この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
クライアント プロビジョニングを有効にして、ユーザがクライアント プロビジョニング リソースをダウンロードし、エージェント プロファイルを設定できるようにします。Windows クライアント、Mac OS X クライアント、およびパーソナル デバイスのネイティブ サプリカント プロファイルのエージェント プロファイルを設定できます。クライアント プロビジョニングを無効にすると、ネットワークにアクセスしようとするユーザには、クライアント プロビジョニング リソースをダウンロードできないことを示す警告メッセージが表示されます。
プロキシを使用していて、クライアント プロビジョニング リソースをリモート システムでホスティングしている場合は、プロキシがクライアントにそのリモート ロケーションへのアクセスを許可していることを確認します。
クライアント プロビジョニング リソースは、エンドポイントがネットワークに接続した後にエンドポイントにダウンロードされます。クライアント プロビジョニング リソースは、デスクトップの場合はコンプライアンスとポスチャ エージェントで構成され、電話およびタブレットの場合はネイティブ サプリカント プロファイルで構成されます。クライアント プロビジョニング ポリシーによって、これらのプロビジョニング リソースがエンドポイントに割り当てられ、ネットワーク セッションが開始します。
クライアント プロビジョニング リソースは、 ボタンをクリックすることでリストに追加できます。
にリストされます。次のリソース タイプは、[追加(Add)][AnyConnect設定(AnyConnect Configuration)]:クライアント プロビジョニングで使用できるようにする AnyConnect PC クライアントを選択します。詳細については、「AnyConnect 設定の作成」を参照してください。
[ネイティブサプリカントプロファイル(Native Supplicant Profile)]:ネットワークの設定が含まれている電話とタブレット用のサプリカント プロファイルを設定します。詳細については、「ネイティブ サプリカント プロファイルの作成」を参照してください。
[NACエージェントまたはAnyConnect ISEポスチャプロファイル(NAC Agent or AnyConnect ISE Posture Profile)]:エージェント XML プロファイルを作成/配布しない場合は、ここで NAC エージェントと AnyConnect ISE ポスチャを設定します。AnyConnect ISE ポスチャ エージェントの詳細については、『AnyConnect Adminstrators Guide, ISE Posture Profile Editor』を参照してください。NAC エージェント プロファイルの詳細については、Cisco NAC Agent のエージェント カスタマイズ ファイルの作成 を参照してください。
クライアント プロビジョニング リソースを作成した後、エンドポイントにクライアント プロビジョニング リソースを適用するクライアント プロビジョニング ポリシーを作成します。クライアント プロビジョニング リソース ポリシーの設定を参照してください。
Windows クライアントおよび MAC OS x クライアント用の AnyConnect および Cisco NAC Agent、および Cisco Web Agent のために Cisco.com からクライアント プロビジョニング リソースを追加できます。選択するリソースおよび使用できるネットワーク帯域幅によっては、Cisco ISE にクライアント プロビジョニング リソースをダウンロードするのに数秒から数分かかることがあります。
Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。
Cisco ISE には、必ず現行のサポートされているリソースのみをアップロードしてください。古いサポートされていないリソース(たとえば、Cisco NAC Agent の古いバージョン)を使用すると、クライアント アクセスで重大な問題が発生する場合があります。
Cisco.com からリソース ファイルを手動でダウンロードする場合は、リリース ノートの「Cisco ISE Offline Updates」の項を参照してください。
Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。
AnyConnect カスタマイズ パッケージ、AnyConnect ローカリゼーション パッケージ、AnyConnect プロファイルなどの顧客作成リソースをローカル マシンから Cisco ISE に追加します。
AnyConnect の顧客作成リソースがローカル ディスクに zip 形式のファイルで使用可能であることを確認します。
AnyConnect エージェント プロファイルの作成
ネイティブ サプリカント プロファイルを作成して、ユーザが独自のデバイスを Cisco ISE ネットワークに含めることができます。ユーザがサインインすると、Cisco ISE は、ユーザの承認要件に関連付けられたプロファイルを使用して、必要なサプリカント プロビジョニング ウィザードを選択します。ウィザードは、ユーザのパーソナル デバイスを起動して設定し、ネットワークにアクセスします。
(注) | プロビジョニング ウィザードは、アクティブなインターフェイスのみを設定します。このため、有線接続ユーザと無線接続ユーザは、どちらもアクティブになっている場合を除き、両方のインターフェイスにはプロビジョニングされません。 |
リモート デバイス登録に TLS デバイス プロトコルを使用しようとしている場合、少なくとも 1 つの Simple Certificate Enrollment Protocol(SCEP)プロファイルを設定します。
TCP ポート 8909 および UDP ポート 8909 を開き、Cisco NAC Agent、Cisco NAC Web Agent、およびサプリカント プロビジョニング ウィザードのインストールを有効にします。ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide』の付録「Cisco ISE Appliance Ports Reference」を参照してください。
ステップ 1 | を選択します。 |
ステップ 2 | を選択します。 |
ステップ 3 | に示す説明を使用して、プロファイルを作成します。 ネイティブ サプリカント プロファイルの設定 |
「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。
の順に選択し、ネイティブ サプリカント プロファイルを追加すると、次の設定が表示されます。
1 つ以上のワイヤレス プロファイルを設定します。クライアントで使用可能にする SSID ごとに 1 つを設定します。
[SSID名(SSID Name)]:クライアントが接続する SSID の名前。
[プロキシ自動コンフィギュレーションファイルのURL(Proxy Auto-Config File URL)]:サプリカントのネットワーク設定を取得するためにクライアントがプロキシに接続する場合は、そのプロキシ サーバへの URL を入力します。
プロキシホスト/IP(Proxy Host/IP)
プロキシ ポート(Proxy Port)
[セキュリティ(Security)]:WPA または WPA2 を使用するようにクライアントを設定します。
[許可されているプロトコル(Allowed Procotol)]:クライアントが認証サーバに接続するのに使用するプロトコルを設定します(PEAP または EAP-TLS)。
[証明書テンプレート(Certificate Template)]:TLS の場合は、 で定義された証明書テンプレートのいずれかを選択します。
オプション設定は、「オプション設定:Windows の場合」の項で説明します。
iOS 設定
[オプション(Optional)] を展開すると、Windows クライアントの場合は次のフィールドも使用できます。
[認証モード(Authentication Mode)]:許可のクレデンシャルとして、[ユーザ(User)]、[マシン(Machine)] またはその両方を使用するかを決定します。
[自動的にログイン名とパスワード(およびもしあればドメイン)を使用する(Automatically use logon name and password (and domain if any))]:認証モードで [ユーザ(User)] を選択すると、ユーザにプロンプトを表示することなくログインおよびパスワードを使用します(その情報が使用できる場合)。
[高速再接続を有効にする(Enable Fast Reconnect)]:セッションの再開機能が PEAP プロトコル オプションで有効な場合(これは、 で設定されます)、PEAP セッションはユーザ クレデンシャルをチェックすることなく再開できます。
[隔離チェックを有効にする(Enable Quarantine Checks)]:クライアントが隔離されたかどうかを確認します。
[サーバが暗号化バインドTLVを示さない場合に切断する(Disconnect if server does not present cryptobinding TLV)]:暗号化バインド TLV がネットワーク接続でサポートされていない場合に切断します。
[新規サーバまたは信頼できる証明機関の承認をユーザに求めない(Do not prompt user to authorize new servers or trusted certification authorities)]:自動的にユーザ証明書を受け入れ、ユーザにプロンプトを表示しません。
[ネットワークが名前(SSID)をブロードキャストしていなくても接続する(Connect even if the network is not broadcasting its name (SSID))]:ワイヤレス プロファイルの場合のみ。
URL リダイレクトなしのクライアント プロビジョニングは、サードパーティの NAC で CoA がサポートされていない場合に必要です。クライアント プロビジョニングは、URL リダイレクトの有無にかかわらず実行できます。
(注) | URL リダイレクションを使用するクライアント プロビジョニングの場合、クライアント マシンにプロキシ設定が構成されている場合は、ブラウザ設定の例外リストに Cisco ISE を追加してください。この設定は、URL リダイレクションを使用するすべてのフロー、BYOD、MDM、ゲスト、およびポスチャに適用されます。たとえば、Windows マシンでは、次の手順を実行します。
|
各種ネットワークでリダイレクトなしでエンドポイントをプロビジョニングする手順を次に示します。
Dot1X EAP-TLS
プロビジョニングされた認証を使用して Cisco ISE ネットワークに接続する
ブラウザ ウィンドウを開き、プロビジョニング URL(provisioning.cisco.com)を入力する。
内部ユーザ、AD、LDAP、または SAML を介して CP ポータルにログインする。
AnyConnect がポスチャを実行する。エンドポイントがポスチャ コンプライアンスに基づいて正しいネットワークに移動する。
Dot1X PEAP
NSP 経由でユーザ名とパスワードを使用して Cisco ISE ネットワークに接続する
ブラウザ ウィンドウを開き、プロビジョニング URL(provisioning.cisco.com)を入力する。
内部ユーザ、AD、LDAP、または SAML を介して CP ポータルにログインする
AnyConnect がポスチャを実行する。エンドポイントがポスチャ コンプライアンスに基づいて正しいネットワークに移動する。
MAB(有線ネットワーク)
Cisco ISE ネットワークに接続する。
ブラウザ ウィンドウを開き、プロビジョニング URL(provisioning.cisco.com)を入力する。
内部ユーザ、AD、LDAP、または SAML を介して CP ポータルにログインする。
AnyConnect がポスチャを実行する。エンドポイントがポスチャ コンプライアンスに基づいて正しいネットワークに移動する。
MAB(ワイヤレス ネットワーク)
次の表に、[高度なマルウェア防御(AMP)イネーブラプロファイル(Advanced Malware Protection (AMP) Enabler Profile)] ページのフィールドを示します。ナビゲーション パスは、 です。
[追加(Add)] ドロップダウン矢印をクリックし、[AMPイネーブラプロファイル(AMP Enabler Profile)] を選択します。
ISE 埋め込みプロファイル エディタまたはスタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成できます。
ISE 埋め込みプロファイル エディタを使用して AMP イネーブル プロファイルを作成するには、次の手順を実行します。
SOURCEfire ポータルからエンドポイント ソフトウェアの AMP をダウンロードし、ローカル サーバでホスティングします。
[管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に移動して、エンドポイント ソフトウェアの AMP をホストするサーバの証明書を ISE 証明書ストアにインポートします。
[AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。
SOURCEfire ポータルにログインして、エンドポイント グループのポリシーを作成し、エンドポイント ソフトウェアの AMP をダウンロードする必要があります。ソフトウェアには、選択したポリシーが事前設定されています。2 つのイメージ、すなわち Windows OS の場合はエンドポイント ソフトウェアの AMP、Mac OSX の場合はエンドポイント ソフトウェアの AMP の再頒布可能なバージョンをダウンロードする必要があります。ダウンロードされたソフトウェアは、エンタープライズ ネットワークからアクセスできるサーバでホストされます。
AnyConnect スタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成するには、次の手順を実行します。
AnyConnect 4.1 スタンドアロン エディタを使用して、XML 形式のプロファイルをアップロードして AMP イネーブラ プロファイルを作成できます。
Cisco.com から Windows および Mac OS の AnyConnect スタンドアロン プロファイル エディタをダウンロードします。
スタンドアロン プロファイル エディタを起動し、[AMPイネーブラプロファイルの設定(AMP Enabler Profile Settings)]AMP イネーブラ プロファイルの設定で指定されているようにフィールドに入力します。
プロファイルを XML ファイルとしてローカル ディスクに保存します。
[AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。
[Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに SOURCEfire URL を入力して [オン(Check)] をクリックすると、次のエラーのいずれかが発生する場合があります。
エラー メッセージ:「MacまたはWindowsのインストーラファイルを含むサーバの証明書がISEによって信頼されていません。(The certificate for the server containing the Mac/Windows installer file is not trusted by ISE.)信頼証明書を [管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に追加します。(Add a trust certificate to Administration > Certificates > Trusted Certificates.)」
このエラー メッセージは、Cisco ISE 証明書ストアに SOURCEfire の信頼できる証明書をインポートしていない場合に表示されます。SOURCEfire の信頼できる証明書を入手し、Cisco ISE の信頼できる証明書ストア([管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])にインポートします。
エラー メッセージ:「インストーラファイルがこの場所で見つかりません。接続の問題である可能性があります。(The installer file is not found at this location, this may be due to a connection issue.)有効なパスを [インストーラ(Installer)] テキスト ボックスに入力するか、または接続を確認します。(Enter a valid path in the Installer text box or check your connection.)」
このエラー メッセージは、エンドポイント ソフトウェアの AMP をホストしているサーバがダウンした場合、または [Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに入力ミスがある場合に表示されます。
エラー メッセージ:「[Windowsインストーラ(Windows Installer)]または[MACインストーラ(MAC Installer)]テキスト ボックスに有効なURLが含まれていません。(The Windows/Mac installer text box does not contain a valid URL.)」
このエラー メッセージは、構文的に正しくない URL 形式を入力した場合に表示されます。
