この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
初めて Cisco ISE Web ベースのインターフェイスにログインするときは、事前インストールされている評価ライセンスを使用します。
(注) |
Cisco ISE ユーザ インターフェイスを使用して、定期的に管理者ログイン パスワードをリセットすることをお勧めします。 |
注意 |
セキュリティ上の理由から、管理セッションの完了時には、ログアウトすることをお勧めします。ログアウトしない場合、30 分間何も操作しないと Cisco ISE の Web インターフェイスからログアウトされ、送信されていない設定データは保存されません。 |
Cisco ISE 管理者ポータルは次の HTTPS 対応ブラウザをサポートしています。
Mozilla Firefox バージョン 38.x ESR、45.x ESR、および 46.x
(注) |
Mozilla Firefox バージョン 38.x ESR を使用すると、「Your browser is not supported.More info...」というメッセージが表示されます。このメッセージは無視してかまいません。Cisco ISE は、Firefox バージョン 38.x ESR ブラウザをサポートしています。 |
Google Chrome バージョン 50.x
Microsoft Internet Explorer 10.x および 11.x
Internet Explorer 10.x を使用する場合は、TLS 1.1 と TLS 1.2 をイネーブルにし、SSL 3.0 と TLS 1.0 をディセーブルにします([インターネット オプション(Internet Options)] > [詳細設定(Advanced)])。
(注) |
クライアント ブラウザを実行しているシステムに、Adobe Flash Player 11.1.0.0 以降がインストールされている必要があります。Cisco ISE の GUI を表示するのに最低限必要な画面解像度は 1280 x 800 ピクセルです。 |
Web ブラウザおよび CLI を使用して Cisco ISE 設定を確認するための、それぞれ異なるユーザ名およびパスワード クレデンシャルのセットを使用する 2 通りの方法があります。
(注) |
CLI 管理ユーザと Web ベースの管理ユーザのクレデンシャルは、Cisco ISE では異なります。 |
Cisco ISE の Web ベースのユーザ インターフェイス メニューを使用して、Cisco ISE システムをニーズに合わせて設定できます。Cisco ISE の設定の詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。
最新の Cisco ISE パッチを入手し Cisco ISE を最新に保つには、Web サイト http://www.cisco.com/public/sw-center/index.shtml を参照してください。
ステップ 1 | Cisco ISE アプライアンスのリブートが完了したら、PuTTY などのサポートされる製品を起動して、Cisco ISE アプライアンスへの Secure Shell(SSH)接続を確立します。 | ||
ステップ 2 | [ホスト名(Host Name)](または [IP アドレス(IP Address)])フィールドにホスト名(または Cisco ISE アプライアンスのドット付き 10 進表記の IP アドレス)を入力し、[開く(Open)] をクリックします。 | ||
ステップ 3 | ログイン プロンプトで、セットアップ時に設定した CLI 管理ユーザ名(admin がデフォルト)を入力し、Enter を押します。 | ||
ステップ 4 | パスワード プロンプトで、セットアップ時に設定した CLI 管理パスワード(これはユーザ定義でデフォルトはありません)を入力し、Enter を押します。 | ||
ステップ 5 |
システム プロンプトで、
show application version ise と入力し、Enter
を押します。
コンソール出力は次のように表示されます。 ise-vm123/admin# show application version ise Cisco Identity Services Engine --------------------------------------------- Version : 2.1.0.381 Build Date : Thu Feb 11 07:12:05 2016 Install Date : Thu Feb 11 15:41:53 2016 |
||
ステップ 6 |
Cisco ISE プロセスの状態を調べるには、show application status ise と入力し、Enter
を押します。 コンソール出力は次のように表示されます。 ise-server/admin# show application status ise
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 4930
Database Server running 66 PROCESSES
Application Server running 8231
Profiler Database running 6022
ISE Indexing Engine running 8634
AD Connector running 9485
M&T Session Database running 3059
M&T Log Collector running 9271
M&T Log Processor running 9129
Certificate Authority Service running 8968
EST Service running 18887
SXP Engine Service disabled
TC-NAC Docker Service disabled
TC-NAC MongoDB Container disabled
TC-NAC RabbitMQ Container disabled
