この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
管理者のユーザ名とパスワードを使用して Cisco ISE にログインします。
初期設定時に、SSH を有効にしない場合、SSH 経由で ISE 管理コンソールにアクセスできません。SSH を有効にするには、Cisco ISE CLI にアクセスして、グローバル コンフィギュレーション モードで service sshd enable コマンドを入力します。グローバル コンフィギュレーション モードで no service sshd コマンドを使用して、SSH を無効にできます。
Cisco ISE 管理者ポータルは次の HTTPS 対応ブラウザをサポートしています。
Mozilla Firefox バージョン:
Google Chrome の最新バージョン
Microsoft Internet Explorer 10.x および 11.x
Internet Explorer 10.x を使用する場合は、TLS 1.1 と TLS 1.2 をイネーブルにし、SSL 3.0 と TLS 1.0 をディセーブルにします([インターネット オプション(Internet Options)] > [詳細設定(Advanced)])。
管理者ユーザ ID に対して誤ったパスワードを入力した回数が所定の数に達すると、ユーザは「ロックアウト」されて管理者ポータルからシステムにアクセスできなくなり、ログ エントリが [サーバ管理者ログイン(Server Administrator Logins)] レポートに記録され、その管理者 ID のクレデンシャルは一時停止されます。一時停止を解除するには、その管理者 ID に関連付けられたパスワードをリセットする必要があります。手順については、『Cisco Identity Services Engine Hardware Installation Guide』の「Performing Post-Installation Tasks」の章を参照してください。管理者アカウントを無効にするのに必要な試行失敗回数は、「ユーザ アカウントのカスタム属性およびパスワード ポリシー」の項で説明しているガイドラインに従って設定できます。管理者ユーザ アカウントがロックアウトされると、関連付けられた管理者ユーザに電子メールが送信されます。
無効になったシステム管理者のステータスは、Active Directory ユーザを含むすべてのスーパー管理者が有効にできます。
既存のネットワーク トポロジにおいて、外部リソース(たとえば、クライアント プロビジョニングやポスチャ関連のリソースが存在するリモート ダウンロード サイト)にアクセスするために、Cisco ISE に対してプロキシを使用することが要求されている場合は、管理者ポータルを使用してプロキシのプロパティを指定できます。
プロキシ設定は次の Cisco ISE 機能に影響します。
ゲスト通知
Cisco ISE プロキシ設定はプロキシ サーバの基本認証をサポートします。NT LAN Manager(NTLM)認証はサポートされていません。
管理者ポータルは HTTP ポート 80 および HTTPS ポート 443 を使用するように設定され、これらの設定は変更できません。Cisco ISE はまた、あらゆるエンドユーザ ポータルが同じポートを使用することを禁止して、管理者ポータルへのリスクを減らすようになっています。
外部 RESTful サービス API は HTTPS プロトコルおよび REST 方法論に基づいており、ポート 9060 を使用します。
外部 RESTful サービス API は、基本認証をサポートしています。認証クレデンシャルは、暗号化され、要求ヘッダーの一部となっています。
JAVA、curl Linux コマンド、Python などの REST クライアントやその他のクライアントを使用して、外部 RESTful サービス API コールを呼び出すことができます。
ISE 管理者は、外部 RESTful サービス API を使用して操作を実行するための特権をユーザに割り当てる必要があります。外部 RESTful サービス API(ゲスト API を除く)を使用して操作を実行するには、次の管理者グループのいずれかにユーザを割り当て、Cisco ISE の内部データベース(内部管理者ユーザ)に保存されているクレデンシャルに対して認証する必要があります。
外部 RESTful サービス管理者:すべての ERS API へのフル アクセス(GET、POST、DELETE、PUT)。このユーザは、ERS API 要求を作成、読み取り、更新、および削除できます。
外部 RESTful サービス オペレータ:読み取り専用アクセス(GET 要求のみ)。
(注) | ネットワーク管理者ユーザは、すべての ERS API にアクセスできます。 |
外部 RESTful サービス API は、デフォルトではイネーブルになっていません。それらをイネーブルにする前に外部 RESTful サービス API コールを呼び出そうとすると、エラー応答を受信します。Cisco ISE REST API 用に開発されたアプリケーションから Cisco ISE にアクセスできるようにするには、Cisco ISE REST API をイネーブルにする必要があります。Cisco REST API は HTTPS ポート 9060 を使用します。このポートはデフォルトでは閉じられています。Cisco ISE REST API が Cisco ISE 管理用サーバでイネーブルになっていない場合、クライアント アプリケーションは、サーバから Guest REST API 要求に対するタイムアウト エラーを受信します。
