Cisco ISE クライアント プロビジョニング機能では、クライアント プロビジョニング リソースをダウンロードして、Windows および MAC OS X クライアントのエージェント プロファイルと独自のパーソナル デバイスのネイティブ サプリカント プロファイルを設定することができます。クライアント プロビジョニング リソース ポリシーにより、クライアント デバイスにリソースをダウンロードしてインストールすることが可能になります。
クライアント プロビジョニングを有効にして、ユーザがクライアント プロビジョニング リソースをダウンロードし、エージェント プロファイルを設定できるようにします。Windows クライアント、Mac OS X クライアント、およびパーソナル デバイスのネイティブ サプリカント プロファイルのエージェント プロファイルを設定できます。Cisco ISE のこの機能を無効にすることを選択した場合、ネットワークにアクセスしようとするユーザは、クライアント プロビジョニング リソースをダウンロードできないことを示す警告メッセージを受信します。
クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、ネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。
Cisco ISE のポスチャ エージェントのクライアント プロビジョニング リソースを追加し、クライアント プロビジョニング ポリシーを設定して、ユーザがクライアント マシンにクライアント プロビジョニング リソースをダウンロードしてインストールできるようにします。
クライアント プロビジョニング リソースは、エンドポイントがネットワークに接続した後にエンドポイントにダウンロードされます。クライアント プロビジョニング リソースは、デスクトップの場合はコンプライアンスとポスチャ エージェントで構成され、電話およびタブレットの場合はネイティブ サプリカント プロファイルで構成されます。クライアント プロビジョニング ポリシーによって、これらのプロビジョニング リソースがエンドポイントに割り当てられ、ネットワーク セッションが開始します。
クライアント プロビジョニング リソースは、 ボタンをクリックすることでリストに追加できます。
にリストされます。次のリソース タイプは、[追加(Add)][AnyConnect設定(AnyConnect Configuration)]:クライアント プロビジョニングで使用できるようにする AnyConnect PC クライアントを選択します。詳細については、「AnyConnect 設定の作成」を参照してください。
[ネイティブサプリカントプロファイル(Native Supplicant Profile)]:ネットワークの設定が含まれている電話とタブレット用のサプリカント プロファイルを設定します。詳細については、「ネイティブ サプリカント プロファイルの作成」を参照してください。
[NACエージェントまたはAnyConnect ISEポスチャプロファイル(NAC Agent or AnyConnect ISE Posture Profile)]:エージェント XML プロファイルを作成/配布しない場合は、ここで NAC エージェントと AnyConnect ISE ポスチャを設定します。AnyConnect ISE ポスチャ エージェントの詳細については、『AnyConnect Adminstrators Guide, ISE Posture Profile Editor』を参照してください。NAC エージェント プロファイルの詳細については、Cisco NAC Agent のエージェント カスタマイズ ファイルの作成 を参照してください。
クライアント プロビジョニング リソースを作成した後、エンドポイントにクライアント プロビジョニング リソースを適用するクライアント プロビジョニング ポリシーを作成します。クライアント プロビジョニング リソース ポリシーの設定を参照してください。
Windows クライアントおよび MAC OS x クライアント用の AnyConnect および Cisco NAC Agent、および Cisco Web Agent のために Cisco.com からクライアント プロビジョニング リソースを追加できます。選択するリソースおよび使用できるネットワーク帯域幅によっては、Cisco ISE にクライアント プロビジョニング リソースをダウンロードするのに数秒から数分かかることがあります。
Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。
自動ダウンロードでは、シスコから入手できるすべてのソフトウェアが Cisco ISE にアップロードされますが、多くの項目が展開に適していない場合があります。シスコから自動的にダウンロードせずに、可能な限り手動でリソースをアップロードすることを推奨します。
Cisco ISE で正しいプロキシ設定を設定しており、クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモート ロケーションにアクセスできることを確認します。
Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。
Cisco ISE には、必ず現行のサポートされているリソースのみをアップロードしてください。古いサポートされていないリソース(たとえば、Cisco NAC Agent の古いバージョン)を使用すると、クライアント アクセスで重大な問題が発生する場合があります。
Cisco.com からリソース ファイルを手動でダウンロードする場合は、リリース ノートの「Cisco ISE Offline Updates」の項を参照してください。
Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。
AnyConnect カスタマイズ パッケージ、AnyConnect ローカリゼーション パッケージ、AnyConnect プロファイルなどの顧客作成リソースをローカル マシンから Cisco ISE に追加します。
AnyConnect の顧客作成リソースがローカル ディスクに zip 形式のファイルで使用可能であることを確認します。
AnyConnect エージェント プロファイルの作成
この機能を使用して、Cisco ISE がネイティブ サプリカント プロビジョニング ウィザードをインストールできないパーソナル デバイスを介したユーザ ログイン セッションを Cisco ISE が処理する方法を指定します(Research In Motion の Blackberry デバイスなど)。
「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。
ネイティブ サプリカント プロファイルを作成して、ユーザが独自のデバイスを Cisco ISE ネットワークに含めることができます。ユーザがサインインすると、Cisco ISE は、ユーザの承認要件に関連付けられたプロファイルを使用して、必要なサプリカント プロビジョニング ウィザードを選択します。ウィザードは、ユーザのパーソナル デバイスを起動して設定し、ネットワークにアクセスします。
![]() (注) | プロビジョニング ウィザードは、アクティブなインターフェイスのみを設定します。このため、有線接続ユーザと無線接続ユーザは、どちらもアクティブになっている場合を除き、両方のインターフェイスにはプロビジョニングされません。 |
リモート デバイス登録に TLS デバイス プロトコルを使用しようとしている場合、少なくとも 1 つの Simple Certificate Enrollment Protocol(SCEP)プロファイルを設定します。
TCP ポート 8909 および UDP ポート 8909 を開き、Cisco NAC Agent、Cisco NAC Web Agent、およびサプリカント プロビジョニング ウィザードのインストールを有効にします。ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide』の付録「Cisco ISE Appliance Ports Reference」を参照してください。
ステップ 1 | を選択します。 |
ステップ 2 | を選択します。 |
ステップ 3 | に示す説明を使用して、プロファイルを作成します。 ネイティブ サプリカント プロファイルの設定 |
「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。
の順に選択し、ネイティブ サプリカント プロファイルを追加すると、次の設定が表示されます。
1 つ以上のワイヤレス プロファイルを設定します。クライアントで使用可能にする SSID ごとに 1 つを設定します。
[SSID名(SSID Name)]:クライアントが接続する SSID の名前。
[プロキシ自動コンフィギュレーションファイルのURL(Proxy Auto-Config File URL)]:サプリカントのネットワーク設定を取得するためにクライアントがプロキシに接続する場合は、そのプロキシ サーバへの URL を入力します。
プロキシホスト/IP(Proxy Host/IP)
プロキシ ポート(Proxy Port)
[セキュリティ(Security)]:WPA または WPA2 を使用するようにクライアントを設定します。
[許可されているプロトコル(Allowed Procotol)]:クライアントが認証サーバに接続するのに使用するプロトコルを設定します(PEAP または EAP-TLS)。
[証明書テンプレート(Certificate Template)]:TLS の場合は、 で定義された証明書テンプレートのいずれかを選択します。
オプション設定は、「オプション設定:Windows の場合」の項で説明します。
iOS 設定
[オプション(Optional)] を展開すると、Windows クライアントの場合は次のフィールドも使用できます。
[認証モード(Authentication Mode)]:許可のクレデンシャルとして、[ユーザ(User)]、[マシン(Machine)] またはその両方を使用するかを決定します。
[自動的にログイン名とパスワード(およびもしあればドメイン)を使用する(Automatically use logon name and password (and domain if any))]:認証モードで [ユーザ(User)] を選択すると、ユーザにプロンプトを表示することなくログインおよびパスワードを使用します(その情報が使用できる場合)。
[高速再接続を有効にする(Enable Fast Reconnect)]:セッションの再開機能が PEAP プロトコル オプションで有効な場合(これは、 で設定されます)、PEAP セッションはユーザ クレデンシャルをチェックすることなく再開できます。
[隔離チェックを有効にする(Enable Quarantine Checks)]:クライアントが隔離されたかどうかを確認します。
[サーバが暗号化バインドTLVを示さない場合に切断する(Disconnect if server does not present cryptobinding TLV)]:暗号化バインド TLV がネットワーク接続でサポートされていない場合に切断します。
[新規サーバまたは信頼できる証明機関の承認をユーザに求めない(Do not prompt user to authorize new servers or trusted certification authorities)]:自動的にユーザ証明書を受け入れ、ユーザにプロンプトを表示しません。
[ネットワークが名前(SSID)をブロードキャストしていなくても接続する(Connect even if the network is not broadcasting its name (SSID))]:ワイヤレス プロファイルの場合のみ。
次の表に、[高度なマルウェア防御(AMP)イネーブラプロファイル(Advanced Malware Protection (AMP) Enabler Profile)] ページのフィールドを示します。ナビゲーション パスは、 です。
[追加(Add)] ドロップダウン矢印をクリックし、[AMPイネーブラプロファイル(AMP Enabler Profile)] を選択します。
ISE 埋め込みプロファイル エディタまたはスタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成できます。
ISE 埋め込みプロファイル エディタを使用して AMP イネーブル プロファイルを作成するには、次の手順を実行します。
SOURCEfire ポータルからエンドポイント ソフトウェアの AMP をダウンロードし、ローカル サーバでホスティングします。
[管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に移動して、エンドポイント ソフトウェアの AMP をホストするサーバの証明書を ISE 証明書ストアにインポートします。
[AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。
SOURCEfire ポータルにログインして、エンドポイント グループのポリシーを作成し、エンドポイント ソフトウェアの AMP をダウンロードする必要があります。ソフトウェアには、選択したポリシーが事前設定されています。2 つのイメージ、すなわち Windows OS の場合はエンドポイント ソフトウェアの AMP、Mac OSX の場合はエンドポイント ソフトウェアの AMP の再頒布可能なバージョンをダウンロードする必要があります。ダウンロードされたソフトウェアは、エンタープライズ ネットワークからアクセスできるサーバでホストされます。
AnyConnect スタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成するには、次の手順を実行します。
AnyConnect 4.1 スタンドアロン エディタを使用して、XML 形式のプロファイルをアップロードして AMP イネーブラ プロファイルを作成できます。
Cisco.com から Windows および Mac OS の AnyConnect スタンドアロン プロファイル エディタをダウンロードします。
スタンドアロン プロファイル エディタを起動し、[AMPイネーブラプロファイルの設定(AMP Enabler Profile Settings)]AMP イネーブラ プロファイルの設定で指定されているようにフィールドに入力します。
プロファイルを XML ファイルとしてローカル ディスクに保存します。
[AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。
[Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに SOURCEfire URL を入力して [オン(Check)] をクリックすると、次のエラーのいずれかが発生する場合があります。
エラー メッセージ:「MacまたはWindowsのインストーラファイルを含むサーバの証明書がISEによって信頼されていません。(The certificate for the server containing the Mac/Windows installer file is not trusted by ISE.)信頼証明書を [管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に追加します。(Add a trust certificate to Administration > Certificates > Trusted Certificates.)」
