この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
システム管理タスクのほとんどは、グラフィカル ユーザー インターフェイス(GUI)の [システム管理(System Administration)] メニューを使用して実行できます。ただし、一部のシステム管理機能は、コマンドライン インターフェイス(CLI)からのみ実行できます。
 (注) |
この章で説明する機能やコマンドの中には、ルーティングの優先順位に影響を及ぼすものがあります。詳細については、IP アドレス、インターフェイス、およびルーティングを参照してください。 |
(注) |
AsyncOS 15.5 リリース以降、オンプレミスユーザーのクラシックライセンスはサポートされません。クラシックライセンスモードでは、新しい機能ライセンスを注文したり、既存の機能ライセンスを更新したりすることはできなくなります。 前提条件:Cisco Smart Software Manager ポータルでスマートアカウントを作成し、Cisco Secure Email and Web Manager でシスコ スマート ソフトウェア ライセンシングを有効にしてください。詳細については、 スマートライセンス導入ガイド - https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-5-1/smart_licensing_deployment_guide/b_ESA_SMA_SL_deployment_guide.html [英語] を参照してください。 |
AsyncOS 15.5 リリース以降では、ライセンスファイルにクラウド機能キーが含まれている場合にのみ、loadlicense コマンドを使用してライセンスをロードできます。
ライセンスファイルにクラウド機能キーが含まれていない場合、ライセンスをロードできず、クラウドライセンスで再試行するか、license_smart コマンドを使用してスマートライセンスタスクを実行するための通知メッセージが届きます。
キーは、アプライアンスのシリアル番号に固有のものであり、またイネーブルする機能にも固有です。1 つのシステムのキーを、別のシステムで再利用することはできません。
|
目的 |
操作手順 |
|---|---|
|
Cisco Secure Email and Web Manager のすべてのアクティブな機能キーを表示する |
(新しい Web インターフェイスのみ)クラウド E メールセキュリティ管理コンソールで、歯車( [管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [機能キー(Feature Keys)] を選択します。 |
スマート ソフトウェア ライセンシングの詳細については、Cisco Secure Email Gateway および Cisco Secure Email and Web Manager スマート ソフトウェア ライセンシング導入ガイド [英語] を参照してください。
スマート ソフトウェア ライセンシングの CLI コマンドの詳細については、スマート ソフトウェア ライセンシング:CLI コマンドを参照してください。
スマート ソフトウェア ライセンス機能の設定
確定:このコマンドは「commit」が必要です。
バッチ コマンド:このコマンドはバッチ形式をサポートしています。詳細については、help license_smart コマンドを入力して、インライン ヘルプを参照してください。
)アイコンをクリックして、レガシー Web インターフェイスをロードします。
example.com> license_smart
Choose the operation you want to perform:
- ENABLE - Enables Smart Licensing on the product.
- SETAGENTPORT - Set port to run Smart Agent service.
[]> setagentport
Enter the port to run smart agent service.
[65501]>mail.example.com > license_smart
Choose the operation you want to perform:
- ENABLE - Enables Smart Licensing on the product.
[]> enable
After enabling Smart Licensing on your appliance, follow below steps to activate
the feature keys (licenses):
a) Register the product with Smart Software Manager using license_smart > register command in the CLI.
b) Activate the feature keys using license_smart > requestsmart_license command in the CLI.
Note: If you are using a virtual appliance, and have not enabled any of the
features in the classic licensing mode; you will not be able to activate the
licenses, after you switch to the smart licensing mode. You need to first register
your appliance, and then you can activate the licenses (features) in the smart licensing mode.
Commit your changes to enable the Smart Licensing mode on your appliance.
All the features enabled in the Classic Licensing mode will be available in the Evaluation period.
Type "Y" if you want to continue, or type "N" if you want to use the classic licensing mode [Y/N] []> y
> commit
Please enter some comments describing your changes:
[]>
Do you want to save the current configuration for rollback? [Y]>
mail.example.com > license_smart
To start using the licenses, please register the product.
Choose the operation you want to perform:
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> register
Reregister this product instance if it is already registered [N]> n
Enter token to register the product:
[]>
ODRlOTM5MjItOTQzOS00YjY0LWExZTUtZTdmMmY3OGNlNDZmLTE1MzM3Mzgw%0AMDEzNTR8WlpCQ1lMbGVMQWRx
OXhuenN4OWZDdktFckJLQzF5V3VIbzkyTFgx%0AQWcvaz0%3D%0A
Product Registration is in progress. Use license_smart > status command to check status of registration.
mail.example.com > license_smart
To start using the licenses, please register the product.
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> status
Smart Licensing is: Enabled
Evaluation Period: In Use
Evaluation Period Remaining: 89 days 23 hours 53 minutes
Registration Status: Unregistered
License Authorization Status: Evaluation Mode
Last Authorization Renewal Attempt Status: No Communication Attempted
Product Instance Name: mail.example.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
mail.example.com > license_smart
To start using the licenses, please register the product.
Choose the operation you want to perform:
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> summary
FeatureName LicenseAuthorizationStatus
Mail Handling In Compliance
Content Security Management Master ISQ In Compliance
mail.example.com > license_smart
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> url
1. DIRECT - Product communicates directly with the cisco license servers
2. TRANSPORT_GATEWAY - Product communicates via transport gateway or smart software manager satellite.
Choose from the following menu options:
[1]> 1
Note: The appliance uses the Direct URL
(https://smartreceiver.cisco.com/licservice/license) to communicate with Cisco
Smart Software Manager (CSSM) via the proxy server configured using the updateconfig command.
Transport settings will be updated after commit.
(注) |
仮想アプライアンスのユーザーは、ライセンスを要求またはリリースする場合、そのアプライアンスを登録する必要があります。 |
mail.example.com > license_smart
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> requestsmart_license
Feature Name License Authorization Status
1. Content Security Management Centralized Tracking Not Requested
2. Content Security Management Master ISQ Not requested
Enter the appropriate license number(s) for activation.
Separate multiple license with comma or enter range:
[]> 1
Activation is in progress for following features:
Security Management Centralized Tracking
Use license_smart > summary command to check status of licenses.mail.example.com > license_smart
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> releasesmart_license
Feature Name License Authorization Status
1. Content Security Management Centralized In Compliance
Tracking
2. Content Security Management Master ISQ In Compliance
この例では、license_smart > enable_reservation サブコマンドを使用して、Secure Email and Web Manager でライセンスの予約を有効化および登録できます。
mail.example.com > license_smart
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- ENABLE_RESERVATION - Enable specific or permanent license reservations on your Secure Email and Web Manager.
[]> enable_reservation
Would you like to reserve license, then type "Y" else type "N" [Y/N] []> yes
License Reservation is enabled for the following machines:
mail1.example.com
License Reservation is enabled
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REQUEST_CODE - Provide the request code generated on your Secure Email and Web Manager.
[]> request_code
The generation of the request code is initiated...
Copy the request code obtained on your Secure Email and Web Manager and paste it in the Cisco Smart Software Manager portal to select the required license
Request code: CD-ZSMA:BD20B624E904-B7HCL9scQ-DD
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REQUEST_CODE - Provide the request code generated on your Secure Email and Web Manager.
- INSTALL_AUTHORIZATION_CODE - Install the authorization code for specific or permanent license reservations on your Secure Email and Web Manager.
- CANCEL_REQUEST_CODE - Cancel the request code generated on your Secure Email and Web Manager.
[]> install_authorization_code
1. Paste via CLI
2. Import the Authorization Code from a file
How would you like to install Authorization Code?
[1]>
Paste the Authorization code now.
Press CTRL-D on a blank line when done.
<specificPLR><authorizationCode><flag>A</flag><version>C</version>
<piid>7b654af6-9d60-46f5-a79-………………………………….PS/o+6</signature><udi>P:SMA,S:BE30B124E904
</udi></specificPLR>
^D
The SPECIFIC license reservation is successfully installed on your Secure Email and Web Manager
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REAUTHORIZE - Install the authorization code to update specific or permanent license reservations on your Secure Email and Web Manager.
- CONFIRM_CODE - Provide the confirmation code generated on your Secure Email and Web Manager.
- RETURN_RESERVATION - Remove the specific or permanent license reservations on your Secure Email and Web Manager.
[]>この例では、 license_smart > reauthorize サブコマンドを使用して、新しい機能のライセンスを予約したり、機能の既存のライセンス予約を変更したりできます。
mail.example.com > license_smart
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REAUTHORIZE - Install the authorization code to update specific or permanent license reservations on your Secure Email and Web Manager.
- CONFIRM_CODE - Provide the confirmation code generated on your Secure Email and Web Manager.
- RETURN_RESERVATION - Remove the specific or permanent license reservations on your Secure Email and Web Manager.
[]> reauthorize
1. Paste via CLI
2. Import the Authorization Code from a file
How would you like to install Authorization Code?
[1]>
Paste the Authorization code now.
Press CTRL-D on a blank line when done.
<specificPLR><authorizationCode><flag>A</flag><version>C</version>
<piid>6b684af8-4d20-42f5-ab89-………………………………………..</authorizationCode><signature>
MEYCIDS7IZQuLvMMmiXMH2eZOwf7cy6rjgc7kxBIja</signature><udi>P:SMA,S:BD660B174E904
</udi></specificPLR>
^D
The SPECIFIC license reservation is successfully installed on your Secure Email and Web Manager.
Copy the confirmation code obtained from Smart Agent and add it to the Cisco Smart Software Manager portal to update the specific reservation.
Confirmation code: 1f87b235
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REAUTHORIZE - Install the authorization code to update specific or permanent license reservations on your Secure Email and Web Manager.
- CONFIRM_CODE - Provide the confirmation code generated on your Secure Email and Web Manager.
- RETURN_RESERVATION - Remove the specific or permanent license reservations on your Secure Email and Web Manager.
[]>この例では、license_smart > return_reservation サブコマンドを使用して、Secure Email and Web Manager で有効になっている機能の特定または永続的なライセンスの予約を削除できます。
mail.example.com > license_smart
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REAUTHORIZE - Install the authorization code to update specific or permanent license reservations on your Secure Email and Web Manager.
- CONFIRM_CODE - Provide the confirmation code generated on your Secure Email and Web Manager.
- RETURN_RESERVATION - Remove the specific or permanent license reservations on your Secure Email and Web Manager.
[]> return_reservation
After you return the license reservation, you cannot use any of the product features, if the evaluation period has exceeded 90 days. After the 90 days
evaluation period, you must register your product with Cisco Smart Software Manager to continue to use the product features. [N]> yes
The generation of the return code is initiated...
Copy the return code obtained on your Secure Email and Web Manager and paste it in the Cisco Smart Software Manager portal.
Return Code: C97xKY-otSY8D-ertAf-v-fbEu5q-APo
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REQUEST_CODE - Provide the request code generated on your Secure Email and Web Manager.
[]>
mail1.example.com>この例では、license_smart > disable_reservation サブコマンドを使用して、Secure Email and Web Manager でライセンスの予約を無効化できます。
mail.example.com > license_smart
Choose the operation you want to perform:
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- DISABLE_RESERVATION - Disable specific or permanent license reservations on your Secure Email and Web Manager.
- REQUEST_CODE - Provide the request code generated on your Secure Email and Web Manager.
- INSTALL_AUTHORIZATION_CODE - Install the authorization code for specific or permanent license reservations on your Secure Email and Web Manager.
- CANCEL_REQUEST_CODE - Cancel the request code generated on your Secure Email and Web Manager.
[]> disable_reservation
A request code for the specific or permanent reservation is generated on your Secure Email and Web Manager. If you want to disable the reservation, it cancels the request code.
Do you want to disable the specific or permanent reservation? [Y/N] []> yes
License Reservation is disabled for the following machines:
mail1.example.com
License Reservation is disabled
Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- ENABLE_RESERVATION - Enable specific or permanent license reservations on your Secure Email and Web Manager.
[]>この例では、license_smart > conversion_start サブコマンドを使用して、Secure Email and Web Manager で Device Led Conversion(DLC)プロセスを手動で有効にすることができます。
mail.example.com > license_smart
Deregister Secure Email and Web Manager from the Cisco Smart Software Manager portal to
enable the license reservation
Choose the operation you want to perform:
- URL - Set the Smart Transport URL.
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- DEREGISTER - Deregister the product from Smart Licensing.
- REREGISTER - Reregister the product for Smart Licensing.
- RENEW_AUTH - Renew authorization of Smart Licenses in use.
- RENEW_ID - Renew registration with Smart Licensing.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
- CONVERSION_START - To manually convert the classic license keys to smart Licensing
[]> conversion_start
Do you want to start the process of converting your classic license keys to smart software licensing[Y/N]? []> yes
スマート ライセンスのステータスとステータスの概要を表示します。
example.com> showlicense_smart
Choose the operation you want to perform:
- STATUS- Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing summary.
[]> status
Smart Licensing is: Enabled
Evaluation Period: In Use
Evaluation Period Remaining: 89 days 23 hours 53 minutes
Registration Status: Unregistered
License Authorization Status: Evaluation Mode
Last Authorization Renewal Attempt Status: No Communication Attempted
Product Instance Name: mail.example.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
example.com> showlicense_smart
Choose the operation you want to perform:
- STATUS- Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing summary.
[]> summary
FeatureName LicenseAuthorizationStatus
Mail Handling In Compliance
Content Security Management Master ISQ In Compliance
cloudserviceconfig コマンドは次の目的で使用します。
このコマンドは、スマートライセンスモードでのみ適用できます。
お使いのアプライアンスで Cisco Cloud Services ポータルを有効にします。
お使いのアプライアンスで Cisco Cloud Services ポータルを無効にします。
Cisco Cloud Services ポータルに Cisco Secure Email and Web Manager を登録します。
Cisco Cloud Services ポータルに Cisco Secure Email and Web Manager を自動登録します。
Cisco Cloud Services ポータルから Cisco Secure Email and Web Manager の登録を解除します。
Cisco Secure Cloud サーバーを選択して、お使いのアプライアンスを Cisco Cloud Services ポータルに接続します。
アップデータが使用する Talos サーバーから証明書とキーを取得します。
確定:このコマンドに commit は必要ありません。
バッチ コマンド:このコマンドはバッチ形式をサポートしています。
次に、cloudserviceconfig > enable サブコマンドを使用して、電子メールゲートウェイ上で Cisco Cloud Services を有効にする例を示します。
(注) |
このサブコマンドは、スマート ソフトウェア ライセンシングが有効になっておらず、お使いのアプライアンスが Cisco Smart Software Manager に登録されていない場合にのみ使用できます。 |
mail1.example.com > cloudserviceconfig
Choose the operation you want to perform:
- ENABLE - The Cisco Cloud Service is currently disabled on your appliance.
[]> enable
The Cisco Cloud Service is currently enabled on your appliance.
Currently configured Cisco Secure Cloud Server is: api.apj.sse.itd.cisco.com
Available list of Cisco Secure Cloud Servers:
1. AMERICAS (api-sse.cisco.com)
2. APJC (api.apj.sse.itd.cisco.com)
3. EUROPE (api.eu.sse.itd.cisco.com)
Enter Cisco Secure Cloud Server to connect to the Cisco Cloud Service portal.:
[]> 1
Selected Cisco Secure Cloud Server is api-sse.cisco.com.
Make sure you run "commit" to make these changes active.
mail1.example.com > commit
Please enter some comments describing your changes:
[]> commit changes
Do you want to save the current configuration for rollback? [Y]>
Changes committed: Tue Dec 29 13:23:19 2020 GMT
mail1.example.com >次に、cloudserviceconfig > disable サブコマンドを使用して、アプライアンスで Cisco Cloud Services を無効にする例を示します。
mail1.example.com> cloudserviceconfig
The appliance is not registered with the Cisco Cloud Service portal.
Currently configured Cisco Cloud Server is api-sse.cisco.com
Choose the operation you want to perform:
- DISABLE - The Cisco Cloud Service is currently enabled on your appliance.
- REGISTER - To register the appliance with the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Secure Cloud Server to connect to the Cisco Cloud
Service portal.
[]> disable
The Cisco Cloud Service is currently disabled on your appliance.
mail1.example.com > commit
Please enter some comments describing your changes:
[]> commit changes
Do you want to save the current configuration for rollback? [Y]>
Changes committed: Tue Dec 29 13:01:07 2020 GMT
mail1.example.com >sma> cloudserviceconfig
Cisco Cloud Service portal list update was successful.
The appliance is not registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is stage-api-sse.cisco.com
Choose the operation you want to perform:
- DISABLE - The Cisco Cloud Service is currently enabled on your appliance.
- REGISTER - To register the appliance with the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Cloud Service portal to connect to the Cisco Cloud Service portal.
- UPDATEFQDNLIST - Update the Cisco Cloud Service portal list.
- ENABLE_PROXY - Enable connection to Cisco Cloud Server through proxy.
[]> REGISTER
Enter a registration token key to register your appliance with the Cisco Cloud Service portal.
[]> 90a92909fc3b1be666f180621146fea3
The appliance registration is in progress.
次に、cloudserviceconfig > deregister サブコマンドを使用して、Cisco Cloud Services ポータルからアプライアンスの登録を解除する例を示します。
sma> cloudserviceconfig
Cisco Cloud Service portal list update was successful.
The Content Security Management appliance is successfully registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is stage-api-sse.cisco.com
Choose the operation you want to perform:
- DISABLE - The Cisco Cloud Service is currently enabled on your appliance.
- DEREGISTER - To deregister the appliance from the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Cloud Service portal to connect to the Cisco Cloud Service portal.
- UPDATEFQDNLIST - Update the Cisco Cloud Service portal list.
- ENABLE_PROXY - Enable connection to Cisco Cloud Server through proxy.
[]> DEREGISTER
Do you want to deregister your appliance from the Cisco Cloud Service portal.
If you deregister, you will not be able to access the Cloud Service features. [N]> Y
The Content Security Management appliance deregistration is in progress.
次に、cloudserviceconfig > settrs サブコマンドを使用して、電子メールゲートウェイを Cisco Cloud Services ポータルに接続するために必要な Cisco Secure Cloud Server を選択する例を示します。
mail1.example.com > cloudserviceconfig
The appliance is not registered with the Cisco Cloud Service portal.
Currently configured Cisco Cloud Server is api-sse.cisco.com
Choose the operation you want to perform:
- DISABLE - The Cisco Cloud Service is currently enabled on your appliance.
- REGISTER - To register the appliance with the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Secure Cloud Server to connect to the Cisco Cloud
Service portal.
[]> settrs
Currently configured Cisco Secure Cloud Server is: api-sse.cisco.com
Available list of Cisco Secure Cloud Servers:
1. AMERICAS (api-sse.cisco.com)
2. APJC (api.apj.sse.itd.cisco.com)
3. EUROPE (api.eu.sse.itd.cisco.com)
Enter Cisco Secure Cloud Server to connect to the Cisco Cloud Service portal.:
[]> 3
Selected Cisco Secure Cloud Server is api.eu.sse.itd.cisco.com.
Make sure you run "commit" to make these changes active.
mail1.example.com > commit
Please enter some comments describing your changes:
[]> commit changes
Do you want to save the current configuration for rollback? [Y]>
Changes committed: Tue Dec 29 13:37:40 2020 GMT次の例では、コマンドを使用して、スマートライセンスで一度登録するとアプライアンスがバックエンドで自動登録を実行することを示しています。自動登録が失敗した場合は、CLI で自動登録に使用するコマンドを確認できます。
Autoregister Success/ and failure
sma> cloudserviceconfig
Cisco Cloud Service portal list update was successful.
The appliance is not registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is api-sse.cisco.com
Choose the operation you want to perform:
- REGISTER - To register the appliance with the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Cloud Service portal to connect to the Cisco Cloud Service portal.
- UPDATEFQDNLIST - Update the Cisco Cloud Service portal list.
- AUTOREGISTER - register the appliance with the Cisco Cloud Service portal automatically.
- ENABLE_PROXY - Enable connection to Cisco Cloud Server through proxy.
[]> AUTOREGISTER
The appliance failed to auto-register with the Cisco Cloud Service portal.