Chromebook デバイスは他のデバイス(Apple、Windows、Android)とは異なり管理型デバイス(Google ドメインによって管理)で、オンボーディング サポートが制限されています。Cisco ISE はネットワークでの Chromebook デバイスのオンボーディングをサポートしています。オンボーディングとは、Cisco ISE による認証の後にネットワークに安全に接続できるように、エンドポイントに必要な設定とファイルを配送するプロセスのことです。このプロセスには、証明書のプロビジョニングやネイティブ サプリカントのプロビジョニングが含まれています。ただし、Chromebook デバイスでは、証明書のプロビジョニングのみが実行できます。ネイティブ サプリカントのプロビジョニングは、Google 管理コンソールで実行されます。
管理されていない Chromebook デバイスは、安全なネットワークへのオンボーディングができません。
Chromebook オンボーディング プロセスに関与するエンティティは次のとおりです。
Google デバイス ライセンスによる Chromebook デバイスのプロビジョニングと登録を促進します。
Chromebook デバイスを共有しない単一のユーザ用に証明書を生成します。
複数のユーザで共有される Chromebook デバイス用に証明書を生成します。必要な追加設定については、「Google 管理コンソールでのネットワークの設定と拡張機能の強制」セクションの手順 5 を参照してください。
ISE が Chromebook デバイスで証明書のプロビジョニングを実行するために信頼され、EAP-TLS 証明書ベースの認証が許可されるように、Google 管理者が ISE サーバ証明書をインストールします。Google Chrome バージョン 37 以降は、Chromebook デバイスの証明書ベースの認証をサポートしています。Google 管理者は Google 管理コンソールで ISE プロビジョニング アプリケーションをロードし、ISE から証明書を取得するために Chromebook デバイスで使用できるようにする必要があります。
Google 管理コンソール:
Google 管理コンソールは Chromebook デバイス管理をサポートし、安全なネットワークの設定と、Chromebook への Cisco Network Setup Assistant 証明書管理拡張機能のプッシュができます。この拡張機能は SCEP 要求を Cisco ISE に送信し、クライアント証明書をインストールして、安全な接続とネットワークへのアクセスを可能にします。
Chromebook デバイスが学校や図書館などの共有環境で使用される場合、Chromebook デバイスはさまざまなユーザによって共有されます。シスコが推奨するベスト プラクティスの一部は、次のとおりです。
特定のユーザ(学生または教授)の名前で Chromebook デバイスをオンボーディングする場合、ユーザの名前が証明書の [件名(Subject)] フィールドの [共通名(CN)(Common Name (CN))] に入力されます。また、共有 Chromebook がその特定のユーザの My Devices ポータルに表示されます。そのため、共有デバイスではオンボーディング時に共有クレデンシャルを使用し、特定のユーザの My Devices ポータルのリストにのみデバイスが表示されるようにすることを推奨します。共有アカウントは、個別のアカウントとして管理者または教授が管理し、共有デバイスを制御することができます。
ISE 管理者は、共有 Chromebook デバイス用のカスタム証明書テンプレートを作成し、ポリシーで使用することができます。たとえば、[件名-共通名(CN)(Subject-Common Name (CN))] 値に一致する標準の証明書テンプレートを使用する代わりに、証明書の名前(chrome-shared-grp1 など)を指定して同じ名前を Chromebook デバイスに割り当てることができます。ポリシーは、Chromebook デバイスへのアクセスを許可または拒否するために、名前で一致させるように設計できます。
ISE 管理者は、(アクセスが制限される必要があるデバイスの)Chromebook オンボーディングを経る必要があるすべての Chromebook デバイスの MAC アドレスを備えたエンドポイント グループを作成することができます。認証ルールは、デバイス タイプ Chromebook とともにこれを呼び出す必要があります。これにより、アクセスが NSP にリダイレクトされます。
Chromebook オンボーディング プロセスは、次の一連のステップを実行します。
以下のステップは、Google 管理者が実行します。
ステップ 1 | Google 管理コンソールにログインします。
|
ステップ 2 | 管理対象デバイスの Wi-Fi ネットワークをセットアップします。 |
ステップ 3 | 強制拡張機能を作成します。 |
ステップ 4 | 強制拡張機能をインストールします。 |
ステップ 5 | (オプション)複数のユーザに共有されている Chromebook デバイスに証明書をインストールするには、コンフィギュレーション ファイルを定義します。 |
ステップ 6 | (オプション)Chromebook デバイスを共有しないシングル ユーザの証明書をインストールします。 |
Chromebook オンボーディングのために ISE を設定します。
ISE 管理者は、[ポリシー(Policy)] > [ポリシー セット(Policy Sets)] ページで必要なポリシーを作成する必要があります。
認証ポリシーの例を次に示します。
Rule Name: Full_Access_After_Onboarding, Conditions: If RegisteredDevices AND Wireless_802.1x AND Endpoints:BYODRegistration EQUALS Yes AND Certificate: Subject Alternative Name Equals RadiusCalling-Station-ID AND Network Access: EAP-Authentication EQUALS EAP-TLS Then CompliantNetworkAccess.
CompliantNetworkAccess は、
ページで設定されている認証結果です。Chromebook デバイスは、Google 管理コンソールが Google 管理者により設定された後でワイプされる必要があります。Chromebook ユーザはデバイスをワイプする必要があり、これは拡張を強制し、ネットワークを設定する一度だけの処理です。詳細については、次の URL https://support.google.com/chrome/a/answer/1360642を参照してください。
Chromebook ユーザは次の手順を実行します。
Google 管理コンソールに Chromebook を登録します。
Chromebook のデバイスをプロビジョニングするには、Chromebook ユーザは最初に Google 管理コンソール ページに登録し、デバイス ポリシーおよび強制拡張を受信する必要があります。
(注) | デュアル SSID、EAP-TLS ネットワークへの Dot1x PEAP を使用する場合、ネットワーク サプリカント(Web ブラウザではありません)にクレデンシャルを入力することで、ネットワークに接続する必要があります。 |
Wi-Fi ネットワークの設定を使用して、顧客ネットワークの SSID を設定するか、または証明書属性(EAP-TLS 用)を使用して証明書を照合します。証明書が Chromebook にインストールされるときに、Google 管理設定と同期されます。接続は、定義された証明書属性のいずれかが SSID 設定と一致したときのみ確立されます。
以下に、EAP-TLS、PEAP およびオープン ネットワーク フローに特有な必須フィールドを示します。これらは、Google 管理コンソール ページで各 Chromebook ユーザに対し、Wi-Fi ネットワークを設定するように Google 管理者が設定します。([デバイス管理(Device Administration)] > [ネットワーク(Network )] > [Wi-Fi] > [Wi-Fi の追加(Add Wi-Fi)])。
フィールド |
EAP-TLS |
PEAP |
オープン(Open) |
---|---|---|---|
[名前(Name)] |
ネットワーク接続の名前を入力します。 |
ネットワーク接続の名前を入力します。 |
ネットワーク接続の名前を入力します。 |
サービス セット識別子(SSID) |
SSID(たとえば、tls_ssid)を入力します。 |
SSID(たとえば、tls_ssid)を入力します。 |
SSID(たとえば、tls_ssid)を入力します。 |
この SSID はブロードキャストされません |
オプションを選択します。 |
オプションを選択します。 |
オプションを選択します。 |
自動的に接続 |
オプションを選択します。 |
オプションを選択します。 |
オプションを選択します。 |
セキュリティ タイプ |
WPA/WPA2 Enterprise(802.1x) |
WPA/WPA2 Enterprise(802.1x) |
オープン(Open) |
Extensible Authentication Protocol |
EAP-TLS |
PEAP |
— |
内部プロトコル |
— |
|
— |
外部 ID |
— |
— |
— |
[ユーザ名(Username)] |
必要に応じて、固定値を設定するか、またはユーザ ログインから変数を使用します:${LOGIN_ ID} または ${LOGIN_EMAIL}。 |
ISE(内部 ISE ユーザ / AD / その他の ISE ID)とパスワード フィールドに対し認証する PEAP クレデンシャルを入力します。 |
— |
サーバ認証局(Server Certificate Authority) |
ISE 証明書を選択します([デバイス管理(Device Administration)] > [ネットワーク(Network )] > [証明書(Certificates)] からインポートされます)。 |
ISE 証明書を選択します([デバイス管理(Device Administration)] > [ネットワーク(Network )] > [証明書(Certificates)] からインポートされます)。 |
— |
プラットフォームによるこの Wi-Fi ネットワークへのアクセス制限 |
|
|
— |
クライアントの登録 URL |
登録されていないユーザに対して Chromebook デバイスのブラウザがリダイレクトされる先の URL を入力します。未登録のユーザをリダイレクトするために、ワイヤレス LAN コントローラの ACL を設定します。 |
— |
— |
発行者パターン |
|
— |
— |
サブジェクト パターン |
|
— |
— |
プロキシの設定 |
|
|
— |
ネットワークの適用 |
By User |
By User |
— |
Cisco ISE は Chromebook のデバイスの認証と認可に関する情報を表示するさまざまなレポートとログを提供します。オン デマンドまたは定期的にこれらのレポートを実行できます。[操作(Operations)] > [RADIUS] > [ライブ ログ(Live Logs)] ページで、認証方法(たとえば、802.1x)と認証プロトコル(たとえば、EAP-TLS)を表示することができます。また、[ワークセンター(Work Center)] > [ネットワーク アクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] ページに移動して、Chromebook デバイスとして分類されたエンドポイントの数も識別できます。
このセクションでは、Chromebook デバイスのオンボーディング中に発生する可能性のある問題について説明します。
エラー:webstore から拡張をインストールできない:webstore から拡張をインストールできません。これは、ネットワーク管理者によって Chromebook デバイスに自動的にインストールされます。
エラー:証明書のインストールを完了したが、セキュアなネットワークに接続できない:管理コンソールで、インストールした証明書が定義された発行者とサブジェクトの属性パターンと一致していることを確認します。以下からインストールされた証明書に関する情報を得ることができます。chrome://settings/certificates
エラー:Chromebook でセキュアなネットワークに手動で接続しようとして、「ネットワーク証明書の取得(Obtain Network Certificate)」のエラー メッセージが表示される:[新しい証明書の取得(Get New Certificate)] をクリックしてブラウザを開き、証明書をインストールする ISE BYOD にリダイレクトされます。ただし、セキュアなネットワークに接続できない場合は、管理コンソールで、インストールされた証明書が定義された発行者とサブジェクトの属性パターンと一致していることを確認します。
エラー:[新しい証明書の取得(Get New Certificate)] をクリックしたが、www.cisco.com に転送される:ユーザは ISE にリダイレクトされ、証明書のインストール プロセスを開始するために、プロビジョニングする SSID に接続する必要があります。適切なアクセス リストがこのネットワーク用に定義されていることを確認します。
エラー:エラー メッセージ「管理対象デバイスのみがこの拡張を使用できます。ヘルプデスクまたはネットワーク管理者にお問い合わせください(Only managed devices can use this extension. Contact helpdesk or network administrator)」が表示される:Chromebook は管理対象デバイスであり、デバイスで証明書をインストールするには、拡張は、Chrome OS API にアクセスするために強制インストールとして設定する必要があります。拡張は、Google Web ストアからダウンロードして手動でインストールすることもできますが、登録されていない Chromebook ユーザは証明書をインストールすることはできません。
登録されていない Chromebook デバイスは、ユーザがドメイン ユーザ グループに属する場合に証明書を保護できます。拡張はデバイスのドメイン ユーザを追跡します。ただし、ドメイン ユーザは登録されていないデバイスのユーザ単位の認証キーを生成できます。
いくつかの SSID(PEAP、および EAP-TLS)が Google の管理コンソールで設定された場合、証明書がインストールされ、属性が一致すると、Chrome OS は SSID が設定された順序にかかわらず、証明書ベースの認証を使用して SSID に自動的に接続します。
2 つの EAP-TLS SSID が同じ属性で一致した場合、接続は、信号強度や他のネットワーク レベルの信号などの、ユーザまたは管理者で制御できないその他の要因に依存します。
複数の EAP-TLS の証明書が Chromebook デバイスにインストールされ、そのすべてが管理コンソールで設定された証明書パターンと一致した場合、一番新しい証明書が接続に使用されます。
AnyConnect 設定には、AnyConnect ソフトウェアおよび関連するコンフィギュレーション ファイルが含まれます。この設定は、ユーザがクライアントで AnyConnect リソースをダウンロードしてインストールできるクライアント プロビジョニング ポリシーで使用できます。AnyConnect を展開するために ISE および ASA を使用した場合、設定は両方のヘッドエンドで一致する必要があります。
(注) | VPN に接続するときに ISE ポスチャ モジュールをプッシュするには、シスコの Adaptive Security Device Manager(ASDM)GUI ツールを使用する Cisco 適応型セキュリティ アプライアンス(ASA)を使用して AnyConnect エージェントをインストールすることをお勧めします。ASA は、VPN ダウンローダを使用してインストールを行います。ダウンロードでは、ISE ポスチャ プロファイルは ASA によってプッシュされ、後続のプロファイルのプロビジョニングに必要なホスト検出が利用可能になってから、ISE ポスチャ モジュールが ISE に接続します。その一方、ISE では、ISE ポスチャ モジュールは ISE が検出された後にのみプロファイルを取得し、これがエラーの原因になることがあります。したがって、VPN に接続するとき ASA を ISE ポスチャ モジュールにプッシュすることを推奨します。 |
AnyConnect 設定オブジェクトを設定する前に AnyConnect パッケージ、コンプライアンス モジュール、プロファイル、およびオプションのカスタマイゼーション バンドルとローカリゼーション バンドルをアップロードする必要があります。
AnyConnect や NAC ポスチャのエージェント プロファイルを作成するには、次の手順を実行します。このプロファイルでは、エージェントの動作を定義するパラメータ、クライアント IP アドレスをリフレッシュするかどうかに関連するパラメータ、およびポスチャ プロトコルのパラメータを指定できます。
シスコは、エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を自動的に閉じるために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。ただし、クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、 の設定を使用して、同じ目的を達成できます。
ポリシー適用または他の方法でクライアント デバイスにエージェント プロファイルを設定してアップロードすると、そのエージェント プロファイルはクライアント上で維持され、他の何かに変更するまで、ログインおよび操作の動作に影響を及ぼします。したがって、エージェント プロファイルを Cisco ISE から削除しても、以前影響を受けたクライアントからその動作はなくなりません。ログインおよび操作の動作を変更するには、クライアント上の、既存のエージェント プロファイル パラメータの値を上書きする新しいエージェント プロファイルを定義し、これをポリシー適用によってアップロードする必要があります。