TC-NAC Core Engine Container disabled
VA Database disabled
VA Service disabled
pxGrid Infrastructure Service disabled
pxGrid Publisher Subscriber Service disabled
pxGrid Connection Manager disabled
pxGrid Controller disabled
PassiveID Service disabled
DHCP Server (dhcpd) disabled
DNS Server (named) disabled
|
vShpere Client で指定された VMware ホストの [概要(Summary)] タブに移動します。[VMware ツール(VMware Tools)] フィールドの値が OK である必要があります。
vm36/admin# show inventory NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis" PID: ISE-VM-K9, VID: V01 , SN: 8JDCBLIDLJA Total RAM Memory: 4016564 kB CPU Core Count: 1 CPU 0: Model Info: Intel(R) Xeon(R) CPU E5504 @ 2.00GHz Hard Disk Count(*): 1 Disk 0: Device Name: /dev/sda Disk 0: Capacity: 64.40 GB Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders NIC Count: 1 NIC 0: Device Name: eth0 NIC 0: HW Address: 00:0C:29:BA:C7:82 NIC 0: Driver Descr: VMware Virtual Ethernet driver (*) Hard Disk Count may be Logical. vm36/admin#
Cisco ISE ISO イメージ(通常、アップグレード、またはパッチ)には、サポートされる VMware ツールが含まれています。VMware クライアント ユーザ インターフェイスを使用した VMware ツールのアップグレードは、Cisco ISE ではサポートされていません。VMware ツールを新しいバージョンにアップグレードする場合、サポートは Cisco ISE の新しいバージョンで提供されます(通常、アップグレード、またはパッチ リリース)。
Cisco ISE は、物理インターフェイスに高可用性を提供するために、1 つの仮想インターフェイスへの 2 つのイーサネット インターフェイスのボンディングをサポートします。この機能は、ネットワーク インターフェイス カード(NIC)のボンディングまたは NIC チーミングと呼ばれます。2 つのインターフェイスをボンディングすると、2 つの NIC は 1 つの MAC アドレスを持つ単一のデバイスとして認識されます。
Cisco ISE の NIC ボンディング機能は、ロード バランシングまたはリンク アグリゲーション機能をサポートしていません。Cisco ISE は、NIC ボンディングの高可用性機能だけをサポートします。
インターフェイスのボンディングでは、次の状況でも Cisco ISE サービスが影響を受けないことを保証します。
2 つのインターフェイスをボンディングすると、インターフェイスの一方がプライマリ インターフェイスになり、もう一方はバックアップ インターフェイスになります。2 つのインターフェイスをボンディングすると、すべてのトラフィックは通常、プライマリ インターフェイスを通過します。プライマリ インターフェイスが何らかの理由で失敗すると、バックアップ インターフェイスがすべてのトラフィックを引き継いで処理します。ボンディングにはプライマリ インターフェイスの IP アドレスと MAC アドレスが必要です。
NIC ボンディング機能を設定する際に、Cisco ISE は固定物理 NIC を組み合わせて NIC のボンディングを形成します。ボンディング インターフェイスを形成するためにボンディングすることができる NIC について、次の表に概要を示します。
Cisco ISE の物理 NIC の名前 |
Linux 物理 NIC の名前 |
ボンディングされた NIC の役割 |
ボンディングされた NIC の名前 |
---|---|---|---|
ギガビット イーサネット 0 |
Eth0 |
プライマリ |
ボンド 0 |
ギガビット イーサネット 1 |
Eth1 |
バックアップ |
|
ギガビット イーサネット 2 |
Eth2 |
プライマリ |
ボンド 1 |
ギガビット イーサネット 3 |
Eth3 |
バックアップ |
|
ギガビット イーサネット 4 |
Eth4 |
プライマリ |
ボンド 2 |
ギガビット イーサネット 5 |
Eth5 |
バックアップ |
NIC ボンディング機能は、サポートされているすべてのプラットフォームとノード ペルソナでサポートされています。サポートされるプラットフォームは次のとおりです。
Cisco ISE は最大 6 つのイーサネット インターフェイスをサポートするので、ボンドは 3 つ(ボンド 0、ボンド 1、ボンド 2)のみ設定できます。
ボンドに含まれるインターフェイスを変更したり、ボンドのインターフェイスの役割を変更したりすることはできません。ボンディングできる NIC とボンドでの役割についての情報については、上記の表を参照してください。
Eth0 インターフェイスは、管理インターフェイスとランタイム インターフェイスの両方として機能します。その他のインターフェイスは、ランタイム インターフェイスとして機能します。
ボンドを作成する前に、プライマリ インターフェイス(プライマリ NIC)に IP アドレスを割り当てる必要があります。ボンド 0 を作成する前は、Eth0 インターフェイスに IPv4 アドレスを割り当てる必要があります。同様に、ボンド 1 と 2 を作成する前は、Eth2 と Eth4 インターフェイスに IPv4 または IPv6 アドレスをそれぞれ割り当てる必要があります。