Reason: A request to generate a Smart Licensing payload from Cisco Smart Software Manager failed.
The appliance is not registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is api-sse.cisco.com
Choose the operation you want to perform:
- REGISTER - To register the appliance with the Cisco Cloud Service portal.
- SETTRS - Set the Cisco Cloud Service portal to connect to the Cisco Cloud Service portal.
- UPDATEFQDNLIST - Update the Cisco Cloud Service portal list.
- AUTOREGISTER - register the appliance with the Cisco Cloud Service portal automatically.
- ENABLE_PROXY - Enable connection to Cisco Cloud Server through proxy.
[]> AUTOREGISTER
The appliance successfully auto-registered with the Cisco Cloud Service portal.
次の例では、コマンドを使用して、TALOS サーバーからアップデータが使用する証明書とキーを取得できます。
sma> cloudserviceconfig
Cisco Cloud Service portal list update was successful.
The Content Security Management appliance is successfully registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is api-sse.cisco.com
Choose the operation you want to perform:
- UPDATEFQDNLIST - Update the Cisco Cloud Service portal list.
- FETCHCERTIFICATE - Download the Cisco Talos certificate and key
- ENABLE_PROXY - Enable connection to Cisco Cloud Server through proxy.
[]> FETCHCERTIFICATE
Current Cisco Talos certificate is valid for 172 days
Do you like to overwrite the existing certificate and key [Y|N] ? []> N
The Content Security Management appliance is successfully registered with the Cisco Cloud Service portal.
Currently used Cisco Cloud Server is api-sse.cisco.com
次の例では、コマンドを使用して証明書とキーをアップロードできます。
[]> clientcertificate
Do you like to overwrite the existing certificate and key [Y|N] ? []> Y
Paste the certificate.
Press CTRL-D on a blank line when done.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
^D
Paste Private Key.
Press CTRL-D on a blank line when done.
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
^DCertificate and key are stored successfully
システム更新パラメータを設定します。
コミット:このコマンドは「commit」が必要です。
バッチ コマンド:このコマンドはバッチ形式をサポートしていません。
(注) |
|
(注) |
|
mail.example.com> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
- CLIENTCERTIFICATE - Upload the client certificate and key.
- VLNID - Update the VLN ID.
[]> CLIENTCERTIFICATE
Paste the certificate.
Press CTRL-D on a blank line when done.
-----BEGIN CERTIFICATE-----
MIIDXjCCAkagAwIBAgIEAm+eGTANBgkqhkiG9w0BAQsFADB+MQswCQYDVQQGEwJV
UzETMBEGA1UECAwKQ2FsaWZvcm5pYTERMA8GA1UEBwwIU2FuIEpvc2UxGzAZBgNV
BAoMEkNpc2NvIFN5c3RlbXMgSW5jLjERMA8GA1UECwwIU2VjdXJpdHkxFzAVBgNV
……….
G0NYIhd82O9NIP9WQeVJmPfTd4O2EFZZQb6Mq+EvkCYajTWInUfxQLIfy3HUEDGJ
ZKY=
-----END CERTIFICATE-----
^D
Paste Private Key.
Press CTRL-D on a blank line when done.
Key :
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAttALQE31Pd+xoLaO8kpzjHBuoJVRsZnNbt400PRES8vXSsYS
bxU720rK9xPTdYQ1V9bJUlPvYHlgIE90xPcWfnptUsARFTrvnsMGydI3J+5vD9gN
5Y9LjW1rmNUwdF98022hEzJpZ35nUT6EePd8uOlw7MmMopSF4ySrG5imseMr6fBI
………….
VBgX7nSeTCXsSZdpvTi7RIk+jCEYqeZVGWJ4tZF6yZWIOaTTCFw=
-----END RSA PRIVATE KEY-----
^D
Certificate and key are stored successfully
mail.example.com> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
- CLIENTCERTIFICATE - Upload the client certificate and key.
- VLNID - Update the VLN ID.
[]> VLNID
VLN : VLNESA1838283016
Do you like to overwrite the existing VLN[Y|N] ? []> n
仮想ライセンス番号(VLN)、および Cisco Talos 証明書とキーの詳細を表示します。
確定:このコマンドに「commit」は必要ありません。
バッチ コマンド:このコマンドはバッチ形式をサポートしていません。
(注) |
|
mail.example.com> vlninfo
VLN and Certificate details
VLN : VLNSMA1838285196
Certificate :
-----BEGIN CERTIFICATE-----
MIIDXjCCAkagAwIBAgIEAm+eGTANBgkqhkiG9w0BAQsFADB+MQswCQYDVQQGEwJV
UzETMBEGA1UECAwKQ2FsaWZvcm5pYTERMA8GA1UEBwwIU2FuIEpvc2UxGzAZBgNV
BAoMEkNpc2NvIFN5c3RlbXMgSW5jLjERMA8GA1UECwwIU2VjdXJpdHkxFzAVBgNV
……….
G0NYIhd82O9NIP9WQeVJmPfTd4O2EFZZQb6Mq+EvkCYajTWInUfxQLIfy3HUEDGJ
ZKY=
-----END CERTIFICATE-----
Key :
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAttALQE31Pd+xoLaO8kpzjHBuoJVRsZnNbt400PRES8vXSsYS
bxU720rK9xPTdYQ1V9bJUlPvYHlgIE90xPcWfnptUsARFTrvnsMGydI3J+5vD9gN
5Y9LjW1rmNUwdF98022hEzJpZ35nUT6EePd8uOlw7MmMopSF4ySrG5imseMr6fBI
………….
VBgX7nSeTCXsSZdpvTi7RIk+jCEYqeZVGWJ4tZF6yZWIOaTTCFw=
-----END RSA PRIVATE KEY-----
VLN の詳細を表示します。vlninfo コマンドのヘルプサポートを提供します。
確定:このコマンドに「commit」は必要ありません。
バッチ コマンド:このコマンドはバッチ形式をサポートしていません。
(注) |
|
mail.example.com> help vlninfo
Show VLN details
クラウドサービスを有効にすると Cisco XDR は自動的に有効になり、クラウドサービスを無効にすると Cisco XDR は無効になります。
Web UI で Cisco XDR オプションが変更され、[システム管理(System Administration)] > [全般設定(General Settings)] から Cisco XDR を有効化または無効化できるようになりました。generalconfig コマンドを使用して、CLI から同じ操作を実行することもできます。
スマート ソフトウェア ライセンシングを有効にして登録すると、クラウドサービスが有効になり、アプライアンス(security services exchange)が自動的に登録されます。
クラシックモードでは、クラウドサービスはデフォルトで無効な状態になります。手動で有効にして、Cisco XDR を有効にする必要があります。自動登録を行うには、スマートライセンスモードを有効にする必要があります。
スマート ソフトウェア ライセンシングを有効にすると、スマートエージェントが起動し、登録が完了するとクラウドサービスが有効になります。
スマートライセンスが評価モードの場合、 security services exchange の自動登録は実行できません。
ここで説明する操作とコマンドを利用すると、セキュリティ管理アプライアンス上でメンテナンスに関連する作業を実行できます。ここでは、次の操作とコマンドについて説明します。
セキュリティ管理アプライアンスをシャット ダウンするには、次の手順を実行します。
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [シャットダウン/再起動(Shutdown/Reboot)] ページを使用します。
または
コマンドライン プロンプトで shutdown コマンドを使用します。
アプライアンスをシャットダウンすると、AsyncOS が終了し、アプライアンスの電源を安全にオフにできます。アプライアンスは、配信キューのメッセージを失わずに後で再起動できます。アプライアンスをシャットダウンする遅延値を入力する必要があります。デフォルト遅延値は 30 秒です。AsyncOS では、その遅延値の間はオープン中の接続を完了できます。その遅延値を超えると、オープン中の接続が強制的に閉じられます。
セキュリティ管理アプライアンスをリブートするには、GUI の [システム管理(System Administration)] メニューで利用可能な [シャットダウン/再起動(Shutdown/Reboot)] ページを使用するか、CLI で reboot コマンドを使用します。
アプライアンスをリブートすると、AsyncOS が再起動されるため、アプライアンスの電源を安全にオフにし、アプライアンスをリブートできます。アプライアンスをシャットダウンする遅延値を入力する必要があります。デフォルト遅延値は 30 秒です。AsyncOS では、その遅延値の間はオープン中の接続を完了できます。その遅延値を超えると、オープン中の接続が強制的に閉じられます。アプライアンスは、配信キュー内のメッセージを失わずに再起動できます。
システム メンテナンスを実行する場合など、アプライアンスをオフラインにするには、次のコマンドのいずれかを使用します。
|
コマンド |
説明 |
永続化 |
|---|---|---|
|
|
|
リブート後も永続化されます。 |
|
|
管理対象の電子メールおよび Web Security Appliances から Content Security Management Appliance へのレポーティング データおよびトラッキング データの転送を一時停止します。 このコマンドでは、E メール セキュリティ アプライアンスからの隔離されたメッセージの受信も一時停止されます。 バックアップ アプライアンスをプライマリ アプライアンスとして再開するための準備段階でこのコマンドを使用します。 |
リブート後も維持されます。 |
これらのコマンドの使用時には、アプライアンスの遅延値を入力する必要があります。デフォルト遅延値は 30 秒です。AsyncOS では、その遅延値の間はオープン中の接続を完了できます。その遅延値を超えると、オープン中の接続が強制的に閉じられます。オープン中の接続が存在しない場合は、すぐにサービスが停止されます。
suspend または suspendtransfers コマンドで停止したサービスを再アクティブ化するには、resume または resumetransfers コマンドをそれぞれ使用します。
管理アプライアンスの現在のステータス(オンラインまたは一時停止)を特定するには、Web インターフェイスで [管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [シャットダウン/再起動(Shutdown/Reboot)] を選択します。
関連項目:
お使いの E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプの「Suspending Email Delivery」、「Resuming Email Delivery」、「Suspending Receiving」、および「Resuming Receiving」。
sma.example.com> suspend
Enter the number of seconds to wait before abruptly closing connections.
[30]> 45
Waiting for listeners to exit...
Receiving suspended.
Waiting for outgoing deliveries to finish...
Mail delivery suspended.
sma.example.com>
sma.example.com> suspendtransfers
Transfers suspended.
sma.example.com> resume コマンドは、suspend または suspenddel コマンドの使用後にアプライアンスを通常の動作状態に戻します。
resumetransfers コマンドは、suspendtransfers コマンドの使用後にアプライアンスを通常の動作状態に戻します。
sma.example.com> resume
Receiving resumed.
Mail delivery resumed.
sma.example.com>
sma.example.com> resumetransfers
Receiving resumed.
Transfers resumed.
sma.example.com>アプライアンスを物理的に転送するとき、または構成の問題を解決する最後の手段として、工場出荷時の初期状態にアプライアンスをリセットすることもできます。
 注意 |
設定をリセットすると CLI から切り離すことになり、アプライアンス(FTP、Telnet、SSH、HTTP、HTTPS)への接続に使用しているサービスが無効になり、ユーザー アカウントが削除されます。 |
|
目的 |
操作手順 |
||
|---|---|---|---|
ただし、
|
|
||
|
|
mail3.example.com> suspend
Delay (seconds, minimum 30):
[30]> 45
Waiting for listeners to exit...
Receiving suspended.
Waiting for outgoing deliveries to finish...
Mail delivery suspended.
mail3.example.com> resetconfig
Are you sure you want to reset all configuration values? [N]> Y
All settings have been restored to the factory default.Diagnostic - Reload サブコマンドは、設定を最初の製造元の値にリセットします。このサブコマンドは、すべてのユーザー設定を削除し、デバイス全体をリセットします。
スマートライセンスが有効になっている場合、Diagnostic サブコマンドを実行する前に、Cisco Secure Email and Web Manager から同意を求めるプロンプトが表示されます。Y(yes)を入力すると、 サブコマンドが実行され、スマートライセンスが無効になります。
Cisco Secure Email and Web Manager が仮想アプライアンスの場合、Diagnostic - Reload サブコマンドによってすべての機能キーが削除されるため、ライセンスを再度ロードする必要があります。
(注) |
システムにリモート接続している場合は、デバイスへの接続が失われる可能性があります。 |
mail3.example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- RELOAD_STATUS - Display status of last reload run
- SERVICES - Service Utilities.
[]> reload
If you run the Diagnostic reload command, the SmartLicense will be disabled.
Do you want to continue? [N]> y
This command will remove all user settings and reset the entire device.
If this is a Virtual Appliance, all feature keys will be removed, and the license must be reapplied. This resets network configuration to factory defaults. You might lose connection to the device if you are connected remotely.
Are you sure you want to continue? [N]> Y
Are you *really* sure you want to continue? [N]> Y
Do you want to wipe also? Warning: This action is recommended if the device is being sanitized before sending it for RMA. Sometimes, it may take several minutes to complete the process because it follows the NIST Purge standard.
Do you want to continue? [N]
Diagnostic - Reload_Status サブコマンドは、最後の Diagnostic - Reload コマンドの実行ステータスを表示します。
mail3.example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- RELOAD_STATUS - Display status of last reload run
- SERVICES - Service Utilities.
[]> reload_status
Last Reload Status Last Updated
Successful 09 Feb 2023 09:12 (GMT)
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [システム ステータス(System Status)] を選択します。 |
|
ステップ 3 |
ページの下部までスクロールして、[バージョン情報(Version Information)] で、現在インストールされている AsyncOS のバージョンを確認します。 あるいは、コマンドライン プロンプトで version コマンドを使用することもできます。 |
アプライアンス シャーシの電源をリモートでリセットする機能は、80 および 90 シリーズ ハードウェアでのみ使用できます。
アプライアンスの電源をリモートでリセットする場合は、このセクションで説明されている手順を使用して、この機能を事前に有効にし、設定しておく必要があります。
専用のリモート電源再投入(RPC)ポートをセキュア ネットワークに直接、ケーブル接続します。詳細については、ご使用のモデルのハードウェア マニュアルを参照してください(資料に記載されている場所から入手できます)。
ファイアウォールを通過するために必要なポートを開くなど、アプライアンスがリモート アクセス可能であることを確認します。
この機能を使用するには、専用のリモート電源再投入インターフェイスの一意の IPv4 アドレスが必要です。このインターフェイスは、このセクションで説明されている手順でのみ設定可能です。ipconfig コマンドを使用して設定することはできません。
アプライアンスの電源を再投入するには、Intelligent Platform Management Interface(IPMI)バージョン 2.0 をサポートするデバイスを管理できるサードパーティ製ツールが必要です。このようなツールを使用できるように準備されていることを確認します。
コマンドライン インターフェイスへのアクセスに関する詳細については、CLI のリファレンス ガイドを参照してください。
|
ステップ 1 |
SSH、Telnet、またはシリアル コンソール ポートを使用して、コマンドライン インターフェイスにアクセスします。 |
|
ステップ 2 |
管理者権限を持つアカウントを使用してログインします。 |
|
ステップ 3 |
以下のコマンドを入力します。 |
|
ステップ 4 |
プロンプトに従って、以下の情報を指定します。
|
|
ステップ 5 |
commit を入力して変更を保存します。 |
|
ステップ 6 |
設定をテストして、アプライアンスの電源をリモートで管理できることを確認します。 |
|
ステップ 7 |
入力したクレデンシャルが、将来、いつでも使用できることを確認します。たとえば、この情報を安全な場所に保管し、このタスクを実行する必要がある管理者が、必要なクレデンシャルにアクセスできるようにします。 |
AsyncOS は、Simple Network Management Protocol(SNMP)バージョン v1、v2、および v3 を使用したシステム ステータスのモニタリングをサポートします。
SNMP を有効にし、設定するには、コマンドライン インターフェイスで snmpconfig コマンドを使用します。
次の MIB ファイルを Cisco Secure Email and Web Manager で使用できます。
ASYNCOS-MAIL-MIB.txt(https://www.cisco.com/web/ironport/tools/web/15.0/ASYNCOS-MAIL-MIB.txt):Cisco Secure Email and Web Manager 用のエンタープライズ MIB の SNMPv2 互換の説明。
AsyncOS SMI.txt(IRONPORT-SMI.txt)(https://www.cisco.com/web/ironport/tools/web/IRONPORT-SMI.txt):Cisco コンテンツセキュリティ製品での ASYNCOS-MAIL-MIB の役割を定義する「管理情報構造」(SMI)ファイル。
このサービスをイネーブルにするには、パスフレーズ認証と DES 暗号化を伴う SNMPv3 の使用が必須です。(SNMPv3 の詳細については、RFC 2571 ~ 2575 を参照してください)。SNMP システム ステータスのモニタリングをイネーブルにするには、少なくとも 8 文字の SNMPv3
パスフレーズを設定する必要があります。最初に SNMPv3 パスフレーズを入力するときは、確認のためにそのパスフレーズを再入力する必要があります。次に snmpconfig コマンドを実行するときは、コマンドにこのフレーズが「記憶」されています。
接続をモニタするように SNMP を設定する場合:
connectivityFailure SNMP トラップの設定時に url-attribute を入力する場合、URL がディレクトリまたはファイルのいずれを指すかを決定します。
ディレクトリの場合は、末尾にスラッシュ(/)を追加します。
ファイルの場合は、末尾にスラッシュを追加しません。
AsyncOS での SNMP の使用の詳細については、Web または Email Security Appliance のオンライン ヘルプを参照してください。
sma.example.com> snmpconfig
Current SNMP settings:
SNMP Disabled.
Choose the operation you want to perform:
- SETUP - Configure SNMP.
[]> SETUP
Do you want to enable SNMP?
[Y]>
Please choose an IP interface for SNMP requests.
1. Management (198.51.100.1: sma.example.com)
[1]>
Which port shall the SNMP daemon listen on interface "Management"?
[161]>
Please select SNMPv3 authentication type:
1. MD5
2. SHA
[1]> 2
Please select SNMPv3 privacy protocol:
1. DES
2. AES
[1]> 2
Enter the SNMPv3 authentication passphrase.
[]>
Please enter the SNMPv3 authentication passphrase again to confirm.
[]>
Enter the SNMPv3 privacy passphrase.
[]>
Please enter the SNMPv3 privacy passphrase again to confirm.
[]>
Service SNMP V1/V2c requests?
[N]> Y
Enter the SNMP V1/V2c community string.
[ironport]> public
Shall SNMP V2c requests be serviced from IPv4 addresses?
[Y]>
From which IPv4 networks shall SNMP V1/V2c requests be allowed? Separate
multiple networks with commas.
[127.0.0.1/32]>
Enter the Trap target as a host name, IP address or list of IP
addresses separated by commas (IP address preferred). Enter "None" to disable traps.
[127.0.0.1]> 203.0.113.1
Enter the Trap Community string.
[ironport]> tcomm
Enterprise Trap Status
1. CPUUtilizationExceeded Disabled
2. FIPSModeDisableFailure Enabled
3. FIPSModeEnableFailure Enabled
4. FailoverHealthy Enabled
5. FailoverUnhealthy Enabled
6. RAIDStatusChange Enabled
7. connectivityFailure Disabled
8. fanFailure Enabled
9. highTemperature Enabled
10. keyExpiration Enabled
11. linkUpDown Enabled
12. memoryUtilizationExceeded Disabled
13. powerSupplyStatusChange Enabled
14. resourceConservationMode Enabled
15. updateFailure Enabled
Do you want to change any of these settings?
[N]> Y
Do you want to disable any of these traps?
[Y]> n
Do you want to enable any of these traps?
[Y]> y
Enter number or numbers of traps to enable. Separate multiple numbers with
commas.
[]> 1,7,12
What threshold would you like to set for CPU utilization?
[95]>
What URL would you like to check for connectivity failure?
[http://downloads.ironport.com]>
What threshold would you like to set for memory utilization?
[95]>
Enter the System Location string.
[Unknown: Not Yet Configured]> Network Operations Center - west; rack #30, position 3
Enter the System Contact string.
[snmp@localhost]> SMA.Administrator@example.com
Current SNMP settings:
Listening on interface "Management" 198.51.100.1 port 161.