クライアントにあるものと異なるエージェント プロファイルが Cisco ISE にある場合(MD5 チェックサムを使用して判定)、Cisco ISE は、新しいエージェント プロファイルをクライアントにダウンロードします。Cisco ISE から送信されるエージェント カスタマイズ ファイルが異なる場合にも、Cisco ISE は新しいエージェント カスタマイズ ファイルをクライアントにダウンロードします。
次の表に、ポスチャ エージェント(AnyConnect および Cisco NAC Agent)のパラメータを設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、
です。
フィールド |
デフォルト値(Default Value) |
モード(Cisco ISE NAC Agent にのみ該当) |
使用上のガイドライン |
---|---|---|---|
エージェントの終了の無効化。(Disable Agent Exit.)(Mac OS X クライアントには適用できません) |
なし |
マージ |
値を [はい(Yes)] に設定すると、ユーザはエージェントをシステム トレイ経由で終了できません。 |
アクセシビリティ モードの有効化(Enable Accessibility Mode)(Mac OS X クライアントには適用できません) |
[いいえ(No)]:エージェントは Job Access with Speech(JAWS)と相互作用しません |
マージ |
値を [はい(Yes)] に設定すると、JAWS 画面リーダーと互換性を持ちます。 この機能を有効にすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能を有効にしても、エージェントは正常に機能します。 |
署名チェックの有効化(Enable signature check)(Mac OS X クライアントには適用できません) |
なし |
上書き |
値を [はい(Yes)] に設定すると、修復プログラムを起動する前に Windows は実行ファイルのデジタル署名をチェックできます。 |
概要画面のバイパス(Bypass Summary Screen)(Mac OS X クライアントには適用できません) |
あり |
マージ |
|
ロケール(Locale)(Mac OS X クライアントには適用できません) |
デフォルト |
マージ |
デフォルト設定では、エージェントはクライアント オペレーティング システムからロケール設定を使用できます。 この設定が、サポートされている言語の ID、略称、または正式名称の場合、エージェントは自動的に、クライアント マシンのエージェント ダイアログをローカライズされたテキストで表示します。 |
ポスチャ レポート フィルタ(Posture report filter)(Mac OS X クライアントには適用できません) |
表示が失敗しました(Display Failed) |
マージ |
値を [表示が失敗しました(Display Failed)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートに修復エラーのみが表示されます。 値を [すべて表示(Display All)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートにすべての結果が表示されます。 |
修復タイマー(Remediation timer) |
4 |
上書き |
この設定では、クライアント マシンで失敗したポスチャ評価チェックを修復する時間を指定します。この分数を経過すると、ログイン プロセスを再び実行する必要があります。有効な範囲は 1 ~ 300 分です。 |
ネットワーク遷移遅延(Network Transition Delay) |
3 |
上書き |
この設定では、ネットワーク遷移(IP アドレスの変更)を待機する時間を指定します。これが経過すると、修復タイマーのカウントダウンが開始されます。有効な範囲は 2 ~ 30 秒です。 |
ログ ファイル サイズ(Log file size) |
5 |
マージ |
この設定では、クライアント マシン上のエージェント ログ ファイルのファイル サイズ(メガバイト単位)を指定します。 ログ ファイル サイズがゼロに設定されている場合、エージェントは、クライアント マシン上のユーザ セッションに関するログインまたは操作情報を記録しません。 ログ ファイル サイズがゼロ以外の場合、エージェント レコードは指定されたメガバイト数までログインおよびセッション情報を記録します。 |
自動クローズの有効化。(Enable Auto Close.)(AnyConnect には適用されません) |
なし |
上書き |
この設定が [はい(Yes)] の場合、エージェント ログイン ダイアログをユーザ認証後に自動的に閉じることができます。 |
自動クローズ タイマー(Auto close timer)(AnyConnect には該当しません) |
[0] |
上書き |
この設定では、エージェント ログイン画面は指定された時間待機して、ユーザ認証後に自動的に閉じることができます。有効な値の範囲は 0 ~ 30 秒です。 |
(注) | パラメータ値を既存のエージェント プロファイルの設定でマージするか、Windows および Mac OS X クライアントのエージェント動作を適切に設定するために上書きします。 |
(注) | エージェント ログ ファイルは、クライアント マシンのディレクトリに保存されます。1 回目のログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在のセッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、エージェントのログインおよび操作情報の最初の部分が自動的にディレクトリ内のバックアップ ファイルになり、エージェントは引き続き最新のエントリを現在のセッション ファイルに記録していきます。 |
次の表に、Cisco ISE 2.2 でポスチャ エージェント(AnyConnect)のパラメータを設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。Anyconnect のエージェント動作設定のその他のフィールドについては、『Anyconnect Administrator Guide』を参照してください。
フィールド |
デフォルト値(Default Value) |
使用上のガイドライン |
---|---|---|
ステルス モード(Stealth Mode) |
標準(Standard) |
AnyConnect はクライアントレス モードまたは標準モードで動作できます。標準モードでは、AnyConnect エージェントを展開し、クライアントとのやりとりを必要とする Cisco ISE ポスチャ ポリシーをモニタおよび適用します。クライアントレス モードでは、ユーザとのやりとりを行わずに、ポスチャをサービスとして実行できます。 |
次の表に、VLAN の変更後に IP アドレスをリフレッシュするようにクライアントのパラメータを設定できる [NAC AnyConnect ポスチャ プロファイル(NAC AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、
です。
フィールド |
デフォルト値(Default Value) |
モード(Cisco NAC Agent にのみ該当) |
使用上のガイドライン |
---|---|---|---|
VLAN 検出間隔(VLAN detection interval) |
0、5 |
マージ |
この設定は、エージェントが VLAN 変更をチェックする間隔です。 Windows NAC エージェントの場合、デフォルト値は 0 です。デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows に対して無効にされます。有効な値の範囲は 0 ~ 5 秒です。 Mac OS X エージェントの場合、デフォルト値は 5 です。Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、VlanDetectInteval を 5 秒として有効になっています。有効な範囲は 5 ~ 900 秒です。 0:認証 VLAN 変更機能へのアクセスは無効化されます。 1 ~ 5:エージェントはインターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)クエリーを 5 秒ごとに送信します。 6 ~ 900:ICMP/ARP クエリーが x 秒ごとに送信されます。 |
UI なしの VLAN 検出の有効化(Enable VLAN detection without UI)(Mac OS X クライアントには適用できません) |
なし |
マージ |
この設定は、ユーザがログインしていないときでも VLAN 検出を有効または無効にします。 No:VLAN 検出機能は無効です。 Yes:VLAN 検出機能が有効です。 |
再試行検出数(Retry detection count) |
3 |
マージ |
インターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)ポーリングが失敗する場合、この設定で、クライアント IP アドレスをリフレッシュする前に x 回再試行するようにエージェントを設定します。 |
Ping または ARP(Ping or ARP) |
[0] 有効な範囲は 0 ~ 2 です。 |
マージ |
この設定は、クライアント IP アドレスの変更を検出するために使用する方式を指定します。 0:ICMP を使用してポーリング 1:ARP を使用してポーリング 2:最初に ICMP を使用し、(ICMP が失敗した場合は)ARP を使用してポーリング |
ping の最大タイムアウト(Maximum timeout for ping) |
1 有効な値の範囲は 1 ~ 10 秒です。 |
マージ |
ICMP を使用してポーリングし、指定した時間内に応答がない場合は、ICMP ポーリングの失敗を宣言します。 |
エージェント IP のリフレッシュの有効化(Enable agent IP refresh) |
Yes(デフォルト) |
上書き |
この設定は、スイッチ(または WLC)が各スイッチ ポートでクライアントのログイン セッション用 VLAN を変更した後にクライアント マシンが IP アドレスをリフレッシュするかどうかを指定します。 |
DHCP 更新遅延(DHCP renew delay) |
[0] 有効な値の範囲は 0 ~ 60 秒です。 |
上書き |
この設定は、ネットワーク DHCP サーバからの新しい IP アドレスの要求を試行する前に、クライアント マシンが待機するように指定します。 |
DHCP リリース遅延(DHCP release delay) |
[0] 有効な値の範囲は 0 ~ 60 秒です。 |
上書き |
この設定は、現在の IP アドレスをリリースする前にクライアント マシンが待機するように指定します。 |
(注) | パラメータ値は、既存のエージェント プロファイル設定とマージするか、または上書きして、Windows および Mac OS X クライアントで適切に IP アドレスがリフレッシュされるように設定します。 |
次の表では、ポスチャ プロトコル設定を設定できる [NAC または AnyConnect プロファイル(NAC or AnyConnect Profile)] ページのフィールドについて説明します。このページへのナビゲーション パスは、
です。
フィールド |
値 |
[モード(Mode)] |
使用上のガイドライン |
---|---|---|---|
CRL チェックの許可(Allow CRL Checks)(Mac OS X クライアントからは不可) |
○ |
上書き |
値が No に設定されている場合、検出およびネゴシエーション時の証明書失効リスト(CRL)のチェックがオフになります。 |
MAC アドレス例外リスト(MAC Address Exemption List)(Mac OS X クライアントからは不可) |
カンマで区切った MAC アドレスを入力します。たとえば、AA:BB:CC:DD:EE:FF、11:22:33:44:55:66 |
マージ |
この設定で 1 つまたは複数の MAC アドレスを指定すると、エージェントは、ログインと認証の間、ネットワーク経由で不要な MAC アドレスが送信されることを防ぐために、これらの MAC アドレスを Cisco ISE にアドバタイズしません。 |
Discovery Host(Mac OS X クライアントからは不可) |
IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。 |
上書き |
この設定では、レイヤ 3 配置で Cisco ISE に接続するためにエージェントが使用する Discovery Host のアドレスまたは解決可能なドメイン名を指定します。 |
Discovery Host の有効化(Enable Discovery Host)(Mac OS X クライアントからは不可) |
○ |
上書き |
Yes:ユーザが [エージェントのプロパティ(agent Properties)] ダイアログボックスの [ホストの検索(Discovery Host)] フィールドにカスタム値を指定できます。 No:ユーザがクライアント マシンの [ホストの検索(Discovery Host)] フィールドの値を変更できません。 |
サーバ名ルール(Server Name Rules) |
Cisco ISE サーバの完全修飾ドメイン名(FQDN)をカンマで区切って入力します。 |
マージ |
このフィールドは、関連する Cisco ISE サーバのカンマ区切り名から構成されます。エージェントは、このリストの名前を使用して、Cisco ISE アクセス ポイントを許可します。このリストが空の場合、許可は実行されません。いずれの名前も見つからない場合、エラーが報告されます。 |
自動生成 MAC アドレス(Auto-generated MAC Address)(Mac OS X クライアントからは不可) |
— |
マージ |
この設定は、クライアント マシンでの Evolution-Data 最適化接続をサポートしています。クライアント マシンにアクティブなネットワーク インターフェイス カードがない場合、エージェントはシステムにダミーの MAC アドレスを作成します。 |
SWISS タイムアウト(SWISS Timeout)(Mac OS X クライアントからは不可) |
1:エージェントは、設計どおりに SWISS 検出を実行し、追加の UDP 応答パケット遅延タイムアウト値は使用されません。 |
マージ |
値を 1 よりも大きく設定すると、エージェントは Cisco ISE からの SWISS UDP 検出応答パケットを追加の秒数だけ待機してから、別の検出パケットを送信します。エージェントは、このアクションを実行して、ネットワーク遅延による応答パケットの遅延が発生していないことを確認します。(SWISS タイムアウトは UDP SWISS タイムアウトの場合のみ) |
L3 SWISS 遅延の無効化(Disable L3 SWISS delay)(Mac OS X クライアントからは不可) |
なし |
マージ |
この設定が Yes の場合、エージェントはレイヤ 3 検出パケットの送信間隔を長くする機能を無効にします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。 |
HTTP 検出タイムアウト(HTTP Discovery Timeout)(Mac OS X クライアントからは不可) |
30(Windows クライアントのデフォルト) 有効な範囲は 3 秒以上です。 |
マージ |
この設定は、エージェントからの HTTPS 検出が Cisco ISE からの検出応答を待機する HTTP 検出タイムアウトを指定します。指定時間内に応答がない場合は、検出プロセスはタイムアウトになります。 値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。 値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。 |
HTTP タイムアウト(HTTP Timeout)(Mac OS X クライアントからは不可) |
120(Windows クライアントのデフォルト) 有効な範囲は 3 秒以上です。 |
マージ |
この設定は、エージェントからの HTTP 要求が応答を待機する HTTP タイムアウトを指定します。指定時間内に応答がないと、要求はタイムアウトになり、検出プロセスはタイムアウトになります。 値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。 値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。 |
次の表に、Cisco ISE 2.2 で AnyConnect のポスチャ プロトコル設定を設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。Anyconnect のポスチャ プロトコル設定のその他のフィールドについては、『Anyconnect Administrator Guide』を参照してください。
フィールド |
デフォルト値(Default Value) |
使用上のガイドライン |
---|---|---|
[Call Home リスト(Call Home List)] |
— |
IP アドレスとポートをコロンで結んだカンマ区切りリストを入力します。 |
[バックオフ タイマー(Back-off Timer)] |
30 秒 |
この設定により、Anyconnect エージェントは最大時間制限に達するまでディスカバリ パケットを送信することで、ディスカバリ ターゲット(リダイレクション ターゲットおよび以前に接続していた PSN)に継続的に到達できます。有効な値の範囲は 10 ~ 600 秒です。 |
Cisco ISE では、内部ネットワークにユーザがアクセスするときに使用するログイン セッションのタイプを分類する場合に、次のようなさまざまな要素を調べます。