ボンドを作成する前に、バックアップ インターフェイス(Eth1、Eth3、および Eth5)に IP アドレスが割り当てられている場合は、バックアップ インターフェイスからその IP アドレスを削除します。バックアップ インターフェイスには IP アドレスを割り当てないでください。
ボンドを 1 つのみ(ボンド 0)作成し、残りのインターフェイスをそのままにすることもできます。この場合、ボンド 0 は管理インターフェイスとランタイム インターフェイスとして機能し、残りのインターフェイスはランタイム インターフェイスとして機能します。
ボンドでは、プライマリ インターフェイスの IP アドレスを変更できます。プライマリ インターフェイスの IP アドレスと想定されるので、新しい IP アドレスがボンディングされたインターフェイスに割り当てられます。
2 つのインターフェイス間のボンドを削除すると、ボンディングされたインターフェイスに割り当てられていた IP アドレスは、プライマリ インターフェイスに再び割り当てられます。
展開に含まれる Cisco ISE ノードで NIC ボンディング機能を設定するには、そのノードを展開から登録解除し、NIC ボンディングを設定して、展開に再度登録する必要があります。
ボンド(Eth0、Eth2、または Eth4 インターフェイス)のプライマリ インターフェイスとして機能する物理インターフェイスにスタティック ルートが設定されている場合は、物理インターフェイスではなくボンディングされたインターフェイスで動作するようにスタティック ルートが自動的に更新されます。
NIC ボンディングは Cisco ISE CLI から設定できます。次の手順では、Eth0 と Eth1 インターフェイス間にボンド 0 を設定する方法を説明します。
バックアップ インターフェイスとして動作する物理インターフェイス(Eth1、Eth3、Eth5 インターフェイスなど)に IP アドレスが設定されている場合は、バックアップ インターフェイスからその IP アドレスを削除する必要があります。バックアップ インターフェイスには IP アドレスを割り当てないでください。
ステップ 1 | 管理者アカウントを使用して Cisco ISE CLI にログインします。 |
ステップ 2 |
configure terminal と入力して、コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface GigabitEthernet 0 コマンドを入力します。 |
ステップ 4 |
backup interface GigabitEthernet 1 コマンドを入力します。 コンソールに次のメッセージが表示されます。% Warning: IP address of interface eth1 will be removed once NIC bonding is enabled. Are you sure you want to proceed? Y/N [N]: |
ステップ 5 |
Y を入力して、Enter を押します。 ボンド 0 が設定されました。Cisco ISE が自動的に再起動します。しばらく待ってから、すべてのサービスが正常に稼働していることを確認します。すべてのサービスが実行していることを確認するために、CLI から show application status ise コマンドを入力します。 ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# interface gigabitEthernet 0 ise/admin(config-GigabitEthernet)# backup interface gigabitEthernet 1 Changing backup interface configuration may cause ISE services to restart. Are you sure you want to proceed? Y/N [N]: Y Stopping ISE Monitoring & Troubleshooting Log Collector... Stopping ISE Monitoring & Troubleshooting Log Processor... ISE PassiveID Service is disabled ISE pxGrid processes are disabled Stopping ISE Application Server... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Starting ISE Monitoring & Troubleshooting Session Database... Starting ISE Profiler Database... Starting ISE Application Server... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... Starting ISE EST Service... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Monitoring & Troubleshooting Log Collector... Starting ISE AD Connector... Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. ise/admin(config-GigabitEthernet)# |
NIC ボンディング機能が設定されているかどうかを確認するには、Cisco ISE CLI から show running-config コマンドを実行します。次のような出力が表示されます。
! interface GigabitEthernet 0 ipv6 address autoconfig ipv6 enable backup interface GigabitEthernet 1 ip address 192.168.118.214 255.255.255.0 !