SNMP v3: Enabled.
SNMP v1/v2: Enabled, accepting requests from subnet 127.0.0.1/32 .
SNMP v1/v2 Community String: public
Trap target: 203.0.113.1
Location: Network Operations Center - west; rack #30, position 3
System Contact: SMA.Administrator@example.com
Choose the operation you want to perform:
- SETUP - Configure SNMP.
[]>
sma.example.com> commit
Please enter some comments describing your changes:
[]> Enable and configure SNMP
Changes committed: Fri Nov 06 18:13:16 2015 GMT
sma.example.com> すべてのデータをバックアップすること、または次のデータの任意の組み合わせをバックアップすることを選択できます。
メッセージ、メタデータを含むスパム隔離
メッセージおよびメタ データを含んでいる集約されたポリシー、ウイルス、およびアウトブレイク隔離
メッセージ、メタデータを含む電子メール トラッキング(メッセージ トラッキング)
Web トラッキング
レポーティング(電子メールおよび Web)
セーフリスト/ブロックリスト
データの転送が完了すると、2 つのアプライアンスのデータが同一になります。
この処理を行っても、設定とログはバックアップされません。これらの項目をバックアップする方法については、その他の重要なバックアップ タスクを参照してください。
最初のバックアップ後の各バックアップは、前回のバックアップ後に生成された情報のみをコピーします。
バックアップをスケジュール設定する前に、次の制約事項および要件を考慮してください。
|
制約事項 |
要件 |
|---|---|
|
AsyncOS バージョン |
ソース セキュリティ管理アプライアンスおよびターゲット セキュリティ管理アプライアンスの AsyncOS バージョンが同じである必要があります。バージョンの非互換性がある場合、バックアップをスケジュールする前に、同じリリースにアプライアンスをアップグレードします。 |
|
ネットワーク上のターゲット アプライアンス |
ターゲット アプライアンスがネットワーク上に設定されている必要があります。 ターゲット アプライアンスが新規の場合は、システム セットアップ ウィザードを実行して必要な情報を入力します。手順については、セットアップ、インストール、および基本設定を参照してください。 |
|
ソース アプライアンスとターゲット アプライアンス間の通信 |
ソースおよびターゲットのセキュリティ管理アプライアンスは、SSH を使用して通信できるようになっている必要があります。したがって、次のようにします。
|
|
ターゲット アプライアンスを停止する必要があります。 |
プライマリ アプライアンスのみが、管理対象の電子メールおよび Web Security Appliances からデータを取得する必要があります。確実に実行するために、ターゲット アプライアンスによる管理対象アプライアンスからのデータの直接取得の防止を参照してください。 また、バックアップ アプライアンスでスケジュール設定されている設定公開ジョブをキャンセルしてください。 |
|
アプライアンス キャパシティ |
ターゲット アプライアンスのディスク領域キャパシティが、ソース アプライアンスのキャパシティと同等以上である必要があります。ターゲット アプライアンスで各データ タイプ(レポーティング、トラッキング、隔離など)に割り当てるディスク領域は、ソース アプライアンスの対応する割り当てより少なくすることはできません。 各データ タイプのすべてのデータのバックアップに十分なスペースがターゲット アプライアンス上にあれば、大きいソースから小さいターゲット セキュリティ管理アプライアンスへのバックアップをスケジュール設定できます。ソース アプライアンスがターゲット アプライアンスよりも大きい場合、ターゲット アプライアンスで使用可能な領域に合わせて、ソース アプライアンスで割り当てられている領域を削減します。 ディスク領域の割り当てとキャパシティを表示および管理するには、ディスク領域の管理を参照してください。 仮想アプライアンスのディスク容量については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。 |
|
複数、同時、およびチェーン バックアップ |
バックアップ プロセスは一度に 1 つだけ実行できます。前のバックアップが完了する前に実行がスケジュールされているバックアップはスキップされ、警告が送信されます。 セキュリティ管理アプライアンスからのデータは、単一のセキュリティ管理アプライアンスにバックアップできます。 チェーン バックアップ(バックアップへのバックアップ)はサポートされていません。 |
最初の完全バックアップでは、800GB のバックアップに最大 10 時間かかります。毎日のバックアップは、それぞれ最大 3 時間かかります。毎週または毎月のバックアップはより長くかかる場合があります。これらの数は場合によって異なります。
初期バックアップ後のバックアップ プロセスでは、最後のバックアップから変更されたファイルのみが転送されます。このため、その後のバックアップにかかる時間は初期バックアップの場合よりも短くなります。後続のバックアップに必要な時間は、累積されたデータ量、変更されたファイル数、および最後のバックアップ以降どの程度のファイルが変更されたかによって異なります。
セキュリティ管理アプライアンスをバックアップすると、「ソース」セキュリティ管理アプライアンスから「ターゲット」セキュリティ管理アプライアンスにアクティブ データ セットがコピーされます。このとき、コピー元の「ソース」アプライアンスの中断は最小限に抑えられます。
バックアップ プロセスのフェーズと、それらがサービスのアベイラビリティに及ぼす影響は次のとおりです。
バックアップ中に、データ アベイラビリティ レポートが機能しなくなる場合があります。また、メッセージ トラッキング結果を表示すると、各メッセージのホスト名に「未解決(unresolved)」というラベルが付くことがあります。
レポートをスケジュール設定しようとしているときに、バックアップが進行中であることを忘れていた場合は、[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] を選択して、システムのステータスを確認できます。このウィンドウでは、ページの上部にシステムのバックアップが進行中であるという警告が表示されます。
(注) |
バックアップの実行中にソース アプライアンスの予期しないリブートがあっても、ターゲット アプライアンスはこの停止を認識しません。ターゲット アプライアンスでバックアップをキャンセルする必要があります。 |
バックアップ プロセスの中断があり、そのバックアップ プロセスが完了していない場合、バックアップを次に試行したときに、セキュリティ管理アプライアンスは停止した部分からバックアップ プロセスを開始できます。
進行中のバックアップをキャンセルすることは推奨されません。これは、既存のデータが不完全になり、エラーが発生した場合は、次のバックアップが完了するまで使用できないことがあります。進行中のバックアップのキャンセルが必要な場合は、できるだけ早く完全バックアップを実行し、常に使用可能な現在のバックアップを確保してください。
|
ステップ 1 |
ターゲット アプライアンスのコマンドライン インターフェイスにアクセスします。この説明については、コマンドライン インターフェイスへのアクセス を参照してください。 |
|
ステップ 2 |
|
|
ステップ 3 |
プロンプトが再表示されるまで待ちます。 |
|
ステップ 4 |
|
|
ステップ 5 |
プロンプトが再表示されるまで待ちます。 |
|
ステップ 6 |
ターゲット アプライアンスのコマンドライン インターフェイスを終了します。 |
バックアップの完了時に問題を通知するアラートを受信するには、タイプが [システム(System)] で重大度が [情報(Info)] のアラートを送信するようにアプライアンスを設定します。アラートの管理 を参照してください。
単一または定期バックアップを事前設定した時間に行うようにスケジュール設定できます。
(注) |
リモート マシンに実行中のバックアップがある場合、バックアップ プロセスは開始されません。 |
バックアップの制約事項および要件の項目に対処します。
バックアップ プロセスを開始する前に、ターゲット アプライアンスで一時的に二要素認証を無効にするかどうかを確認します。バックアップ プロセスが完了すると、ターゲット アプライアンスの二要素認証を有効にできます。
|
ステップ 1 |
ソース アプライアンスのコマンドライン インターフェイスに、管理者としてログインします。 |
|
ステップ 2 |
コマンド プロンプトで backupconfig と入力し、Enter を押します。 |
|
ステップ 3 |
ソース アプライアンスおよびターゲット アプライアンス間の接続が低速である場合は、データ圧縮をオンにします。 setup と入力して、Y を押します。 |
|
ステップ 4 |
Schedule と入力して、Enter を押します。 |
|
ステップ 5 |
ターゲット セキュリティ管理アプライアンスの IP アドレスを入力します。 |
|
ステップ 6 |
ターゲット アプライアンスを識別する有効な名前を入力します(最大 20 文字)。 |
|
ステップ 7 |
ターゲット アプライアンスの管理ユーザの名前およびパスフレーズを入力します。 |
|
ステップ 8 |
バックアップするデータに関するプロンプトに応答します。 |
|
ステップ 9 |
単一バックアップをスケジュール設定するには、Schedule a single backup に 2 を入力して、Enter を押します。 |
|
ステップ 10 |
定期バックアップをスケジュール設定する場合は、次の手順を実行します。
|
|
ステップ 11 |
バックアップを開始する特定の日付または日および時間を入力して、Enter を押します。 |
|
ステップ 12 |
バックアップ プロセスの名前を入力します。 |
|
ステップ 13 |
バックアップが正常にスケジュール設定されたことを確認します。コマンド プロンプトで View と入力して、Enter を押します。 |
|
ステップ 14 |
その他の重要なバックアップ タスクも参照してください。 |
(注) |
ターゲット マシンでバックアップが実行中の場合、バックアップ プロセスは開始されません。 |
バックアップの制約事項および要件のすべての要件を満たします。
|
ステップ 1 |
ソース アプライアンスのコマンドライン インターフェイスに、管理者としてログインします。 |
|
ステップ 2 |
コマンド プロンプトで |
|
ステップ 3 |
ソース アプライアンスおよびターゲット アプライアンス間の接続が低速である場合は、データ圧縮をオンにします。 setup と入力して、Y を押します。 |
|
ステップ 4 |
Schedule と入力して、Enter を押します。 |
|
ステップ 5 |
ターゲット セキュリティ管理アプライアンスの IP アドレスを入力します。 |
|
ステップ 6 |
ターゲット アプライアンスを識別する有効な名前を入力します(最大 20 文字)。 |
|
ステップ 7 |
ターゲット アプライアンスの管理ユーザの名前およびパスフレーズを入力します。 |
|
ステップ 8 |
バックアップするデータに関するプロンプトに応答します。 |
|
ステップ 9 |
単一バックアップをすぐに開始するため、3 を入力して Enter を押します。 |
|
ステップ 10 |
バックアップ ジョブの有効な名前を入力します。 バックアップ プロセスが数分で開始されます。 |
|
ステップ 11 |
(オプション)バックアップの進捗状況を表示するには、コマンドライン プロンプトで Status と入力します。 |
|
ステップ 12 |
その他の重要なバックアップ タスクも参照してください。 |
|
ステップ 1 |
プライマリ アプライアンスのコマンドライン インターフェイスに、管理者としてログインします。 |
||||||
|
ステップ 2 |
コマンド プロンプトで backupconfig と入力し、Enter を押します。
|
関連項目
バックアップ ログはバックアップ プロセスを開始から終了まで記録します。
バックアップ スケジューリングに関する情報は、SMA ログ内にあります。
関連項目
ここで説明されているバックアップ プロセスではバックアップされない項目が失われることを防止するため、およびアプライアンスの障害が発生した場合にセキュリティ管理アプライアンスの交換を速めるため、次のことを検討してください。
プライマリ セキュリティ管理アプライアンスから設定を保存するには、設定の保存とインポートを参照してください。プライマリ セキュリティ管理アプライアンスとは別の安全な場所にコンフィギュレーション ファイルを保存します。
Configuration Master の設定に使用した、Web セキュリティ アプライアンスのコンフィギュレーション ファイルをすべて保存します。
セキュリティ管理アプライアンスから別の場所にログ ファイルを保存する方法については、ログ サブスクリプションを参照してください。
さらに、バックアップ ログのログ サブスクリプションを設定できます。GUI でのログ サブスクリプションの作成 を参照してください。
アプライアンス ハードウェアをアップグレードする場合、またはその他の理由でアプライアンスを切り替える場合は、次の手順を使用します。
セキュリティ管理アプライアンスのデータのバックアップの情報を確認してください。
|
ステップ 1 |
旧/プライマリ/ソース アプライアンスのコンフィギュレーション ファイルのコピーを、新しいアプライアンスから到達できる場所に保存します。設定の保存とインポートを参照してください。 |
|
ステップ 2 |
新規/バックアップ/ターゲット アプライアンスでシステム セットアップ ウィザードを実行します。 |
|
ステップ 3 |
バックアップの制約事項および要件の要件を満たします。 |
|
ステップ 4 |
旧/プライマリ/ソース アプライアンスからバックアップを実行します。即時バックアップの開始の手順を参照してください。 |
|
ステップ 5 |
バックアップが完了するまで待ちます。 |
|
ステップ 6 |
旧/プライマリ/ソース アプライアンスで suspendtransfers および suspend コマンドを実行します。 |
|
ステップ 7 |
2 番目のバックアップを実行して、旧/プライマリ/ソース アプライアンスから新規/バックアップ/ターゲット アプライアンスに直前のデータを転送します。 |
|
ステップ 8 |
コンフィギュレーション ファイルを新規/バックアップ/ターゲット アプライアンスにインポートします。 |
|
ステップ 9 |
新規/バックアップ/ターゲット アプライアンスで resumetransfers および resume コマンドを実行します。 旧/元プライマリ/ソース アプライアンスでこのコマンドを実行しないでください。 |
|
ステップ 10 |
新規/バックアップ/ターゲット アプライアンスと管理対象の電子メールおよび Web Security Appliances の間の接続を確立します。 |
|
ステップ 11 |
|
|
ステップ 12 |
新規/ターゲット アプライアンスがプライマリ アプライアンスとして機能していることを確認します。 [管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [システムステータス(System Status)] を選択し、データ転送の状態を確認します。 |
セキュリティ管理アプライアンスが予期せず失敗した場合は、次の手順を使用して、セキュリティ管理サービスおよびバックアップしたデータを復元します。これはセキュリティ管理アプライアンスのデータのバックアップの情報を使用して定期的に保存しています。
典型的なアプライアンス設定は、次の図に示すようになります。
この環境で、SMA 1 は ESA 1 ~ 3 および WSA 1 からデータを受信しているプライマリ セキュリティ管理アプライアンスです。SMA 2 は SMA1 からバックアップ データを受信しているバックアップ セキュリティ管理アプライアンスです。
失敗した場合は、SMA 2 がプライマリ セキュリティ管理アプライアンスになるように設定する必要があります。
SMA 2 を新しいプライマリ セキュリティ管理アプライアンスとして設定し、サービスを復元するには、次の手順を実行します。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
集約ポリシー、ウイルス、およびアウトブレイク隔離を使用している場合は以下を実行します。
|
E メール セキュリティ アプライアンスのマニュアルで集約されたポリシー、ウイルス、およびアウトブレイク隔離を無効にする方法を参照してください。 これは各 E メール セキュリティ アプライアンスで内部隔離を作成し、それを後で新しいセキュリティ管理アプライアンスに移行します。 |
|
ステップ 2 |
プライマリ セキュリティ管理アプライアンス(SMA1)から保存した設定ファイルを、バックアップ セキュリティ管理アプライアンス(SMA2)にロードします。 |
コンフィギュレーション ファイルのロードを参照してください。 |
|
ステップ 3 |
障害が発生した SMA 1 から IP アドレスを再作成し、SMA 2 の IP アドレスに設定します。 |
IP インターフェイスの追加の詳細については、IP インターフェイスの設定を参照してください。 |
|
ステップ 4 |
変更を送信し、保存します。 |
|
|
ステップ 5 |
新しいセキュリティ管理アプライアンス(SMA 2)で、適用可能なすべての中央集中型サービスを有効にします。 |
セキュリティ管理アプライアンスでのサービスの設定を参照してください。 |
|
ステップ 6 |
すべてのアプライアンスを新しいセキュリティ管理アプライアンス(SMA 2)に追加します。
|
管理対象アプライアンスの追加についてを参照してください。 |
|
ステップ 7 |
集約ポリシー、ウイルス、およびアウトブレイク隔離を使用している場合、新しいセキュリティ管理アプライアンス上に隔離の移行を設定し、その後必要な E メール セキュリティ アプライアンスごとに移行を有効にして設定します。 |
ポリシー、ウイルス、およびアウトブレイク隔離の集約を参照してください。 |
|
ステップ 8 |
必要に応じて、追加データを復元します。 |
その他の重要なバックアップ タスクを参照してください。 |
このプロセスが完了した後、SMA 2 がプライマリ セキュリティ管理アプライアンスになります。これで、次の図に示すように、ESA 1 ~ 3 と WSA 1 からもすべてのデータが SMA 2 に送られるようになりました。
バックアップ アプライアンスのプライマリ アプライアンスとしての使用 を参照してください。
アップグレード手順用のバッチ コマンドの詳細については、AsyncOS for Email の CLI リファレンス ガイドを参照してください http://www.cisco.com/c/en/us/support/security/email-security-appliance/products-command-reference-list.html
Cisco コンテンツ セキュリティ アプライアンスのアップデート サーバは、ダイナミック IP アドレスを使用します。ファイアウォール ポリシーを厳しく設定している場合、AsyncOS アップグレードに対して静的な参照先を設定する必要がある場合があります。アップグレードに関して、ファイアウォール設定にスタティック IP が必要であると判断した場合は、Cisco カスタマー サポートに連絡して、必要な URL アドレスを取得してください。
(注) |
既存のファイアウォール ルールで upgrades.cisco.com ポート(22、25、80、4766 など)からのレガシー アップグレードのダウンロードが許可されている場合は、それらを削除するか、修正したファイアウォール ルールに置き換える必要があります。 |
Cisco はアプライアンスでの AsyncOS のアップグレード用に、以下の 2 種類の方法(または「ソース」)を提供しています。
アップグレードおよびサービス アップデートの設定にある、アップグレード方式を設定します。オプションで、CLI で updateconfig コマンドを使用します。
ストリーミング アップグレードでは、各 Cisco コンテンツ セキュリティ アプライアンスが直接 Cisco コンテンツ セキュリティ アップデート サーバーに接続して、アップグレードを検索してダウンロードします。
この方式では、アプライアンスが Cisco コンテンツ セキュリティ アップデート サーバーにネットワークから直接接続する必要があります。
また、Cisco アップデート サーバから直接アップデートを取得する(ストリーミング アップグレード)のではなく、ネットワーク内からローカルで AsyncOS にアップデートをダウンロードおよびホストする(リモート アップグレード)こともできます。この機能を使用して、インターネットにアクセスできるネットワーク上のすべてのサーバに HTTP で暗号化されたアップデート イメージをダウンロードします。アップデート イメージをダウンロードする場合は、内部 HTTP サーバ(アップデート マネージャ)を設定し、セキュリティ管理アプライアンスで AsyncOS イメージをホスティングできます。
基本的なプロセスは、次のとおりです。
|
ステップ 1 |
リモート アップグレードのハードウェア要件およびソフトウェア要件およびリモート アップグレード イメージのホスティングの情報をお読みください。 |
||
|
ステップ 2 |
アップグレード ファイルを取得および供給するようにローカル サーバを設定します。 |
||
|
ステップ 3 |
アップグレード ファイルをダウンロードします。 |
||
|
ステップ 4 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||
|
ステップ 5 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定の選択(Update SettingsChoose)] を選択します。 このページで、ローカル サーバを使用するようにアプライアンスを設定することを指定します。 |
||
|
ステップ 6 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムのアップグレード(System Upgrade)] を選択します |
||
|
ステップ 7 |
[利用可能なアップグレード(Available Upgrades)] をクリックします。
詳細については、AsyncOS のアップグレードを参照してください。 |
AsyncOS アップグレード ファイルのダウンロードでは、次の要件を備えた内部ネットワークにシステムを構築する必要があります。
(注) |
今回のリリースでアップデート サーバのアドレスへの HTTP アクセスを許可するファイアウォール設定値を設定する必要がある場合、特定の IP アドレスではなく DNS 名を使用する必要があります。 |
AsyncOS アップデート ファイルのホスティングでは、次の要件を備えた内部ネットワークにサーバを構築する必要があります。
ローカル サーバの設定が完了したら、http://updates.ironport.com/fetch_manifest.html にアクセスしてアップグレード イメージの zip ファイルをダウンロードします。イメージをダウンロードするには、Cisco コンテンツ セキュリティ アプライアンスのシリアル番号とバージョン番号を入力します。利用可能なアップグレードのリストが表示されます。アップグレード イメージの zip ファイルをダウンロードするアップグレード バージョンをクリックします。AsyncOS アップグレードのアップグレード イメージを使用するには、ローカル サーバの基本 URL を [更新設定を編集(Edit Update Settings)] ページに入力します(または CLI の updateconfig を使用します)。