すべての REST 操作が監査され、ログがシステム ログに記録されます。外部 RESTful サービス API にはデバッグ ロギング カテゴリがあります。このカテゴリは、Cisco ISE GUI のデバッグ ログ ページからイネーブルにすることができます。
外部 RESTful サービス SDK を使用して、独自ツールの構築を開始できます。次の URL から外部 RESTful サービス SDK にアクセスできます。https://<ISE-ADMIN-NODE>:9060/ers/sdk外部 RESTful サービス SDK には、外部 RESTful サービス管理ユーザのみがアクセスできます。
SDK は、次のコンポーネントで構成されています。
Cisco ISE では、Network Time Protocol(NTP)サーバを 3 台まで設定することができます。NTP サーバを使用すると、正確な時刻を維持でき、複数のタイムゾーンの間で時刻を同期できます。また、認証済みの NTP サーバのみを Cisco ISE で使用するかどうかを指定することもでき、そのための認証キーを入力できます。
シスコは、すべての Cisco ISE ノードを協定世界時(UTC)の時間帯に設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。この手順では、展開内にあるさまざまなノードからのレポートとログのタイムスタンプが常に同期されます。
Cisco ISE は、NTP サーバの公開キー認証もサポートしています。NTPv4 は、対称キー暗号化を使用し、公開キー暗号化に基づく新しい Autokey 方式も提供します。公開キー暗号化は、一般に、各サーバによって生成され公開されない非公開の値に基づいているため、対称キー暗号化よりも安全であると考えられます。Autokey では、すべてのキー配布および管理機能には公開値のみが含まれているため、キーの配布と保管が大幅に簡素化されます。
コンフィギュレーション モードで Cisco ISE CLI から NTP サーバに Autokey を設定できます。IFF(identify Friend または Foe)識別方式は最も広く使用されている方式なので、この方式を使用することを推奨します。
スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。
プライマリおよびセカンダリの両方の Cisco ISE ノードがある場合は、セカンダリ ノードのユーザ インターフェイスにログインし、展開内の各 Cisco ISE ノードのシステム時間と NTP サーバ設定を個別に設定する必要があります。
ステップ 1 | を選択します。 |
ステップ 2 | NTP サーバに一意の IP アドレスを入力します。 |
ステップ 3 | システムおよびネットワーク時間の維持に認証済みの NTP サーバだけを使用するように Cisco ISE を制限する場合は、[認証済みの NTP サーバのみ可能(Only allow authenticated NTP servers)] チェックボックスをオンにします。 |
ステップ 4 | (オプション)秘密キーを使用して NTP サーバを認証する場合に、指定したサーバのいずれかが認証キーによる認証を必要とする場合は、[NTP 認証キー(NTP Authentication Keys)] タブをクリックし、1 つ以上の認証キーを次のように指定します。 |
ステップ 5 | (オプション)公開キー認証を使用して NTP サーバを認証する場合は、コマンドライン インターフェイス(CLI)から Cisco ISE で Autokey を設定します。詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 2.3』で ntp server および crypto コマンドを参照してください。 |
ステップ 6 | [保存(Save)] をクリックします。 |
一度設定すると、管理者ポータルからの時間帯の編集はできません。時間帯設定を変更するには、Cisco ISE CLI で次のコマンドを入力します。
clock timezone タイムゾーン
(注) | Cisco ISE は、タイム ゾーン名と出力の省略形に POSIX スタイルの記号を使用します。そのため、グリニッジの西にあるゾーンはプラス記号を持ち、グリニッジの東にあるゾーンはマイナス記号を持ちます。たとえば、TZ='Etc/GMT+4' はグリニッジ標準時(UT)の 4 時間遅れに対応します。 |
clock timezone コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
アラームの電子メール通知を送信したり、スポンサーがゲストにログイン クレデンシャルやパスワードのリセット指示の電子メール通知を送信できるようにしたり、ゲストがアカウント登録に成功した後、自動的にログイン クレデンシャルを受信したり、ゲスト アカウントの期限が切れる前に実行するアクションを受信したりできるようにするには、Simple Mail Transfer Protocol(SMTP)サーバを設定する必要があります。