上記の出力では、「backup interface GigabitEthernet 1」は、ギガビット イーサネット 0 に NIC ボンディングが設定されていて、ギガビット イーサネット 0 がプライマリ インターフェイス、ギガビット イーサネット 1 がバックアップ インターフェイスとされていることを示します。 また、ADE-OS 設定では、プライマリおよびバックアップのインターフェイスに効果的に同じ IP アドレスを設定していても、running config でバックアップ インターフェイスの IP アドレスは表示されません。
また、show interfaces コマンドを実行して、ボンディングされたインターフェイスを表示できます。
ise/admin# show interface
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 10.126.107.60 netmask 255.255.255.0 broadcast 10.126.107.255
inet6 fe80::8a5a:92ff:fe88:4aea prefixlen 64 scopeid 0x20<link>
ether 88:5a:92:88:4a:ea txqueuelen 0 (Ethernet)
RX packets 1726027 bytes 307336369 (293.0 MiB)
RX errors 0 dropped 844 overruns 0 frame 0
TX packets 1295620 bytes 1073397536 (1023.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
GigabitEthernet 0
flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 88:5a:92:88:4a:ea txqueuelen 1000 (Ethernet)
RX packets 1726027 bytes 307336369 (293.0 MiB)
RX errors 0 dropped 844 overruns 0 frame 0
TX packets 1295620 bytes 1073397536 (1023.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device memory 0xfab00000-fabfffff
GigabitEthernet 1
flags=6147<UP,BROADCAST,SLAVE,MULTICAST> mtu 1500
ether 88:5a:92:88:4a:ea txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device memory 0xfaa00000-faafffff
backup interface コマンドの no 形式を使用して、NIC ボンドを削除します。
ステップ 1 | 管理者アカウントを使用して Cisco ISE CLI にログインします。 |
ステップ 2 |
configure terminal と入力して、コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface GigabitEthernet 0 コマンドを入力します。 |
ステップ 4 |
no backup interface GigabitEthernet 1 コマンドを入力します。% Notice: Bonded Interface bond 0 has been removed. |
ステップ 5 |
Y を入力して、Enter を押します。 ボンド 0 が削除されました。Cisco ISE が自動的に再起動します。しばらく待ってから、すべてのサービスが正常に稼働していることを確認します。すべてのサービスが実行していることを確認するために、CLI から show application status ise コマンドを入力します。 ise/admin# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ise/admin(config)# interface gigabitEthernet 0 ise/admin(config-GigabitEthernet)# no backup interface gigabitEthernet 1 Changing backup interface configuration may cause ISE services to restart. Are you sure you want to proceed? Y/N [N]: Y Stopping ISE Monitoring & Troubleshooting Log Collector... Stopping ISE Monitoring & Troubleshooting Log Processor... ISE PassiveID Service is disabled ISE pxGrid processes are disabled Stopping ISE Application Server... Stopping ISE Certificate Authority Service... Stopping ISE EST Service... ISE Sxp Engine Service is disabled Stopping ISE Profiler Database... Stopping ISE Indexing Engine... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Starting ISE Monitoring & Troubleshooting Session Database... Starting ISE Profiler Database... Starting ISE Application Server... Starting ISE Indexing Engine... Starting ISE Certificate Authority Service... Starting ISE EST Service... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Monitoring & Troubleshooting Log Collector... Starting ISE AD Connector... Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. ise/admin(config-GigabitEthernet)# |
管理者が、誤ったパスワードをアカウントが無効になる所定の回数入力する場合があります。デフォルトの最小試行回数は 5 です。
次の手順によって、Cisco ISE CLI で application reset-passwd ise コマンドを使用して、管理者ユーザ インターフェイス パスワードをリセットします。このコマンドは、管理者の CLI のパスワードには影響を与えません。正常に管理者パスワードをリセットすると、クレデンシャルはただちにアクティブになり、システムをリブートせずにログインできます。
Cisco ISE は、 レポートにログ エントリを追加し、その管理者 ID に関連付けられたパスワードをリセットするまで、その管理者 ID のクレデンシャルを一時停止します。
ステップ 1 | ダイレクト コンソール CLI にアクセスして、次を入力します。 |
ステップ 2 |
この管理者 ID に使用されていた前の 2 つのパスワードと異なる新しいパスワードを指定して、確認します。 Enter new password: Confirm new password: Password reset successfully |