ネットワーク上の Cisco コンテンツ セキュリティ アプライアンスに使用可能なアップグレードを、http://updates.ironport.com/fetch_manifest.html で選択したバージョンに限定する XML ファイルを、ローカル サーバでホスティングすることもできます。この場合でも、Cisco コンテンツ セキュリティ アプライアンスはアップグレードをシスコ サーバからダウンロードします。アップグレード リストをローカル サーバにホスティングする場合は、zip ファイルをダウンロードして、asyncos/phoebe-my-upgrade.xml ファイルをローカル サーバのルート ディレクトリに展開します。AsyncOS アップグレードのアップグレード リストを使用するには、XML ファイルの完全 URL を [更新設定を編集(Edit Update Settings)] ページに入力します(または CLI の updateconfig を使用します)。
リモート アップグレードの詳細については、ナレッジ ベース(ナレッジ ベースの記事を参照)を確認するか、サポート プロバイダーにお問い合わせください。
ストリーミング アップグレード方式と比較して、AsyncOS をローカル サーバーからアップグレード(リモート アップグレード)する場合には、次の違いがあることに注意してください。
Cisco コンテンツ セキュリティ アプライアンスがセキュリティ サービス アップデート(時間帯ルールなど)および AsyncOS アップグレードをダウンロードする方法を設定できます。たとえば、イメージを利用できる場所にシスコ サーバまたはローカル サーバのどちらからアップグレードおよびアップデートを動的にダウンロードするかを選択したり、アップデート間隔を設定したり、自動アップデートを無効にしたりすることができます。
AsyncOS は、新しい AsyncOS アップグレードを除く、すべてのセキュリティ サービス コンポーネントへの新しいアップデートがないか、定期的にアップデート サーバに問い合わせます。AsyncOS をアップグレードするには、AsyncOS が使用可能なアップグレードを問い合わせるよう、手動で要求する必要があります。
アップグレードおよびアップデート設定は、GUI(次の 2 つの項を参照)で、または CLI で updateconfig コマンドを使用して設定できます。
アップグレード通知を設定することもできます。
次の表に、設定可能なアップデートおよびアップグレード設定を示します。
|
設定 |
説明 |
|---|---|
|
アップデート サーバ(イメージ)(Update Servers (images)) |
シスコ サーバまたはローカル Web サーバのどちらから、AsyncOS アップグレードおよびサービス アップデート ソフトウェア イメージ(時間帯ルールや機能キーのアップデートなど)をダウンロードするかを選択します。デフォルトでは、アップグレードおよびアップデートの両方でシスコ サーバが選択されます。 次の場合、ローカル Web サーバを使用する場合があります。
ローカル アップデート サーバを選択した場合は、アップグレードおよびアップデートのダウンロードに使用するサーバのベース URL とポート番号を入力します。サーバが認証を必要とする場合、有効なユーザ名とパスフレーズも入力します。 詳細については、アップグレード方式の選択:リモートまたはストリーミングおよびリモート アップグレードの概要を参照してください。 |
|
アップデートサーバ(リスト)(Update Servers (lists)) |
利用可能なアップグレードおよびサービス アップデートのリスト(マニフェスト XML ファイル)を、シスコ サーバとローカル Web サーバのどちらからダウンロードするかを選択します。 アップグレードおよびアップデートの両方で、デフォルトはシスコ サーバです。アップグレードとアップデートには、それぞれ異なる設定を選択できます。 該当する場合は、厳格なファイアウォール ポリシーを適用している環境のスタティック アップグレードおよびアップデート サーバ設定を参照してください。 ローカル アップデート サーバを選択した場合、サーバのファイル名およびポート番号を含む、各リストのマニフェスト XML ファイルのフル パスを入力します。ポートのフィールドを空のままにした場合、AsyncOS はポート 80 を使用します。サーバが認証を必要とする場合、有効なユーザ名とパスフレーズも入力します。 詳細については、アップグレード方式の選択:リモートまたはストリーミングおよびリモート アップグレードの概要を参照してください。 |
|
自動更新 |
時間帯ルールの自動アップデートをイネーブルにするかどうかを選択します。イネーブルにする場合は、アップデートを確認する間隔を入力します。分の場合は m、時間の場合は h、日の場合は d を末尾に追加します。 |
|
インターフェイス(Interface) |
時間帯ルールや AsyncOS アップグレードなどをアップデート サーバに問い合わせるときに、どのネットワーク インターフェイスを使用するかを選択します。利用可能なプロキシ データ インターフェイスが表示されます。デフォルトでは、アプライアンスは使用するインターフェイスを選択します。 |
|
HTTP プロキシ サーバ(HTTP Proxy Server) |
アップストリームの HTTP プロキシ サーバが存在し、認証が必要な場合は、サーバ情報、ユーザ名、およびパスフレーズをここに入力します。 プロキシ サーバを指定すると、GUI にリストされているサービスへのアクセスおよびアップデートにそれが使用されます。 このプロキシ サーバは、クラウドからファイル分析レポートの詳細を取得するためにも使用されます。ファイル分析レポートの詳細の要件(Web レポート)、またはファイル分析レポートの詳細の要件(電子メール レポート)も参照してください。 |
|
HTTPS プロキシ サーバ(HTTPS Proxy Server) |
アップストリームの HTTPS プロキシ サーバが存在し、認証が必要な場合は、サーバ情報、ユーザ名、およびパスフレーズをここに入力します。 プロキシ サーバを指定すると、GUI にリストされているサービスへのアクセスおよびアップデートにそれが使用されます。 このプロキシ サーバは、クラウドからファイル分析レポートの詳細を取得するためにも使用されます。ファイル分析レポートの詳細の要件(Web レポート)、またはファイル分析レポートの詳細の要件(電子メール レポート)も参照してください。 |
AsyncOS アップデート サーバは、ダイナミック IP アドレスを使用します。環境にスタティック IP アドレスが必要な厳格なファイアウォール ポリシーを適用している場合は、[アップデート設定(Update Settings)] ページで次の設定を使用します。
|
セクション |
設定 |
スタティック URL/IP アドレスおよびポート |
|---|---|---|
|
Update Servers (images) |
ベースURL(タイムゾーンルールおよびAsyncOSアップグレード以外のすべてのサービス)(Base URL (all services except Time zone rules and AsyncOS upgrades)) |
http://downloads-static.ironport.com 204.15.82.8 Port 80 |
|
ベースURL(タイムゾーンルール)(Base URL (Time zone rules)) |
downloads-static.ironport.com 204.15.82.8 Port 80 |
|
|
ホスト(AsyncOSアップグレード)(Host (AsyncOS upgrades)) |
updates-static.ironport.com 208.90.58.25 Port 80 |
|
|
Update Servers (list): |
物理ハードウェア アプライアンスでのアップデート用: フルURL(Full URL) |
update-manifests.ironport.com 208.90.58.5 Port 443 |
|
仮想アプライアンスでのアップデート用:フル URL(For updates on virtual appliances: Full URL) |
update-manifests.sco.cisco.com Port 443 |
|
|
アップグレード用:フルURL(For upgrades: Full URL) |
update-manifests.ironport.com 208.90.58.5 Port 443 |
重要 |
CLI で |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)] を選択します。 |
|
ステップ 3 |
[更新設定を編集(Edit Update Settings)] をクリックします。 アップグレードとアップデートの設定 の説明を使用して、この手順の設定を構成します。 |
|
ステップ 4 |
[アップデートサーバー(イメージ)(Update Servers (images))] セクションで、アップデートのイメージのダウンロード元のサーバーを指定します。 |
|
ステップ 5 |
AsyncOS アップグレードのイメージをダウンロードする元のサーバーを指定します。
|
|
ステップ 6 |
[アップデートサーバー(リスト)(Update Servers (list))] セクションで、使用可能なアップデートおよび AsyncOS アップグレードのリストを取得するサーバーを指定します。 上部のサブセクションはアップデートに適用されます。下部のサブセクションはアップグレードに適用されます。 |
|
ステップ 7 |
時間帯ルールおよびインターフェイスの設定を指定します。 |
|
ステップ 8 |
(オプション)プロキシ サーバーの設定を指定します。 |
|
ステップ 9 |
変更を送信し、保存します。 |
|
ステップ 10 |
結果が予定通りか確認します。 [アップデート設定(Update Settings)] ページが表示されていない場合は、[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)] を選択します。 一部の URL では、サーバー URL に「asyncos」ディレクトリが追加されます。この不一致は無視してかまいません。 |
デフォルトでは、AsyncOS アップグレードがアプライアンスで使用可能な場合、管理者および技術者の権限を持つユーザーには、Web インターフェイスの上部に通知が表示されます。
|
目的 |
操作手順 |
|---|---|
|
最新のアップグレードの詳細情報を表示する |
アップグレード通知にカーソルを合わせます。 |
|
使用できるすべてのアップグレードのリストを表示する |
通知の下向き矢印をクリックします。 |
|
現在の通知を閉じる 新しいアップグレードが入手可能になるまで、アプライアンスは別の通知を表示しません。 |
下向き矢印をクリックして [通知を消去(Clear the notification)] を選択してから、[閉じる(Close)] をクリックします。 |
|
今後の通知を中止する(管理者権限を持つユーザのみ) |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムアップグレード(System Upgrade)] に移動します。 |
アップグレードとアップデートのネットワーク要件の決定でネットワーク要件を参照してください。
|
ステップ 1 |
次のようにして、データの消失を防止する、または最小限に抑えます。
|
|
ステップ 2 |
アプライアンスから、XML コンフィギュレーション ファイルを保存します。現在の設定ファイルの保存およびエクスポートで説明する警告を参照してください。 何らかの理由でアップグレード前のリリースに戻す場合は、このファイルが必要です。 |
|
ステップ 3 |
セーフリスト/ブロックリスト機能を使用している場合は、リストをボックスからエクスポートします。 [管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [設定ファイル(Configuration File)] をクリックしてスクロール ダウンします。 |
|
ステップ 4 |
CLI からアップグレードを実行している場合は、suspendlistener コマンドを使用してリスナーを停止します。GUI からのアップグレードを実行する場合は、リスナーの停止が自動的に実行されます。 |
|
ステップ 5 |
メール キューとデリバリ キューを解放します。 |
|
ステップ 6 |
アップグレード設定が希望どおりに設定されていることを確認します。アップグレードおよびサービス アップデートの設定 を参照してください。 |
1 回の操作でダウンロードとインストールを行うか、またはバックグラウンドでダウンロードし後でインストールできます。
(注) |
AsyncOS を Cisco サーバーからではなくローカル サーバーから 1 回の操作でダウンロードとアップグレードする場合は、アップグレードはダウンロード中に即座に実行されます。アップグレード プロセスの開始時に、バナーが 10 秒間表示されます。このバナーが表示されている間は、Ctrl を押した状態で C を押すと、ダウンロードの開始前にアップグレード プロセスを終了できます。 |
Cisco から直接アップグレードをダウンロードするか、またはネットワーク上のサーバからアップグレード イメージをホストするかを選択します。次に、選択した方式をサポートするようにネットワークをセットアップします。そして、選択した入手先からアップグレードを入手するためにアプライアンスを設定します。アップグレード方式の選択:リモートまたはストリーミングおよびアップグレードおよびサービス アップデートの設定を参照してください。
アップグレードをインストールする前に、アップグレードする前に:重要な手順の手順を実行してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムのアップグレード(System Upgrade)] を選択します。 |
||||||||
|
ステップ 3 |
[アップグレードオプション(Upgrade Options)] をクリックします。 |
||||||||
|
ステップ 4 |
次のオプションを選択します。
|
||||||||
|
ステップ 5 |
以前にダウンロードしたインストーラでインストールする場合を除き、利用可能なアップグレードのリストから AsyncOS のバージョンを選択します。 |
||||||||
|
ステップ 6 |
インストール中の場合、次に従います。 |
||||||||
|
ステップ 7 |
[続行(Proceed)] をクリックします。 |
||||||||
|
ステップ 8 |
インストール中の場合、次に従います。 |
プロセスが中断された場合、プロセスを再開する必要があります。
アップグレードをダウンロードしてインストールしなかった場合は次のとおりです。
アップグレードをインストールする準備ができたら、「始める前に」の項の前提条件も含め次の手順を最初から実行しますが、[インストール(Install)] オプションを選択します。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムのアップグレード(System Upgrade)] を選択します。 |
||||||||
|
ステップ 3 |
[アップグレードオプション(Upgrade Options)] をクリックします。 |
||||||||
|
ステップ 4 |
次のオプションを選択します。
|
アップグレードが完了したら、次の手順を実行します。
(関連する E メール セキュリティ アプライアンスのある導入環境の場合)リスナーを再度イネーブルにします。
(関連する Web セキュリティ アプライアンスのある導入環境の場合)最新の Configuration Master をサポートするようにシステムを設定します。Configuration Master を使用して中央集中型で Web セキュリティ アプライアンスを管理するを参照してください。
設定を保存するかどうか判断します。詳細については、設定の保存とインポートを参照してください。
アップグレード後オンライン ヘルプを表示するには、ブラウザ キャッシュをクリアし、ブラウザを終了してもう一度開きます。これにより、期限切れのコンテンツのブラウザ キャッシュがクリアされます。
緊急時には、前の認定バージョンの AsyncOS に戻すことができます。
アプライアンス上のすべてのデータをクリアし、新しい、クリーンな設定から始める場合は、現在実行中のビルドに戻すこともできます。
関連項目
Cisco コンテンツ セキュリティ アプライアンスにおける revert コマンドの使用は、非常に破壊的な操作になります。このコマンドはすべての既存の設定およびデータを永久破壊します。さらに、復元ではアプライアンスが再設定されるまでメール処理が中断されます。
復元によって機能キーまたは仮想アプライアンス ライセンスの有効期限日に影響が及ぶことはありません。
保持する必要があるデータをアプライアンス以外の場所にバックアップまたは保存します。
戻し先のバージョンのコンフィギュレーション ファイルが必要です。コンフィギュレーション ファイルに下位互換性はありません。
このコマンドはすべての設定を破壊するため、復元を実行する場合は、アプライアンスへの物理的なローカル アクセスを必ず用意するようにしてください。
お使いの E メール セキュリティ アプライアンスで隔離が有効になっている場合は、それらのアプライアンスでローカルにメッセージが隔離されるように集約化を無効にします。
|
ステップ 1 |
戻し先のバージョンのコンフィギュレーション ファイルがあることを確認してください。コンフィギュレーション ファイルに下位互換性はありません。 |
||
|
ステップ 2 |
アプライアンスの現在の設定のバックアップ コピーを、(パスフレーズをマスクしない状態で)別のマシンに保存します。コンフィギュレーション ファイルを取得するには、ファイルを電子メールでユーザー自身に送信するか、ファイルを FTP で取得します。簡単に行うには、
|
||
|
ステップ 3 |
セーフリスト/ブロックリスト機能を使用する場合は、セーフリスト/ブロックリスト データベースを別のマシンにエクスポートします。 |
||
|
ステップ 4 |
Email Security Appliances で、すべてのリスナーを一時停止します。 |
||
|
ステップ 5 |
メール キューが空になるまで待ちます。 |
||
|
ステップ 6 |
バージョンを戻すアプライアンスの CLI にログインします。 |
||
|
ステップ 7 |
コマンドライン プロンプトから 次に、 例: |
||
|
ステップ 8 |
アプライアンスが 2 回リブートするまで待ちます。 |
||
|
ステップ 9 |
CLI を使用してアプライアンスにログインします。 |
||
|
ステップ 10 |
少なくとも 1 つの Web セキュリティ アプライアンスを追加し、URL カテゴリ アップデートがそのアプライアンスからダウンロードされるまで数分待ちます。 |
||
|
ステップ 11 |
URL カテゴリのアップデートが完了したら、戻し先のバージョンのコンフィギュレーション ファイルをロードします。 |
||
|
ステップ 12 |
セーフリスト/ブロックリスト機能を使用する場合は、セーフリスト/ブロックリスト データベースをインポートして復元します。 |
||
|
ステップ 13 |
Email Security Appliances で、すべてのリスナーを再びイネーブルにします。 |
||
|
ステップ 14 |
変更を保存します。 これで、復元が完了した Cisco コンテンツ セキュリティ アプライアンスは、選択された AsyncOS バージョンを使用して稼働します。
|
サービス アップデートは定期的にダウンロード可能にできます。これらのダウンロードの設定を指定するには、 アップグレードおよびサービス アップデートの設定
関連項目
透過的でないプロキシサーバーを使用している場合、プロキシ証明書の署名に使用する CA 証明書を電子メールゲートウェイに追加できます。これにより、電子メールゲートウェイはプロキシサーバー通信を信頼します。
Cisco Secure Email and Web Manager がアップデータサーバーと通信して更新を受信する場合、使用されている証明書に対して証明書が信頼できるかどうかの検証が実行されます。使用されている証明書を正常に検証するには、そのアップデータサーバーの認証局証明書を Cisco Secure Email and Web Manager に含めて、通信を成功させる必要があります。これを実行するには、を使用します。コマンドのオプションは次のとおりです。
追加:CA に証明書を追加します
リスト:CA 内のすべての証明書を一覧にします
削除:CA の証明書を削除します
このオプションを構成するには、updateconfig コマンドを使用します。次の例は、このオプションを構成する方法を示しています。
SMA> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Timezone rules Cisco Servers
Support Request updates Cisco Servers
Smart License Agent Updates Cisco Servers
Notifications component Updates Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> trusted_certificates
Choose the operation you want to perform:
- ADD - Upload a new trusted certificate for updates.
- LIST - List trusted certificates for updates.
- DELETE - Delete a trusted certificate for updates.
[]> add
Paste certificates to be trusted for secure updater connections, blank to quit
Trusted Certificate for Updater:
paste cert in PEM format (end with '.'):
-----BEGIN CERTIFICATE-----
MIIDxTCCAq2gAwIBAgIIOUMAFHhzRskwDQYJKoZIhvcNAQELBQAwczELMAkGA1UE
BhMCSU4xCzAJBgNVBAgTAlROMQwwCgYDVQQHEwNDaG4xETAPBgNVBAoTCENBQ053
aWxkMREwDwYDVQQLEwhDQUNOd2lsZDEjMCEGA1UEAwwaKi5jczIxLmRldml0LmNp
c2NvbGFicy5jb20wHhcNMjExMjE1MTE0NzAwWhcNMjIxMjE1MTE0NzAwWjBzMQsw
CQYDVQQGEwJJTjELMAkGA1UECBMCVE4xDDAKBgNVBAcTA0NobjERMA8GA1UEChMI
Q0FDTndpbGQxETAPBgNVBAsTCENBQ053aWxkMSMwIQYDVQQDDBoqLmNzMjEuZGV2
aXQuY2lzY29sYWJzLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AJPPBRGq0wHv/6ZLPOZ3jdEgzVS+dzXJSyhtMsgm/XrvIvjRH0MK3r++dtUgHMzz
le/WrxPKGphjtNsvF7ss58RRg3fiQCSQPX6nfBYc9v4A7rSdmKzYYFbBkGPeijLB
qwVyseMa3rifjv4Bucxw0M3ZrUqq7YfcZtxZhSEtxx8rT3A/uReIm/n1ERcZDclW
+GkfRxEdY3ZLpen/2sFiOAVMvAHlKRtK7kEhmo1TPQZ0h0UQFNDbl2ZWZZ6Nuv0I
Z6pUDNj1/+GoJyvSwl0qpetHxhdMtubMAAM8JQNvNkHgzOswsbN18F5at7cZ/KFI
HuvBUXKHV5pEX3hOdJxbuocCAwEAAaNdMFswDAYDVR0TBAUwAwEB/zAdBgNVHQ4E
FgQUCNlXseZ5qBjqJtYv3sdCujJuqnAwHwYDVR0jBBgwFoAUCNlXseZ5qBjqJtYv
3sdCujJuqnAwCwYDVR0PBAQDAgGGMA0GCSqGSIb3DQEBCwUAA4IBAQBaq5KXw/wX
nzJpBnKPZuO4KNcIz9/A2Hil2ikWNBjfla1x/37OdTbh3IpHJ6n1OCeAkE5Ww7uX
amlUcWxvDk3Zn+tKysCU2Q1PYSxUHXtqH3rvWZDRglPkJUu420tnCg2fV1bulcJ1
xx6E95a9D1vCarfxvuINU50076gnypTMv9+lOFXCkvDgBOmkQpqswR5l519kmDZi
mt8CoknJN/iAENxM8b47262yXEc1X6ZN/OWa/xl4OS3X0C0hikyg9HpUGDq+CigE
s5CBCOLDfe8G9kAPoTg2mVNT10xxQF1juobb6djmdB1Of8kqgKs2eWsD+MfKvNbG
ZzPGx4SUS2RZ
-----END CERTIFICATE-----
.