アラーム通知の受信者は、[電子メールにシステム アラームを含む(Include system alarms in emails)] オプションが有効になっている内部管理ユーザです。アラーム通知を送信する送信者の電子メール アドレスは、ise@<hostname> としてハード コードされています。
Cisco ISE では、管理者ポータルから GUI ベースの一元化されたアップグレードが提供されます。アップグレード プロセスはさらに簡素化され、アップグレードの進行状況およびノードのステータスが画面に表示されます。アップグレード前およびアップグレード後のタスクのリストについては、『Cisco Identity Services Engine Upgrade Guide』を参照してください。
[アップグレードの概要(Upgrade Overview)] ページには、展開内のすべてのノード、そのノードで有効なペルソナ、インストールされている ISE のバージョン、およびノードのステータス(ノードがアクティブか非アクティブか)がリストされます。ノードがアクティブな状態である場合にのみアップグレードを開始できます。
スタンドアロン ノード:管理、ポリシー サービスおよびモニタリングのペルソナを担当する単一の Cisco ISE ノード
マルチノード展開:複数の ISE ノードによる分散展開。分散展開をアップグレードする手順については、下記で詳しく説明します。
ネットワークが ISE 展開への準備ができているかどうかを評価する方法については、ISE Deployment Assistant(IDA)を参照してください。 |
管理者ポータルから Cisco ISE 展開のすべてのノードをアップグレードできます。
(注) | GUI ベースのアップグレードは、リリース 2.0 以降からそれよりも新しいリリースにアップグレードする場合、または Cisco ISE 2.0 以降の限定提供リリースを一般提供リリースにアップグレードする場合にのみ適用できます。 |
アップグレードする前に、次の作業が完了していることを確認します。
ISE の設定および運用データのバックアップを取得します。
システム ログのバックアップを取得します。
スケジュールしたバックアップを無効にします。展開のアップグレードが完了したら、バックアップ スケジュールを再設定します。
証明書および秘密キーをエクスポートします。
リポジトリを設定します。アップグレード バンドルをダウンロードし、このリポジトリに格納します。
Active Directory の参加クレデンシャルと RSA SecurID ノード秘密のメモを取ります(該当する場合)。この情報は、アップグレード後に Active Directory または RSA SecurID サーバに接続するために必要です。
アップグレードのパフォーマンスを向上させるために、運用データを消去します。
展開内の Cisco ISE サーバにパッチをインストールする作業は、プライマリ PAN から行うことができます。プライマリ PAN からパッチをインストールするには、Cisco.com からクライアント ブラウザを実行しているシステムにパッチをダウンロードします。
GUI からパッチをインストールする場合、パッチは最初にプライマリ PAN に自動的にインストールされます。その後、システムは、GUI にリストされている順序で、展開内の他のノードにパッチをインストールします。ノードが更新される順序を制御することはできません。
CLI からパッチをインストールする場合は、ノードの更新順序を制御できます。ただし、最初にプライマリ PAN にパッチをインストールすることを推奨します。
(注) | Cisco ISE のパッチをインライン ポスチャ ノードにインストールする作業を実行できるのは、CLI からに限られます。 |
ステップ 1 | を選択します。 > [インストール(Install)] | ||
ステップ 2 | [参照(Browse)] をクリックし、Cisco.com からダウンロードしたパッチを選択します。 | ||
ステップ 3 | [インストール(Install)] をクリックしてパッチをインストールします。
PAN でのパッチのインストールが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。
| ||
ステップ 4 | を選択して、[パッチのインストール(Patch Installation)] ページに戻ります。 | ||
ステップ 5 | セカンダリ ノードにインストールしたパッチの横のオプション ボタンをクリックし、[ノードステータスを表示(Show Node Status)] をクリックしてインストールが完了したことを確認します。 |
1 つ以上のセカンダリ ノードでパッチをインストールする必要がある場合は、ノードが動作中であることを確認し、プロセスを繰り返して残りのノードにパッチをインストールします。
Cisco ISE ソフトウェア パッチは通常累積されます。Cisco ISE では、パッチのインストールおよびロールバックを CLI または GUI から実行できます。
パッチのインストールまたはロールバックをスタンドアロンまたはプライマリ PAN から実行したときは、Cisco ISE によってアプリケーションが再起動されます。再びログインできる状態になるまで、数分かかることがあります。
インストールするパッチが、ネットワーク内に展開されている Cisco ISE のバージョンに適用されるものであることを確認してください。Cisco ISE はパッチ ファイルのバージョンの不一致とあらゆるエラーをレポートします。