このエラー メッセージは、Cisco ISE 証明書ストアに SOURCEfire の信頼できる証明書をインポートしていない場合に表示されます。SOURCEfire の信頼できる証明書を入手し、Cisco ISE の信頼できる証明書ストア([管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])にインポートします。
エラー メッセージ:「インストーラファイルがこの場所で見つかりません。接続の問題である可能性があります。(The installer file is not found at this location, this may be due to a connection issue.)有効なパスを [インストーラ(Installer)] テキスト ボックスに入力するか、または接続を確認します。(Enter a valid path in the Installer text box or check your connection.)」
このエラー メッセージは、エンドポイント ソフトウェアの AMP をホストしているサーバがダウンした場合、または [Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに入力ミスがある場合に表示されます。
エラー メッセージ:「[Windowsインストーラ(Windows Installer)]または[MACインストーラ(MAC Installer)]テキスト ボックスに有効なURLが含まれていません。(The Windows/Mac installer text box does not contain a valid URL.)」
このエラー メッセージは、構文的に正しくない URL 形式を入力した場合に表示されます。
AnyConnect 設定には、AnyConnect ソフトウェアおよび関連するコンフィギュレーション ファイルが含まれます。この設定は、ユーザがクライアントで AnyConnect リソースをダウンロードしてインストールできるクライアント プロビジョニング ポリシーで使用できます。AnyConnect を展開するために ISE および ASA を使用した場合、設定は両方のヘッドエンドで一致する必要があります。
AnyConnect 設定オブジェクトを設定する前に AnyConnect パッケージ、コンプライアンス モジュール、プロファイル、およびオプションのカスタマイゼーション バンドルとローカリゼーション バンドルをアップロードする必要があります。
AnyConnect や NAC ポスチャのエージェント プロファイルを作成するには、次の手順を実行します。このプロファイルでは、エージェントの動作を定義するパラメータ、クライアント IP アドレスをリフレッシュするかどうかに関連するパラメータ、およびポスチャ プロトコルのパラメータを指定できます。
シスコは、エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を自動的に閉じるために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。ただし、クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、 の設定を使用して、同じ目的を達成できます。
ポリシー適用または他の方法でクライアント デバイスにエージェント プロファイルを設定してアップロードすると、そのエージェント プロファイルはクライアント上で維持され、他の何かに変更するまで、ログインおよび操作の動作に影響を及ぼします。したがって、エージェント プロファイルを Cisco ISE から削除しても、以前影響を受けたクライアントからその動作はなくなりません。ログインおよび操作の動作を変更するには、クライアント上の、既存のエージェント プロファイル パラメータの値を上書きする新しいエージェント プロファイルを定義し、これをポリシー適用によってアップロードする必要があります。
クライアントにあるものと異なるエージェント プロファイルが Cisco ISE にある場合(MD5 チェックサムを使用して判定)、Cisco ISE は、新しいエージェント プロファイルをクライアントにダウンロードします。Cisco ISE から送信されるエージェント カスタマイズ ファイルが異なる場合にも、Cisco ISE は新しいエージェント カスタマイズ ファイルをクライアントにダウンロードします。
次の表に、ポスチャ エージェント(AnyConnect および Cisco NAC Agent)のパラメータを設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、
です。
フィールド |
デフォルト値(Default Value) |
モード(Cisco ISE NAC Agent にのみ該当) |
使用上のガイドライン |
---|---|---|---|
エージェントの終了の無効化。(Disable Agent Exit.)(Mac OS X クライアントには適用できません) |
なし |
マージ |
値を [はい(Yes)] に設定すると、ユーザはエージェントをシステム トレイ経由で終了できません。 |
アクセシビリティ モードの有効化(Enable Accessibility Mode)(Mac OS X クライアントには適用できません) |
[いいえ(No)]:エージェントは Job Access with Speech(JAWS)と相互作用しません |
マージ |
値を [はい(Yes)] に設定すると、JAWS 画面リーダーと互換性を持ちます。 この機能を有効にすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能を有効にしても、エージェントは正常に機能します。 |
署名チェックの有効化(Enable signature check)(Mac OS X クライアントには適用できません) |
なし |
上書き |
値を [はい(Yes)] に設定すると、修復プログラムを起動する前に Windows は実行ファイルのデジタル署名をチェックできます。 |
概要画面のバイパス(Bypass Summary Screen)(Mac OS X クライアントには適用できません) |
○ |
マージ |
|
ロケール(Locale)(Mac OS X クライアントには適用できません) |
デフォルト |
マージ |
デフォルト設定では、エージェントはクライアント オペレーティング システムからロケール設定を使用できます。 この設定が、サポートされている言語の ID、略称、または正式名称の場合、エージェントは自動的に、クライアント マシンのエージェント ダイアログをローカライズされたテキストで表示します。 |
ポスチャ レポート フィルタ(Posture report filter)(Mac OS X クライアントには適用できません) |
表示が失敗しました(Display Failed) |
マージ |
値を [表示が失敗しました(Display Failed)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートに修復エラーのみが表示されます。 値を [すべて表示(Display All)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートにすべての結果が表示されます。 |
修復タイマー(Remediation timer) |
4 |
上書き |
この設定では、クライアント マシンで失敗したポスチャ評価チェックを修復する時間を指定します。この分数を経過すると、ログイン プロセスを再び実行する必要があります。有効な範囲は 1 ~ 300 分です。 |
ネットワーク遷移遅延(Network Transition Delay) |
3 |
上書き |
この設定では、ネットワーク遷移(IP アドレスの変更)を待機する時間を指定します。これが経過すると、修復タイマーのカウントダウンが開始されます。有効な範囲は 2 ~ 30 秒です。 |
ログ ファイル サイズ(Log file size) |
5 |
マージ |
この設定では、クライアント マシン上のエージェント ログ ファイルのファイル サイズ(メガバイト単位)を指定します。 ログ ファイル サイズがゼロに設定されている場合、エージェントは、クライアント マシン上のユーザ セッションに関するログインまたは操作情報を記録しません。 ログ ファイル サイズがゼロ以外の場合、エージェント レコードは指定されたメガバイト数までログインおよびセッション情報を記録します。 |
自動クローズの有効化。(Enable Auto Close.)(AnyConnect には適用されません) |
なし |
上書き |
この設定が [はい(Yes)] の場合、エージェント ログイン ダイアログをユーザ認証後に自動的に閉じることができます。 |
自動クローズ タイマー(Auto close timer)(AnyConnect には該当しません) |
[0] |
上書き |
この設定では、エージェント ログイン画面は指定された時間待機して、ユーザ認証後に自動的に閉じることができます。有効な範囲は、0 ~ 30 秒です。 |
![]() (注) | パラメータ値を既存のエージェント プロファイルの設定でマージするか、Windows および Mac OS X クライアントのエージェント動作を適切に設定するために上書きします。 |
![]() (注) | エージェント ログ ファイルは、クライアント マシンのディレクトリに保存されます。1 回目のログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在のセッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、エージェントのログインおよび操作情報の最初の部分が自動的にディレクトリ内のバックアップ ファイルになり、エージェントは引き続き最新のエントリを現在のセッション ファイルに記録していきます。 |
次の表に、VLAN の変更後に IP アドレスをリフレッシュするようにクライアントのパラメータを設定できる [NAC AnyConnect ポスチャ プロファイル(NAC AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、
です。
フィールド |
デフォルト値(Default Value) |
モード(Cisco NAC Agent にのみ該当) |
使用上のガイドライン |
---|---|---|---|
VLAN 検出間隔(VLAN detection interval) |
0、5 |
マージ |
この設定は、エージェントが VLAN 変更をチェックする間隔です。 Windows NAC エージェントの場合、デフォルト値は 0 です。デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows に対して無効にされます。有効な値の範囲は 0 ~ 5 秒です。 Mac OS X エージェントの場合、デフォルト値は 5 です。Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、VlanDetectInteval を 5 秒として有効になっています。有効な範囲は 5 ~ 900 秒です。 0:認証 VLAN 変更機能へのアクセスは無効化されます。 1 ~ 5:エージェントはインターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)クエリーを 5 秒ごとに送信します。 6 ~ 900:ICMP/ARP クエリーが x 秒ごとに送信されます。 |
UI なしの VLAN 検出の有効化(Enable VLAN detection without UI)(Mac OS X クライアントには適用できません) |
なし |
マージ |
この設定は、ユーザがログインしていないときでも VLAN 検出を有効または無効にします。 No:VLAN 検出機能は無効です。 Yes:VLAN 検出機能が有効です。 |
再試行検出数(Retry detection count) |
3 |
マージ |
インターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)ポーリングが失敗する場合、この設定で、クライアント IP アドレスをリフレッシュする前に x 回再試行するようにエージェントを設定します。 |
Ping または ARP(Ping or ARP) |
[0] 有効な範囲は 0 ~ 2 です。 |
マージ |
この設定は、クライアント IP アドレスの変更を検出するために使用する方式を指定します。 0:ICMP を使用してポーリング 1:ARP を使用してポーリング 2:最初に ICMP を使用し、(ICMP が失敗した場合は)ARP を使用してポーリング |
ping の最大タイムアウト(Maximum timeout for ping) |
1 有効な値の範囲は 1 ~ 10 秒です。 |
マージ |
ICMP を使用してポーリングし、指定した時間内に応答がない場合は、ICMP ポーリングの失敗を宣言します。 |
エージェント IP のリフレッシュの有効化(Enable agent IP refresh) |
Yes(デフォルト) |
上書き |
この設定は、スイッチ(または WLC)が各スイッチ ポートでクライアントのログイン セッション用 VLAN を変更した後にクライアント マシンが IP アドレスをリフレッシュするかどうかを指定します。 |
DHCP 更新遅延(DHCP renew delay) |
[0] 有効な値の範囲は 0 ~ 60 秒です。 |
上書き |
この設定は、ネットワーク DHCP サーバからの新しい IP アドレスの要求を試行する前に、クライアント マシンが待機するように指定します。 |
DHCP リリース遅延(DHCP release delay) |
[0] 有効な値の範囲は 0 ~ 60 秒です。 |
上書き |
この設定は、現在の IP アドレスをリリースする前にクライアント マシンが待機するように指定します。 |
![]() (注) | パラメータ値は、既存のエージェント プロファイル設定とマージするか、または上書きして、Windows および Mac OS X クライアントで適切に IP アドレスがリフレッシュされるように設定します。 |
次の表では、ポスチャ プロトコル設定を設定できる [NAC AnyConnect プロファイル(NAC AnyConnect Profile)] ページのフィールドについて説明します。このページへのナビゲーション パスは、
です。
フィールド |
値 |
[モード(Mode)] |
使用上のガイドライン |
---|---|---|---|
CRL チェックの許可(Allow CRL Checks)(Mac OS X クライアントからは不可) |
○ |
上書き |
値が No に設定されている場合、検出およびネゴシエーション時の証明書失効リスト(CRL)のチェックがオフになります。 |
MAC アドレス例外リスト(MAC Address Exemption List)(Mac OS X クライアントからは不可) |
カンマで区切った MAC アドレスを入力します。たとえば、AA:BB:CC:DD:EE:FF、11:22:33:44:55:66 |
マージ |
この設定で 1 つまたは複数の MAC アドレスを指定すると、エージェントは、ログインと認証の間、ネットワーク経由で不要な MAC アドレスが送信されることを防ぐために、これらの MAC アドレスを Cisco ISE にアドバタイズしません。 |