Do you want to check if Common Name or SAN:dNSName or both are in Fully Qualified Domain Name(FQDN) format ? [N]> y
Choose the operation you want to perform:
- ADD - Upload a new trusted certificate for updates.
- LIST - List trusted certificates for updates.
- DELETE - Delete a trusted certificate for updates.
[]>次の場合に対して、AsyncOS で生成されたメールのエンベロープ送信者を設定できます。
返信アドレスの表示、ユーザー、およびドメイン名を指定できます。ドメイン名に仮想ゲートウェイ ドメインの使用を選択することもできます。
GUI の [システム管理(System Administration)] メニューから利用できる [返信先アドレス(Return Addresses)] ページを使用するか、CLI で addressconfig コマンドを使用します。
システムで生成された電子メール メッセージの返信アドレスを GUI で変更するには、[返信先アドレス(Return Addresses)] ページで [設定の編集(Edit Settings)] をクリックします。1 つまたは複数のアドレスを変更して [送信(Submit)] をクリックし、変更を保存します。
アプライアンスから、アプライアンスで発生しているイベントに関する電子メール アラートが送信されます。
|
目的 |
操作手順 |
|---|---|
|
タイプの異なるアラートが別の管理ユーザに送信されるようにする |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アラート(Alerts)] を選択します。 システムのセットアップ時に AutoSupport をイネーブルにした場合、指定した電子メール アドレスはデフォルトで、すべての重大度およびクラスのアラートを受信します。この設定はいつでも変更できます。 複数のアドレスを指定する場合は、カンマで区切ります。 |
|
次のようなアラートのグローバル設定を行う
|
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アラート(Alerts)] を選択します。 重複したアラートについてを参照してください Cisco AutoSupportを参照してください |
|
最近のアラートのリストを表示する このリストの設定を管理する |
最新アラートの表示を参照してください |
|
アラートのリストと説明を表示する |
参照先: |
|
アラートの配信メカニズムを理解する |
アラートの配信を参照してください |
アラート タイプは次のとおりです。
アラートの重大度は次のとおりです。
アラート メッセージは Cisco コンテンツ セキュリティ アプライアンス内の問題の通知に使用されるため、送信に AsyncOS の標準メール配信システムを使用しません。代わりに、アラート メッセージは AsyncOS で重大なシステム故障が発生しても動作するように設計された、個別に並行動作する電子メール システムで処理されます。
アラート メール システムは、AsyncOS と同一の設定を共有しません。このため、アラート メッセージは、次のように他のメール配信とは若干異なる動作をする可能性があります。
アラート メッセージは、標準の DNS MX レコードおよび A レコードのルックアップを使用して配信されます。
アラート メッセージは DNS エントリを 30 分間キャッシュし、そのキャッシュは 30 分ごとにリフレッシュされます。このため、DNS 障害時にもアラートが出力されます。
導入環境に E メール セキュリティ アプライアンスが含まれている場合:
アラート メッセージはワーク キューを通過しないため、ウイルスまたはスパムのスキャン対象外です。メッセージ フィルタまたはコンテンツ フィルタの処理対象にも含まれません。
アラート メッセージは配信キューを通過しないため、バウンスのプロファイルまたは送信先制御の制限には影響を受けません。
(オプション - TLS サポートが「alertconfig」で有効で、FQDN 検証が [SSL 構成(SSL Configuration)] の設定で有効な場合のみ):サーバー証明書にある [共通名(Common Name)]、[SAN:DNS名(SAN: DNS Name)] フィールド、またはその両方が FQDN 形式かどうかを確認します。
(オプション - TLS サポートが「alertconfig」で有効な場合のみ):サーバー証明書の [共通名(Common Name)] または [SAN:DNS名(SAN: DNS Name)] フィールドにサーバーのホスト名が含まれているかどうかを確認します。[ホスト名(Hostname)] フィールドに IP が設定されている場合は、Reverse DNS 名が使用されます。
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化されている場合のみ):サーバー証明書にある [共通名(Common Name)] または [SAN:DNS 名(SAN: DNS Name)] フィールドにサーバー名が存在するかどうかを確認します。
(オプション - TLS サポートが alertconfig CLI コマンドを使用して有効化され、[SSL構成(SSL Configuration)] ページで X 509 検証が有効になっている場合のみ):サーバー証明書のバージョンを確認します。
|
目的 |
操作手順 |
|---|---|
|
最近のアラートのリストを表示する |
管理者およびオペレータのアクセス権のあるユーザは、[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アラート(Alerts)] を選択し、[上位アラートを表示(View Top Alerts)] ボタンをクリックします。 アラートは、電子メールで通知する問題があっても表示されます。 |
|
リストをソートする |
列の見出しをクリックします。 |
|
このリストに保存するアラートの最大数を指定する |
コマンドライン インターフェイス(CLI)で alertconfig コマンドを使用します。 |
|
この機能を無効にする |
コマンドライン インターフェイス(CLI)で alertconfig コマンドを使用してアラートの最大数をゼロ(0)に設定します。 |
AsyncOS が重複したアラートを送信するまでに待機する秒数の初期値を指定できます。この値を 0 に設定した場合、重複したアラートのサマリーは送信されず、代わりにすべての重複したアラートがリアルタイムに送信されます(短時間に大量の電子メールを受信する可能性があります)。重複したアラートを送信するまでに待機する秒数は、アラートを送信するたびに増加します。増加する秒数は、前回の待機間隔の 2 倍の値を足した秒数です。つまり、待機時間が 5 秒間の場合、アラートは 5 秒後、15 秒後、35 秒後、75 秒後、155 秒後、315 秒後といった間隔で送信されます。
最終的に、送信間隔は非常に長くなります。[重複するアラートを送信する前に待機する最大秒数(Maximum Number of Seconds to Wait Before Sending a Duplicate Alert)] フィールドを使用して、待機間隔の秒数に制限を設けることができます。たとえば、初期値を 5 秒に設定し、最大値を 60 秒に設定すると、アラートは 5 秒後、15 秒後、35 秒後、60 秒後、120 秒後といった間隔で送信されます。
シスコによる十分なサポートと今後のシステム変更の設計を可能にするため、システムで生成されたすべてのアラート メッセージをシスコに送信するように Cisco コンテンツ セキュリティ アプライアンスを設定できます。「AutoSupport」と呼ばれるこの機能は、カスタマー サポートによるお客様のニーズへのプロアクティブな対応に役立ちます。また、AutoSupport はシステムの稼働時間、status コマンドの出力、および使用されている AsyncOS バージョンを通知するレポートを毎週送信します。
デフォルトでは、アラート タイプが System で重大度レベルが Information のアラートを受信するように設定されているアラート受信者は、Cisco に送信される各メッセージのコピーを受信します。内部にアラート メッセージを毎週送信しない場合は、この設定をディセーブルにできます。この機能を有効または無効にするには、[管理アプライアンス(Management Appliance)] > [システム管理アラート(System Administration Alerts)] を選択し、[設定の編集(Edit Settings)] をクリックします。
AutoSupport が有効の場合、Information レベルのシステム アラートを受信するように設定されたアラート受信者に、デフォルトで毎週 AutoSupport レポートが送信されます。
|
アラート名 |
説明 |
重大度 |
|---|---|---|
|
INTERFACE.ERRORS |
インターフェイス エラーを検出した場合に送信されます。 |
警告 |
|
MAIL.MEASUREMENTS_FILESYSTEM |
ディスク パーティションが 75 % の使用率に近づいた場合に送信されます。 |
警告 |
|
MAIL.MEASUREMENTS_FILESYSTEM.CRITICAL |
ディスク パーティションが 90 % の使用率に達した場合(95 %、96 %、97 % など)に送信されます。 |
クリティカル |
|
SYSTEM.RAID_EVENT_ALERT |
重大な RAID-event が発生した場合に送信されます。 |
警告 |
|
SYSTEM.RAID_EVENT_ALERT_INFO |
RAID-event が発生した場合に送信されます。 |
情報 |
|
アラート名 |
説明 |
重大度 |
|---|---|---|
|
APPLIANCE_CERTIFICATE.CERT_CRITICAL_EXPIRING_ALERT |
システム証明書(インバウンド、アウトバウンド、GUI、LDAP)の有効期限までの日数が 5 日未満になった場合に送信されます。 |
重大 |
|
APPLIANCE_CERTIFICATE.CERT_EXPIRED_ALERT |
システム証明書(インバウンド、アウトバウンド、GUI、LDAP)の有効期限が切れた場合に送信されます。 |
重大 |
|
APPLIANCE_CERTIFICATE.CERT_EXPIRING_ALERT |
システム証明書(インバウンド、アウトバウンド、GUI、LDAP)の有効期限までの日数が 5 日以上 90 日未満になった場合に送信されます。 |
警告 |
| CERTIFICATE.CERT_CRITICAL_ EXPIRING_ALERT |
カスタム CA 証明書の有効期限までの日数が 5 日未満になった場合に送信されます。 |
重大 |
| CERTIFICATE.CERT_EXPIRED_ALER |
カスタム CA 証明書の有効期限が切れた場合に送信されます。 |
重大 |
| CERTIFICATE.CERT_EXPIRING _ALERT |
カスタム CA 証明書の有効期限までの日数が 5 日以上 90 日未満になった場合に送信されます。 |
警告 |
|
CERTIFICATE.UPDATER_CERT_CRITICAL_EXPIRING_ALERT |
アップデータ証明書の有効期限までの日数が 5 日未満になった場合に送信されます。 |
重大 |
|
CERTIFICATE.UPDATER_CERT_EXPIRING_ALERT |
アップデータ証明書の有効期限までの日数が 5 日以上 90 日未満になった場合に送信されます。 |
警告 |
|
COMMON.APP_FAILURE |
不明なアプリケーション障害が発生した場合に送信されます。 |
クリティカル(Critical) |
|
COMMON.KEY_EXPIRED_ALERT |
機能キーの有効期限が切れた場合に送信されます。 |
警告 |
|
COMMON.KEY_EXPIRING_ALERT |
機能キーの有効期限が切れる場合に送信されます。 |
警告 |
|
COMMON.KEY_FINAL_EXPIRING_ALERT |
機能キーの有効期限が切れる場合の最後の通知として送信されます。 |
警告 |
|
DNS.BOOTSTRAP_FAILED |
アプライアンスがルート DNS サーバに問い合わせることができない場合に送信されます。 |
警告 |
|
COMMON.INVALID_FILTER |
無効なフィルタが存在する場合に送信されます。 |
警告 |
|
IPBLOCKD.HOST_ADDED_TO_ALLOWED LIST IPBLOCKD.HOST_ADDED_TO_BLOCKED LIST IPBLOCKD.HOST_REMOVED_FROM_BLOCKED LIST |
アラート メッセージ:
SSH を介してアプライアンスへの接続を試みているが、有効なクレデンシャルを提示しない IP アドレスは、2 分以内に 11 回以上試行に失敗した場合、SSH のブロックリストに追加されます。 同じ IP アドレスからユーザが正常にログインすると、その IP アドレスは許可リストに追加されます。 許可リストのアドレスは、それらがブロックリストに含まれていてもアクセスが許可されます。 |
警告 |
|
LDAP.GROUP_QUERY_FAILED_ALERT |
LDAP グループ クエリに失敗した場合に送信されます。 |
クリティカル(Critical) |
|
LDAP.HARD_ERROR |
LDAP クエリが(すべてのサーバで試行した後)完全に失敗した場合に送信されます。 |
クリティカル(Critical) |
|
LOG.ERROR.* |
さまざまなロギング エラー。 |
クリティカル |
|
MAIL.PERRCPT.LDAP_GROUP_QUERY_FAILED |
各受信者のスキャン時に LDAP グループ クエリーに失敗した場合に送信されます。 |
クリティカル |
|
MAIL.QUEUE.ERROR.* |
メール キューのさまざまなハード エラー。 |
クリティカル |
|
MAIL.RES_CON_START_ALERT.MEMORY |
メモリ使用率がシステム リソース節約しきい値を超過した場合に送信されます。 |
クリティカル |
|
MAIL.RES_CON_START_ALERT.QUEUE_SLOW |
メール キューが過負荷となり、システム リソース節約がイネーブルになった場合に送信されます。 |
クリティカル |
|
MAIL.RES_CON_START_ALERT.QUEUE |
キュー使用率がシステム リソース節約しきい値を超過した場合に送信されます。 |
クリティカル |
|
MAIL.RES_CON_START_ALERT.WORKQ |
ワーク キューのサイズが大きすぎるため、リスナーが一時停止された場合に送信されます。 |
クリティカル |
|
MAIL.RES_CON_START_ALERT |
アプライアンスが「リソース節約」モードになった場合に送信されます。 |
クリティカル |
|
MAIL.RES_CON_STOP_ALERT |
アプライアンスの「リソース節約」モードが解除された場合に送信されます。 |
クリティカル |
|
MAIL.WORK_QUEUE_PAUSED_NATURAL |
ワーク キューが中断された場合に送信されます。 |
クリティカル |
|
MAIL.WORK_QUEUE_UNPAUSED_NATURAL |
ワーク キューが再開された場合に送信されます。 |
クリティカル(Critical) |
|
NTP.NOT_ROOT |
root として NTP が実行されていないためにアプライアンスが時刻を調整できない場合に送信されます。 |
警告 |
|
PERIODIC_REPORTS.DOMAIN_REPORT. DOMAIN_FILE_ERRORS |
ドメイン指定ファイルでエラーが検出された場合に送信されます。 |
クリティカル |
|
PERIODIC_REPORTS.DOMAIN_REPORT.FILE_EMPTY |
ドメイン指定ファイルが空の場合に送信されます。 |
クリティカル |
|
PERIODIC_REPORTS.DOMAIN_REPORT.FILE_MISSING |
ドメイン指定ファイルが見つからない場合に送信されます。 |
クリティカル |
|
REPORTD.DATABASE_OPEN_FAILED_ALERT |
レポート エンジンがデータベースを開けない場合に送信されます。 |
クリティカル(Critical) |
|
REPORTD.AGGREGATION_DISABLED_ALERT |
システムのディスク領域が不足している場合に送信されます。ログ エントリに関するディスク使用率がログ使用率のしきい値を超過すると、reportd は集約をディセーブルにし、アラートを送信します。 |
警告 |
|
REPORTD.DATABASE_DELETION_ALERT |
システムがエクスポートディレクトリをチェックし、空でないことがわかると送信され、ログラインを出力して、次の反復でディレクトリの削除を試みます。 |
情報 |
|
REPORTING.CLIENT.UPDATE_FAILED_ALERT |
レポート エンジンがレポート データを保存できなかった場合に送信されます。 |
警告 |
|
REPORTING.CLIENT.JOURNAL.FULL |
レポート エンジンが新規データを保存できない場合に送信されます。 |
クリティカル |
|
REPORTING.CLIENT.JOURNAL.FREE |
レポート エンジンが再び新規データを保存できるようになった場合に送信されます。 |
情報 |
|
PERIODIC_REPORTS.REPORT_TASK。BUILD_FAILURE_ALERT |
レポート エンジンがレポートを作成できない場合に送信されます。 |
クリティカル |
|
PERIODIC_REPORTS.REPORT_TASK。EMAIL_FAILURE_ALERT |
レポートを電子メールで送信できなかった場合に送信されます。 |
クリティカル |
|
PERIODIC_REPORTS.REPORT_TASK。ARCHIVE_FAILURE_ALERT |
レポートをアーカイブできなかった場合に送信されます。 |
クリティカル(Critical) |
|
SENDERBASE.ERROR |
SenderBase からの応答を処理中にエラーが発生した場合に送信されます。 |
情報 |
|
SMAD.ICCM.ALERT_PUSH_FAILED |
1 台以上のホストでコンフィギュレーションのプッシュに失敗した場合に送信されます。 |
警告 |
|
SMAD.TRANSFER.TRANSFERS_STALLED |
SMA ログがトラッキング データを 2 時間取得できなかった場合、またはレポーティング データを 6 時間取得できなかった場合に送信されます。 |
警告 |
|
SMTPAUTH.FWD_SERVER_FAILED_ALERT |
SMTP 認証転送サーバが到達不能である場合に送信されます。 |
警告 |
|
SMTPAUTH.LDAP_QUERY_FAILED |
LDAP クエリが失敗した場合に送信されます。 |
警告 |
|
SYSTEM.HERMES_SHUTDOWN_FAILURE。 REBOOT |
リブート中のシステムをシャットダウンしている際に問題が発生した場合に送信されます。 |
警告 |
|
SYSTEM.HERMES_SHUTDOWN_FAILURE。 SHUTDOWN |
システムをシャットダウンしている際に問題が発生した場合に送信されます。 |
警告 |
|
SYSTEM.RCPTVALIDATION.UPDATE_FAILED |
受信者検証のアップデートに失敗した場合に送信されます。 |
クリティカル |
|
SYSTEM.SERVICE_TUNNEL.DISABLED |
シスコ サポート サービス用に作成されたトンネルが無効の場合に送信されます。 |
情報 |
|
SYSTEM.SERVICE_TUNNEL.ENABLED |
シスコ サポート サービス用に作成されたトンネルが有効の場合に送信されます。 |
情報 |
このセクションでは、アプライアンスのネットワーク操作の設定に使用する機能について説明します。これらの機能では、システム セットアップ ウィザードの実行でシステム セットアップ ウィザードを利用して設定したホスト名、DNS、およびルーティングの設定値に直接アクセスできます。
ここでは、次の機能について説明します。
sethostname
DNS 設定(GUI で設定。および CLI で dnsconfig コマンドを使用して設定)
ルーティング設定(GUI で設定。および CLI で routeconfig コマンドと setgateway コマンドを使用して設定)
dnsflush
パスフレーズ
ホスト名は、CLI プロンプトでシステムを識別する際に使用されます。完全修飾ホスト名を入力する必要があります。sethostname コマンドは、コンテンツ セキュリティ アプライアンスの名前を設定します。新規ホスト名は、commit コマンドを発行して初めて有効になります。
oldname.example.com> sethostname
[oldname.example.com]> mail3.example.com
oldname.example.com> ホスト名の変更を有効にするには、commit コマンドを入力する必要があります。ホスト名の変更を確定すると、CLI プロンプトに新しいホスト名が表示されます。
oldname.example.com> commit
Please enter some comments describing your changes:
[]> Changed System Hostname
Changes committed: Mon Jan 04 12:00:01 2010プロンプトに新規ホスト名が次のように表示されます。mail3.example.com>
コンテンツ セキュリティ アプライアンスのドメイン ネーム システム(DNS)は、GUI の [管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [DNS] ページ、または dnsconfig コマンドを使用して設定できます。
次の設定値を設定できます。
AsyncOS では、インターネットのルート DNS サーバー、ユーザー独自の DNS サーバー、またはインターネットのルート DNS サーバーと指定した信頼できる DNS サーバーを使用できます。インターネットのルート サーバーを使用するときは、特定のドメインに使用する代替サーバーを指定することもできます。代替 DNS サーバーは単一のドメインに適用されるため、該当ドメインに対する信頼できるサーバー(最終的な DNS レコードを提供)になっている必要があります。
AsyncOS では、インターネットの DNS サーバを使用しない場合に「スプリット」DNS サーバをサポートしています。ユーザ独自の内部サーバを使用している場合は、例外のドメインおよび関連する DNS サーバを指定することもできます。
「スプリット DNS」を設定する場合は、in-addr.arpa(PTR)エントリも同様に設定する必要があります。このため、たとえば「.eng」クエリをネームサーバー 1.2.3.4 にリダイレクトする際に、すべての .eng エントリが 172.16 ネットワークにある場合、スプリット DNS 設定に「eng,16.172.in-addr.arpa」をドメインとして指定する必要があります。
入力する各 DNS サーバーに、数値でプライオリティを指定できます。AsyncOS では、プライオリティが 0 に最も近い DNS サーバーの使用を試みます。その DNS サーバーが応答しない場合、AsyncOS は次のプライオリティを持つサーバーの使用を試みます。同じプライオリティを持つ DNS サーバーに複数のエントリを指定する場合、システムはクエリを実行するたびに同じプライオリティを持つ DNS サーバーをリストからランダムに選びます。次にシステムは最初のクエリが期限切れになるか、「タイムアウト」になるまで短時間待機した後、さらにそれよりわずかに長い秒数待機するという動作を続けます。待機時間の長さは、DNS サーバーの実際の総数と、設定されたプライオリティによって異なります。タイムアウトの長さはプライオリティに関係なく、すべての IP アドレスで同じです。最初のプライオリティには最も短いタイムアウトが設定されており、次のプライオリティにはより長いタイムアウトが設定されています。最終的なタイムアウト時間は約 60 秒です。1 つのプライオリティを設定している場合、該当のプライオリティに対する各サーバーのタイムアウトは 60 秒になります。2 つのプライオリティを設定している場合、最初のプライオリティに対する各サーバーのタイムアウトは 15 秒になり、次のプライオリティに対する各サーバーのタイムアウトは 45 秒になります。プライオリティが 3 つの場合、タイムアウトは 5 秒、10 秒、45 秒になります。
たとえば、4 つの DNS サーバを設定し、2 つにプライオリティ 0 を、1 つにプライオリティ 1 を、もう 1 つにプライオリティ 2 を設定したとします。
