Cisco ISE のインストール

CIMC を使用した Cisco ISE のインストール

Cisco ISE をすばやくインストールするには、次の手順の概要を使用します。

始める前に

手順

ステップ 1

Cisco ISE を次のものにインストールするには、

  • Cisco SNS アプライアンス:ハードウェア アプライアンスをインストールします。サーバー管理用の CIMC に接続します。

  • 仮想マシン:VM が正しく設定されていることを確認します。

ステップ 2

Cisco ISE ISO イメージをダウンロードします。

  1. http://www.cisco.com/go/ise にアクセスします。このリンクにアクセスするには、有効な Cisco.com ログイン クレデンシャルが事前に必要です。

  2. [ソフトウェアダウンロード(Download Software for this Product)] をクリックします。

    Cisco ISE イメージには、90 日間の評価ライセンスがすでにインストールされています。インストールと初期設定が完了したら、すべての Cisco ISE サービスのテストを開始できます。

ステップ 3

アプライアンスまたは仮想マシンを起動します。

  • Cisco SNS アプライアンス。

    1. CIMC に接続し、CIMC クレデンシャルを使用してログインします。

    2. KVM コンソールを起動します。

    3. [仮想メディア(Virtual Media)] > [仮想デバイスのアクティブ化(Activate Virtual Devices)] の順に選択します。

    4. [仮想メディア(Virtual Media)] > [CD/DVDのマッピング(Map CD/DVD)] の順に選択し、ISE ISO イメージを選択して [デバイスのマッピング(Map Device)] をクリックします。

    5. [マクロ(Macros)] > [静的マクロ(Static Macros)] > [Ctrl-Alt-Del] から、ISE ISO イメージでアプライアンスを起動します。

    6. F6 を押して、ブートメニューを開きます。同様の画面が表示されます。

      図 1. ブートデバイスの選択
      Cisco ISE インストール用のブートデバイスの選択

      (注)  

       

      • SNS アプライアンスがデータセンターなどのリモートロケーションにあり、物理的にアクセスできない場合、リモートサーバーから CIMC を介してインストールすると時間がかかることがあります。リモートロケーションでのインストールプロセスを迅速化するには、ISO ファイルを USB ドライブにコピーし、インストール中にそのファイルを使用します。

      • CIMC を使用した ISE のインストールは、ネットワーク速度、ネットワークの安定性、TCP セグメンテーション、またはオペレーティングシステムのその他の要因の影響を受ける可能性があります。これは、Cisco ISE のインストール時間(約 30 分または 0.5 時間)に影響する可能性があります。

  • 仮想マシン。

    1. CD/DVD を ISO イメージにマッピングします。同様の画面が表示されます。インストールメニューがメッセージとともに表示されます。

      Welcome to the Cisco Identity Services Engine Installer
Cisco ISE Version: 3.1.0.xxx


Available boot options:

Cisco ISE Installation (Serial Console)
Cisco ISE Installation (Keyboard/Monitor)
System Utilities (Serial Console)
System Utilities (Keyboard/Monitor)

ステップ 4

シリアル コンソールを使用して Cisco ISE をインストールするには、ブート プロンプトで 1 および Enter キーを押します。

キーボードとモニターを使用する場合は、矢印キーを使用して、[Cisco ISE のインストール(シリアル コンソール)(Cisco ISE Installation (Serial Console))] オプションを選択します。メッセージが表示されます。 

**********************************************
Please type 'setup' to configure the appliance
**********************************************

ステップ 5

プロンプトで、setup と入力し、セットアップ プログラムを起動します。セットアッププログラムで使用されるパラメータの詳細については、Cisco ISE のセットアッププログラムの実行を参照してください。

ステップ 6

セットアップ モードでネットワーク設定パラメータを入力すると、アプライアンスが自動的に再起動し、シェル プロンプト モードに戻ります。

ステップ 7

シェルプロンプトモードを終了します。アプライアンスが起動します。

ステップ 8

Cisco ISE インストールプロセスの確認に進みます。

Cisco ISE のセットアッププログラムの実行

このセクションでは、ISE サーバーの設定方法を説明します。

セットアッププログラムでは、必要なパラメータの入力を求める、対話型のコマンド ライン インターフェイス(CLI)が起動されます。コンソールまたはダム端末を使用して、ISE サーバーの初期ネットワークを設定し、管理者のログイン情報を設定します。このセットアッププロセスは一度だけ実行する設定作業です。


(注)  

Active Directory(AD)と統合する場合は、Cisco ISE 専用に作成された専用サイトから IP アドレスとサブネットアドレスを使用することを推奨します。インストールと設定を行う前に、AD のスタッフに相談し、ISE ノードの関連する IP アドレスとサブネットアドレスを取得します。


(注)  

システムが不安定になる可能性があるため、Cisco ISE のオフラインインストールの試行は推奨しません。インストールスクリプトをオフラインで実行すると、次のエラーが表示されます。

NTP サーバーとの同期に失敗しました。時刻が正しくないと、再インストールされるまで、システムは使用できなくなる可能性があります。(Sync with NTP server failed' Incorrect time could render the system unusable until it is re-installed.)再試行? はい/いいえ [はい](Y/N [Y]):

インストールを続行するには、[Yes] を選択します。

NTP サーバーとの同期を試行するには、[いいえ(No)] を選択します。

インストールスクリプトの実行中に、NTP サーバーと DNS サーバーの両方とのネットワーク接続を確立することを推奨します。

セットアップ プログラムを実行するには、次の手順を実行します。

手順

ステップ 1

インストール用に指定されているアプライアンスをオンにします。

次のセットアッププロンプトが表示されます。 

Type 'setup' to configure the appliance
localhost login:

ステップ 2

ログイン プロンプトで setup と入力し、Enter を押します。

コンソールにパラメータのセットが表示されます。表内の各プロンプトのパラメータ値を入力する必要があります。

(注)  

 

IPv6 アドレスをもつドメインネームサーバーまたは NTP サーバーを追加する場合は、Cisco ISE の eth0 インターフェイスを IPv6 アドレスで静的に設定する必要があります。

表 1. Cisco ISE セットアップ プログラム パラメータ

プロンプト

説明

Hostname

  • 19 文字以下にする必要があります

  • 長さ:19 文字以下にする必要があります

  • 有効な文字:英数字(A ~ Z、a ~ z、0 ~ 9)、およびハイフン

  • 最初の文字は英字である必要があります

(注)  

 

Cisco ISE の証明書認証が、証明書による検証のわずかな違いの影響を受けないようにするために小文字を使用することをお勧めします。ノードのホスト名として「localhost」を使用しないでください。

isebeta1

(eth0) イーサネット インターフェイス アドレス

アドレスは、ギガビットイーサネット 0(eth0)インターフェイスの有効な IPv4 またはグローバル IPv6 でなければなりません。

10.12.13.14/2001: 420: 54ff: 4:: 458: 121: 119

Netmask

有効な IPv4 または IPv6 のネットマスクでなければなりません。

255.255.255.0/2001: 420: 54ff: 4:: 458: 121: 119/122

Default gateway

デフォルトゲートウェイの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

10.12.13.1/2001: 420: 54ff: 4:: 458: 1

DNS domain name

IP アドレスは入力できません。有効な文字には、ASCII 文字、任意の数字、ハイフン(-)、およびピリオド(.)が含まれます。

example.com

Primary name server

プライマリ ネーム サーバーの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

10.15.20.25 /2001: 420: 54ff: 4:: 458: 118

Add/Edit another name server

プライマリ ネーム サーバーの有効な IPv4 アドレスまたはグローバル IPv6 アドレスでなければなりません。

(オプション)複数のネーム サーバーを設定できます。複数のネームサーバーを設定するには、y を入力して続行します。

Primary NTP server

有効なネットワーク タイム プロトコル(NTP)サーバーの IPv4 アドレスまたはグローバル IPv6 アドレスまたはホスト名でなければなりません。

(注)  

 

プライマリ NTP サーバーがアクセス可能であることを確認してください。

clock.nist.gov / 10.15.20.25 / 2001:420:54ff:4::458:117

Add/Edit another NTP server

有効な NTP ドメインでなければなりません。

(オプション)複数の NTP サーバーを設定できます。これを行うには、y を入力して続行します。

System Time Zone

有効な時間帯でなければなりません。たとえば、太平洋標準時(PST)では、システムのタイムゾーンは PST8PDT です。つまり、協定世界時(UTC)から 8 時間を差し引いた時間(UTC–08:00)になります。

(注)  

 

システム時刻とタイム ゾーンが CIMC またはハイパーバイザ ホストの OS 時刻およびタイムゾーンと一致していることを確認します。タイムゾーン間に不一致がある場合、システム パフォーマンスが影響を受ける可能性があります。

(注)  

 

すべての Cisco ISE ノードを UTC タイムゾーンに設定します。このタイムゾーンの設定により、展開におけるノードからのレポート、ログ、およびポスチャエージェントのログファイルが、タイムスタンプで常に同期されるようになります。

UTC(デフォルト)

Username

Cisco ISE システムへの CLI アクセスに使用される管理者ユーザー名を特定します。デフォルト(admin)を使用しない場合は、新しいユーザー名を作成する必要があります。ユーザー名は、3 ~ 8 文字の長さで、有効な英数字(A ~ Z、a ~ z、または 0 ~ 9)で構成される必要があります。

admin(デフォルト)

Password

Cisco ISE システムへの CLI アクセスに使用される管理者パスワードを特定します。デフォルト パスワードは存在しないため、続行するにはパスワードを作成する必要があります。パスワードの長さは 6 文字以上で、少なくとも 1 つの小文字(a–z)、1 つの大文字(A-Z)、および 1 つの数字(0–9)を含める必要があります。

MyIseYPass2

(注)  

 

CLI でインストール中またはインストール後に管理者のパスワードを作成する際に、パスワードの最後の文字の場合を除いて文字「$」を使わないでください。この文字が最初または後続の文字にあると、パスワードは受け入れられますが、CLI へのログインには使用できません。

誤ってこのようなパスワードを作成した場合は、コンソールにログインし、CLI コマンドを使用するか、ISE CD または ISO ファイルを使用して、パスワードをリセットします。ISO ファイルを使用してパスワードをリセットする手順については、次のドキュメントを参照してください。https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.html

セットアッププログラムを実行すると、システムが自動的に再起動します。

これで、セットアッププロセスで設定したユーザー名とパスワードを使用して Cisco ISE にログインします。

Cisco ISE インストールプロセスの確認

インストール プロセスが正しく完了したことを確認するには、次の手順を実行します。

手順

ステップ 1

システムが再起動してログインプロンプトが表示されたら、セットアップ時に設定したユーザー名を入力します。その後、Enter を押します。

ステップ 2

新しいパスワードを入力します。

ステップ 3

アプリケーションが適切にインストールされていることを確認するために、show application コマンドを入力します。その後、Enter を押します。

コンソールに次のメッセージが表示されます。 
ise/admin# show application
<name>          <Description> 
ise             Cisco Identity Services Engine

(注)  

 

このリリースの別のバージョンでは、バージョンと日付が変更されている場合があります。

ステップ 4

ISE プロセスの状態を確認するために、show application status ise コマンドを入力し、Enter を押します。

コンソールに次のメッセージが表示されます。 
ise/admin# show application status ise

ISE PROCESS NAME                       STATE            PROCESS ID  
--------------------------------------------------------------------
Database Listener                      running          14890       
Database Server                        running          70 PROCESSES
Application Server                     running          19158       
Profiler Database                      running          16293       
ISE Indexing Engine                    running          20773       
AD Connector                           running          22466       
M&T Session Database                   running          16195       
M&T Log Collector                      running          19294       
M&T Log Processor                      running          19207       
Certificate Authority Service          running          22237       
EST Service                            running          29847       
SXP Engine Service                     disabled                     
Docker Daemon                          running          21197       
TC-NAC Service                         disabled        
pxGrid Infrastructure Service          disabled                     
pxGrid Publisher Subscriber Service    disabled                     
pxGrid Connection Manager              disabled                     
pxGrid Controller                      disabled                     
PassiveID WMI Service                  disabled                     
PassiveID Syslog Service               disabled                     
PassiveID API Service                  disabled                     
PassiveID Agent Service                disabled                     
PassiveID Endpoint Service             disabled                     
PassiveID SPAN Service                 disabled                     
DHCP Server (dhcpd)                    disabled                     
DNS Server (named)                     disabled                     

ise/admin#

NFS を使用した Cisco SNS アプライアンスへの Cisco ISE のインストール

このセクションでは、ネットワーク ファイル システム(NFS)サーバーを使用して Cisco SNS アプライアンスに Cisco ISE をインストールする方法について説明します。

始める前に

  • 本書で指定されているとおりに「システム要件」を満たしていることを確認します。

  • Cisco Integrated Management Interface(CIMC)設定ユーティリティを設定して、アプライアンスを管理し、BIOS を設定します。詳細については、次のマニュアルを参照してください。

手順

ステップ 1

http://www.cisco.com/go/ise から Cisco ISE ISO イメージをダウンロードします。

ステップ 2

CIMC に接続し、CIMC クレデンシャルを使用してログインします。

ステップ 3

[Compute] > [Remote Management] > [Virtual Media] > [Add New Mapping] を選択します。

ステップ 4

[新しいマッピングの追加(Add New Mapping)] ウィンドウで、NFS サーバーの詳細を入力し、[保存(Save)] をクリックします。

ステップ 5

[Current Mappings] ウィンドウで、追加したマッピングの [Status] が [OK] と表示されていることを確認します。

ステップ 6

KVM コンソールを起動します。

ステップ 7

[Power] > [Power Cycle System] の順に選択します。

ステップ 8

[確認(Confirm)] をクリックします。

ステップ 9

F6 を押して、ブートメニューに移動します。

ステップ 10

[Select Boot Device] ウィンドウで、[UEFI: Cisco CIMC-Mapped vDVD2.00] を選択し、Enter を押します。

サーバーの起動プロセスが完了すると、Cisco ISE インストールメニューが表示されます。

ステップ 11

[Cisco ISEのインストール(キーボード/モニター)(Cisco ISE Installation (Keyboard/Monitor))] を選択してインストールを続行します。

ローカライズされた ISE のインストール

Cisco ISE の再インストール中に、application configure ise コマンドで [Localized ISE Install] オプションを使用して、インストール時間を短縮できます。このオプションを使用すると、再インストール時間を平均 5 ~ 7 時間から約 1 ~ 2 時間に短縮できます。このオプションは、Secure Network Server(SNS)と仮想アプライアンスの両方に使用できますが、Secure Network Server の再インストール時間を大幅に短縮します。


(注)  

  • [Localized ISE Install] オプションは、Cisco ISE 3.1 パッチ 9 以降、Cisco ISE 3.2 パッチ 5 以降、Cisco ISE 3.3 パッチ 2 以降、および Cisco ISE 3.4 以降のリリースでサポートされています。

  • このオプションを使用して、現在のバージョン以上のバージョンを再インストールできます。現在のバージョンよりも古いバージョンをインストールすることはできません。

詳細については、『Cisco Identity Services Engine CLI Reference Guide』の「Cisco ISE CLI Commands in EXEC Mode」の章にある「Localized ISE Installation」を参照してください。