Cisco ISE に現在インストールされているパッチよりも低いバージョンのパッチをインストールできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco ISE にインストール済みの場合は、ロールバックはできません。たとえば、パッチ 3 が Cisco ISE サーバにインストール済みの場合に、パッチ 1 または 2 をインストールしたり、パッチ 1 または 2 にロールバックすることはできません。
分散展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリ ノードとすべてのセカンダリ ノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、Cisco ISE はセカンダリ ノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリ ノードに進みません。ただし、何らかの理由でセカンダリ ノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリ ノードでインストールが実行されます。パッチがセカンダリ Cisco ISE ノード上にインストールされると、そのノードは続けて再起動されます。パッチをセカンダリ ノードにインストールしている間も、プライマリ PAN の管理タスクの実行を続けることができます。
2 ノード展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco によってそのパッチが展開内のプライマリ ノードとセカンダリ ノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、Cisco はセカンダリ ノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリ ノードに進みません。パッチをセカンダリ ノードにインストールしている間も、プライマリ PAN の管理タスクの実行を続けることができます。
分散展開の一部である PAN からパッチのロールバックを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリ ノードとすべてのセカンダリ ノードにロールバックされます。
ステップ 1 | を選択します。 | ||
ステップ 2 | 変更をロールバックするパッチ バージョンのオプション ボタンをクリックしてから、[ロールバック(Rollback)] をクリックします。
| ||
ステップ 3 | ログイン後に、ページの一番下にある [アラーム(Alarms)] リンクをクリックしてロールバック操作のステータスを表示します。 | ||
ステップ 4 | を選択します。 | ||
ステップ 5 | パッチのロールバックの進行状況を表示するには、[パッチ管理(Patch Management)] ページでパッチを選択し、[ノード ステータスを表示(Show Node Status)] をクリックします。 | ||
ステップ 6 | パッチのオプション ボタンをクリックし、セカンダリ ノード上で [ノード ステータスを表示(Show Node Status)] をクリックして、そのパッチが展開内のすべてのノードからロールバックされたことを確認します。
そのパッチがロールバックされていないセカンダリ ノードがある場合は、そのノードが稼働中であることを確認してから、プロセスをもう一度実行して残りのノードから変更をロールバックしてください。Cisco ISE は、このバージョンのパッチがインストールされているノードからのみパッチをロールバックします。 |
展開の Cisco ISE ノードからパッチをロールバックするには、最初に PAN から変更をロールバックします。これに成功すると、セカンダリ ノードからパッチがロールバックされます。PAN でロールバック プロセスが失敗した場合は、セカンダリ ノードからのパッチ ロールバックは行われません。ただし、いずれかのセカンダリ ノードでパッチのロールバックが失敗しても、展開内の次のセカンダリ ノードからのパッチのロールバックは継続されます。
Cisco ISE によるセカンダリ ノードからのパッチ ロールバックが進行中のときも、引き続き PAN GUI から他のタスクを実行できます。セカンダリ ノードは、ロールバック後に再起動されます。
スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] ページで、パッチをインストールまたはロールバックできます。展開内の各ノードで特定のパッチのステータス([インストール済み(installed)]、[処理中(in-progress)]、[未インストール(not installed)])を確認できます。このためには、特定のパッチを選択し、[ノード ステータスを表示(Show Node Status)] ボタンをクリックします。
製品の Cisco Identity Services Engine は、組み込みの FIPS 140-2 検証済み暗号化モジュールのシスコ共通暗号化モジュール(証明書 #1643 および #2100)を使用します。FIPS コンプライアンスの要求の詳細については、『FIPS Compliance Letter』を参照してください。
FIPS モードを有効にすると、Cisco ISE 管理者インターフェイスのページの右上隅のノード名の左側に FIPS モード アイコンが表示されます。
