverオプションを有効にして、Applyをクリックします。

    Proxy configurationプロキシ設定.

    CSRの共通名がDNSで解決可能なホスト名またはIPアドレスではありません。もう一度やり直してください。 (CSSMオンプレミスのエラー)

    CSR errorCSRエラーです。

    解決策:CSSMサーバのDNS解決を確認し、修正します。

    1. CSSM CLIを開き、「nslookup <CSSM_FQDN>」と入力します。

    次の例では、CSSMサーバからcssm.testlab.localが解決されていないことがわかります。

    The DNS server is not reachableDNSサーバに到達できない。

    正しい出力は次のようになります。

    The DNS server is reachableDNSサーバに到達できる。

    アクションプラン:

    CSSMのオンプレミスのDNS設定を確認します。

    1. Network > General > DNS Settingの順に移動します。

    プライマリまたは代替DNSは、DNSサーバのIPアドレスと同じである必要があります。

    DNS settingsDNS設定。

    更新履歴

    改定 発行日 コメント
    1.0
    25-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • オスカーデイエスステゴマアギラール

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています