Cisco ISE のインストール

CIMC を使用した Cisco ISE のインストール

このセクションでは、Cisco ISE を簡単にインストールするための基本的なインストール手順を提供します。

始める前に

手順

ステップ 1

Cisco ISE を次のものにインストールするには、

  • Cisco SNS アプライアンス:ハードウェア アプライアンスをインストールします。サーバー管理用の CIMC に接続します。

  • 仮想マシン:VM が正しく設定されていることを確認します。

ステップ 2

Cisco ISE ISO イメージをダウンロードします。

  1. http://www.cisco.com/go/ise にアクセスします。このリンクにアクセスするには、有効な Cisco.com ログイン クレデンシャルが事前に必要です。

  2. [ソフトウェアダウンロード(Download Software for this Product)] をクリックします。

    Cisco ISE イメージには、90 日間の評価ライセンスがすでにインストールされた状態で付属しているため、インストールおよび初期設定が完了すると、すべての Cisco ISE サービスのテストを開始できます。

ステップ 3

アプライアンスまたは仮想マシンを起動します。

  • Cisco SNS アプライアンス。

    1. CIMC に接続し、CIMC クレデンシャルを使用してログインします。

    2. KVM コンソールを起動します。

    3. [仮想メディア(Virtual Media)] > [仮想デバイスのアクティブ化(Activate Virtual Devices)] の順に選択します。

    4. [仮想メディア(Virtual Media)] > [CD/DVDのマッピング(Map CD/DVD)] の順に選択し、ISE ISO イメージを選択して [デバイスのマッピング(Map Device)] をクリックします。

    5. [マクロ(Macros )] > [静的マクロ(Static Macros)] > [Ctrl-Alt-Del] の順に選択して、ISE ISO image でアプライアンスを起動します。

    6. F6 を押して、ブート メニューを起動します。次のような画面が表示されます。

      図 1. ブートデバイスの選択
      Cisco ISE インストール用のブートデバイスの選択

      (注)  

       

      • SNS アプライアンスがリモート ロケーション(データ センターなど)に配置されている場合で、その場所に対する物理的なアクセス権がなく、リモート サーバーから CIMC インストールを実行する必要がある場合、インストールに時間がかかることがあります。インストールプロセスを高速化するために、USB ドライブに ISO ファイルをコピーし、そのリモートの場所で使用することをお勧めします。

      • CIMC を使用した Cisco ISE のインストールは、ネットワーク速度、ネットワークの安定性、TCP セグメンテーション、またはオペレーティングシステムのその他の要因の影響を受ける可能性があります。これは、Cisco ISE のインストールの速度や所要時間(約 30 分)に影響を与える可能性があります。

  • 仮想マシン。

    1. CD/DVD を ISO イメージにマッピングします。次のような画面が表示されます。次のメッセージとインストール メニューが表示されます。

      Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 3.1.0.xxx


Available boot options:

Cisco ISE Installation (Serial Console)
Cisco ISE Installation (Keyboard/Monitor)
System Utilities (Serial Console)
System Utilities (Keyboard/Monitor)

ステップ 4

シリアル コンソールを使用して Cisco ISE をインストールするには、ブート プロンプトで 1 および Enter キーを押します。

キーボードとモニターを使用する場合は、矢印キーを使用して、[Cisco ISE のインストール(シリアル コンソール)(Cisco ISE Installation (Serial Console))] オプションを選択します。次のメッセージが表示されます。 

**********************************************
Please type 'setup' to configure the appliance
**********************************************

ステップ 5

プロンプトで、setup と入力し、セットアップ プログラムを起動します。セットアップ プログラム パラメータの詳細については、「Cisco ISE のセットアッププログラムの実行」を参照してください。

ステップ 6

セットアップ モードでネットワーク設定パラメータを入力すると、アプライアンスが自動的に再起動し、シェル プロンプト モードに戻ります。

ステップ 7

シェル プロンプト モードを終了します。アプライアンスが起動します。

ステップ 8

Cisco ISE インストールプロセスの確認」に進みます。

Cisco ISE のセットアッププログラムの実行

ここでは、ISE サーバーを設定するためのセットアップ プロセスについて説明します。

セットアップ プログラムでは、必要なパラメータの入力を求める、対話型のコマンドライン インターフェイス(CLI)が起動されます。管理者は、コンソールまたはダム端末とセットアップ プログラムを使用して、ISE サーバーの初期ネットワークを設定し、初期管理者資格情報を設定します。このセットアップ プロセスは一度だけ実行する設定作業です。


(注)  

Active Directory(AD)と統合する場合は、ISE 専用に作成された専用サイトから IP アドレスとサブネットアドレスを使用することを推奨します。インストールと設定を行う前に、AD を担当する組織のスタッフに相談し、ISE ノードの関連する IP アドレスとサブネット アドレスを取得します。


(注)  

システムが不安定になる可能性があるため、Cisco ISE のオフラインインストールの試行は推奨しません。Cisco ISE のインストールスクリプトをオフラインで実行すると、次のエラーが表示されます。

NTP サーバーとの同期に失敗しました。時刻が正しくないと、再インストールされるまで、システムは使用できなくなる可能性があります。(Sync with NTP server failed' Incorrect time could render the system unusable until it is re-installed.)再試行? はい/いいえ [はい](Y/N [Y]:)

インストールを続行するには、[Yes] を選択します。

NTP サーバーとの同期を試行するには、[No] を選択します。

インストールスクリプトの実行中に、NTP サーバーと DNS サーバーの両方とのネットワーク接続を確立することを推奨します。

セットアップ プログラムを実行するには、次の手順を実行します。

手順

ステップ 1

インストール用に指定されているアプライアンスをオンにします。

次のセットアッププロンプトが表示されます。 

Type 'setup' to configure the appliance
localhost login:

ステップ 2

ログイン プロンプトで setup と入力し、Enter を押します。

コンソールにパラメータのセットが表示されます。次の表の説明に従って、パラメータ値を入力する必要があります。

(注)  

 

IPv6 アドレスをもつドメインネームサーバーまたは NTP サーバーを追加する場合は、Cisco ISE の eth0 インターフェイスを IPv6 アドレスで静的に設定する必要があります。

表 1. Cisco ISE セットアップ プログラム パラメータ

プロンプト

説明

Hostname

19 文字以下にする必要があります。有効な文字には、英数字(A–Z、a–z、0–9)、およびハイフン(-)などがあります。最初の文字は文字である必要があります。

(注)  

 

Cisco ISE の証明書認証が、証明書による検証のわずかな違いの影響を受けないようにするために小文字を使用することをお勧めします。ノードのホスト名として「localhost」を使用することはできません。

isebeta1

(eth0) イーサネット インターフェイス アドレス

ギガビットイーサネット 0(eth0) インターフェイスの有効な IPv4 アドレス またはグローバル IPv6 アドレスでなければなりません。

10.12.13.14/2001: 420: 54ff: 4:: 458: 121: 119

Netmask

有効な IPv4 または IPv6 のネットマスクでなければなりません。

255.255.255.0/2001: 420: 54ff: 4:: 458: 121: 119/122

Default gateway

デフォルトゲートウェイの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

10.12.13.1/2001: 420: 54ff: 4:: 458: 1

DNS domain name

IP アドレスは入力できません。有効な文字には、ASCII 文字、任意の数字、ハイフン(-)、およびピリオド(.)が含まれます。

example.com

Primary name server

プライマリ ネーム サーバーの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

10.15.20.25 /2001: 420: 54ff: 4:: 458: 118

Add/Edit another name server

プライマリ ネーム サーバーの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

(オプション)複数のネーム サーバーを設定できます。これを行うには、y を入力して続行します。

Primary NTP server

有効なネットワーク タイム プロトコル(NTP)サーバーの IPv4 アドレスまたはグローバル IPv6 アドレスまたはホスト名でなければなりません。

(注)  

 

プライマリ NTP サーバーがアクセス可能であることを確認してください。

clock.nist.gov / 10.15.20.25 / 2001:420:54ff:4::458:117

Add/Edit another NTP server

有効な NTP ドメインでなければなりません。

(オプション)複数の NTP サーバを設定できます。これを行うには、y を入力して続行します。

System Time Zone

有効な時間帯でなければなりません。たとえば、太平洋標準時(PST)では、システム時間帯は PST8PDT です(つまり、協定世界時(UTC)から 8 時間を差し引いた時間)。

(注)  

 

システム時刻とタイム ゾーンが CIMC またはハイパーバイザ ホストの OS 時刻およびタイムゾーンと一致していることを確認します。タイムゾーン間に不一致がある場合、システム パフォーマンスが影響を受ける可能性があります。

(注)  

 

すべての Cisco ISE ノードを UTC タイム ゾーンに設定することをお勧めします。このタイムゾーンの設定により、展開環境におけるさまざまなノードからのレポート、ログ、およびポスチャエージェントのログファイルが、タイムスタンプで常に同期されるようになります。

UTC(デフォルト)

Username

Cisco ISE システムへの CLI アクセスに使用される管理者ユーザー名を特定します。デフォルト(admin)を使用しない場合は、新しいユーザー名を作成する必要があります。ユーザー名は、3 ~ 8 文字の長さで、有効な英数字(A ~ Z、a ~ z、または 0 ~ 9)で構成される必要があります。

admin(デフォルト)

Password

Cisco ISE システムへの CLI アクセスに使用される管理者パスワードを特定します。デフォルト パスワードは存在しないため、続行するにはパスワードを作成する必要があります。パスワードの長さは 6 文字以上で、少なくとも 1 つの小文字(a–z)、1 つの大文字(A-Z)、および 1 つの数字(0–9)を含める必要があります。

MyIseYPass2

(注)  

 

CLI でインストール中またはインストール後に管理者のパスワードを作成する際に、パスワードの最後の文字の場合を除いて文字「$」を使わないでください。この文字が最初または後続の文字にあると、パスワードは受け入れられますが、CLI へのログインには使用できません。

誤ってこのようなパスワードを作成した場合は、コンソールにログインし、CLI コマンドを使用するか、ISE CD または ISO ファイルを取得して、パスワードをリセットします。ISO ファイルを使用してパスワードをリセットする手順は、次のドキュメントで説明されています。 https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.html

セットアップ プログラムを実行すると、システムが自動的に再起動します。

これで、セットアップ プロセスで設定したユーザー名とパスワードを使用して Cisco ISE にログインできるようになります。

Cisco ISE インストールプロセスの確認

インストール プロセスが正しく完了したことを確認するには、次の手順を実行します。

手順

ステップ 1

システムが再起動したら、ログイン プロンプトでセットアップ時に設定したユーザー名を入力し、Enter を押します。

ステップ 2

新しいパスワードを入力します。

ステップ 3

アプリケーションが適切にインストールされていることを確認するために、show application コマンドを入力し、Enter を押します。

コンソールに次のメッセージが表示されます。 
ise/admin# show application
<name>          <Description> 
ise             Cisco Identity Services Engine

(注)  

 

このリリースの別のバージョンでは、バージョンと日付が変更されている場合があります。

ステップ 4

show application status ise コマンドを入力して ISE プロセスの状態を確認し、Enter を押します。

コンソールに次のメッセージが表示されます。 
ise/admin# show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID  
--------------------------------------------------------------------
Database Listener                      running          14890       
Database Server                        running          70 PROCESSES
Application Server                     running          19158       
Profiler Database                      running          16293       
ISE Indexing Engine                    running          20773       
AD Connector                           running          22466       
M&T Session Database                   running          16195       
M&T Log Collector                      running          19294       
M&T Log Processor                      running          19207       
Certificate Authority Service          running          22237       
EST Service                            running          29847       
SXP Engine Service                     disabled                     
Docker Daemon                          running          21197       
TC-NAC Service                         disabled        
pxGrid Infrastructure Service          disabled                     
pxGrid Publisher Subscriber Service    disabled                     
pxGrid Connection Manager              disabled                     
pxGrid Controller                      disabled                     
PassiveID WMI Service                  disabled                     
PassiveID Syslog Service               disabled                     
PassiveID API Service                  disabled                     
PassiveID Agent Service                disabled                     
PassiveID Endpoint Service             disabled                     
PassiveID SPAN Service                 disabled                     
DHCP Server (dhcpd)                    disabled                     
DNS Server (named)                     disabled                     

ise/admin#

NFS を使用した Cisco SNS アプライアンスへの Cisco ISE のインストール

このセクションでは、ネットワーク ファイル システム(NFS)サーバーを使用して Cisco SNS アプライアンスに Cisco ISE をインストールする方法について説明します。

始める前に

  • 本書で指定されているとおりに「システム要件」を満たしていることを確認します。

  • Cisco Integrated Management Interface(CIMC)設定ユーティリティを設定して、アプライアンスを管理し、BIOS を設定していることを確認します。詳細については、次のマニュアルを参照してください。

手順

ステップ 1

http://www.cisco.com/go/ise から Cisco ISE ISO イメージをダウンロードします。

ステップ 2

CIMC に接続し、CIMC クレデンシャルを使用してログインします。

ステップ 3

[Compute] > [Remote Management] > [Virtual Media] > [Add New Mapping] を選択します。

ステップ 4

[Add New Mapping] ウィンドウで、NFS サーバーの詳細を入力し、[Save] をクリックします。

ステップ 5

[Current Mappings] ウィンドウで、追加したマッピングの [Status] が [OK] と表示されていることを確認します。

ステップ 6

KVM コンソールを起動します。

ステップ 7

[Power] > [Power Cycle System] の順に選択します。

ステップ 8

[確認(Confirm)] をクリックします。

ステップ 9

F6 を押して、ブートメニューに移動します。

ステップ 10

[Select Boot Device] ウィンドウで、[UEFI: Cisco CIMC-Mapped vDVD2.00] を選択し、Enter を押します。

サーバーの起動プロセスが完了すると、Cisco ISE インストールメニューが表示されます。

ステップ 11

[Cisco ISE Installation (Keyboard/Monitor)] を選択してインストールを続行します。

ローカライズされた ISE のインストール

Cisco ISE の再インストール中に、application configure ise コマンドで [Localized ISE Install] オプションを使用して、インストール時間を短縮できます。このオプションを使用すると、再インストール時間を平均 5 ~ 7 時間から約 1 ~ 2 時間に短縮できます。このオプションは、Cisco Secure Network Server と仮想アプライアンスの両方に使用できますが、Cisco Secure Network Server の再インストール時間を大幅に短縮します。


(注)  

  • [Localized ISE Install] オプションは、Cisco ISE 3.1 パッチ 9 以降、Cisco ISE 3.2 パッチ 5 以降、Cisco ISE 3.3 パッチ 2 以降、および Cisco ISE 3.4 以降のリリースでサポートされています。

  • このオプションを使用して、現在のバージョン以上のバージョンを再インストールできます。現在のバージョンよりも古いバージョンをインストールすることはできません。

詳細については、『Cisco Identity Services Engine CLI Reference Guide』の「Cisco ISE CLI Commands in EXEC Mode」の章にある「Localized ISE Installation」を参照してください。