Cisco ISE は、クライアント マシンを分類した後、クライアント プロビジョニング リソース ポリシーを使用して、適切なエージェント バージョン、アンチウイルスとアンチスパイウェアのベンダー サポートに対する最新のコンプライアンス モジュール、および(必要に応じて)正しいエージェント カスタマイズ パッケージとプロファイルで、クライアント マシンが設定されていることを確認します。
ユーザの認証と許可の後、クライアント マシン ブラウザに「ポリシーが一致しません(no policy matched)」のエラー メッセージが表示されます。この問題は、認証のクライアント プロビジョニング フェーズ中のユーザ セッションに該当します。
ネットワークとの一致に必要な適切なエージェント プロファイル情報を含むエージェント設定 XML ファイル(NACAgentCFG.xml という名前)とともに、MSI インストーラをディレクトリに、または MSI インストーラの zip バージョンをクライアント マシン上に置くことができます。
ステップ 1 | nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルをシスコのソフトウェア ダウンロード サイト(http://software.cisco.com/download/navigator.html)からダウンロードし、 に移動します。 |
ステップ 2 | nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:\temp\nacagentsetup-win.msi)。 |
ステップ 3 | Agent 設定 XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。
Cisco ISE に接続しない場合は、すでに正常にプロビジョニングされたクライアントから NACAgentCFG.xml ファイルをコピーできます。ファイルは、C:\Program Files\Cisco\Cisco NAC Agent\NACAgentCFG.xml にあります。 Agent 設定 XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent 設定 XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、エージェントは最初に起動されたとき、正しいレイヤ 3 ネットワーク上の場所をポイントすることができます。 |
ステップ 4 | クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。
msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log (/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します) NAC Agent をアンインストールするには、次のコマンドを実行します。msiexec /x NACAgentSetup-win-<version>.msi /qnMSI を使用してエージェントの新しいバージョンをインストールする場合、古いバージョンがアンインストールされ、上記のコマンドを使用して新しいバージョンがインストールされます。 |
ステップ 5 | Altiris/SMS を使用して MSI インストーラを分散する場合は、エージェントのカスタマイゼーション ファイルを「%TEMP%/CCAA」ディレクトリの「brand」という名前のサブディレクトリに置きます。Cisco NAC Agent がクライアントにインストールされるとき、このカスタマイズは Agent に適用されます。カスタマイズを削除するには、カスタマイズ ファイルなしの MSI を送信します。 |
エージェントとは、Cisco ISE ネットワークにログインしているクライアント マシンに存在するアプリケーションです。クライアントがネットワークにログインしていない場合でも、エージェントは永続的にすることができ(AnyConnect、Cisco NAC Agent for Windows および Cisco NAC Agent for Mac OS X と同様)、インストール後もクライアント マシンに残ります。エージェントは一時的にすることもでき(Cisco NAC Web Agent や Windows および Mac OS 向けの Cisco Temporal Agent と同様)、ログイン セッション終了後にクライアント マシンから削除されます。いずれの場合も、エージェントはネットワークにログインし、適切なアクセス プロファイルを受け取り、クライアント マシンでポスチャ評価を実行してネットワークのコアにアクセスする前にネットワーク セキュリティ ガイドラインに従うようにします。
(注) | 現在 Cisco NAC Agent および Cisco NAC Web Agent は、クライアント プロビジョニング ポータルおよびネイティブ サプリカント プロビジョニングをサポートします。Cisco NAC Web Agent は、中央 Web 認証フロー(CWA)をサポートしていますが、Cisco NAC Agent は CWA をサポートしません。 |
(注) | Windows 向けの Cisco Temporal Agent は、クライアント プロビジョニング ポータルをサポートし、URL リダイレクションを使用します。 |
Cisco ISE は、Windows および Mac OS x クライアントでの AnyConnect とレガシー Cisco ISE NAC エージェントの共存をサポートします。エージェントは、クライアント上のネットワークに変更があった場合にのみ、ポスチャ検出プローブを開始します。Cisco ISE はクライアント プロビジョニング ポリシーに基づいて、クライアントのポスチャ検出プローブに応答し、対応するエージェントが検出応答を取得します。このエージェントが唯一のアクティブ エージェントになります。
Cisco ISE では、クライアント プロビジョニング ポリシーに基づいて、次のようにエージェント ポスチャ検出プローブへの応答が異なります。
エンドポイントがレガシー エージェント(Windows および Mac OS x 用の Cisco ISE NAC エージェント)を使用するように設定されている場合、エージェントは検出応答と既存の形式の文字列「X-perfigo-CAS=FQDN」を受信します。レガシー エージェント用の検出応答が受信された場合、AnyConnect は検出を停止します。
エンドポイントが AnyConnect を使用するように設定されている場合、Cisco ISE は別の形式で応答します。これは、Cisco ISE ポリシー サービス ノードの FQDN および AnyConnect 設定 URL になり、AnyConnect パッケージの場所およびバージョンはクライアント プロビジョニング ポリシーに基づきます。AnyConnect 用の応答が受信された場合、レガシー エージェントは検出を停止します。
(注) |
Web Agent は検出プローブを行いません。Web Agent を使用するようにエンドポイントが設定されている場合、Cisco ISE は X-ISE-PDP-WEBAGENT=FQDN の形式を使用して応答します。Web Agent を使用するようにクライアント プロビジョニング ポリシーが設定されている場合、Web Agent 検出応答はクライアントの Cisco NAC Agent を呼び出すために使用されます。
管理者とユーザはフル ネットワーク アクセスを想定していますが、ログインと認証の後にクライアント マシンにネットワークへの「一時的なアクセス」が付与されます。
ユーザは、ネットワーク接続を確認して再度ログインを試行し(またポスチャ評価を通過し)、接続の再構築を試みる必要があります。
ユーザに対して「Clean Access Server が使用できません(Clean access server not available)」というメッセージが表示されます。この問題は、Cisco ISE からのすべてのエージェント認証セッションに適用されます。
このエラーは、セッションが終了していること、またはネットワーク上で Cisco ISE が到達不可能となったことのいずれかを意味する場合があります。
(注) | Cisco AnyConnect は CWA フローでサポートされていません。これは、[ワーク センター(Work Centers)] の [ゲスト アクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)][設定(Configure)]>[ゲスト ポータル(Guest Portals)] >[作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)] ページの [ゲスト デバイス コンプライアンスが必要(Require guest device compliance)] フィールドを使用してゲスト ポータルからプロビジョニングすることはできません。代わりに、AnyConnect は認証権限に設定されるリダイレクションの結果として、クライアント プロビジョニング ポータルからプロビジョニングする必要があります。 |
(注) | ネットワークのメディアを切り替えるときに、AnyConnect ISE ポスチャ モジュールは、ネットワークの変更を検出し、クライアントを再評価するように、デフォルト ゲートウェイの変更を要求します。 |
AnyConnect エージェントとの統合に Cisco ISE を利用するために、Cisco ISE は次のように動作します。
Cisco NAC Agent がデフォルトの場所にインストールされているシステムでは、.xml ファイルは次のディレクトリにあります。
nac_login.xml ファイルは「C:\Program Files\Cisco\Cisco NAC Agent\UI\nac_divs\login」ディレクトリにあります。
nacStrings_xx.xml ファイルで、「xx」はロケールを示します。ファイルの全リストは「C:\Program Files\Cisco\Cisco NAC Agent\UI\cues_utility」ディレクトリにあります。
エージェントが別の場所にインストールされている場合には、ファイルは「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。
Cisco NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。
ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Cisco NAC Agent を使用すると、Windows の更新またはアンチウイルスやアンチスパイウェアの定義の更新を実行したり、正規の修復プログラムを起動したり、Cisco ISE サーバにアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布したりすることができます。
シスコは、最新の Windows ホット フィックスとパッチが Windows XP クライアントにインストールされ、Cisco NAC Agent がセキュアで暗号化された Cisco ISE との通信を確立できることを確認することを推奨します(SSL over TCP など)。
Cisco NAC Agent は Windows クライアントの C:\Program Files\Cisco\Cisco NAC Agent\ にインストールされます。
Agent は、次の方法でアンインストールできます。
Cisco NAC Agent では、「修復で障害発生」や「ネットワーク アクセスの期限切れ」などのためにユーザがネットワーク アクセスを取得できなかった場合は、エージェントによって「Network not available, Click "OK" to continue」という Toast 通知が表示されます。
詳細を取得するには、toast を選択すると、デスクトップ モードにリダイレクトされ、Cisco NAC Agent ダイアログが表示されます。
Toast 通知は、ネットワーク アクセスを取得するために実行する必要があるすべてのプラス推奨処置に対して表示されます。次に例を示します。
ネットワーク受信ポリシーの場合は、「Click Accept to gain network access」という toast が表示されます。
エージェント/コンプライアンス モジュールのアップグレードの場合は、「Click OK to Upgrade/Update」という toast が表示されます。
「user logged out」イベントでは、Clean Access Manager(CAM)でログオフの「Auto Close」オプションが有効でない場合に、Toast 通知が表示されます。この toast により、ユーザがログアウトされており、ネットワークにアクセスするには再度ログインする必要があることがわかります。
Cisco NAC OS X Agent により、Macintosh クライアント マシンはポスチャ評価および修復を実行できます。
ユーザは Cisco NAC OS X Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、アンチウイルスおよびアンチスパイウェアの定義の更新をチェックすることができます。
Cisco NAC OS X Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージをチェックし、レポートを Cisco ISE サーバに返送します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、エージェントは満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、クライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。
次のアンインストール スクリプトを実行して、Mac OS X クライアントの Cisco NAC Agent をアンインストールできます。
Cisco Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。
ユーザは Cisco Web Agent 実行ファイルを起動することができ、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。
Cisco Web Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージのホスト レジストリ、プロセス、アプリケーション、およびサービスをチェックし、レポートを Cisco ISE サーバに送信します。クライアント マシンに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、ユーザ ログイン ロールの要件を満たすようにクライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。
(注) | ActiveX は 32 ビット版の Internet Explorer でのみサポートされます。Firefox Web ブラウザまたは 64 ビット版の Internet Explorer のバージョンでは、ActiveX をインストールできません。 |
Cisco NAC Agent for Windows で、[エージェント トレイ(Agent Tray)] アイコンを右クリックし、[ログ パッケージ(Log Package)] をクリックして、サポート パッケージを実行し、ログを収集します。
Cisco NAC Agent for Cisco NAC OS X で、[ツール(Tools)] メニューの [エージェント(Agent)] アイコンを右クリックして、[サポート ログの収集(Collect Support Logs)] オプションをクリックして、エージェントのログとサポート情報を収集します。収集された情報は、ZIP ファイルとして提供されます。ユーザは、ファイルの場所とファイル名を選択して、ファイルを保存できます。デフォルトでは、ファイルは CiscoSupportReport.zip というファイル名でデスクトップに保存されます。
エージェントがクラッシュまたはハングした場合は、CCAAgentLogPackager.app を実行してログを収集することができます。このファイルは /Applications/CCAAgent.app で入手できます。[CCAAgent.app] を右クリックして、[パッケージ コンテンツの表示(Show Package Contents)] を選択し、[CCAAgentLogPackager] をダブルクリックして、サポート情報を収集します。
エージェント カスタマイズ ファイルにより、Cisco NAC Agent 画面ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
XML ディスクリプタ ファイルを含む .zip ファイルとしてカスタマイゼーション パッケージを作成し、カスタマイズされたオプションから成るコンテンツを含む別の .zip ファイルを作成することができます。
ステップ 1 | [エージェント(Agent)] 画面のカスタマイズ パッケージを構成するために必要なファイルを組み合わせます。 |
ステップ 2 | 完成したファイルを含む「brand-win.zip」と呼ばれる zip ファイルを作成します。たとえば Linux または UNIX 環境では、次のコマンドを実行します。 zip -r brand-win.zip nac_login.xml nac_logo.gif nacStrings_en.xml nacStrings_cy.xml nacStrings_el.xml |
ステップ 3 | 適切な updateFeed.xml ディスクリプタ ファイルと上記で作成された .zip ファイルを含む「custom.zip」ファイルを作成します。たとえば Linux または UNIX 環境では、次のコマンドを実行します。 zip -r custom.zip updateFeed.xml brand-win.zip |