Discovery Host(Mac OS X クライアントからは不可) |
IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。 |
上書き |
この設定では、レイヤ 3 配置で Cisco ISE に接続するためにエージェントが使用する Discovery Host のアドレスまたは解決可能なドメイン名を指定します。 |
Discovery Host の有効化(Enable Discovery Host)(Mac OS X クライアントからは不可) |
○ |
上書き |
Yes:ユーザが [エージェントのプロパティ(agent Properties)] ダイアログボックスの [ホストの検索(Discovery Host)] フィールドにカスタム値を指定できます。 No:ユーザがクライアント マシンの [ホストの検索(Discovery Host)] フィールドの値を変更できません。 |
サーバ名ルール(Server Name Rules) |
Cisco ISE サーバの完全修飾ドメイン名(FQDN)をカンマで区切って入力します。 |
マージ |
このフィールドは、関連する Cisco ISE サーバのカンマ区切り名から構成されます。エージェントは、このリストの名前を使用して、Cisco ISE アクセス ポイントを許可します。このリストが空の場合、許可は実行されません。いずれの名前も見つからない場合、エラーが報告されます。 |
自動生成 MAC アドレス(Auto-generated MAC Address)(Mac OS X クライアントからは不可) |
— |
マージ |
この設定は、クライアント マシンでの Evolution-Data 最適化接続をサポートしています。クライアント マシンにアクティブなネットワーク インターフェイス カードがない場合、エージェントはシステムにダミーの MAC アドレスを作成します。 |
SWISS タイムアウト(SWISS Timeout)(Mac OS X クライアントからは不可) |
1:エージェントは、設計どおりに SWISS 検出を実行し、追加の UDP 応答パケット遅延タイムアウト値は使用されません。 |
マージ |
値を 1 よりも大きく設定すると、エージェントは Cisco ISE からの SWISS UDP 検出応答パケットを追加の秒数だけ待機してから、別の検出パケットを送信します。エージェントは、このアクションを実行して、ネットワーク遅延による応答パケットの遅延が発生していないことを確認します。(SWISS タイムアウトは UDP SWISS タイムアウトの場合のみ) |
L3 SWISS 遅延の無効化(Disable L3 SWISS delay)(Mac OS X クライアントからは不可) |
なし |
マージ |
この設定が Yes の場合、エージェントはレイヤ 3 検出パケットの送信間隔を長くする機能を無効にします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。 |
HTTP 検出タイムアウト(HTTP Discovery Timeout)(Mac OS X クライアントからは不可) |
30(Windows クライアントのデフォルト) 有効な範囲は 3 秒以上です。 |
マージ |
この設定は、エージェントからの HTTPS 検出が Cisco ISE からの検出応答を待機する HTTP 検出タイムアウトを指定します。指定時間内に応答がない場合は、検出プロセスはタイムアウトになります。 値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。 値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。 |
HTTP タイムアウト(HTTP Timeout)(Mac OS X クライアントからは不可) |
120(Windows クライアントのデフォルト) 有効な範囲は 3 秒以上です。 |
マージ |
この設定は、エージェントからの HTTP 要求が応答を待機する HTTP タイムアウトを指定します。指定時間内に応答がないと、要求はタイムアウトになり、検出プロセスはタイムアウトになります。 値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。 値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。 |
Cisco ISE では、内部ネットワークにユーザがアクセスするときに使用するログイン セッションのタイプを分類する場合に、次のようなさまざまな要素を調べます。
Cisco ISE は、クライアント マシンを分類した後、クライアント プロビジョニング リソース ポリシーを使用して、適切なエージェント バージョン、アンチウイルスとアンチスパイウェアのベンダー サポートに対する最新のコンプライアンス モジュール、および(必要に応じて)正しいエージェント カスタマイズ パッケージとプロファイルで、クライアント マシンが設定されていることを確認します。
ユーザの認証と許可の後、クライアント マシン ブラウザに「ポリシーが一致しません(no policy matched)」のエラー メッセージが表示されます。この問題は、認証のクライアント プロビジョニング フェーズ中のユーザ セッションに該当します。
ネットワークとの一致に必要な適切なエージェント プロファイル情報を含むエージェント設定 XML ファイル(NACAgentCFG.xml という名前)とともに、MSI インストーラをディレクトリに、または MSI インストーラの zip バージョンをクライアント マシン上に置くことができます。
ステップ 1 | nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルをシスコのソフトウェア ダウンロード サイト(http://software.cisco.com/download/navigator.html)からダウンロードし、 に移動します。 |
ステップ 2 | nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:\temp\nacagentsetup-win.msi)。 |
ステップ 3 | Agent 設定 XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。
Cisco ISE に接続しない場合は、すでに正常にプロビジョニングされたクライアントから NACAgentCFG.xml ファイルをコピーできます。ファイルは、C:\Program Files\Cisco\Cisco NAC Agent\NACAgentCFG.xml にあります。 Agent 設定 XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent 設定 XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、エージェントは最初に起動されたとき、正しいレイヤ 3 ネットワーク上の場所をポイントすることができます。 |
ステップ 4 | クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。
msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log (/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します) NAC Agent をアンインストールするには、次のコマンドを実行します。msiexec /x NACAgentSetup-win-<version>.msi /qnMSI を使用してエージェントの新しいバージョンをインストールする場合、古いバージョンがアンインストールされ、上記のコマンドを使用して新しいバージョンがインストールされます。 |
ステップ 5 | Altiris/SMS を使用して MSI インストーラを分散する場合は、エージェントのカスタマイゼーション ファイルを「%TEMP%/CCAA」ディレクトリの「brand」という名前のサブディレクトリに置きます。Cisco NAC Agent がクライアントにインストールされるとき、このカスタマイズは Agent に適用されます。カスタマイズを削除するには、カスタマイズ ファイルなしの MSI を送信します。 |
エージェントとは、Cisco ISE ネットワークにログインしているクライアント マシンに存在するアプリケーションです。クライアントがネットワークにログインしていない場合でも、エージェントは永続的にすることができ(AnyConnect、Cisco NAC Agent for Windows および Cisco NAC Agent for Mac OS X と同様)、インストール後もクライアント マシンに残ります。エージェントは一時的にすることもでき(Cisco NAC Web Agent と同様)、ログイン セッション終了後にクライアント マシンから削除されます。いずれの場合も、エージェントはネットワークにログインし、適切なアクセス プロファイルを受け取り、クライアント マシンでポスチャ評価を実行してネットワークのコアにアクセスする前にネットワーク セキュリティ ガイドラインに従うようにします。
![]() (注) | 現在 Cisco NAC Agent および Cisco NAC Web Agent は、クライアント プロビジョニング ポータルおよびネイティブ サプリカント プロビジョニングをサポートします。Cisco NAC Web Agent は、中央 Web 認証フロー(CWA)をサポートしていますが、Cisco NAC Agent は CWA をサポートしません。 |
Cisco ISE は、Windows および Mac OS x クライアントでの AnyConnect とレガシー Cisco ISE NAC エージェントの共存をサポートします。エージェントは、クライアント上のネットワークに変更があった場合にのみ、ポスチャ検出プローブを開始します。Cisco ISE はクライアント プロビジョニング ポリシーに基づいて、クライアントのポスチャ検出プローブに応答し、対応するエージェントが検出応答を取得します。このエージェントが唯一のアクティブ エージェントになります。
Cisco ISE では、クライアント プロビジョニング ポリシーに基づいて、次のようにエージェント ポスチャ検出プローブへの応答が異なります。
エンドポイントがレガシー エージェント(Windows および Mac OS x 用の Cisco ISE NAC エージェント)を使用するように設定されている場合、エージェントは検出応答と既存の形式の文字列「X-perfigo-CAS=FQDN」を受信します。レガシー エージェント用の検出応答が受信された場合、AnyConnect は検出を停止します。
エンドポイントが AnyConnect を使用するように設定されている場合、Cisco ISE は別の形式で応答します。これは、Cisco ISE ポリシー サービス ノードの FQDN および AnyConnect 設定 URL になり、AnyConnect パッケージの場所およびバージョンはクライアント プロビジョニング ポリシーに基づきます。AnyConnect 用の応答が受信された場合、レガシー エージェントは検出を停止します。
Web Agent は検出プローブを行いません。Web Agent を使用するようにエンドポイントが設定されている場合、Cisco ISE は X-ISE-PDP-WEBAGENT=FQDN の形式を使用して応答します。Web Agent を使用するようにクライアント プロビジョニング ポリシーが設定されている場合、Web Agent 検出応答はクライアントの Cisco NAC Agent を呼び出すために使用されます。
管理者とユーザはフル ネットワーク アクセスを想定していますが、ログインと認証の後にクライアント マシンにネットワークへの「一時的なアクセス」が付与されます。
ユーザは、ネットワーク接続を確認して再度ログインを試行し(またポスチャ評価を通過し)、接続の再構築を試みる必要があります。
ユーザに対して「Clean Access Server が使用できません(Clean access server not available)」というメッセージが表示されます。この問題は、Cisco ISE からのすべてのエージェント認証セッションに適用されます。
このエラーは、セッションが終了していること、またはネットワーク上で Cisco ISE が到達不可能となったことのいずれかを意味する場合があります。
![]() (注) | Cisco AnyConnect は CWA フローでサポートされていません。これは、[ワーク センター(Work Centers)]の [ゲスト アクセス(Guest Access)]> [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)] ページの [ゲスト デバイス コンプライアンスが必要(Require guest device compliance)] フィールドを使用してゲスト ポータルからプロビジョニングできません。代わりに、AnyConnect は認証権限に設定されるリダイレクションの結果として、クライアント プロビジョニング ポータルからプロビジョニングする必要があります。 |
AnyConnect エージェントとの統合に Cisco ISE を利用するために、Cisco ISE は次のように動作します。
Cisco NAC Agent がデフォルトの場所にインストールされているシステムでは、.xml ファイルは次のディレクトリにあります。
nac_login.xml ファイルは「C:\Program Files\Cisco\Cisco NAC Agent\UI\nac_divs\login」ディレクトリにあります。
nacStrings_xx.xml ファイルで、「xx」はロケールを示します。ファイルの全リストは「C:\Program Files\Cisco\Cisco NAC Agent\UI\cues_utility」ディレクトリにあります。
エージェントが別の場所にインストールされている場合には、ファイルは「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。
Cisco NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。
ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Cisco NAC Agent を使用すると、Windows の更新またはアンチウイルスやアンチスパイウェアの定義の更新を実行したり、正規の修復プログラムを起動したり、Cisco ISE サーバにアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布したりすることができます。
シスコは、最新の Windows ホット フィックスとパッチが Windows XP クライアントにインストールされ、Cisco NAC Agent がセキュアで暗号化された Cisco ISE との通信を確立できることを確認することを推奨します(SSL over TCP など)。
Cisco NAC Agent は Windows クライアントの C:\Program Files\Cisco\Cisco NAC Agent\ にインストールされます。
Agent は、次の方法でアンインストールできます。
Cisco NAC Agent では、「修復で障害発生」や「ネットワーク アクセスの期限切れ」などのためにユーザがネットワーク アクセスを取得できなかった場合は、エージェントによって「Network not available, Click "OK" to continue」という Toast 通知が表示されます。
詳細を取得するには、toast を選択すると、デスクトップ モードにリダイレクトされ、Cisco NAC Agent ダイアログが表示されます。
Toast 通知は、ネットワーク アクセスを取得するために実行する必要があるすべてのプラス推奨処置に対して表示されます。次に例を示します。
ネットワーク受信ポリシーの場合は、「Click Accept to gain network access」という toast が表示されます。
エージェント/コンプライアンス モジュールのアップグレードの場合は、「Click OK to Upgrade/Update」という toast が表示されます。
「user logged out」イベントでは、Clean Access Manager(CAM)でログオフの「Auto Close」オプションが有効でない場合に、Toast 通知が表示されます。この toast により、ユーザがログアウトされており、ネットワークにアクセスするには再度ログインする必要があることがわかります。
Cisco NAC OS X Agent により、Macintosh クライアント マシンはポスチャ評価および修復を実行できます。
ユーザは Cisco NAC OS X Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、アンチウイルスおよびアンチスパイウェアの定義の更新をチェックすることができます。
Cisco NAC OS X Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージをチェックし、レポートを Cisco ISE サーバに返送します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、エージェントは満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、クライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。
次のアンインストール スクリプトを実行して、Mac OS X クライアントの Cisco NAC Agent をアンインストールできます。
Cisco Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。
ユーザは Cisco Web Agent 実行ファイルを起動することができ、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。
Cisco Web Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージのホスト レジストリ、プロセス、アプリケーション、およびサービスをチェックし、レポートを Cisco ISE サーバに送信します。クライアント マシンに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、ユーザ ログイン ロールの要件を満たすようにクライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。
![]() (注) | ActiveX は 32 ビット版の Internet Explorer でのみサポートされます。Firefox Web ブラウザまたは 64 ビット版の Internet Explorer のバージョンでは、ActiveX をインストールできません。 |
Cisco NAC Agent for Windows で、[エージェント トレイ(Agent Tray)] アイコンを右クリックし、[ログ パッケージ(Log Package)] をクリックして、サポート パッケージを実行し、ログを収集します。
Cisco NAC Agent for Cisco NAC OS X で、[ツール(Tools)] メニューの [エージェント(Agent)] アイコンを右クリックして、[サポート ログの収集(Collect Support Logs)] オプションをクリックして、エージェントのログとサポート情報を収集します。収集された情報は、ZIP ファイルとして提供されます。ユーザは、ファイルの場所とファイル名を選択して、ファイルを保存できます。デフォルトでは、ファイルは CiscoSupportReport.zip というファイル名でデスクトップに保存されます。
エージェントがクラッシュまたはハングした場合は、CCAAgentLogPackager.app を実行してログを収集することができます。このファイルは /Applications/CCAAgent.app で入手できます。[CCAAgent.app] を右クリックして、[パッケージ コンテンツの表示(Show Package Contents)] を選択し、[CCAAgentLogPackager] をダブルクリックして、サポート情報を収集します。
エージェント カスタマイズ ファイルにより、Cisco NAC Agent 画面ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
XML ディスクリプタ ファイルを含む .zip ファイルとしてカスタマイゼーション パッケージを作成し、カスタマイズされたオプションから成るコンテンツを含む別の .zip ファイルを作成することができます。
ステップ 1 | [エージェント(Agent)] 画面のカスタマイズ パッケージを構成するために必要なファイルを組み合わせます。 |
ステップ 2 | 完成したファイルを含む「brand-win.zip」と呼ばれる zip ファイルを作成します。たとえば、Linux または UNIX 環境で、次を実行します。zip -r brand-win.zip nac_login.xml nac_logo.gif nacStrings_en.xml nacStrings_cy.xml nacStrings_el.xml |
ステップ 3 | 適切な updateFeed.xml ディスクリプタ ファイルと上記で作成された .zip ファイルを含む「custom.zip」ファイルを作成します。たとえば、Linux または UNIX 環境で、次を実行します。zip -r custom.zip updateFeed.xml brand-win.zip |
ステップ 4 | 完成した「custom.zip」ファイルを、Cisco ISE にアップロードする場合にアクセスできるローカル マシン上の場所に保存します。 |
nac_login.xml ファイルは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] ウィンドウなどの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
適切な「nac_login.xml」ファイルを作成して [Cisco NAC Agent] 画面に含まれるロゴ、フィールド、およびメッセージ テキストをカスタマイズするには、次のテンプレートを使用します。
<tr class="nacLoginMiddleSectionContainerInput"> <td colspan="2"> <fieldset width="100%" id="nacLoginCustomAlert" style="display:block" class="nacLoginAlertBox"> <table width="100%"> <tr> <td id="nacLoginCustomAlert.img" valign="top" width="32px"> <img src="./cues_icons/Status_warning_icon.png" align="absmiddle" onload="cuesFixPNG(null,this)"></img> </td> <td id="nacLoginCustomAlert.content" class="nacLoginAlertText"> <cues:localize key="login.customalert"/> </td> </tr> </table> </fieldset> </td> </tr> <tr id="nacLoginRememberMe" style="visibility:hidden"> <td> <cues:localize key="cd.nbsp"/> </td> <td class="cuesLoginField"> <nobr> <input type="checkbox" alt="" title="" name="rememberme" id="rememberme" checked="true"/> <cues:localize key="login.remember_me"/> </nobr> </td> </tr>
これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
次のテンプレートを使用して、1 つ以上の nacStrings_xx.xml ファイルを作成します。ここで、xx は特定言語の 2 文字の ID です。
次に、カスタマイズされた nacStrings_xx.xml ファイルの例を示します。
<cueslookup:appstrings xmlns:cueslookup="http://www.cisco.com/cues/lookup"> <cueslookup:name key="nac.brand.legal_name">Cisco Systems, Inc.</cueslookup:name> <cueslookup:name key="nac.brand.full_name">Cisco Systems</cueslookup:name> <cueslookup:name key="nac.brand.short_name">Cisco</cueslookup:name> <cueslookup:name key="nac.brand.abbreviation">Cisco</cueslookup:name> <cueslookup:name key="nac.copyright">Copyright </cueslookup:name> <cueslookup:name key="nac.copyright.period">2009-2013</cueslookup:name> <cueslookup:name key="nac.copyright.arr">All Rights Reserved</cueslookup:name> <cueslookup:name key="updateagent.rqst">NAC Agent %1 is available.%br% Do you want to install this update now?</cueslookup:name> <cueslookup:name key="updateagent.rqst.retry">Unable to update NAC Agent. Please try again.</cueslookup:name> <cueslookup:name key="downloadagent.report">Downloading the update of NAC Agent.</cueslookup:name> <cueslookup:name key="downloadagent.packagename.label">Package Name</cueslookup:name> <cueslookup:name key="downloadagent.completed.label">Completed</cueslookup:name> <cueslookup:name key="downloadagent.completed.value">%1 of %2 bytes</cueslookup:name> <cueslookup:name key="downloadagent.speed.label">Speed</cueslookup:name> <cueslookup:name key="downloadagent.speed.value">%1 bytes/sec</cueslookup:name> <cueslookup:name key="updateopswat.rqst">NAC Agent Posture component version %1 is available.%br% Do you want to install this update now?</cueslookup:name> <cueslookup:name key="updateopswat.rqst.retry">Unable to update NAC Agent Posture component. Please try again.</cueslookup:name> <cueslookup:name key="downloadopswat.report">Downloading the update of NAC Agnet Posture component.