Cisco ISE は、FIPS 140-2 レベル 1 標準でサポートされないプロトコルまたは証明書の使用を検出すると、準拠していないプロトコルまたは証明書の名前とともに警告を表示し、FIPS モードは有効になりません。必ず FIPS に準拠したプロトコルのみを選択し、FIPS モードを有効にする前に FIPS に非準拠の証明書を交換してください。
FIPS モードを有効にしたら、展開内の他のすべてのノードを再起動する必要があります。ネットワークの中断を最小限にするために、Cisco ISE は自動的にローリング再起動を実行します。具体的には、最初にプライマリ PAN を再起動し、その後でセカンダリ ノードを 1 つずつ再起動します。
ヒント | データベース移行プロセスを行う場合は、移行が完了してから FIPS モードを有効にすることを推奨します。 |
Cisco ISE リリース 1.3 は FIPS モードをサポートしていません。
Cisco ISE ネットワークは、Federal Information Processing Standard(FIPS)140-2 準拠の暗号化と復号化をサポートしています。
FIPS モードを有効にしたら、次の FIPS 140-2 準拠機能を有効にして設定します。
ネットワーク デバイス定義の設定で RADIUS 認証を設定します。
また、Common Access Card(CAC)機能を使用して管理者アカウントの許可を有効にすることもできます。許可のために CAC 機能を使用することは、厳密には FIPS 140-2 の要件ではありませんが、セキュア アクセスの手法としてよく知られており、多くの環境で FIPS 140-2 準拠を強化するために使用されています。
FIPS 標準では特定のアルゴリズムの使用について制限が設けられています。この標準を適用するには、Cisco ISE での FIPS 動作を有効にする必要があります。Cisco ISE による FIPS 140-2 準拠の有効化の手段として、RADIUS の共有秘密とキー管理が使用されます。FIPS モードでは、非 FIPS 準拠のアルゴリズムを使用するすべての機能が失敗するほか、特定の認証機能が無効になります。
また FIPS モードを有効にすると、Cisco ISE のゲスト ログイン機能に必要な Password Authentication Protocol(PAP)および Challenge Handshake Authentication Protocol(CHAP)プロトコルが自動的に無効になります。
Cisco NAC Agent は、Cisco ISE ネットワークを検出するために、常に Windows Internet Explorer TLS 1.0 の設定を探します。(これらの TLS 1.0 設定が Internet Explorer で有効になっている必要があります。)したがって、ネットワークにアクセスするクライアント マシン上で Cisco ISE のポスチャ評価機能を動作させるには、そのマシンに Windows Internet Explorer バージョン 7、8、または 9 がインストールされて TLS1.0 が有効になっている必要があります。Cisco NAC Agent は、Cisco ISE で FIPS モードが有効になっている場合に、自動的に Windows Internet Explorer の TLS 1.0 設定を有効化することができます。
(任意)FIPS モードを有効にします。FIPS モードは証明書ベースの認証には必要ありませんが、この 2 つのセキュリティ手段は多くの場合、組み合わせて使用されます。Cisco ISE を FIPS 140-2 準拠の環境に展開する予定があり、CAC 証明書ベース許可も使用する場合は、必ず FIPS モードを有効にするとともに、適切な秘密キーと暗号化/復号化設定を最初に指定してください。
Cisco ISE のドメイン ネーム サーバ(DNS)が Active Directory に設定されていることを確認します。
Active Directory のユーザとユーザ グループ メンバーシップが、管理者証明書ごとに定義されていることを確認します。
Cisco ISE による管理者の認証と許可を、ブラウザから送信された CAC ベースのクライアント証明書に基づいて実行できるようにするには、次の設定が完了していることを確認してください。
Cisco ISE にログインする場合、クレデンシャルを認証するために Common Access Card(CAC)を使用できます。
ステップ 1 | FIPS モードを有効にします。FIPS モードを有効にすると、システムを再起動するように促されます。CA 証明書もインポートする場合は、再起動を遅らせることができます。 | ||
ステップ 2 | Cisco ISE の Active Directory ID ソースを設定し、Active Directory にすべての Cisco ISE ノードを追加します。 | ||
ステップ 3 | ガイドラインに従って証明書認証プロファイルを設定します。
[プリンシパル名 X.509 属性(Principal Name X.509 Attribute)] フィールドでは、証明書内で管理者ユーザ名が格納されている属性を選択します。(CAC カードの場合は、カード上の署名証明書が通常は Active Directory でのユーザの検索に使用されます。プリンシパル名は、この証明書の「サブジェクトの別名(Subject Alternative Name)」拡張情報の中にあります。具体的には、この拡張情報の「別の名前(Other Name)」というフィールドです。したがって、ここで選択する属性は「Subject Alternative Name - Other Name」となります。) ユーザの AD レコードにユーザの証明書が格納されている場合に、ブラウザから受信した証明書を AD の証明書と比較するには、[証明書のバイナリ比較(Binary Certificate Comparison)] チェックボックスをオンにして、以前に指定した Active Directory インスタンス名を選択します。 | ||
ステップ 4 | パスワード ベースの admin 認証用の Active Directory を有効にします。Cisco ISE に接続し結合された Active Directory インスタンス名を選択します。
| ||
ステップ 5 | 外部管理者グループを作成して、Active Directory グループにマッピングします。 を選択します。外部システム管理者グループを作成します。 | ||
ステップ 6 | 外部管理グループに RBAC 権限を割り当てる管理者許可ポリシーを設定します。
| ||
ステップ 7 | を選択して、認証局証明書を Cisco ISE 証明書信頼ストアにインポートします。
Cisco ISE がクライアント証明書を受け入れるには、そのクライアント証明書の信頼チェーンの CA 証明書が Cisco ISE 証明書ストアの中にあることが条件となります。Cisco ISE 証明書ストアには適切な CA 証明書をインポートする必要があります。 | ||
ステップ 8 | 失効ステータス確認のための認証局証明書を設定します。 | ||
ステップ 9 | クライアント証明書ベースの認証を有効にします。 を選択します。 |
Cisco ISE は、Common Access Card(CAC)認証デバイスを使用して自身を認証する米国政府ユーザをサポートします。CAC は特定の従業員を識別する一連の X.509 クライアント証明書を含む電子チップの認識票です。CAC によるアクセスには、カードを挿入し PIN を入力するカード リーダーが必要です。カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などのローカル ブラウザで実行されているアプリケーションで使用可能です。
Windows Internet Explorer バージョン 8 または 9 を Windows 7 オペレーティング システムで使用している場合は、ActiveIdentity の ActivClient バージョン 6.2.0.133 をインストールする必要があります。このミドルウェアは、Cisco ISE を CAC とともに相互運用するためのサードパーティ製品です。ActiveIdentity セキュリティ クライアント製品の詳細については、ActivID ActivClient Security Software Datasheet を参照してください。
管理者ポータルは、クライアント証明書を使用してのみ Cisco ISE との認証が許可されるように設定できます。ユーザ ID とパスワードなどのクレデンシャル ベースの認証はできません。クライアント証明書認証では、共通アクセス カード(CAC)カードを挿入して PIN を入力してから、ブラウザのアドレス フィールドに Cisco ISE 管理者ポータルの URL を入力します。ブラウザによって証明書が Cisco ISE に転送され、Cisco ISE はログイン セッションを証明書の内容に基づいて認証および許可します。このプロセスが完了すると、[Cisco ISE モニタリングおよびトラブルシューティング(Cisco ISE Monitoring and Troubleshooting)] ホーム ページに表示され、適切な RBAC 権限が与えられます。
Diffie-Hellman-Group14-SHA1 SSH キー交換しか許可しないように Cisco ISE を設定することができます。このためには、Cisco ISE コマンドライン インターフェイス(CLI)のコンフィギュレーション モードから次のコマンドを入力します。
service sshd key-exchange-algorithm diffie-hellman-group14-sha1
ise/admin#conf t
ise/admin (config)#service sshd key-exchange-algorithm diffie-hellman-group14-sha1
Cisco ISE ノード間で、およびモニタリング ノードに対して、TLS 保護されたセキュア syslog のみを送信するように Cisco ISE を設定するには、次の手順を実行します。
展開内のすべての Cisco ISE ノードに適切なサーバ証明書が設定されていることを確認します。FIPS 140-2 準拠にセットアップする場合は、証明書キーは 2,048 ビット以上のキー サイズが必要です。
デフォルト ネットワーク アクセス認証ポリシーが、あらゆるバージョンの SSL プロトコルを許可しないことを確認します。FIPS 認定アルゴリズムとともに、FIPS モードで TLS プロトコルを使用します。