|
プライオリティ |
サーバ |
タイムアウト(秒) |
|---|---|---|
|
0 |
1.2.3.4、1.2.3.5 |
5、5 |
|
1 |
1.2.3.6 |
10 |
|
2 |
1.2.3.7 |
45 |
AsyncOS は、プライオリティ 0 に設定された 2 つのサーバーをランダムに選択します。プライオリティ 0 のサーバーの 1 つがダウンしている場合は、もう 1 つのサーバーが使用されます。プライオリティ 0 のサーバが両方ダウンしている場合、プライオリティ 1 のサーバ(1.2.3.6)が使用され、最終的にプライオリティ 2(1.2.3.7)のサーバが使用されます。
タイムアウト時間はプライオリティ 0 のサーバは両方とも同じであり、プライオリティ 1 のサーバにはより長い時間が設定され、プライオリティ 2 のサーバにはさらに長い時間が設定されます。
AsyncOS DNS リゾルバは、高性能な電子メール配信に必要な大量の同時 DNS 接続を収容できるように設計されています。
(注) |
デフォルト DNS サーバにインターネット ルート サーバ以外を設定することを選択した場合、設定されたサーバは権威サーバとなっていないドメインのクエリを再帰的に解決できる必要があります。 |
Cisco コンテンツ セキュリティ アプライアンスは電子メールの送受信の際、リスナーに接続しているすべてのリモート ホストに対して「二重 DNS ルックアップ」の実行を試みます。つまり、ダブル DNS ルックアップを実行することで、システムはリモート ホストの IP アドレスの正当性を確保および検証します。これは、接続元ホストの IP アドレスに対する逆引き DNS(PTR)ルックアップと、それに続く PTR ルックアップ結果に対する正引き DNS(A)ルックアップからなります。その後、システムは A ルックアップの結果が PTR ルックアップの結果と一致するかどうかをチェックします。結果が一致しないか、A レコードが存在しない場合、システムはホスト アクセス テーブル(HAT)内のエントリと一致する IP アドレスのみを使用します。この特別なタイムアウト時間はこのルックアップにのみ適用され、複数エントリとプライオリティで説明されている一般的な DNS タイムアウトには適用されません。
デフォルト値は 20 秒です。秒数に「0」を入力することで、すべてのリスナーに対してグローバルに逆引き DNS ルックアップのタイムアウトを無効にできます。値を 0 秒に設定した場合、逆引き DNS ルックアップは試行されず、代わりに標準のタイムアウト応答がすぐに返されます。
アプライアンスの再起動時に、まれにメッセージ「DNSキャッシュのブートストラップに失敗しました(Failed to bootstrap the DNS cache)」が付与されたアラートが生成される場合があります。このメッセージは、システムによるプライマリ DNS サーバーへの問い合わせができなかったことを示しています。この事象は、ネットワーク接続が確立される前に DNS サブシステムがオンラインになった場合、ブートのタイミングで発生します。このメッセージが別のタイミングで表示された場合、ネットワーク問題が発生しているか、または DNS 設定で有効なサーバが指定されていないことを示しています。
GUI の [キャッシュを消去(Clear Cache)] ボタン、または dnsflush コマンドを使用して、DNS キャッシュのすべての情報をクリアします(dnsflush コマンドの詳細については、資料に指定された場所で入手可能な『IronPort AsyncOS CLI Reference Guide』を参照してください)。ローカル DNS システムが変更された際に、この機能を使用できます。コマンドはすぐに実行され、キャッシュの再投入中に一時的に性能が低下する可能性があります。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [DNS] ページを選択し、[設定の編集(Edit Settings)] ボタンをクリックします。 |
|
ステップ 3 |
インターネットのルート DNS サーバーまたはユーザー独自の内部 DNS サーバーのどちらを使用するかを選択して、権威 DNS サーバーを指定します。 |
|
ステップ 4 |
ユーザー独自の DNS サーバーを使用するか、権威 DNS サーバーを指定する場合は、サーバー ID を入力し [行の追加(Add Row)] をクリックします。各サーバでこの作業を繰り返します。ユーザ独自の DNS サーバを入力する場合は、プライオリティも同時に指定します。詳細については、DNS サーバの指定を参照してください。 |
|
ステップ 5 |
DNS トラフィック用のインターフェイスを選択します。 |
|
ステップ 6 |
逆引き DNS ルックアップをキャンセルするまでに待機する秒数を入力します。 |
|
ステップ 7 |
必要に応じて、[キャッシュのクリア(Clear Chashe)] をクリックして、DNS キャッシュをクリアします。 |
|
ステップ 8 |
変更を送信し、保存します。 |
一部のネットワーク環境では、標準のデフォルト ゲートウェイ以外のトラフィック ルートを使用する必要があります。スタティック ルートの管理は、GUI の [管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [ルーティング(Routing)] ページ、または CLI の routeconfig コマンドを使用して行います。
[管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [ルーティング(Routing)] ページを使用して、スタティック ルートの作成、編集、または削除を行えます。このページからデフォルト ゲートウェイの変更もできます。
(注) |
接続先が単一の IP アドレスではなくサブネットである場合は、エントリがCIDR (クラスレスドメイン間ルーティング)表記(192.168.90.0/24 など)に準拠していることを確認します。 |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [ルーティング(Routing)] ページで、ルート リストの [ルートを追加(Add Route)] をクリックします。ルートの名前を入力します。 |
|
ステップ 3 |
宛先 IP アドレスを入力します。 |
|
ステップ 4 |
ゲートウェイの IP アドレスを入力します。 |
|
ステップ 5 |
変更を送信し、保存します。 |
|
ステップ 1 |
[ルーティング(Routing)] ページのルート リストで [デフォルトルート(Default Route)] をクリックします。 |
|
ステップ 2 |
ゲートウェイの IP アドレスを変更します。 |
|
ステップ 3 |
変更を送信し、保存します。 |
GUI の [管理アプライアンス(Management Appliance)] > [ネットワーク(Network)] > [ルーティング(Routing)] ページ(デフォルト ゲートウェイの変更(GUI)を参照してください)、または CLI の setgateway コマンドを使用して、デフォルト ゲートウェイを設定できます。
TLSv1.0 が有効になっている下位の AsyncOS バージョン(例:13.6.x)から AsyncOS 13.8.x 以降にアップグレードすると、デフォルトで TLSv1.0 が無効になり TLSv1.1 および TLSv1.2 が有効になります。アップグレード後にアプライアンスで TLSv1.0 方式を有効にする必要があります。
AsyncOS 15.5 以降では、TLSv1.0 の代わりに TLSv1.1、TLSv1.2、および TLSv1.3(アプライアンス管理 Web ユーザーインターフェイス用)方式を使用することをお勧めします。TLSv1.3 はデフォルトで無効になっているため、有効にする必要があります。
次のそれぞれのサービスに対して、使用する通信プロトコルを選択できます。
アプライアンス管理 Web ユーザーインターフェイス
セキュア LDAP サービス
Updater Service
スパム隔離へのエンドユーザ アクセス
(注) |
アップデータサービスおよびセキュア LDAP サービスでは、新規に設置したアプライアンスの TLSv1.1 および TLSv1.2 方式を使用します。アプライアンス管理 Web ユーザーインターフェイスでは、デフォルトで TLSv1.1 および TLSv1.2 方式を使用し、TLSv1.3 方式は、新規に設置したアプライアンスではデフォルトで無効になっています。 |
現在選択されているプロトコルと利用可能なオプションを表示する場合、またはプロトコルを変更する場合は、コマンドライン インターフェイスで sslconfig コマンドを使用します。sslconfig コマンドを使用して変更した場合は、変更をコミットする必要があります。sslconfig コマンドを使用した変更をコミットした後、該当するサービスが短時間中断されます。
ローカル(リモート)アップデータサービスを使用する場合、他のすべてのサービスおよび Web ブラウザに選択するプロトコルは、使用するサーバーとツールでサポートされて有効にされていなければなりません。使用するサーバーごとに、利用可能なオプションのいずれかを有効にする必要があります。
ピア証明書の FQDN 検証の詳細については、[FQDN]を参照してください。
ピア証明書の X509 検証の詳細については、X.509 証明書を参照してください。
(注) |
セキュリティ管理アプライアンスは、レポートのデータを収集する際に、セキュリティ管理アプライアンス上で時間設定を行った際に設定した情報からタイム スタンプを適用します。詳細については、セキュリティ管理アプライアンスによるレポート用データの収集方法を参照してください。 |
コマンドライン インターフェイスを使用して時間に関連する設定を行うには、ntpconfig、settime、および settz コマンドを使用します。
|
目的 |
操作手順 |
|---|---|
|
システム時刻を設定する |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [時刻設定(Time Settings)] を選択します。 ネットワーク タイム プロトコル(NTP)サーバの使用も参照してください。 |
|
時間帯を設定する |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [タイムゾーン(Time Zone)] を選択します。 関連項目: |
ネットワーク タイム プロトコル(NTP)サーバを使用して、セキュリティ管理アプライアンスのシステム クロックをネットワークまたはインターネット上の他のコンピュータと同期できます。
デフォルトの NTP サーバは time.sco.cisco.com です。
デフォルトの NTP サーバを含め、外部 NTP サーバを使用する場合は、ファイアウォールで必要なポートを開きます。ファイアウォール情報を参照してください
関連項目
これは、特にアプライアンスが他のデバイスに統合されている場合に推奨される、時刻の設定方法です。統合されたデバイスはすべて、同じの NTP サーバーを使用する必要があります。
NTP サーバーを使用して時間を設定するには、CLI の ntpconfig コマンドを使用します。
|
ステップ 1 |
[システム管理(System Administration)] > [時刻設定(Time Settings)] ページに移動します。 |
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 3 |
[時刻の設定方法(Time Keeping Method)] セクションで、[NTP(Network Time Protocol)を使用(Use Network Time Protocol)] を選択します。 |
|
ステップ 4 |
NTP サーバーのアドレスを入力し、[行の追加(Add Row)] をクリックします。複数の NTP サーバを追加できます。 |
|
ステップ 5 |
NTP サーバをリストから削除するには、サーバのゴミ箱アイコンをクリックします。 |
|
ステップ 6 |
NTP クエリー用のインターフェイスを選択します。これは、NTP クエリーが発信される IP アドレスになります。 |
|
ステップ 7 |
[NTP認証の使用(Use NTP Authentication)] チェック ボックスをオンにすると、タイムスタンプが信頼できるソースによって生成され、NTP が悪意のあるアクティビティや傍受から保護されます。 |
|
ステップ 8 |
変更を送信し、保存します。 |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [タイムゾーン(Time Zone)] を選択します。 |
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 4 |
地域のリストから [GMTオフセット(GMT Offset)] を選択します。[タイムゾーンの設定(Time Zone Setting)] ページが更新され、[タイムゾーン(Time Zone)] フィールドに GMT オフセットが含まれるようになります。 |
|
ステップ 5 |
[タイムゾーン(Time Zone)] フィールドでオフセットを選択します。オフセットとは、グリニッジ子午線のローカル時間であるグリニッジ標準時(GMT)に、加算または減算する時間のことです。時間の前にマイナス記号(「-」)が付いている場合、グリニッジ子午線の西側にあたります。プラス記号(「+」)の場合、グリニッジ子午線の東側にあたります。 |
|
ステップ 6 |
変更を送信し、保存します。 |
いずれかの国の時間帯ルールに変更があった場合は必ず、アプライアンスの時間帯ファイルを更新する必要があります。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)] を選択します。 |
|
ステップ 3 |
[時間帯ルールの自動アップデートを有効にする(Enable automatic updates for Time zone rules)] チェックボックスをオンにします。 |
|
ステップ 4 |
間隔を入力します。重要な情報については、ページ上の [?] ヘルプをクリックします。 |
|
ステップ 5 |
変更を送信し、保存します。 |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [時刻設定(Time Settings)] を選択します。 |
|
ステップ 3 |
[タイムゾーンファイルの更新(Time Zone File Updates)] セクションを確認します。 |
|
ステップ 4 |
使用可能な時間帯ファイルの更新がある場合、[今すぐ更新(Update Now)] をクリックします。 |
|
次のセクションの詳細について |
参照先 |
|---|---|
|
現在の設定の保存 |
|
|
保存されている設定のロード |
|
|
エンドユーザー セーフリスト/ブロックリスト データベース(スパム隔離) |
|
|
設定のリセット |
(注) |
ここで説明されている設定ファイルは、セキュリティ管理アプライアンスの設定に使用されます。 |
セキュリティ管理アプライアンス内の大部分の設定は、1 つの設定ファイルで管理できます。このファイルは Extensible Markup Language(XML)フォーマットで保持されます。
このファイルは次の複数の方法で使用できます。
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [設定ファイル(Configuration File)] ページの [現在の構成(Current Configuration)] セクションを使用すると、現在のコンフィギュレーション ファイルをローカル マシンに保存したり、アプライアンスで保存したり(FTP/SCP ルートの設定ディレクトリに保存されます)、指定されたアドレスに電子メールで送信したりできます。
必要に応じてチェック ボックスをオンにして、ユーザのパスフレーズをマスクします。パスフレーズをマスクすると、元の暗号化されたパスフレーズが、エクスポートまたは保存されたファイルで「*****」に置き換えられます。
(注) |
パスフレーズがマスクされたコンフィギュレーション ファイルをロードして AsyncOS に戻すことはできません。 |
[設定ファイル内のパスフレーズを隠す(Encrypt passphrases in the Configuration Files)] チェックボックスをクリックして、ユーザのパスフレーズをマスクできます。次に、暗号化される、設定ファイル内の重要なセキュリティ パラメータを示します。
証明書の秘密キー
RADIUS パスワード
LDAP バインドのパスワード
ローカルユーザーのパスワードのハッシュ
SNMP パスワード
発信 SMTP 認証パスワード
PostX 暗号化キー
PostX 暗号化プロキシ パスワード
FTP プッシュ ログ サブスクリプションのパスワード
IPMI LAN パスワード
アップデータ サーバの URL
これは、saveconfig コマンドを使用してコマンドライン インターフェイスでも構成できます。
コンフィギュレーション ファイルは、設定をロードするアプライアンスと同じバージョンの AsyncOS を実行しているアプライアンスから保存される必要があります。
パスフレーズがマスクされたコンフィギュレーション ファイルはロードできません。
どの方法の場合でも、設定の上部に次のタグを含める必要があります。
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE config SYSTEM "config.dtd">
<config>
... your configuration information in valid XML
</config></config> 閉じタグは設定情報の後に指定する必要があります。XML 構文の値は、Cisco コンテンツ セキュリティ アプライアンスの configuration ディレクトリにある DTD を使用して解析および検証されます。DTD ファイルの名前は config.dtd です。loadconfig コマンドを使用したときにコマンド ラインで検証エラーが報告された場合、変更はロードされません。設定ファイルをアップロードする前に、アプライアンスの外部で DTD をダウンロードし、設定ファイルを検証できます。
いずれのインポート方法でも、コンフィギュレーション ファイル全体(最上位のタグである <config></config> 間で定義された情報)またはコンフィギュレーション ファイルの complete および unique サブセクション(上記の宣言タグを含み、<config></config> タグ内に存在する場合)をインポートできます。
「complete(完全)」とは、DTD で定義されたサブセクションの開始タグおよび終了タグ全体が含まれることを意味します。たとえば、次のコードをアップロードまたは貼り付けると、検証エラーが発生します。
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE config SYSTEM "config.dtd">
<config>
<autosupport_enabled>0</autosu
</config>しかし、次のコードをアップロードまたは貼り付けても、検証エラーは発生しません。
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE config SYSTEM "config.dtd">
<config>
<autosupport_enabled>0</autosupport_enabled>
</config>「unique(一意)」とは、アップロードまたは貼り付けられるコンフィギュレーション ファイルのサブセクションが、設定として多義的でないことを意味します。たとえば、システムは 1 つのホスト名しか持てないため、次のコード(宣言および <config></config> タグを含む)をアップロードすることは可能です。
<hostname>mail4.example.com</hostname>
しかし、システムにはそれぞれ異なる受信者アクセス テーブルが定義された複数のリスナーが定義されている可能性があるため、次のコードのみをアップロードすることは多義的であると見なされます。
<rat>
<rat_entry>
<rat_address>ALL</rat_address>
<access>RELAY</access>
</rat_entry>
</rat>多義的であるため、「完全」な構文であっても許可されません。
注意 |
コンフィギュレーション ファイルまたはコンフィギュレーション ファイルのサブセクションをアップロードまたは解析する場合は、待機中の可能性がある、保存されていない変更が破棄されることがあります。 |
設定ファイルのセクションをアップロードまたは解析する場合は注意が必要です。タグを含めないと、コンフィギュレーション ファイルのアップロード時に設定の値が変更されません。ただし、空白タグを含めると、設定の問題が解消されます。
たとえば、次のコードをアップロードすると、システムからすべてのリスナーが削除されます。
<listeners></listeners>
注意 |
コンフィギュレーション ファイルのサブセクションをアップロードしたり、貼り付けたりした場合、GUI または CLI から切断され、大量の設定データが破壊されることがあります。管理ポートで別のプロトコル、シリアル インターフェイス、またはデフォルト設定を使用してアプライアンスに再接続できない場合は、このコマンドでサービスをディセーブルにしないでください。また、DTD で定義された設定構文がよくわからない場合は、このコマンドを使用しないでください。新しいコンフィギュレーション ファイルをロードする前に、必ず設定データをバックアップしてください。 |
パスフレーズが必要なログ サブスクリプションを含むコンフィギュレーション ファイルをロードしようとしても(たとえば、FTP プッシュを使用)、loadconfig コマンドは不明なパスフレーズについて警告しません。FTP プッシュが失敗し、logconfig コマンドを使用して正しいパスフレーズを設定するまで警告が生成されます。
XML 設定ファイルの「encoding」属性は、ファイルをオフラインで操作するために使用している文字セットに関係なく、「ISO-8859-1」である必要があります。showconfig コマンド、saveconfig コマンド、または mailconfig コマンドを発行するたびに、エンコーディング属性がファイルで指定されます。
<?xml version="1.0" encoding="ISO-8859-1"?>現在の設定をリセットすると、Cisco コンテンツ セキュリティ アプライアンスは設定を元の出荷時デフォルト値に戻します。リセットする前に設定を保存してください。
工場出荷時の初期状態への設定のリセット を参照してください。
以前コミットされた設定にロール バックできます。
コマンドライン インターフェイスで rollbackconfig コマンドを使用して、直近の 10 件のコミットから 1 件を選択します。
ロール バックをコミットすることを促されたときに No を入力した場合、このロール バックは、次回変更をコミットする際にコミットされます。
管理者アクセス権を持つユーザーだけが rollbackconfig コマンドを使用できます。
(注) |
以前の設定が復元されてもログ メッセージまたはアラートは生成されません。 |
(注) |
既存のデータを保持する十分なサイズにディスク領域を再割り当てするなどの一部のコミットでは、データ漏洩が発生する可能性があります。 |
次のコマンドを使用すると、コンフィギュレーション ファイルを操作できます。
trailblazerconfig 設定コマンドの showconfig、mailconfig、および saveconfig の場合は、電子メールで送信されるファイルまたは表示されるファイルにパスフレーズを含めるかどうか選択することを求められます。パスフレーズを含めないことを選択すると、パスフレーズ フィールドが空白のままになります。セキュリティ違反を心配する場合は、パスフレーズを含めないことを選択できます。ただし、loadconfig コマンドを使用してロードされた場合、パスフレーズがないコンフィギュレーション ファイルは失敗します。ログ サブスクリプションのパスフレーズのロードについての注意事項を参照してください。
(注) |
コンフィギュレーション ファイルを保存、表示、または電子メールで送信するときに、パスフレーズを含めることを選択すると(「Do you want to include passphrases?」に「yes」と回答した場合)、パスフレーズは暗号化されます。ただし、秘密キーと証明書は暗号化されない PEM 形式で含められます。 |
showconfig コマンドは、現在の設定を画面に出力します。
mail3.example.com> showconfig
Do you want to include passphrases? Please be aware that a configuration without
passphrases will fail when reloaded with loadconfig.