ステップ 4 | 完成した「custom.zip」ファイルを、Cisco ISE にアップロードする場合にアクセスできるローカル マシン上の場所に保存します。 |
nac_login.xml ファイルは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] ウィンドウなどの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
適切な「nac_login.xml」ファイルを作成して [Cisco NAC Agent] 画面に含まれるロゴ、フィールド、およびメッセージ テキストをカスタマイズするには、次のテンプレートを使用します。
<tr class="nacLoginMiddleSectionContainerInput"> <td colspan="2"> <fieldset width="100%" id="nacLoginCustomAlert" style="display:block" class="nacLoginAlertBox"> <table width="100%"> <tr> <td id="nacLoginCustomAlert.img" valign="top" width="32px"> <img src="./cues_icons/Status_warning_icon.png" align="absmiddle" onload="cuesFixPNG(null,this)"></img> </td> <td id="nacLoginCustomAlert.content" class="nacLoginAlertText"> <cues:localize key="login.customalert"/> </td> </tr> </table> </fieldset> </td> </tr> <tr id="nacLoginRememberMe" style="visibility:hidden"> <td> <cues:localize key="cd.nbsp"/> </td> <td class="cuesLoginField"> <nobr> <input type="checkbox" alt="" title="" name="rememberme" id="rememberme" checked="true"/> <cues:localize key="login.remember_me"/> </nobr> </td> </tr>
これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
次のテンプレートを使用して、1 つ以上の nacStrings_xx.xml ファイルを作成します。ここで、xx は特定言語の 2 文字の ID です。
次に、カスタマイズされた nacStrings_xx.xml ファイルの例を示します。
<cueslookup:appstrings xmlns:cueslookup="http://www.cisco.com/cues/lookup"> <cueslookup:name key="nac.brand.legal_name">Cisco Systems, Inc.</cueslookup:name> <cueslookup:name key="nac.brand.full_name">Cisco Systems</cueslookup:name> <cueslookup:name key="nac.brand.short_name">Cisco</cueslookup:name> <cueslookup:name key="nac.brand.abbreviation">Cisco</cueslookup:name> <cueslookup:name key="nac.copyright">Copyright </cueslookup:name> <cueslookup:name key="nac.copyright.period">2009-2013</cueslookup:name> <cueslookup:name key="nac.copyright.arr">All Rights Reserved</cueslookup:name> <cueslookup:name key="updateagent.rqst">NAC Agent %1 is available.%br% Do you want to install this update now?</cueslookup:name> <cueslookup:name key="updateagent.rqst.retry">Unable to update NAC Agent. Please try again.</cueslookup:name> <cueslookup:name key="downloadagent.report">Downloading the update of NAC Agent.</cueslookup:name> <cueslookup:name key="downloadagent.packagename.label">Package Name</cueslookup:name> <cueslookup:name key="downloadagent.completed.label">Completed</cueslookup:name> <cueslookup:name key="downloadagent.completed.value">%1 of %2 bytes</cueslookup:name> <cueslookup:name key="downloadagent.speed.label">Speed</cueslookup:name> <cueslookup:name key="downloadagent.speed.value">%1 bytes/sec</cueslookup:name> <cueslookup:name key="updateopswat.rqst">NAC Agent Posture component version %1 is available.%br% Do you want to install this update now?</cueslookup:name> <cueslookup:name key="updateopswat.rqst.retry">Unable to update NAC Agent Posture component. Please try again.</cueslookup:name> <cueslookup:name key="downloadopswat.report">Downloading the update of NAC Agnet Posture component.</cueslookup:name> <cueslookup:name key="login.productname">Education First Compliance Check</cueslookup:name> <cueslookup:name key="login.version">Version</cueslookup:name> <cueslookup:name key="login.opswatversion">Posture Component Version</cueslookup:name> <cueslookup:name key="login.username">Enter your username</cueslookup:name> <cueslookup:name key="login.password">Enter your PIN</cueslookup:name> <cueslookup:name key="login.remember_me">Remember Me</cueslookup:name> <cueslookup:name key="login.server">Server</cueslookup:name> <cueslookup:name key="login.customalert">Custom EF package version 2.1.1.1 with EF Logo</cueslookup:name> <cueslookup:name key="login.Too many users using this account">This account is already active on another device</cueslookup:name> <cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name> <cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name> <cueslookup:name key="menu_devtools">Dev Tools</cueslookup:name> <cueslookup:name key="c.sso.ad">Performing Windows Domain automatic login for NAC</cueslookup:name> <cueslookup:name key="c.sso.generic">Unknown authentication type</cueslookup:name> <cueslookup:name key="c.sso.macauth">Performing device filter automatic login for NAC</cueslookup:name> <cueslookup:name key="c.sso.vpn">Performing automatic login into NAC environment for remote user</cueslookup:name> <cueslookup:name key="c.title.status.authenticating">Authenticating User</cueslookup:name> <cueslookup:name key="c.title.status.answeringchallenge">Sending Response</cueslookup:name> <cueslookup:name key="c.title.status.checking">Checking Requirements</cueslookup:name> <cueslookup:name key="c.title.status.checkcomplete">System Check Complete</cueslookup:name> <cueslookup:name key="c.title.status.loggedin">NAC Process Completed</cueslookup:name> <cueslookup:name key="c.title.status.netaccess.none">NAC Process Completed</cueslookup:name> <cueslookup:name key="c.title.status.netpolicy">Network Usage Policy</cueslookup:name> <cueslookup:name key="c.title.status.properties">Agent Properties & Information</cueslookup:name> <cueslookup:name key="c.title.status.remediating">Remediating System</cueslookup:name> <cueslookup:name key="c.title.status.session.expired">Session has Expired</cueslookup:name> <cueslookup:name key="c.title.status.update.available">Update Agent</cueslookup:name> <cueslookup:name key="c.title.status.update.downloading">Downloading Agent</cueslookup:name> <cueslookup:name key="c.title.status.update.opswat.available">Update Posture Component</cueslookup:name> <cueslookup:name key="c.title.status.update.opswat.downloading">Downloading Posture Component</cueslookup:name> <cueslookup:name key="scanning">Checking</cueslookup:name> <!-- <cueslookup:name key="scanningitemcomplete">Finished Checking</cueslookup:name> --> <cueslookup:name key="ph.about">About</cueslookup:name> <cueslookup:name key="ph.cancel">Cancel</cueslookup:name> <!-- <cueslookup:name key="ph.details">Details</cueslookup:name> --> <cueslookup:name key="ph.logout">Logout</cueslookup:name> <cueslookup:name key="title_remediating">Remediating System</cueslookup:name> <cueslookup:name key="title_check_conplete">System Check Complete</cueslookup:name> <cueslookup:name key="title_full_access_granted">Logged In</cueslookup:name> <cueslookup:name key="title_access_denied">Network Access Denied</cueslookup:name> <cueslookup:name key="tempNetAccess">Temporary Network Access</cueslookup:name> <cueslookup:name key="announcePleaseBePatient">Please be patient while your system is checked against the network security policy </cueslookup:name> <cueslookup:name key="bttn.accept">Accept</cueslookup:name> <cueslookup:name key="bttn.apply">Apply</cueslookup:name> <cueslookup:name key="bttn.cancel">Cancel</cueslookup:name> <cueslookup:name key="bttn.continue">Update Later</cueslookup:name> <cueslookup:name key="bttn.close">Close</cueslookup:name> <cueslookup:name key="bttn.detailshide">Hide Compliance</cueslookup:name> <cueslookup:name key="bttn.detailsshow">Show Compliance</cueslookup:name> <cueslookup:name key="bttn.download">Download</cueslookup:name> <cueslookup:name key="bttn.guestAccess">Guest Access</cueslookup:name> <cueslookup:name key="bttn.go2link">Go To Link</cueslookup:name> <cueslookup:name key="bttn.launch">Launch</cueslookup:name> <cueslookup:name key="bttn.login">Log In</cueslookup:name> <cueslookup:name key="bttn.next">Re-Scan</cueslookup:name> <cueslookup:name key="bttn.ok">OK</cueslookup:name> <cueslookup:name key="bttn.propertieshide">Hide Properties</cueslookup:name> <cueslookup:name key="bttn.reject">Reject</cueslookup:name> <cueslookup:name key="bttn.remediate">Repair</cueslookup:name> <cueslookup:name key="bttn.rescan">Rescan</cueslookup:name> <cueslookup:name key="bttn.reset">Reset</cueslookup:name> <cueslookup:name key="bttn.restrictedNet">Get Restricted NET access This one comes down from the network</cueslookup:name> <cueslookup:name key="bttn.savereport">Save Report</cueslookup:name> <cueslookup:name key="bttn.skip">Skip</cueslookup:name> <cueslookup:name key="bttn.skipao">Skip All Optional</cueslookup:name> <cueslookup:name key="bttn.submit">Submit</cueslookup:name> <cueslookup:name key="bttn.update">Update</cueslookup:name> <cueslookup:name key="cd.days"> days </cueslookup:name> <cueslookup:name key="cd.nbsp">   </cueslookup:name> <cueslookup:name key="cd.tempNetAccess.counting"> There is approximately %1 left until your temporary network access expires </cueslookup:name> <cueslookup:name key="cd.tempNetAccess.expired"> Your Temporary Network Access has Expired! </cueslookup:name> <cueslookup:name key="cd.tempNetAccessShort.counting"> %1 left </cueslookup:name> <cueslookup:name key="cd.tempNetAccessShort.expired"> Expired! </cueslookup:name> <cueslookup:name key="cd.window.counting"> This window will close in %1 secs </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess"> Full Network Access </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess.verbose"> Your device conforms with all the security policies for this protected network </cueslookup:name> <cueslookup:name key="dp.status.fullNetAccessWarn.verbose"> Only optional requirements are failing. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.iprefresh.progress.verbose"> Refreshing IP address. Please Wait... </cueslookup:name> <cueslookup:name key="dp.status.iprefresh.complete.verbose"> Refreshing IP address succeeded. </cueslookup:name> <cueslookup:name key="dp.status.vlanchange.progress.verbose"> Connecting to protected Network. Please Wait... </cueslookup:name> <cueslookup:name key="dp.status.guestNetAccess"> Guest Network Access </cueslookup:name> <cueslookup:name key="dp.status.noNetAccess"> Network Access Denied </cueslookup:name> <cueslookup:name key="dp.status.noNetAccess.verbose"> There is at least one mandatory requirement failing. You are required to update your system before you can access the network. </cueslookup:name> <cueslookup:name key="dp.status.rejectNetPolicy.verbose"> Network Usage Terms and Conditions are rejected. You will not be allowed to access the network. </cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess"> Restricted Network Access granted. </cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess.verbose"> You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess"> Temporary Network Access </cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose"> Please be patient while your system is checked against the network security policy. </cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure"> Performing Re-assessment </cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure.verbose"> There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted. </cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure"> Performing Re-assessment </cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure.verbose"> Only optional requirements are failing. It is recommended that you update your system at your earliest convenience. </cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout"> Logged out </cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout.verbose"> Temporary Access to the network has expired. </cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated"> Logged out </cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated.verbose">   </cueslookup:name> <cueslookup:name key="ia.status.checkcomplete"> Finished Checking Requirements </cueslookup:name> <cueslookup:name key="ia.status.check.inprogress"> Please be patient while we determine if your system is compliant with the security policy </cueslookup:name> <cueslookup:name key="ia.status.check.inprogress.01"> Checking %1 out of %2 </cueslookup:name> <cueslookup:name key="ia.status.netpolicy"> Access to the network requires that you view and accept the following Network Usage Policy </cueslookup:name> <cueslookup:name key="ia.status.netpolicylinktxt"> Network Usage Policy Terms and Conditions </cueslookup:name> <cueslookup:name key="ia.status.remediate.inprogress"> Remediating </cueslookup:name> <cueslookup:name key="ia.status.remediate.start"> Please Remediate </cueslookup:name> <cueslookup:name key="ia.status.remediate.checkinprogress"> Checking for compliance with Requirement </cueslookup:name> <cueslookup:name key="ia.table.name"> Name </cueslookup:name> <cueslookup:name key="ia.table.location"> Location </cueslookup:name> <cueslookup:name key="ia.table.software"> Software </cueslookup:name> <cueslookup:name key="ia.table.software.programs"> program(s) </cueslookup:name> <cueslookup:name key="ia.table.update"> Update </cueslookup:name> <cueslookup:name key="ia.table.locationcode.nochange"> Do not change current setting </cueslookup:name> <cueslookup:name key="ia.table.locationcode.notifybeforedownload"> Notify before download </cueslookup:name> <cueslookup:name key="ia.table.locationcode.notifybeforeinstall"> Notify before install </cueslookup:name> <cueslookup:name key="ia.table.locationcode.scheduledinstallation"> Download and installation </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcenotifybeforedownload"> Change to notify before download </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcenotifybeforeinstall"> Change to notify before installation </cueslookup:name> <cueslookup:name key="ia.table.locationcode.forcescheduledinstall"> Change to download and installation </cueslookup:name> <cueslookup:name key="ia.table.description"> Description </cueslookup:name> <cueslookup:name key="scs.table.title"> Security Compliance Summary </cueslookup:name> <cueslookup:name key="scs.table.header1.scan_rslt"> Scan Result </cueslookup:name> <cueslookup:name key="scs.table.header1.pack_name"> Requirement Name </cueslookup:name> <cueslookup:name key="scs.table.header1.pack_details"> Requirement Description - Remediation Suggestion </cueslookup:name> <cueslookup:name key="scs.table.data.mandatory"> Mandatory </cueslookup:name> <cueslookup:name key="scs.table.data.optional"> Optional </cueslookup:name> <cueslookup:name key="scs.table.data.pass"> Passed </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_download"> Please download and install the optional software before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_download"> Please download and install the required software before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_launch"> Please launch the optional remediation program(s) before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_launch"> Please launch the required remediation program(s) before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_opswat_av"> Please update the virus definition file of the specified antivirus software before accessing the network (optional) </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_opswat_av"> Please update the virus definition file of the specified antivirus software before accessing the network (required) </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_opswat_as"> Please update the spyware definition file of the specified anti-spyware software before accessing the network (optional) </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_opswat_as"> Please update the spyware definition file of the specified anti-spyware software before accessing the network (required) </cueslookup:name> <cueslookup:name key="ia.rem_inst_optional_win_update"> Please download and install the optional windows updates before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_mandatory_win_update"> Please download and install the required windows updates before accessing the network </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_launch_prog"> Launching Remediation Program(s)... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_launch_url"> Launching Remediation URL... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_opswat_av"> Updating Virus Definition... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_opswat_as"> Updating Spyware Definition... </cueslookup:name> <cueslookup:name key="ia.rem_inst_auto_win_update"> Launching Windows auto Update(s)... </cueslookup:name> <cueslookup:name key="ia.rem_launch_downloaded_file"> Downloaded at %1. %br% Please open this folder & double-click executable file to install the required software. </cueslookup:name> <cueslookup:name key="discoveryhost.label"> Discovery Host </cueslookup:name> <cueslookup:name key="properties.table.title"> List of Antivirus & Anti-Spyware Products Detected by the Agent </cueslookup:name> <cueslookup:name key="properties.table.header1.index"> No. </cueslookup:name> <cueslookup:name key="properties.table.header1.description"> Description </cueslookup:name> <cueslookup:name key="properties.table.header1.value"> Value </cueslookup:name> <cueslookup:name key="properties.table.data.product_type"> Product Type </cueslookup:name> <cueslookup:name key="properties.table.data.product_name"> Product Name </cueslookup:name> <cueslookup:name key="properties.table.data.product_version"> Product Version </cueslookup:name> <cueslookup:name key="properties.table.data.def_version"> Definition Version </cueslookup:name> <cueslookup:name key="properties.table.data.def_date"> Definition Date </cueslookup:name> <cueslookup:name key="reboot.mandatory.001"> Mandatory System Reboot Required </cueslookup:name> <cueslookup:name key="reboot.optional.001"> You need to reboot your system in order for the changes to take effect. </cueslookup:name> <cueslookup:name key="rem.error.001"> Unable to remediate particular requirement </cueslookup:name> <cueslookup:name key="rem.error.av_access_denied"> The remediation you are attempting is reporting an access denied error. This is usually due to a privilege issue. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_buffer_too_small"> The remediation you are attempting has failed with an internal error. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_elevation_required"> The remediation you are attempting requires elevation. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_failed"> The remediation you are attempting had a failure. If the problem persists contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_internal_error"> The remediation you are attempting has reported an internal error. If this problem persists please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_not_implemented"> The remediation you are attempting is not implemented for this product. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_not_supported"> The remediation you are attempting is not supported for this product. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_update_faile"> The AV/AS update has failed. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_update_failed_due_to_network"> The AV/AS update failed due to a networking issue. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.av_timeout"> The remediation you are attempting has timed out waiting for the operation to finish. If this continues please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_dist_size_error"> The size of the downloaded file does not match the package! Please discard downloaded file and check with your administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_is_not_signed"> The file that has been requested was not digitally signed. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.file_save_location_error"> The location for the file to be saved to can not be written. Please choose a different location. </cueslookup:name> <cueslookup:name key="rem.error.http_file_not_found"> The requested file is not found. Please try again and if this problem persists, contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.launch_file_not_found"> The file that has been requested could not be launched either because it could not be found or there was a problem launching it. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.malformed_URL"> The file that is trying to be downloaded has an incorrect URL. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.network_error"> There has been a network error, please try the remediation again. If this message continues to be seen contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.update_fail_for_non_admin"> The remediation you are trying to do can not be accomplished at your user level. Please contact your system administrator. </cueslookup:name> <cueslookup:name key="rem.error.wsus_search_failure"> The WSUS search failed. This is probably due to a network issue. Please try again and if this message continues to display contact your system administrator. </cueslookup:name> <cueslookup:name key="server.error.generic"> Agent encountered problems logging user </cueslookup:name> <cueslookup:name key="server.error.255"> Network Error: NAC Server could not establish a secure connection to NAC Manager. This could be due to one or more of the following reasons: 1) NAC Manager certificate has expired or 2) NAC Manager certificate cannot be trusted or 3) NAC Manager cannot be reached or 4) NAC Manager is not responding Please report this to your network administrator. </cueslookup:name> <cueslookup:name key="server.error.5000"> Invalid provider name </cueslookup:name> <cueslookup:name key="server.error.5001"> Failed to add user to online list </cueslookup:name> <cueslookup:name key="server.error.5002"> Server communication error </cueslookup:name> <cueslookup:name key="server.error.5003"> Invalid username or password </cueslookup:name> <cueslookup:name key="server.error.5004"> Unknown user </cueslookup:name> <cueslookup:name key="server.error.5005"> Account expired </cueslookup:name> <cueslookup:name key="server.error.5006"> Account currently disabled </cueslookup:name> <cueslookup:name key="server.error.5007"> Exceed quota limit </cueslookup:name> <cueslookup:name key="server.error.5008"> Insufficient Clean Access packages installed </cueslookup:name> <cueslookup:name key="server.error.5009"> Access to network is blocked by the administrator </cueslookup:name> <cueslookup:name key="server.error.5010"> Vulnerabilities not fixed </cueslookup:name> <cueslookup:name key="server.error.5011"> This client version is old and not compatible. Please login from web browser to see the download link for the new version. </cueslookup:name> <cueslookup:name key="server.error.5012"> Network policy is not accepted </cueslookup:name> <cueslookup:name key="server.error.5013"> Invalid switch configuration </cueslookup:name> <cueslookup:name key="server.error.5014"> Too many users using this account </cueslookup:name> <cueslookup:name key="server.error.5015"> Invalid session </cueslookup:name> <cueslookup:name key="server.error.5016"> Null session </cueslookup:name> <cueslookup:name key="server.error.5017"> Invalid user role </cueslookup:name> <cueslookup:name key="server.error.5018"> Invalid login page </cueslookup:name> <cueslookup:name key="server.error.5019"> Encoding failure </cueslookup:name> <cueslookup:name key="server.error.5020"> A security enhancement is required for your Agent. Please upgrade your Agent or contact your network administrator. </cueslookup:name> <cueslookup:name key="server.error.5021"> Can not find server reference </cueslookup:name> <cueslookup:name key="server.error.5022"> User role currently disabled </cueslookup:name> <cueslookup:name key="server.error.5023"> Authentication server is not reachable </cueslookup:name> <cueslookup:name key="server.error.5024"> Agent user operating system is not supported </cueslookup:name> <cueslookup:name key="server.error.generic_emergency"> The Agent has encountered an unexpected error and is restarting. </cueslookup:name> <cueslookup:name key="server.error.http_error"> Clean Access Server is not available on the network. </cueslookup:name> <cueslookup:name key="server.error.nw_interface_chg"> Authentication interrupted due to network status change. Press OK to retry. </cueslookup:name> <cueslookup:name key="server.error.svr_misconfigured"> Clean Access Server is not properly configured. </cueslookup:name> <cueslookup:name key="server.clarification.generic_emergency"> Please contact your administrator if the problem persists. </cueslookup:name> <cueslookup:name key="announce.savingreport"> Saving Report </cueslookup:name> <cueslookup:name key="announce.savingreport.failed"> Unable to save report </cueslookup:name> <cueslookup:name key="announce.cancelremediationack"> Clicking Cancel may change your network connectivity and interrupt download or required updates.<p> Do you want to continue?</p> </cueslookup:name> <cueslookup:name key="announce.dismiss.default"> Dismiss to continue </cueslookup:name> <cueslookup:name key="announce.logoutconfirm"> Successfully logged out from the network! </cueslookup:name> </cueslookup:appstrings>