展開内のすべてのノードがプライマリ PAN に登録されていることを確認します。また、展開の少なくとも 1 つのノードに、セキュア syslog レシーバ(TLS サーバ)としての動作が有効になっているモニタリング ペルソナが含まれることも確認します。
Cisco ISE システム ログは、さまざまな目的のために、ログ コレクタによって収集され保存されます。セキュア syslog ターゲットを設定するためには、ログ コレクタとして Cisco ISE モニタリング ノードを選択する必要があります。
ステップ 1 | 管理者ポータルにログインします。 |
ステップ 2 | を選択します。 |
ステップ 3 | [追加(Add)] をクリックします。 |
ステップ 4 | セキュア syslog サーバの名前を入力します。 |
ステップ 5 | [ターゲット タイプ(Target Type)] ドロップダウン リストからセキュア syslog を選択します。 |
ステップ 6 | [ステータス(Status)] ドロップダウン リストで [有効化(Enabled)] を選択します。 |
ステップ 7 | 展開の Cisco ISE モニタリング ノードの IP アドレスを入力します。 |
ステップ 8 | ポート番号として 6514 を入力します。セキュア syslog レシーバは TCP ポート 6514 をリッスンします。 |
ステップ 9 | syslog ファシリティ コードを選択します。デフォルトは LOCAL6 です。 |
ステップ 10 | [サーバ ダウンの場合はバッファ メッセージ(Buffer Messages When Server is Down)] チェックボックスをオンにします。このオプションがオンの場合、Cisco ISE は、セキュア syslog レシーバが到達不能な場合にはログを格納し、セキュア syslog レシーバを定期的に検査し、セキュア syslog レシーバが起動すると転送します。 |
ステップ 11 | Cisco ISE がセキュア syslog サーバに提示する CA 証明書を選択します。 |
ステップ 12 | [サーバ証明書有効性を無視(Ignore Server Certificate validation)] チェックボックスをオフにします。このオプションをオンにしてはいけません。 |
ステップ 13 | [送信(Submit)] をクリックします。 |
Cisco ISE によってセキュア syslog ターゲットに監査可能なイベントが送信されるようにするには、ロギング カテゴリを有効にする必要があります。
ステップ 1 | 管理者ポータルにログインします。 |
ステップ 2 | を選択します。 |
ステップ 3 | AAA 監査ロギング カテゴリの横にあるオプション ボタンをクリックし、次に [編集(Edit)] をクリックします。 |
ステップ 4 | [ログ重大度レベル(Log Severity Level)] ドロップダウン リストから [警告(WARN)] を選択します。 |
ステップ 5 | 作成済みのセキュア syslog リモート ロギング ターゲットを、選択したボックスに移動します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | 次のロギング カテゴリを有効にする場合は、この手順を繰り返し行います。 |
Cisco ISE が ISE ノード間でセキュアな syslog のみを送信するには、TCP および UDP syslog コレクタを無効にして、セキュアな syslog コレクタのみを有効にする必要があります。
[リモート ロギング ターゲット(Remote Logging Targets)] ページ([管理(Administration)] > [システム(System)] > [ロギング(Logging)])でこの情報を確認できます。デフォルトの syslog コレクタは削除できません。また、デフォルト syslog コレクタの [名前(Name)]、[ターゲット タイプ(Target Type)]、[IP/ホスト アドレス(IP/Host address)]、および [ポート(Port)] フィールドは更新できません。
Cisco ISE の新規インストール中に、システムから「デフォルトの自己署名サーバ証明書(Default Self-signed Server Certificate)」が信頼ストアに追加され、「クライアン認証および syslog 用の信頼(Trust for Client authentication and Syslog)」目的で使用されるものとしてマークされます。これにより、この証明書はセキュア syslog に使用できるようになります。展開を設定する場合または証明書を更新する場合には、関連する証明書をセキュア syslog ターゲットに割り当てる必要があります。
log_target_name の証明書を設定してください(Please configure the certificate for log_target_name)
メンテナンス時間が 1 時間未満の場合、ISE ノードをオフラインにしてメンテナンス作業を行います。ノードをオンラインに戻すと、メンテナンス時間内に行われたすべての変更が PAN により自動的に同期されます。変更が自動的に同期されない場合は、PAN を使用して手動で同期できます。
メンテナンス時間が 1 時間を超える場合は、メンテナンスの時点でノードを登録解除し、ノードを展開に再び追加するときにノードを再登録します。
処理があまり行われていない時間帯にメンテナンスをスケジュールすることが推奨されます。
(注) |
|