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE config SYSTEM "config.dtd">
<!--
Product: model number
Messaging Gateway Appliance(tm)
Model Number: model number
Version: version of AsyncOS installed
Serial Number: serial number
Current Time: current time and date
[The remainder of the configuration file is printed to the screen.]
mailconfig コマンドを使用して、現在の設定をユーザーに電子メールで送信します。メッセージには config.xml という名前の XML 形式のコンフィギュレーション ファイルが添付されます。
mail3.example.com> mailconfig
Please enter the email address to which you want to send
the configuration file.
[]> administrator@example.com
Do you want to include passphrases? Please be aware that a configuration
without passphrases will fail when reloaded with loadconfig. [N]> y
The configuration file has been sent to administrator@example.com. セキュリティ管理アプライアンスで saveconfig コマンドを使用すると、一意のファイル名を使用して、すべての Configuration Master ファイル(ESA)が configuration ディレクトリに保存されます。
mail3.example.com> saveconfig
Do you want to include passphrases? Please be aware that a configuration without passphrases
will fail when reloaded with loadconfig. [N]> y
The file C650-00065B8FCEAB-31PM121-20030630T130433.xml has been saved in the configuration directory.
mail3.example.com> アプライアンスに新しい設定情報をロードするには、loadconfig コマンドを使用します。情報は次の 2 つのいずれかの方法でロードできます。
詳細については、コンフィギュレーション ファイルのロードを参照してください。
以前コミットしたコンフィギュレーションへのロールバック を参照してください。
変更を Configuration Master に公開するには、publishconfig コマンドを使用します。構文は次のようになります。
publishconfig config_master [job_name ] [host_list | host_ip
ここで、config_master は、サポートされている Configuration Master です。これらの Configuration Master のリストは、このリリースのリリース ノートの「Compatibility Matrix」(http://www.cisco.com/en/US/products/ps10155/prod_release_notes_list.html)にあります。このキーワードは必須です。キーワード job_name は省略可能で、指定しなかった場合は生成されます。
キーワード host_list は、公開される WSA アプライアンスのホスト名または IP アドレスのリストで、指定しなかった場合は、Configuration Master に割り当てられているすべてのホストに公開されます。オプションの host_ip には、カンマで区切って複数のホスト IP アドレスを指定できます。
publishconfig コマンドが成功したことを確認するには、smad_logs ファイルを調べます。[ウェブ(Web)] > [ユーティリティ(Utilities)] > [Webアプライアンスステータス(Web Appliance Status)] を選択することで、セキュリティ管理アプライアンスの GUI から公開履歴が成功だったことを確認することもできます。このページから、公開履歴の詳細を調べる Web アプライアンスを選択します。また、[ウェブ(Web)] > [ユーティリティ(Utilities)]
> [公開(Publish)] > [公開履歴(Publish History)] により、[公開履歴(Publish History)] ページに進むことができます。
trailblazerconfig コマンドを使用すると、新しい Web インターフェイスで HTTP と HTTPS のポートを介して受信接続と送信接続をルーティングできます。
インライン ヘルプを参照するには、CLI で help trailblazerconfig コマンドを使用します。
構文は次のようになります。
trailblazerconfig enable <https_port> <http_port>
trailblazerconfig disable
trailblazerconfig status
ここで、
'enable' は、デフォルトのポート(HTTPS: 4431)で trailblazer 設定を実行します。
'disable' は、trailblazer 設定を無効にします。
'status' は trailblazer 設定のステータスをチェックします。
重要 |
デフォルトで、
|
(注) |
アプライアンスで |
2048 ビットの CA 証明書を更新し、FIPS モードの管理対象 Cisco E メール セキュリティ アプライアンスで一元化されたポリシー、ウイルス、および隔離を有効にするには、CLI で updatepvocert コマンドを使用する必要があります。
管理対象の E メール セキュリティ アプライアンスで、FIPS を有効にすると、一元化されたポリシー、ウイルス、アウトブレイク隔離は無効になります。AsyncOS 13.0 以降、 FIPS モードでは、2048 ビットの証明書を使用して、ポリシー、ウイルス、およびアウトブレイク検疫の一元管理設定が有効になります。以前の AsyncOS バージョンには、サイズが 1024 ビットの証明書があります。
example.mail.com> updatepvocert
This command will recreate the PVO certificate and key of strength 2048 bits.
Also, the new certificate will be signed by a CA of strength 2048 bits.
Hermes process will restart post certificate update. No commit will be required.
Do you want to proceed with the certificate update? [Y]>
Certificate updated successfully. Hermes restart needed for the changes to be effective.
Do you want to restart hermes? []> Y
Enter the number of seconds to wait before abruptly closing connections. [30]>
Waiting for listeners to exit... Receiving suspended for euq_listener, cpq_listener. Waiting for outgoing deliveries to finish... Mail delivery suspended. Receiving resumed for euq_listener, cpq_listener. Mail delivery resumed.
Hermes will be up in a moment. Run the status command for hermes.
example.mail.com >
|
ステップ 1 |
CLI の外部で、アプライアンスの configuration ディレクトリにアクセスできることを確認します。詳細については、IP インターフェイスおよびアプライアンスへのアクセスを参照してください。 |
|
ステップ 2 |
設定ファイル全体または設定ファイルのサブセクションをアプライアンスの configuration ディレクトリに格納するか、 |
|
ステップ 3 |
CLI 内で、 この例では、changed.config.xml という名前のファイルがアップロードされ、変更が保存されます。 例:この例では、新しいコンフィギュレーション ファイルをコマンド ラインに直接貼り付けます(空白行で Ctrl+D を押すと貼り付けコマンドが終了します)。次に、システム セットアップ ウィザードを使用して、デフォルトのホスト名、IP アドレス、およびゲートウェイ情報を変更します(詳細については、システム セットアップ ウィザードの実行を参照してください)。最後に、変更を確定します。 例: |
組織で使用する各機能に、使用可能な最大量まで、使用可能なディスク領域を割り当てることができます。
ESXi 5.5 および VMFS 5 を実行する仮想アプライアンスの場合、2 TB を超えるディスク領域を割り当てることができます。ESXi 5.1 を実行するアプライアンスの場合は 2 TB に制限されます。
(注) |
ESXi でのディスク領域の削減はサポートされません。詳細については、VMware のマニュアルを参照してください。 |
仮想アプライアンス インスタンスにディスク領域を追加するには、次の手順を実行します。
必要な追加ディスク領域を慎重に検討します。
|
ステップ 1 |
Cisco コンテンツ セキュリティ管理アプライアンス インスタンスを停止します。 |
|
ステップ 2 |
VMware が提供するユーティリティまたは管理ツールを使用してディスク領域を増やします。 VMware のマニュアルで仮想ディスク設定の変更に関する情報を参照してください。 ESXi 5.5 の情報は、次のサイトから入手できます。 http://pubs.vmware.com/vsphere-55/index.jsp?topic=%2Fcom.vmware.vsphere.hostclient.doc%2FGUID-81629CAB-72FA-42F0-9F86-F8FD0DE39E57.html |
|
ステップ 3 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 4 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ディスク管理(Disk Management)] に移動して、変更が反映されていることを確認します。 |
|
目的 |
操作手順 |
|---|---|
|
アプライアンスで利用可能な合計ディスク領域を表示する |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ディスク管理(Disk Management)] を選択します。 [合計割当て容量(Total Space Allocated)] に示されている値(例:184G of 204G)を確認します。 |
|
セキュリティ管理アプライアンスのモニタリング サービスごとに、割り当てられているディスク領域および現在使用されているディスク領域の量を表示する |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ディスク管理(Disk Management)] を選択します。 |
|
現在使用されている隔離のクォータの割合を表示する |
[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [システムステータス(System Status)] を選択して、[集約管理サービス(Centralized Services)] セクションで確認します。 |
(注) |
セキュリティ管理アプライアンスの中央集中型レポーティング ディスク領域は、電子メールと Web の両方のデータに使用されます。中央集中型電子メール レポーティングと中央集中型 Web レポーティングのどちらか一方をイネーブルにすると、すべての領域がイネーブルにした機能専用になります。両方をイネーブルにした場合、電子メールおよび Web レポーティング データは領域を共有し、領域はファースト カム ベースで割り当てられます。 |
中央集中型 Web レポーティングをイネーブルにしているが、レポーティングにディスク領域が割り当てられていない場合、ディスク領域が割り当てられるまで、中央集中型 Web レポーティングが機能しません。
その他のクォータを現在の使用量より少なくする前に、不要なデータを削除する必要があります。その他のクォータのディスク領域の管理を参照してください。
ポリシー、ウイルス、およびアウトブレイク隔離のディスク領域を管理する方法については、ポリシー、ウイルス、およびアウトブレイク隔離へのディスク領域の割り当ておよび 隔離内のメッセージの保持期間を参照してください。
他のすべてのデータ タイプでは、既存の割り当て量を現在の使用量より少なくした場合、新しい割り当て量内にすべてのデータが収まるまで、最も古いデータから削除されます。
新しいクォータが現在使用されているディスク領域よりも大きい場合、データは失われません。
割り当て量をゼロに設定すると、データは保持されなくなります。
その他のディスク使用量がクォータの 75% に達すると、警告レベルのシステム アラートを受信します。これらのアラートを受信した場合は、対処する必要があります。
確実にアラートが届くようにするには、アラートの管理を参照してください。
その他のクォータにはシステム データとユーザ データが含まれます。システム データは削除できません。管理できるユーザ データには次のファイル タイプがあります。
|
管理対象 |
手順 |
|---|---|
|
ログ ファイル |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ログサブスクリプション(Log Subscriptions)] に移動して、以下を実行します。
|
|
パケット キャプチャ |
[ヘルプとサポート(Help and Support)](画面上部の右側付近)> [パケットキャプチャ(Packet Capture)] に移動します。不要なキャプチャを削除します。 |
|
コンフィギュレーション ファイル (これらのファイルが多くのディスク領域を消費する可能性は低いと考えられます)。 |
アプライアンスの /data/pub ディレクトリに FTP でアクセスします。 アプライアンスへの FTP アクセスを設定するには、次を参照してください。 FTP 経由でのアプライアンスへのアクセス |
|
クオータ サイズ |
[システム管理(System Administration)] > [ディスク管理(Disk Management)] に移動します。 |
ディスク領域が使用していない機能に割り当てられている場合、または、アプライアンスで特定の機能については頻繁にディスク領域が不足するものの他の機能については過剰な領域がある場合は、ディスク領域量の割り当てを変更できます。
すべての機能にさらに領域が必要な場合は、ハードウェアのアップグレード、または仮想アプライアンスへの追加ディスク領域の割り当てを検討してください。「(仮想アプライアンスのみ)使用可能なディスク領域の拡大」を参照してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ディスク管理(Disk Management)] を選択します。 |
|
ステップ 3 |
[ディスククォータの編集(Edit Disk Quotas)] をクリックします。 |
|
ステップ 4 |
[ディスククォータの編集(Edit Disk Quotas)] ページで、各サービスに割り当てるディスク領域の量(ギガバイト単位)を入力します。 |
|
ステップ 5 |
[送信(Submit)] をクリックします。 |
|
ステップ 6 |
[確定する(Commit)] をクリックして変更を保存します。 |
日数に基づいて中央集中型電子メール トラッキング データベースにメッセージ(データ)を保存するように Cisco Secure Email and Web Manager を設定できるようになりました。
レガシー Web インターフェイスの [システム管理(System Administration)] > [ディスク管理(Disk Management)] > [データディスク管理の編集(Edit Data Disk Management)] ページで、[データストレージ時間の適用(Apply Data Storage Time)] オプションを使用して、データストレージ時間を設定します。
[データストレージ時間の適用(Apply Data Storage Time)] オプションは、次のいずれかのシナリオに適用できます。
設定されたデータディスクストレージの制限(たとえば、500 GB)に達すると、設定されたデータストレージの期限(たとえば、「40 日」)に達する前でも、メッセージはデータベースから自動的に削除されます。
たとえば、設定されたデータストレージの期限が 40 日間であり、設定されたデータストレージの期限よりも古いメッセージ(たとえば、「41 日」)の場合、設定されたデータディスクストレージの制限(たとえば、500 GB)に達していなくても、メッセージは自動的に削除されます。
(注) |
また、CLI の diskquotaconfig > edit > Centralized Email Tracking サブコマンドの Manage data based on the storage time ステートメントを使用して、日数に基づいてメッセージを Centralized Email Tracking データベースに保存することもできます。
|
重要:Cisco Secure Email and Web Manager 13.6.2 バージョン以降、Splunk データベースは電子メールトラッキングデータに使用されなくなりました。新しい電子メールトラッキングデータはすべて、Lucene データベースに保存されます。[データストレージ時間の適用(Apply Data Storage Time)] オプションを使用すると、電子メールトラッキングデータを含む Splunk データベースが自動的に削除されます。
アクション:電子メールトラッキングデータのバックアップを作成します(必要な場合)。CLI の backupconfig コマンドを使用して、バックアップアクションを実行できます。詳細については、単一または定期バックアップのスケジュール設定を参照してください。
(注) |
組織のネットワークにある Cisco Secure Email and Web Manager が 1 つだけの場合は、ネットワークに新しい仮想マシン(VM)を展開する必要があります。仮想 Cisco Secure Email and Web Manager の展開方法の詳細については、『Cisco Secure Email and Web 仮想アプライアンス設置ガイド』を参照してください。 https://www.cisco.com/c/dam/en/us/td/docs/security/content_security/virtual_appliances/Cisco_Content_Security_Virtual_Appliance_Install_Guide.pdf |
中央集中型電子メールトラッキングサービスの有効な機能キーがあることを確認してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)Secure Email and Web Manager で |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [ディスク管理(Disk Management)] を選択します。 |
|
ステップ 3 |
[ディスククォータの編集(Edit Disk Quotas)] をクリックします。 |
|
ステップ 4 |
[集中型電子メールトラッキング( Centralized Email Tracking)] の下にある [データストレージ時間の適用(Apply Data Storage Time)] を選択し、所定のフィールドに値を入力して、日数に基づいてメッセージ(データ)を集中型電子メール トラッキング データベースに保存します。 |
|
ステップ 5 |
[送信(Submit)] をクリックします。 |
|
ステップ 6 |
[確定する(Commit)] をクリックして変更を保存します。 |
(注) |
これらのしきい値に関連するアラートを受信するには、各管理対象 E メール セキュリティ アプライアンスのしきい値を設定します。詳細については、お使いの E メール セキュリティ アプライアンス リリースのユーザ ガイドまたはオンライン ヘルプで、システムの状態のしきい値の設定に関する情報を参照してください。個々のアプライアンスからオンデマンドのシステムの状態チェックを実行できます。アプライアンスの状態のチェックについては、お使いの E メール セキュリティ アプライアンス リリースのユーザ ガイドまたはオンライン ヘルプを参照してください。 |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [システムの状態(System Health)] をクリックします。 |
||||||||
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||
|
ステップ 4 |
オプションを設定します。
|
||||||||
|
ステップ 5 |
変更を送信し、保存します。 |
Cisco コンテンツ セキュリティ管理アプライアンスは SAML 2.0 SSO をサポートするようになりました。これによりエンド ユーザはその組織内で他の SAML 2.0 SSO 対応サービスへのアクセスに使用している同じクレデンシャルを使用してスパム隔離にアクセスできます。たとえば、SAML ID プロバイダー(IdP)として Ping 認証を有効にしており、SAML 2.0 SSO 対応の Rally、Salesforce、および Dropbox のアカウントを持っています。サービス プロバイダー(SP)として SAML 2.0 SSO をサポートするように Cisco コンテンツ セキュリティ管理アプライアンスを構成すると、エンド ユーザーは一度サインインするだけでスパム隔離を含むすべてのサービスにアクセスできるようになります。
SAML 2.0 SSO ワークフローを、次の図に表示します。
ワークフロー
エンド ユーザは、Web ブラウザを使用して、サービス プロバイダー(アプライアンス)からリソースを要求します。たとえば、エンド ユーザは、スパム通知のスパム隔離リンクをクリックします。
サービス プロバイダーは、SAML 認証要求で Web ブラウザに要求をリダイレクトします。
Web ブラウザは、ID プロバイダーに SAML 認証要求をリレーします。
ID プロバイダーは、エンド ユーザを認証します。ID プロバイダーはエンド ユーザにログイン ページを表示し、エンド ユーザがログインします。
ID プロバイダーは、SAML アサーションを生成して、Web ブラウザに送り返します。
Web ブラウザは、サービス プロバイダーに SAML アサーションをリレーします。
サービス プロバイダーは、要求されたリソースへのアクセスを付与します。
エンド ユーザが、スパム隔離からログアウトしても、他の SAML 2.0 SSO が有効なアプリケーションからはログアウトされません。
Cisco コンテンツ セキュリティ管理アプライアンス上では、サービス プロバイダーと ID プロバイダーのインスタンスを 1 つのみ構成できます。
スパム隔離用の SSO を有効にしている場合、管理者はスパム隔離の URL(http://<appliance_hostname>:<port>)を使用してスパム隔離へアクセスできなくなることを覚えておいてください。管理者は Web インターフェイスを使用してスパム隔離にアクセスできます([メール(Email)] > [メッセージの隔離(Message Quarantine)] > [スパム隔離(Spam Quarantine)])。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
前提条件を確認します。 |
|
|
ステップ 2 |
サービス プロバイダーとして、アプライアンスを設定します。 |
|
|
ステップ 3 |
[IDP で] アプライアンスを操作するように ID プロバイダーを設定します。 |
|
|
ステップ 4 |
アプライアンスで ID プロバイダーを設定します。 |
|
|
ステップ 5 |
アプライアンスで SAML を使用して外部認証を有効にします。 |
|
組織で使用する ID プロバイダーが Cisco E メール セキュリティ アプライアンスでサポートされているかどうかを確認します。次に、サポートされる ID プロバイダーを示します。
Microsoft Active Directory Federation Services(AD FS)2.0 以降
Duo Access Gateway
Azure AD
アプライアンスと ID プロバイダーの間の通信をセキュリティで保護するために必要な次の証明書を取得します。
アプライアンスで SAML 認証要求に署名する、または ID プロバイダーで SAML アサーションを暗号化する場合、自己署名証明書または信頼できる CA の証明書、および関連付けられている秘密キーを取得します。
ID プロバイダーで SAML アサーションに署名する場合は、ID プロバイダーの証明書を取得してアプライアンスにインポートします。アプライアンスはこの証明書を使用して、署名済み SAML アサーションを確認します。