ステップ 1 | Cisco ISE CLI にログインします。 |
ステップ 2 |
次のコマンドを入力します。
ise-13-infra-2/admin(config-GigabitEthernet)# ip address a.b.c.d 255.255.255.0 % Changing the IP address might cause ISE services to restart Continue with IP address change? Y/N [N]: y Stopping ISE Monitoring & Troubleshooting Log Collector... Stopping ISE Monitoring & Troubleshooting Log Processor... Stopping ISE Identity Mapping Service... Stopping ISE pxGrid processes... Stopping ISE Application Server... Stopping ISE Certificate Authority Service... Stopping ISE Profiler Database... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE AD Connector... Stopping ISE Database processes... Starting ISE Monitoring & Troubleshooting Session Database... Starting ISE Profiler Database... Starting ISE pxGrid processes... Starting ISE Application Server... Starting ISE Certificate Authority Service... Starting ISE Monitoring & Troubleshooting Log Processor... Starting ISE Monitoring & Troubleshooting Log Collector... Starting ISE Identity Mapping Service... Starting ISE AD Connector... Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. Cisco ISE により、システムを再起動するように求められます。 |
ステップ 3 | システムを再起動する場合は Y と入力します。 |
Cisco ISE は Cisco ISE リリースおよびパッチのインストール、アップグレード、およびアンインストールの詳細を表示するコマンドライン インターフェイス(CLI)コマンドを提供します。show version history コマンドでは次の詳細が提供されます。
ステップ 1 | Cisco ISE CLI にログインします。 |
ステップ 2 |
コマンド show version history を入力します。 次の出力が表示されます。 Positron/admin# Show version history --------------------------------------------- --------------------------------------------- Install Date: Thu Mar 17 16:46:20 UTC 2016 Application: ise Version: 2.1.0.372 Install type: Application Install Bundle filename: ise.tar.gz Repository: SystemDefaultPkgRepos |
Cisco ISE アプライアンスまたは VM からすべての情報を安全に消去するために、システムの消去を実行できます。システムの消去を実行するこのオプションは、Cisco ISE が NIST Special Publication 800-88 データ破壊に関する標準を確実に準拠するようにします。
次の接続関連の状態が原因で、Cisco ISE ソフトウェア DVD を使用して Cisco ISE アプライアンスを起動しようとしたときに問題が発生する場合があることを理解しておいてください。
ステップ 1 | Cisco ISE アプライアンスの電源がオンになっていることを確認します。 |
ステップ 2 |
Cisco ISE ソフトウェア DVD を挿入します。 たとえば、Cisco ISE 3515 コンソールに次のメッセージが表示されます。 Cisco ISE Installation (Serial Console) Cisco ISE Installation (Keyboard/Monitor) System Utilities (Serial Console) System Utilities (Keyboard/Monitor) |
ステップ 3 |
矢印キーを使用して System Utilities (Serial Console) を選択して、Enter キーを押します。 次に示すような ISO ユーティリティ メニューが表示されます。 Available System Utilities: [1] Recover administrator password [2] Virtual Machine Resource Check [3] System Erase [q] Quit and reload Enter option [1 - 3] q to Quit: |
ステップ 4 |
3 を入力してシステムの消去を実行します。 コンソールに次のメッセージが表示されます。 ********** W A R N I N G ********** THIS UTILITY WILL PERFORM A SYSTEM ERASE ON THE DISK DEVICE(S). THIS PROCESS CAN TAKE UP TO 5 HOURS TO COMPLETE. THE RESULT WILL BE COMPLETE DATA LOSS OF THE HARD DISK. THE SYSTEM WILL NO LONGER BOOT AND WILL REQUIRE A RE-IMAGE FROM INSTALL MEDIA TO RESTORE TO FACTORY DEFAULT STATE. ARE YOU SURE YOU WANT TO CONTINUE? [Y/N] Y |
ステップ 5 |
Y と入力します。 コンソール プロンプトで、別の警告が表示されます。 THIS IS YOUR LAST CHANGE TO ABORT. PROCEED WITH SYSTEM ERASE? [Y/N] Y |
ステップ 6 |
Y を入力してシステムの消去を実行します。 コンソールに次のメッセージが表示されます。 Deleting system disk, please wait… Writing random data to all sectors of disk device (/dev/sda)… Writing zeros to all sectors of disk device (/dev/sda)… Completed! System is now erased. Press <Enter> to reboot. システムの消去を実行した後、アプライアンスを再利用する場合は、Cisco ISE DVD を使用してシステムを起動し、起動メニューからインストール オプションを選択します。 |