</cueslookup:name> <cueslookup:name key="login.productname">Education First Compliance Check</cueslookup:name> <cueslookup:name key="login.version">Version</cueslookup:name> <cueslookup:name key="login.opswatversion">Posture Component Version</cueslookup:name> <cueslookup:name key="login.username">Enter your username</cueslookup:name> <cueslookup:name key="login.password">Enter your PIN</cueslookup:name> <cueslookup:name key="login.remember_me">Remember Me</cueslookup:name> <cueslookup:name key="login.server">Server</cueslookup:name> <cueslookup:name key="login.customalert">Custom EF package version 2.1.1.1 with EF Logo</cueslookup:name> <cueslookup:name key="login.Too many users using this account">This account is already active on another device</cueslookup:name> <cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name> <cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name> <cueslookup:name key="menu_devtools">Dev Tools</cueslookup:name> <cueslookup:name key="c.sso.ad">Performing Windows Domain automatic login for NAC</cueslookup:name> <cueslookup:name key="c.sso.generic">Unknown authentication type</cueslookup:name> <cueslookup:name key="c.sso.macauth">Performing device filter automatic login for NAC</cueslookup:name> <cueslookup:name key="c.sso.vpn">Performing automatic login into NAC environment for remote user</cueslookup:name> <cueslookup:name key="c.title.status.authenticating">Authenticating User</cueslookup:name> <cueslookup:name key="c.title.status.answeringchallenge">Sending Response</cueslookup:name> <cueslookup:name key="c.title.status.checking">Checking Requirements</cueslookup:name> <cueslookup:name key="c.title.status.checkcomplete">System Check Complete</cueslookup:name> <cueslookup:name key="c.title.status.loggedin">NAC Process Completed</cueslookup:name> <cueslookup:name key="c.title.status.netaccess.none">NAC Process Completed</cueslookup:name> <cueslookup:name key="c.title.status.netpolicy">Network Usage Policy</cueslookup:name> <cueslookup:name key="c.title.status.properties">Agent Properties & Information</cueslookup:name> <cueslookup:name key="c.title.status.remediating">Remediating System</cueslookup:name> <cueslookup:name key="c.title.status.session.expired">Session has Expired</cueslookup:name> <cueslookup:name key="c.title.status.update.available">Update Agent</cueslookup:name> <cueslookup:name key="c.title.status.update.downloading">Downloading Agent</cueslookup:name> <cueslookup:name key="c.title.status.update.opswat.available">Update Posture Component</cueslookup:name> <cueslookup:name key="c.title.status.update.opswat.downloading">Downloading Posture Component</cueslookup:name> <cueslookup:name key="scanning">Checking</cueslookup:name> <!-- <cueslookup:name key="scanningitemcomplete">Finished Checking</cueslookup:name> --> <cueslookup:name key="ph.about">About</cueslookup:name> <cueslookup:name key="ph.cancel">Cancel</cueslookup:name> <!-- <cueslookup:name key="ph.details">Details</cueslookup:name> --> <cueslookup:name key="ph.logout">Logout</cueslookup:name> <cueslookup:name key="title_remediating">Remediating System</cueslookup:name> <cueslookup:name key="title_check_conplete">System Check Complete</cueslookup:name> <cueslookup:name key="title_full_access_granted">Logged In</cueslookup:name> <cueslookup:name key="title_access_denied">Network Access Denied</cueslookup:name> <cueslookup:name key="tempNetAccess">Temporary Network Access</cueslookup:name> <cueslookup:name key="announcePleaseBePatient">Please be patient while your system is checked against the network security policy </cueslookup:name> <cueslookup:name key="bttn.accept">Accept</cueslookup:name> <cueslookup:name key="bttn.apply">Apply</cueslookup:name> <cueslookup:name key="bttn.cancel">Cancel</cueslookup:name> <cueslookup:name key="bttn.continue">Update Later</cueslookup:name> <cueslookup:name key="bttn.close">Close</cueslookup:name> <cueslookup:name key="bttn.detailshide">Hide Compliance</cueslookup:name> <cueslookup:name key="bttn.detailsshow">Show Compliance</cueslookup:name> <cueslookup:name key="bttn.download">Download</cueslookup:name> <cueslookup:name key="bttn.guestAccess">Guest Access</cueslookup:name> <cueslookup:name key="bttn.go2link">Go To Link</cueslookup:name> <cueslookup:name key="bttn.launch">Launch</cueslookup:name> <cueslookup:name key="bttn.login">Log In</cueslookup:name> <cueslookup:name key="bttn.next">Re-Scan</cueslookup:name> <cueslookup:name key="bttn.ok">OK</cueslookup:name> <cueslookup:name key="bttn.propertieshide">Hide Properties</cueslookup:name> <cueslookup:name key="bttn.reject">Reject</cueslookup:name> <cueslookup:name key="bttn.remediate">Repair</cueslookup:name> <cueslookup:name key="bttn.rescan">Rescan</cueslookup:name> <cueslookup:name key="bttn.reset">Reset</cueslookup:name> <cueslookup:name key="bttn.restrictedNet">Get Restricted NET access This one comes down from the network</cueslookup:name> <cueslookup:name key="bttn.savereport">Save Report</cueslookup:name> <cueslookup:name key="bttn.skip">Skip</cueslookup:name> <cueslookup:name key="bttn.skipao">Skip All Optional</cueslookup:name> <cueslookup:name key="bttn.submit">Submit</cueslookup:name> <cueslookup:name key="bttn.update">Update</cueslookup:name> <cueslookup:name key="cd.days"> days </cueslookup:name> <cueslookup:name key="cd.nbsp">   </cueslookup:name> <cueslookup:name key="cd.tempNetAccess.counting"> There is approximately %1 left until your temporary network access expires </cueslookup:name> <cueslookup:name key="cd.tempNetAccess.expired"> Your Temporary Network Access has Expired! </cueslookup:name> <cueslookup:name key="cd.tempNetAccessShort.counting"> %1 left </cueslookup:name> <cueslookup:name key="cd.tempNetAccessShort.expired"> Expired! </cueslookup:name> <cueslookup:name key="cd.window.counting"> This window will close in %1 secs </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess"> Full Network Access </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess.verbose"> Your device conforms with all the security policies for this protected network </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccessWarn.verbose"> Only optional requirements are failing. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.iprefresh.progress.verbose"> Refreshing IP address. Please Wait... </cueslookup:name> <cueslookup:name key="dp.status.iprefresh.complete.verbose"> Refreshing IP address succeeded. </cueslookup:name> <cueslookup:name key="dp.status.vlanchange.progress.verbose"> Connecting to protected Network. Please Wait... </cueslookup:name> <cueslookup:name key="dp.status.guestNetAccess"> Guest Network Access </cueslookup:name> <cueslookup:name key="dp.status.noNetAccess"> Network Access Denied </cueslookup:name> <cueslookup:name key="dp.status.noNetAccess.verbose"> There is at least one mandatory requirement failing. You are required to update your system before you can access the network. </cueslookup:name> <cueslookup:name key="dp.status.rejectNetPolicy.verbose"> Network Usage Terms and Conditions are rejected. You will not be allowed to access the network. </cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess"> Restricted Network Access granted. </cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess.verbose"> You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess"> Temporary Network Access </cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose"> Please be patient while your system is checked against the network security policy. </cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure"> Performing Re-assessment </cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure.verbose"> There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted. </cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure"> Performing Re-assessment </cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure.verbose"> Only optional requirements are failing. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout"> Logged out </cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout.verbose"> Temporary Access to the network has expired. </cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated"> Logged out </cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated.verbose">   </cueslookup:name> <cueslookup:name key="ia.status.checkcomplete"> Finished Checking Requirements </cueslookup:name> <cueslookup:name key="ia.status.check.inprogress"> Please be patient while we determine if your system is compliant with the security policy </cueslookup:name> <cueslookup:name key="ia.status.check.inprogress.01"> Checking %1 out of %2 </cueslookup:name> <cueslookup:name key="ia.status.netpolicy"> Access to the network requires that you view and accept the following Network Usage Policy </cueslookup:name> <cueslookup:name key="ia.status.netpolicylinktxt"> Network Usage Policy Terms and Conditions </cueslookup:name> <cueslookup:name key="ia.status.remediate.inprogress"> Remediating </cueslookup:name> <cueslookup:name key="ia.status.remediate.start"> Please Remediate </cueslookup:name> <cueslookup:name key="ia.status.remediate.checkinprogress"> Checking for compliance with Requirement </cueslookup:name> <cueslookup:name key="ia.table.name"> Name </cueslookup:name> <cueslookup:name key="ia.table.location"> Location </cueslookup:name> <cueslookup:name key="ia.table.software"> Software </cueslookup:name> <cueslookup:name key="ia.table.software.programs"> program(s) </cueslookup:name> <cueslookup:name key="ia.table.update"> Update </cueslookup:name> <cueslookup:name key="ia.table.locationcode.nochange"> Do not change current setting </cueslookup:name> <cueslookup:name key="ia.table.locationcode.notifybeforedownload"> Notify before download </cueslookup:name> <cueslookup:name key="ia.table.locationcode.notifybeforeinstall"> Notify before install </cueslookup:name> <cueslookup:name key="ia.table.locationcode.scheduledinstallation"> Download and installation </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcenotifybeforedownload"> Change to notify before download </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcenotifybeforeinstall"> Change to notify before installation </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcescheduledinstall"> Change to download and installation </cueslookup:name> <cueslookup:name key="ia.table.description"> Description </cueslookup:name> <cueslookup:name key="scs.table.title"> Security Compliance Summary </cueslookup:name> <cueslookup:name key="scs.table.header1.scan_rslt"> Scan Result </cueslookup:name> <cueslookup:name key="scs.table.header1.pack_name"> Requirement Name </cueslookup:name> <cueslookup:name key="scs.table.header1.pack_details"> Requirement Description - Remediation Suggestion </cueslookup:name> <cueslookup:name key="scs.table.data.mandatory"> Mandatory </cueslookup:name> <cueslookup:name key="scs.table.data.optional"> Optional </cueslookup:name> <cueslookup:name key="scs.table.data.pass"> Passed </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_download"> Please download and install the optional software before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_download"> Please download and install the required software before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_launch"> Please launch the optional remediation program(s) before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_launch"> Please launch the required remediation program(s) before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_opswat_av"> Please update the virus definition file of the specified antivirus software before accessing the network (optional) </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_opswat_av"> Please update the virus definition file of the specified antivirus software before accessing the network (required) </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_opswat_as"> Please update the spyware definition file of the specified anti-spyware software before accessing the network (optional) </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_opswat_as"> Please update the spyware definition file of the specified anti-spyware software before accessing the network (required) </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_win_update"> Please download and install the optional windows updates before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_win_update"> Please download and install the required windows updates before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_launch_prog"> Launching Remediation Program(s)... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_launch_url"> Launching Remediation URL... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_opswat_av"> Updating Virus Definition... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_opswat_as"> Updating Spyware Definition... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_win_update"> Launching Windows auto Update(s)... </cueslookup:name> <cueslookup:name key="ia.rem_launch_downloaded_file"> Downloaded at %1. %br% Please open this folder & double-click executable file to install the required software. </cueslookup:name> <cueslookup:name key="discoveryhost.label"> Discovery Host </cueslookup:name> <cueslookup:name key="properties.table.title"> List of Antivirus & Anti-Spyware Products Detected by the Agent </cueslookup:name> <cueslookup:name key="properties.table.header1.index"> No. </cueslookup:name> <cueslookup:name key="properties.table.header1.description"> Description </cueslookup:name> <cueslookup:name key="properties.table.header1.value"> Value </cueslookup:name> <cueslookup:name key="properties.table.data.product_type"> Product Type </cueslookup:name> <cueslookup:name key="properties.table.data.product_name"> Product Name </cueslookup:name> <cueslookup:name key="properties.table.data.product_version"> Product Version </cueslookup:name> <cueslookup:name key="properties.table.data.def_version"> Definition Version </cueslookup:name> <cueslookup:name key="properties.table.data.def_date"> Definition Date </cueslookup:name> <cueslookup:name key="reboot.mandatory.001"> Mandatory System Reboot Required </cueslookup:name> <cueslookup:name key="reboot.optional.001"> You need to reboot your system in order for the changes to take effect. </cueslookup:name> <cueslookup:name key="rem.error.001"> Unable to remediate particular requirement </cueslookup:name> <cueslookup:name key="rem.error.av_access_denied"> The remediation you are attempting is reporting an access denied error. This is usually due to a privilege issue. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_buffer_too_small"> The remediation you are attempting has failed with an internal error. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_elevation_required"> The remediation you are attempting requires elevation. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_failed"> The remediation you are attempting had a failure. If the problem persists contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_internal_error"> The remediation you are attempting has reported an internal error. If this problem persists please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_not_implemented"> The remediation you are attempting is not implemented for this product. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_not_supported"> The remediation you are attempting is not supported for this product. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_update_faile"> The AV/AS update has failed. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_update_failed_due_to_network"> The AV/AS update failed due to a networking issue. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_timeout"> The remediation you are attempting has timed out waiting for the operation to finish. If this continues please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_dist_size_error"> The size of the downloaded file does not match the package! Please discard downloaded file and check with your administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_is_not_signed"> The file that has been requested was not digitally signed. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_save_location_error"> The location for the file to be saved to can not be written. Please choose a different location. </cueslookup:name> <cueslookup:name key="rem.error.http_file_not_found"> The requested file is not found. Please try again and if this problem persists, contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.launch_file_not_found"> The file that has been requested could not be launched either because it could not be found or there was a problem launching it. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.malformed_URL"> The file that is trying to be downloaded has an incorrect URL. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.network_error"> There has been a network error, please try the remediation again. If this message continues to be seen contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.update_fail_for_non_admin"> The remediation you are trying to do can not be accomplished at your user level. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.wsus_search_failure"> The WSUS search failed. This is probably due to a network issue. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="server.error.generic"> Agent encountered problems logging user </cueslookup:name> <cueslookup:name key="server.error.255"> Network Error: NAC Server could not establish a secure connection to NAC Manager. This could be due to one or more of the following reasons: 1) NAC Manager certificate has expired or 2) NAC Manager certificate cannot be trusted or 3) NAC Manager cannot be reached or 4) NAC Manager is not responding Please report this to your network administrator. </cueslookup:name> <cueslookup:name key="server.error.5000"> Invalid provider name </cueslookup:name> <cueslookup:name key="server.error.5001"> Failed to add user to online list </cueslookup:name> <cueslookup:name key="server.error.5002"> Server communication error </cueslookup:name> <cueslookup:name key="server.error.5003"> Invalid username or password </cueslookup:name> <cueslookup:name key="server.error.5004"> Unknown user </cueslookup:name> <cueslookup:name key="server.error.5005"> Account expired </cueslookup:name> <cueslookup:name key="server.error.5006"> Account currently disabled </cueslookup:name> <cueslookup:name key="server.error.5007"> Exceed quota limit </cueslookup:name> <cueslookup:name key="server.error.5008"> Insufficient Clean Access packages installed </cueslookup:name> <cueslookup:name key="server.error.5009"> Access to network is blocked by the administrator </cueslookup:name> <cueslookup:name key="server.error.5010"> Vulnerabilities not fixed </cueslookup:name> <cueslookup:name key="server.error.5011"> This client version is old and not compatible. Please login from web browser to see the download link for the new version. </cueslookup:name> <cueslookup:name key="server.error.5012"> Network policy is not accepted </cueslookup:name> <cueslookup:name key="server.error.5013"> Invalid switch configuration </cueslookup:name> <cueslookup:name key="server.error.5014"> Too many users using this account </cueslookup:name> <cueslookup:name key="server.error.5015"> Invalid session </cueslookup:name> <cueslookup:name key="server.error.5016"> Null session </cueslookup:name> <cueslookup:name key="server.error.5017"> Invalid user role </cueslookup:name> <cueslookup:name key="server.error.5018"> Invalid login page </cueslookup:name> <cueslookup:name key="server.error.5019"> Encoding failure </cueslookup:name> <cueslookup:name key="server.error.5020"> A security enhancement is required for your Agent. Please upgrade your Agent or contact your network administrator. </cueslookup:name> <cueslookup:name key="server.error.5021"> Can not find server reference </cueslookup:name> <cueslookup:name key="server.error.5022"> User role currently disabled </cueslookup:name> <cueslookup:name key="server.error.5023"> Authentication server is not reachable </cueslookup:name> <cueslookup:name key="server.error.5024"> Agent user operating system is not supported </cueslookup:name> <cueslookup:name key="server.error.generic_emergency"> The Agent has encountered an unexpected error and is restarting. </cueslookup:name> <cueslookup:name key="server.error.http_error"> Clean Access Server is not available on the network. </cueslookup:name> <cueslookup:name key="server.error.nw_interface_chg"> Authentication interrupted due to network status change. Press OK to retry. </cueslookup:name> <cueslookup:name key="server.error.svr_misconfigured"> Clean Access Server is not properly configured. </cueslookup:name> <cueslookup:name key="server.clarification.generic_emergency"> Please contact your administrator if the problem persists. </cueslookup:name> <cueslookup:name key="announce.savingreport"> Saving Report </cueslookup:name> <cueslookup:name key="announce.savingreport.failed"> Unable to save report </cueslookup:name> <cueslookup:name key="announce.cancelremediationack"> Clicking Cancel may change your network connectivity and interrupt download or required updates.<p> Do you want to continue?</p> </cueslookup:name> <cueslookup:name key="announce.dismiss.default"> Dismiss to continue </cueslookup:name> <cueslookup:name key="announce.logoutconfirm"> Successfully logged out from the network! </cueslookup:name> </cueslookup:appstrings>
![]() (注) | カスタマイズしたテキストに使用できる文字数に制限はありません。ただし、カスタマイズされたログイン画面がクライアント上に表示された場合に、あまり大きな領域を必要としないように長さを制限することをシスコは推奨します。 |
<cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name> <cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name> <cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name> <cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name> <cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name> <cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name> <cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network. </cueslookup:name><cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name>
これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
[エージェント(Agent)] 画面のカスタマイズ パッケージを完了する前、適切な updateFeed.xml XML ディスクリプタ ファイルを構築する必要があります。カスタマイゼーション パッケージに必要な updateFeed.xml ディスクリプタ ファイルのセット アップには、次の例をテンプレートとして使用します。
<?xml version="1.0" encoding="utf-8"?> <feed xmlns="http://www.w3.org/2005/Atom" xmlns:update="http://www.cisco.com/cpm/update/1.0"> <title>Provisioning Update</title> <updated>2011-12-21T12:00:00Z</updated> <id>https://www.cisco.com/web/secure/pmbu/provisioning-update.xml</id> <author> <name>Cisco Support</name> <email>support@cisco.com</email> </author> <!-- Custom Branding --> <entry> <id>http://foo.foo.com/foo/AgentCustomizationPackage/1/1/1/7</id> <title>Agent Customization Package</title> <updated>2010-06-07T12:00:00Z</updated> <summary>This is EF Agent Customization Package 1.1.1.7</summary> <link rel="enclosure" type="application/zip" href="brand-win.zip" length="18884" /> <update:type>AgentCustomizationPackage</update:type> <update:version>1.1.1.7</update:version> <update:os>WINDOWS_ALL</update:os> </entry> </feed>
<update:os>:Cisco NAC Agent でサポートされているすべての Windows OS バージョンを含めるには、常にこの属性を「WINDOWS_ALL」に設定する必要があります。Cisco NAC Agent でサポートされている Windows OS バージョンのリストについては、『Support Information for Cisco NAC Appliance Agents』を参照してください。
<update:version>:これは、アップグレード対象のエージェント カスタマイズ パッケージを参照します。この値は、4 桁の <n.n.n.n> にする必要があり、現在インストールされているパッケージ バージョンよりも大きな値にする必要があります。
<id>:この ID は任意の文字にすることができますが、エージェント カスタマイズ パッケージごとに一意である必要があります。
<?xml version="1.0" ?> <cfg> <VlanDetectInterval>0</VlanDetectInterval> <RetryDetection>3</RetryDetection> <PingArp>0</PingArp> <PingMaxTimeout>1</PingMaxTimeout> <EnableVlanDetectWithoutUI>0</EnableVlanDetectWithoutUI> <SignatureCheck>0</SignatureCheck> <DisableExit>0</DisableExit> <PostureReportFilter>displayFailed</PostureReportFilter> <BypassSummaryScreen>1</BypassSummaryScreen> <LogFileSize>5</LogFileSize> <DiscoveryHost></DiscoveryHost> <DiscoveryHostEditable>1</DiscoveryHostEditable> <Locale>default</Locale> <AccessibilityMode>0</AccessibilityMode> <SwissTimeout>1</SwissTimeout> <HttpDiscoveryTimeout>30</HttpDiscoveryTimeout> <HttpTimeout>120</HttpTimeout> <ExceptionMACList></ExceptionMACList> <GeneratedMAC></GeneratedMAC> <AllowCRLChecks>1</AllowCRLChecks> <DisableL3SwissDelay>0</DisableL3SwissDelay> <ServerNameRules></ServerNameRules> </cfg>
![]() (注) | このファイルには、2 つの静的(つまり、ユーザまたは Cisco ISE 管理者が編集できない)「AgentCfgVersion」パラメータおよび「AgentBrandVersion」パラメータも含まれています。これらのパラメータは、クライアントでエージェント プロファイルおよびエージェント カスタマイズ ファイルの現在のバージョンをそれぞれ識別するために使用されます。 |
クライアントの場合、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザ セッション開始時に Cisco ISE から受信するかは、クライアント プロビジョニング リソース ポリシーによって決定されます。
AnyConnect の場合、クライアント プロビジョニング リソース ページからリソースを選択し、クライアント プロビジョニング ポリシー ページで使用できる AnyConnect 設定を作成することができます。AnyConnect 設定は、AnyConnect ソフトウェアとそのさまざまなコンフィギュレーション ファイルとの関連付けであり、これらのファイルには、Windows および Mac OS X クライアントの AnyConnect バイナリ パッケージ、コンプライアンス モジュール、モジュール プロファイル、AnyConnect のカスタマイズおよび言語パッケージなどがあります。
Cisco ISE NAC エージェントの場合、クライアント プロビジョニング ポリシー ページからリソースを選択できます。
有効なクライアント プロビジョニング リソース ポリシーを作成する前に、Cisco ISE にリソースを追加したことを確認します。エージェント コンプライアンス モジュールをダウンロードすると、システムで使用している既存のモジュールがあれば常にそれが上書きされます。
クライアント プロビジョニング ポリシーで使用されているネイティブのサプリカント プロファイルをチェックして、ワイヤレス SSID が正しいことを確認します。iOS デバイスの場合、接続対象ネットワークが非表示の場合は、[iOSの設定(iOS Settings)] エリアで [ターゲットネットワークが非表示になっている場合に有効にする(Enable if target network is hidden)] チェック ボックスをオンにします。
ステップ 1 | を選択します。 |
ステップ 2 | 動作のドロップダウン リストから [有効(Enable)]、[無効(Disable)]、または [モニタ(Monitor)] を選択します。
|
ステップ 3 | [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。 |
ステップ 4 | Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。
設定した既存の ID グループのリストから、あらゆる ID タイプを指定することも、1 つ以上のグループを選択することもできます。 |
ステップ 5 | [オペレーティング システム(Operating Systems)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するクライアント マシンまたはデバイスで動作している 1 つ以上のオペレーティング システムを指定します。 [Android]、[Mac iOS]、[Mac OS X] などの単一のオペレーティング システムや、[Windows XP(すべて)(Windows XP (All))] や [Windows 7(すべて)(Windows 7 (All))] など、複数のクライアント マシン オペレーティング システムに対応する包括的なオペレーティング システムの指定を選択できます。 |
ステップ 6 | [その他の条件(Other Conditions)] フィールドで、この特定のリソース ポリシー用に作成する新しい式を指定します。 |
ステップ 7 | クライアント マシンの場合は、[エージェント設定(Agent Configuration)] を使用して、クライアント マシンで利用可能にし、プロビジョニングするエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを指定します。 クライアント マシンで NAC エージェントがポップアップできるようにするには、クライアント プロビジョニングの URL を許可ポリシーに含める必要があります。これにより、ランダムなクライアントからの要求が回避され、適切なリダイレクト URL を持つクライアントのみがポスチャ評価を要求できるようになります。 |
ステップ 8 | [保存(Save)] をクリックします。 |
1 つ以上のクライアント プロビジョニング リソース ポリシーを正常に設定したら、ログイン中にクライアント マシンのポスチャ評価を実行するように Cisco ISE の設定を開始できます。
クライアント マシンについて、どのエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを、ユーザがクライアント マシンにダウンロードおよびインストールできるように準備するかを設定します。
Cisco ISE の AnyConnect および Cisco ISE NAC のクライアント プロビジョニング リソースを追加している必要があります。
ステップ 1 | [エージェント(Agent)] ドロップダウン リストから使用可能なエージェントを選択し、ここで定義したエージェントのアップグレード(ダウンロード)がクライアント マシンに対して必須かどうかを、[アップグレードは必須か(Is Upgrade Mandatory)] オプションを必要に応じて有効または無効にすることによって指定します。
[アップグレードは必須か(Is Upgrade Mandatory)] 設定は、エージェントのダウンロードにのみ適用されます。Agent プロファイル、コンプライアンス モジュール、および Agent カスタマイズ パッケージの更新は常に必須です。 |
ステップ 2 | [プロファイル(Profile)] ドロップダウン リストから既存のエージェント プロファイルを選択します。 |
ステップ 3 | [コンプライアンスモジュール(Compliance Module)] ドロップダウン リストを使用して使用可能なコンプライアンス モジュールを選択し、クライアント マシンにダウンロードします。 |
ステップ 4 | [エージェントカスタマイズパッケージ(Agent Customization Package)] ドロップダウン リストから、クライアント マシンに使用可能なエージェント カスタマイズ パッケージを選択します。 |
従業員は、Windows、Mac OS、iOS、および Android デバイスで使用可能なネイティブ サプリカントを使用して、ネットワークに自分のパーソナル デバイスを直接接続できます。パーソナル デバイスに関して、登録されているパーソナル デバイスで使用可能にし、プロビジョニングするネイティブ サプリカントの設定を指定します。
ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE が、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスするように、ネイティブ サプリカント プロファイルを作成します。
ステップ 1 | を選択します。 |
ステップ 2 | 動作のドロップダウン リストから [有効(Enable)]、[無効(Disable)]、または [モニタ(Monitor)] を選択します。 |
ステップ 3 | [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。 |
ステップ 4 | 次を指定します。 |
ステップ 5 | パーソナル デバイスの場合、[ネイティブサプリカントの設定(Native Supplicant Configuration)] を使用し、特定の構成ウィザードを選択して、パーソナル デバイスに配信します。 |
ステップ 6 | 指定されたパーソナル デバイス タイプに適用可能な [ウィザードプロファイル(Wizard Profile)] を指定します。 |
ステップ 7 | [保存(Save)] をクリックします。 |
Cisco ISE のモニタリングおよびトラブルシューティング機能にアクセスし、ユーザ ログイン セッションの成功または失敗の全体のトレンドをチェックし、特定の期間にネットワークにログインしたクライアント マシンの数およびタイプに関する統計情報を収集し、また、クライアント プロビジョニング リソースでの最近の設定変更をチェックすることができます。
レポートには、クライアント プロビジョニング要求の成功および失敗に関する統計情報が表示されます。[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます。
ウィンドウには、最近の成功および失敗したユーザ デバイス登録およびサプリカント プロビジョニング要求に関する情報が表示されます。[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたサプリカント プロビジョニング データが表示されます。
サプリカント プロビジョニング レポートは、特定の期間にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が提供されます。これには、ログイン日時、ID(ユーザ ID)、IP アドレス、MAC アドレス(エンドポイント ID)、サーバ プロファイル、エンドポイント オペレーティング システム、SPW バージョン、障害理由(ある場合)、登録のステータスなどのデータが含まれます。
クライアントの動作の問題の診断に役立つイベント ログ エントリを検索できます。たとえば、ネットワーク上のクライアント マシンがログイン時にクライアント プロビジョニング リソースの更新を取得できないという問題の原因を特定する必要がある場合があります。ポスチャおよびクライアント プロビジョニングの監査、ポスチャおよびクライアントプロビジョニングの診断のロギング エントリを使用できます。