(注) | カスタマイズしたテキストに使用できる文字数に制限はありません。ただし、カスタマイズされたログイン画面がクライアント上に表示された場合に、あまり大きな領域を必要としないように長さを制限することをシスコは推奨します。 |
<cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name> <cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name> <cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name> <cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name> <cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name> <cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name> <cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name> <cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network. </cueslookup:name><cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name> <cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name> <cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name> <cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name> <cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name> <cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name> <cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name>
これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。
[エージェント(Agent)] 画面のカスタマイズ パッケージを完了する前、適切な updateFeed.xml XML ディスクリプタ ファイルを構築する必要があります。カスタマイゼーション パッケージに必要な updateFeed.xml ディスクリプタ ファイルのセット アップには、次の例をテンプレートとして使用します。
<?xml version="1.0" encoding="utf-8"?> <feed xmlns="http://www.w3.org/2005/Atom" xmlns:update="http://www.cisco.com/cpm/update/1.0"> <title>Provisioning Update</title> <updated>2011-12-21T12:00:00Z</updated> <id>https://www.cisco.com/web/secure/pmbu/provisioning-update.xml</id> <author> <name>Cisco Support</name> <email>support@cisco.com</email> </author> <!-- Custom Branding --> <entry> <id>http://foo.foo.com/foo/AgentCustomizationPackage/1/1/1/7</id> <title>Agent Customization Package</title> <updated>2010-06-07T12:00:00Z</updated> <summary>This is EF Agent Customization Package 1.1.1.7</summary> <link rel="enclosure" type="application/zip" href="brand-win.zip" length="18884" /> <update:type>AgentCustomizationPackage</update:type> <update:version>1.1.1.7</update:version> <update:os>WINDOWS_ALL</update:os> </entry> </feed>
<update:os>:Cisco NAC Agent でサポートされているすべての Windows OS バージョンを含めるには、常にこの属性を「WINDOWS_ALL」に設定する必要があります。Cisco NAC Agent でサポートされている Windows OS バージョンのリストについては、『Support Information for Cisco NAC Appliance Agents』を参照してください。
<update:version>:これは、アップグレード対象のエージェント カスタマイズ パッケージを参照します。この値は、4 桁の <n.n.n.n> にする必要があり、現在インストールされているパッケージ バージョンよりも大きな値にする必要があります。
<id>:この ID は任意の文字にすることができますが、エージェント カスタマイズ パッケージごとに一意である必要があります。
<?xml version="1.0" ?> <cfg> <VlanDetectInterval>0</VlanDetectInterval> <RetryDetection>3</RetryDetection> <PingArp>0</PingArp> <PingMaxTimeout>1</PingMaxTimeout> <EnableVlanDetectWithoutUI>0</EnableVlanDetectWithoutUI> <SignatureCheck>0</SignatureCheck> <DisableExit>0</DisableExit> <PostureReportFilter>displayFailed</PostureReportFilter> <BypassSummaryScreen>1</BypassSummaryScreen> <LogFileSize>5</LogFileSize> <DiscoveryHost></DiscoveryHost> <DiscoveryHostEditable>1</DiscoveryHostEditable> <Locale>default</Locale> <AccessibilityMode>0</AccessibilityMode> <SwissTimeout>1</SwissTimeout> <HttpDiscoveryTimeout>30</HttpDiscoveryTimeout> <HttpTimeout>120</HttpTimeout> <ExceptionMACList></ExceptionMACList> <GeneratedMAC></GeneratedMAC> <AllowCRLChecks>1</AllowCRLChecks> <DisableL3SwissDelay>0</DisableL3SwissDelay> <ServerNameRules></ServerNameRules> </cfg>
(注) | このファイルには、2 つの静的(つまり、ユーザまたは Cisco ISE 管理者が編集できない)「AgentCfgVersion」パラメータおよび「AgentBrandVersion」パラメータも含まれています。これらのパラメータは、クライアントでエージェント プロファイルおよびエージェント カスタマイズ ファイルの現在のバージョンをそれぞれ識別するために使用されます。 |
クライアントの場合、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザ セッション開始時に Cisco ISE から受信するかは、クライアント プロビジョニング リソース ポリシーによって決定されます。
AnyConnect の場合、クライアント プロビジョニング リソース ページからリソースを選択し、クライアント プロビジョニング ポリシー ページで使用できる AnyConnect 設定を作成することができます。AnyConnect 設定は、AnyConnect ソフトウェアとそのさまざまなコンフィギュレーション ファイルとの関連付けであり、これらのファイルには、Windows および Mac OS X クライアントの AnyConnect バイナリ パッケージ、コンプライアンス モジュール、モジュール プロファイル、AnyConnect のカスタマイズおよび言語パッケージなどがあります。
Cisco ISE NAC エージェントの場合、クライアント プロビジョニング ポリシー ページからリソースを選択できます。
有効なクライアント プロビジョニング リソース ポリシーを作成する前に、Cisco ISE にリソースを追加したことを確認します。エージェント コンプライアンス モジュールをダウンロードすると、システムで使用している既存のモジュールがあれば常にそれが上書きされます。
クライアント プロビジョニング ポリシーで使用されているネイティブのサプリカント プロファイルをチェックして、ワイヤレス SSID が正しいことを確認します。iOS デバイスの場合、接続対象ネットワークが非表示の場合は、[iOSの設定(iOS Settings)] エリアで [ターゲットネットワークが非表示になっている場合に有効にする(Enable if target network is hidden)] チェック ボックスをオンにします。
ステップ 1 | を選択します。 | ||
ステップ 2 | 動作のドロップダウンEnableリストからDisable[有効(Enable)]、[無効(Disable)]、またはMonitor[モニタ(Monitor)] を選択します。 | ||
ステップ 3 | [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。 | ||
ステップ 4 | Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。
設定した既存の ID グループのリストから、あらゆる ID タイプを指定することも、1 つ以上のグループを選択することもできます。 | ||
ステップ 5 | [オペレーティング システム(Operating Systems)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するクライアント マシンまたはデバイスで動作している 1 つ以上のオペレーティング システムを指定します。 [Android]、[Mac iOS]、[Mac OS X] などの単一のオペレーティング システムや、[Windows XP(すべて)(Windows XP (All))] や [Windows 7(すべて)(Windows 7 (All))] など、複数のクライアント マシン オペレーティング システムに対応する包括的なオペレーティング システムの指定を選択できます。
| ||
ステップ 6 | [その他の条件(Other Conditions)] フィールドで、この特定のリソース ポリシー用に作成する新しい式を指定します。 | ||
ステップ 7 | クライアント マシンの場合は、[エージェント設定(Agent Configuration)] を使用して、クライアント マシンで利用可能にし、プロビジョニングするエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを指定します。 クライアント マシンで NAC エージェントがポップアップできるようにするには、クライアント プロビジョニングの URL を許可ポリシーに含める必要があります。これにより、ランダムなクライアントからの要求が回避され、適切なリダイレクト URL を持つクライアントのみがポスチャ評価を要求できるようになります。 | ||
ステップ 8 | [保存(Save)]Saveをクリックします。 |
1 つ以上のクライアント プロビジョニング リソース ポリシーを正常に設定したら、ログイン中にクライアント マシンのポスチャ評価を実行するように Cisco ISE の設定を開始できます。
クライアント マシンについて、どのエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを、ユーザがクライアント マシンにダウンロードおよびインストールできるように準備するかを設定します。
Cisco ISE の AnyConnect および Cisco ISE NAC のクライアント プロビジョニング リソースを追加している必要があります。
ステップ 1 | [エージェント(Agent)]Agentドロップダウン リストから使用可能なエージェントを選択し、ここで定義したエージェントのアップグレード(ダウンロード)がクライアント マシンに対して必須かどうかを、[アップグレードは必須か(Is Upgrade Mandatory)]Is Upgrade Mandatoryオプションを必要に応じて有効または無効にすることによって指定します。
Is Upgrade Mandatory 設定は、エージェントのダウンロードにのみ適用されます。Agent プロファイル、コンプライアンス モジュール、および Agent カスタマイズ パッケージの更新は常に必須です。 |
ステップ 2 | [プロファイル(Profile)]Profileドロップダウン リストから既存のエージェント プロファイルを選択します。 |
ステップ 3 | [コンプライアンスモジュール(Compliance Module)]Compliance Moduleドロップダウン リストを使用して使用可能なコンプライアンス モジュールを選択し、クライアント マシンにダウンロードします。 |
ステップ 4 | [エージェントカスタマイズパッケージ(Agent Customization Package)]Agent Customization Packageドロップダウン リストから、クライアント マシンに使用可能なエージェント カスタマイズ パッケージを選択します。 |
従業員は、Windows、Mac OS、iOS、および Android デバイスで使用可能なネイティブ サプリカントを使用して、ネットワークに自分のパーソナル デバイスを直接接続できます。パーソナル デバイスに関して、登録されているパーソナル デバイスで使用可能にし、プロビジョニングするネイティブ サプリカントの設定を指定します。
ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE が、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスするように、ネイティブ サプリカント プロファイルを作成します。
ステップ 1 | を選択します。 |
ステップ 2 | 動作のドロップダウンEnableリストからDisable[有効(Enable)]、[無効(Disable)]、またはMonitor[モニタ(Monitor)] を選択します。 |
ステップ 3 | [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。 |
ステップ 4 | 次を指定します。 |
ステップ 5 | パーソナル デバイスの場合、[ネイティブサプリカントの設定(Native Supplicant Configuration)] を使用し、特定のConfiguration Wizardを選択して、パーソナル デバイスに配信します。 |
ステップ 6 | 指定されたパーソナル デバイス タイプに適用可能な [ウィザードプロファイル(Wizard Profile)]Wizard Profileを指定します。 |
ステップ 7 | [保存(Save)] をクリックします。 |
Cisco ISE のモニタリングおよびトラブルシューティング機能にアクセスし、ユーザ ログイン セッションの成功または失敗の全体のトレンドをチェックし、特定の期間にネットワークにログインしたクライアント マシンの数およびタイプに関する統計情報を収集し、また、クライアント プロビジョニング リソースでの最近の設定変更をチェックすることができます。
レポートには、クライアント プロビジョニング要求の成功および失敗に関する統計情報が表示されます。[実行(Run)]Runを選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます。
ウィンドウには、最近の成功および失敗したユーザ デバイス登録およびサプリカント プロビジョニング要求に関する情報が表示されます。[実行(Run)]Runを選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたサプリカント プロビジョニング データが表示されます。
サプリカント プロビジョニング レポートは、特定の期間にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が提供されます。これには、ログイン日時、ID(ユーザ ID)、IP アドレス、MAC アドレス(エンドポイント ID)、サーバ プロファイル、エンドポイント オペレーティング システム、SPW バージョン、障害理由(ある場合)、登録のステータスなどのデータが含まれます。
クライアントの動作の問題の診断に役立つイベント ログ エントリを検索できます。たとえば、ネットワーク上のクライアント マシンがログイン時にクライアント プロビジョニング リソースの更新を取得できないという問題の原因を特定する必要がある場合があります。ポスチャおよびクライアント プロビジョニングの監査、ポスチャおよびクライアントプロビジョニングの診断のロギング エントリを使用できます。