通常、アプライアンスから取得した証明書は .pfx 形式であり、アプライアンスをサービス プロバイダーとして設定するときには .pem 形式に変換する必要があります。
証明書を .pfx 形式から .pem 形式に変換するには、次の操作を行います。
OpenSSL ツールをダウンロードしてインストールし、アプライアンスから取得した証明書ファイル(.pfx)をインポートします。
次のコマンドを実行して、証明書を .pem 形式でエクスポートします。openssl pkcs12 -in <certname>.pfx -nokeys -out cert.pem
次のコマンドを実行して、秘密キーを .pem 形式でエクスポートします。openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
次のコマンドを実行して、秘密キーからパスフレーズを削除します。openssl rsa -in key.pem -out server.key
「前提条件」を確認してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||||||||||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [SAML] を選択します。 |
||||||||||||||||||||||
|
ステップ 3 |
[サービスプロバイダー(Service Provider)] セクションで [サービスプロバイダーの追加(Add Service Provider)] をクリックします。 |
||||||||||||||||||||||
|
ステップ 4 |
次の詳細を入力します。
|
||||||||||||||||||||||
|
ステップ 5 |
[送信(Submit)] をクリックします。 |
||||||||||||||||||||||
|
ステップ 6 |
[SSOの設定(SSO Settings)] ページに表示されるサービス プロバイダーのメタデータ(エンティティ ID とアサーション顧客 URL)と、[サービスプロバイダー設定(Service Provider Settings)] ページに表示される名前 ID の形式を書き留めます。ID プロバイダーでサービス プロバイダーを設定するときに、これらの詳細が必要になります。 必要に応じて、メタデータをファイルとしてエクスポートできます。[メタデータのエクスポート(Export Metadata)] をクリックして、メタデータ ファイルを保存します。一部の ID プロバイダーでは、メタデータ ファイルからサービス プロバイダーの詳細をロードできます。 |
||||||||||||||||||||||
アプライアンスと通信するように ID プロバイダーを設定します。Cisco セキュリティ管理アプライアンスと通信するための ID プロバイダーの設定 を参照してください。
次の内容について確認してください。
アプライアンスがサービス プロバイダーとして構成されている。サービス プロバイダーとしての Cisco コンテンツ セキュリティ管理アプライアンスの設定を参照してください。
サービス プロバイダーのメタデータの詳細がコピーされているか、またはメタデータ ファイルがエクスポートされている。サービス プロバイダーとしての Cisco コンテンツ セキュリティ管理アプライアンスの設定を参照してください。
|
ステップ 1 |
ID プロバイダーで、次のいずれかを実行します。
アプライアンスが SAML 認証要求に署名するように構成済みの場合、または SAML アサーションを暗号化する予定の場合は、必ず関連する証明書を ID プロバイダーに追加します。 ID プロバイダー固有の手順については、以下を参照してください。 |
|
ステップ 2 |
ID プロバイダーのメタデータを書き留めるかまたはメタデータをファイルとしてエクスポートします。 |
アプライアンス上で ID プロバイダーの設定を構成します。Cisco セキュリティ管理アプライアンスと通信するための ID プロバイダーの設定 を参照してください。
以下は、お使いのアプライアンスと通信するように AD FS(2.0 以降)を設定するために実行する必要があるタスクの概要です。完全かつ詳細な手順については、Microsoft のマニュアルを参照してください。
リレー パーティとしてサービス プロバイダー(アプライアンス)のアサーション コンシューマ URL を追加します。
[リレー パーティ トラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [ID(Identifiers)] > [リレー パーティ ID(Relaying Party Identifier)] で、サービス プロバイダー(アプライアンス)のエンティティ ID を入力します。この値が、アプライアンスのサービス プロバイダー設定のエンティティ ID 値と同じかどうかを確認します。
署名入りの SAML 認証要求を送信するようにサービス プロバイダー(アプライアンス)を構成済みの場合は、サービス プロバイダーの証明書(認証要求を署名するために使用される)を [リレー パーティ トラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [署名(Signature)] の下で .cer 形式でアップロードします。
暗号化された SAML アサーションを送信するように AD FS を構成する場合は、サービス プロバイダー(アプライアンス)の証明書を [リレー パーティ トラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [暗号化(Encryption)] の下で .cer 形式でアップロードします。
[リレーパーティトラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [詳細(Advanced)] の順に選択し、セキュアハッシュ アルゴリズムを SHA-1 または SHA-256 に設定します。
応答に SPNameQualifier を含めるためのカスタム ルールを追加します。次のファイルは、サンプルのカスタム ルールです。
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] =>
issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer=
c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
Properties ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");
要求ルールを編集し、電子メール アドレスの LDAP 属性を発信要求タイプ(電子メール アドレス)として送信する発行変換規則を追加します。また、発行変換規則を追加して、グループ属性の LDAP 属性を送信要求タイプ(未指定のグループ)として送信するようにします。
以下は、お使いのアプライアンスと通信するように Azure AD を設定するために実行する必要があるタスクの概要です。完全かつ詳細な手順については、Microsoft Azure AD のマニュアルを参照してください。
SAML アサーションを受信および処理するサービス プロバイダー識別子として、サービス プロバイダーの(アプライアンスの)アサーション コンシューマー URL を追加します。
[エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [基本SAML設定(Basic SAML Configuration)] にある Azure ポータルにサービス プロバイダーの(アプライアンスの)エンティティ ID を入力します。この値が、アプライアンスのサービス プロバイダー設定のエンティティ ID 値と同じかどうかを確認します。
署名入りの SAML 認証要求を送信するようにサービス プロバイダー(アプライアンス)を構成済みの場合は、[SAML署名証明書(SAML Signing Certificate section)] セクション([エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [SAML署名証明書(SAML Signing Certificate)])で、サービス プロバイダーの証明書(認証要求を署名するために使用される)をアップロードします。
[ユーザ属性とクレーム(User Attributes and Claims)] セクション([エンタープライズアプリケーション(Enterprise Application)] > [新しいアプリケーション(New Application)] > [ギャラリー以外のアプリケーション(Non-gallery application)] > [シングルサインオン(Single Sign-On)] > [ユーザ属性とクレーム(User Attributes and Claims)])でグループ クレームを設定し、グループ属性を追加します。
ユーザが SAML アサーションまたは応答に基づいてアプリケーションにログインできるようにするには、[企業アプリケーション(Enterprise Application)] > [新規アプリケーション(New Application)] > [非ギャラリーアプリケーション(Non-gallery application)] > [ユーザとグループ(Users & Groups)] の下にユーザとグループを追加します。
以下は、お使いのアプライアンスと通信するように Duo Access Gateway を設定するために実行する必要があるタスクの概要です。完全かつ詳細な手順については、Duo Security のマニュアルを参照してください。
SAML アサーションを受信および処理するサービス プロバイダー エンドポイントとして、サービス プロバイダーの(アプライアンスの)アサーション コンシューマー URL を追加します。
[Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、サービス プロバイダー(アプライアンス)のエンティティ ID を入力します。この値が、アプライアンスのサービス プロバイダー設定のエンティティ ID 値と同じかどうかを確認します。
署名入りの SAML 認証要求を送信するようにサービス プロバイダー(アプライアンス)を構成済みの場合は、Duo Access Gateway に認証ソースを設定する際に、サービス プロバイダーの証明書(認証要求を署名するために使用される)を .cer 形式でアップロードします。
暗号化された SAML アサーションを送信するように Duo を構成する計画の場合は、Duo Access Gateway に認証ソースを設定する際に、サービス プロバイダーの(アプライアンスの)証明書を .cer 形式でアップロードします。
[Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、NameID 形式として [未指定(unspecified)] を選択します。
[Duo管理パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [アプリケーションの保護(Protect an Application)] > [SAMLサービスプロバイダー(SAML Service Provider)] で、セキュア ハッシュ アルゴリズムを SHA-256 に設定します。
[Duo管理パネル(Duo Admin Panel)] で [SAML-サービスプロバイダー設定(SAML - Service Provider Setting)] を設定ファイルとして保存し、Duo Access Gateway でその設定ファイルを SAML アプリケーションとしてインポートします。
次の内容について確認してください。
アプライアンスとの通信のための ID プロバイダーが構成されている。Cisco セキュリティ管理アプライアンスと通信するための ID プロバイダーの設定を参照してください。
ID プロバイダーのメタデータの詳細またはエクスポートされたメタデータ ファイルがコピーされている。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [SAML] を選択します。 |
||||||||||||||||
|
ステップ 3 |
[ID プロバイダー(Identity Provider)] セクションで、[ID プロバイダーの追加(Add Identity Provider)] をクリックします。 |
||||||||||||||||
|
ステップ 4 |
次の詳細を入力します。
|
||||||||||||||||
|
ステップ 5 |
変更を送信し、保存します。 |
||||||||||||||||
SAML を使用したシングル サインオンを有効化し、ユーザを認証してユーザのグループをシスコのルールに割り当てることができます。
サービス プロバイダーおよび ID プロバイダーの設定を含む SAML プロファイルが設定済みである必要があります。「Cisco セキュリティ管理アプライアンスでの SSO の設定方法」を参照してください。
|
ステップ 1 |
[管理アプライアンス(Management Appliances)] > [システム管理(System Administration)] > [ユーザ(Users)] に移動します。 |
|
ステップ 2 |
[Web 認証(Web Authentication)] セクションまでスクロールします。 |
|
ステップ 3 |
[有効(Enable)] をクリックします。 |
|
ステップ 4 |
[外部認証を有効にする(Enable External Authentication)] チェックボックスをオンにします。 |
|
ステップ 5 |
ドロップダウンリストから、認証タイプとして [SAML] を選択します。 |
|
ステップ 6 |
(オプション)[外部認証属性名マップ(External Authentication Attribute Name Map)] フィールドに、グループ マッピングから検索する属性名を入力します。 属性名は、ID プロバイダーに対して設定する属性によって異なります。アプライアンスは、[グループマッピング(Group Mapping)] フィールドで、属性名の一致するエントリを検索します。これは省略可能であり、設定しない場合、アプライアンスは [グループマッピング(Group Mapping)] フィールドに存在するすべての属性の一致するエントリを検索します。 |
|
ステップ 7 |
[グループマッピング(Group Mapping)] フィールドに、事前定義済みまたはカスタムのユーザ ロールに基づいて SAML ディレクトリで定義されているグループ名属性を入力します。[行の追加(Add Row)] をクリックして複数のロール マッピングを追加できます。 グループ マッピングには、グループ属性を含める必要があります。「未指定のグループ(Unspecified Groups)」属性を追加して、SAML アサーションまたは応答を認証できます。 ユーザ ロール タイプの詳細については、[ユーザ(Users)] ページを参照してください。 |
|
ステップ 8 |
変更を送信し、保存します。 |
SAML 外部認証を有効にした後は、アプライアンスのログイン ページの [シングルサインオンを使用(Use Single Sign On)] リンクを使用し、ユーザ名を入力してアプライアンスにログインできます。
|
操作手順 |
詳細 |
|
|---|---|---|
|
ステップ 1 |
前提条件を確認します。 |
|
|
ステップ 2 |
サービス プロバイダーとして、アプライアンスを設定します。 |
|
|
ステップ 3: |
[IDP で] アプライアンスを操作するように ID プロバイダーを設定します。 |
|
|
ステップ 4: |
アプライアンスで ID プロバイダーを設定します。 |
|
|
ステップ 5 |
アプライアンスでスパム隔離用の SSO を有効にします。 |
|
|
ステップ 6: |
エンドユーザに新しい認証メカニズムについて通知します。 |
Microsoft Active Directory Federation Services(AD FS)2.0
Ping Identity PingFederate 7.2
Cisco Web Security Appliance 9.1
アプライアンスと ID プロバイダーの間の通信をセキュリティで保護するために必要な次の証明書を取得します。
アプライアンスで SAML 認証要求に署名する、または ID プロバイダーで SAML アサーションを暗号化する場合、自己署名証明書または信頼されている CA と関連付けられている秘密キーから証明書を取得します。
ID プロバイダーで SAML アサーションに署名する場合は、ID プロバイダーの証明書を取得します。アプライアンスはこの証明書を使用して、署名済み SAML アサーションを確認します。
「前提条件」を確認してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||||||||||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [SAML] を選択します。 |
||||||||||||||||||||||
|
ステップ 3 |
[サービスプロバイダー(Service Provider)] セクションで [サービスプロバイダーの追加(Add Service Provider)] をクリックします。 |
||||||||||||||||||||||
|
ステップ 4 |
次の詳細を入力します。
|
||||||||||||||||||||||
|
ステップ 5 |
[送信(Submit)] をクリックします。 |
||||||||||||||||||||||
|
ステップ 6 |
[SSOの設定(SSO Settings)] ページに表示されるサービス プロバイダーのメタデータ(エンティティ ID とアサーション顧客 URL)と、[サービスプロバイダー設定(Service Provider Settings)] ページに表示される名前 ID の形式を書き留めます。ID プロバイダーでサービス プロバイダーを設定するときに、これらの詳細が必要になります。 必要に応じて、メタデータをファイルとしてエクスポートできます。[メタデータのエクスポート(Export Metadata)] をクリックして、メタデータ ファイルを保存します。一部の ID プロバイダーでは、メタデータ ファイルからサービス プロバイダーの詳細をロードできます。 |
||||||||||||||||||||||
アプライアンスと通信するように ID プロバイダーを設定します。Cisco コンテンツ セキュリティ管理アプライアンスと通信するための ID プロバイダーの構成 を参照してください。
次の内容について確認してください。
アプライアンスがサービス プロバイダーとして構成されている。サービス プロバイダーとしての Cisco コンテンツ セキュリティ管理アプライアンスの設定を参照してください。
サービス プロバイダーのメタデータの詳細がコピーされているか、またはメタデータ ファイルがエクスポートされている。サービス プロバイダーとしての Cisco コンテンツ セキュリティ管理アプライアンスの設定を参照してください。
|
ステップ 1 |
ID プロバイダーで、次のいずれかを実行します。
アプライアンスが SAML 認証要求に署名するように構成済みの場合、または SAML アサーションを暗号化する予定の場合は、必ず関連する証明書を ID プロバイダーに追加します。 ID プロバイダー固有の手順については、以下を参照してください。
|
|
ステップ 2 |
ID プロバイダーのメタデータを書き留めるかまたはメタデータをファイルとしてエクスポートします。 |
アプライアンス上で ID プロバイダーの設定を構成します。Cisco コンテンツ セキュリティ管理アプライアンスでの ID プロバイダーの設定の構成 を参照してください。
次に示すのは、アプライアンスと通信する AD FS 2.0 を構成するために実行する必要がある高レベルのタスクです。完全かつ詳細な手順については、Microsoft のマニュアルを参照してください。
[リレーパーティトラスト(Relaying Party Trusts)] > [プロパティ(Properties)] > [詳細(Advanced)] の順に選択し、セキュアハッシュ アルゴリズムを SHA-1 または SHA-256 に設定します。
要求ルールを編集し、電子メール アドレスの LDAP 属性を発信要求タイプ(電子メール アドレス)として送信する発行変換規則を追加します。
応答に SPNameQualifier を含めるためのカスタム ルールを追加します。次のファイルは、サンプルのカスタム ルールです。
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] =>
issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer =
c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties
["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] =
"https://<appliance-hostname>:83");以下は、お使いのアプライアンスと通信するように PingFederate 7.2 を設定するために実行する必要があるタスクの概要です。包括的かつ詳細な手順については、Ping Identity のマニュアルを参照してください。
次の内容について確認してください。
アプライアンスとの通信のための ID プロバイダーが構成されている。Cisco コンテンツ セキュリティ管理アプライアンスと通信するための ID プロバイダーの構成を参照してください。
ID プロバイダーのメタデータの詳細またはエクスポートされたメタデータ ファイルがコピーされている。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
||||||||||||||||
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [SAML] を選択します。 |
||||||||||||||||
|
ステップ 3 |
[ID プロバイダー(Identity Provider)] セクションで、[ID プロバイダーの追加(Add Identity Provider)] をクリックします。 |
||||||||||||||||
|
ステップ 4 |
次の詳細を入力します。
|
||||||||||||||||
|
ステップ 5 |
変更を送信し、保存します。 |
||||||||||||||||
次の内容について確認してください。
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [SAML] ページですべての設定が構成済みである。
スパム隔離が有効になっている。「スパム隔離」を参照してください。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [スパム隔離(Spam Quarantine)] に移動します。 |
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックして、[エンドユーザ隔離アクセス(End-User Quarantine Access)] セクションまでスクロールします。 |
|
ステップ 4 |
エンドユーザ隔離アクセスが有効になっていることを確認します。 |
|
ステップ 5 |
エンドユーザ認証方式を SAML2.0 に設定します。 |
|
ステップ 6 |
(オプション)メッセージが解放される前に、メッセージ本文を表示するかどうかを指定します。 |
|
ステップ 7 |
変更を送信し、保存します。 |
エンドユーザに新しい認証メカニズムについて通知します。
Cisco コンテンツセキュリティ管理アプライアンスは、OpenID Connect 1.0 認証で ID プロバイダ(IDP)を使用するアプリケーションまたはクライアントとの統合をサポートし、アプライアンスで使用可能な AsyncOS API とシームレスに接続します。現在、お使いのアプライアンスは、Microsoft AD FS のみを使用して OpenID Connectで認定されています。
次のワークフローでは、AD FS を ID プロバイダ、外部アプリケーションをクライアント、アプライアンスをリソースプロバイダとして使用しています。
手順:
次のワークフローでは、AD FS を ID プロバイダ、外部アプリケーションをクライアント、アプライアンスをリソースプロバイダとして使用しています。アプライアンスでの OpenID Connect の設定 を参照してください。
(1 回限りのアクティビティ)アプライアンスは、OpenID Connect の設定メタデータと必要なキーを取得して、ステップ 1 で行った設定に基づいてアクセストークンを検証します。
AD FS で外部アプリケーションを認証した後、アクセストークンを取得します。アクセストークンを認証および受信する方法の詳細については、認証プロバイダーまたは ID プロバイダーのマニュアルを参照してください。
API 要求をアクセストークンとともにアプライアンスに送信します。
アプライアンスは、ステップ 2 で取得したキーセットを使用して API 要求のアクセストークンを検証します。
アプライアンスは、アクセストークン内の必要な要求(発行者、対象者)を検証します。
アプライアンスは、ロール要求値を使用して、AsyncOS API にアクセスするためのユーザーロール権限を許可し、割り当てます。
アプライアンスは、AsyncOS API 要求に適切な応答を提供します。
次に、サンプルアクセストークンの形式を示します。
ヘッダー
alg:RSA256
typ:JWT
[….]
ペイロード
claim:aud: CiscoEmailAPICaller
claim:iss:http://adfsserver/adfs/services/trust
claim:iat: 1594712147
claim:exp: 1594712807
claim:CustomOrgIdentifier: MyCustomOrgId
claim:LastName: Fernandes
claim:FirstName: Erik
claim:Email: http://erik.fernandes@customorg.com
claim:Role: LogCollector
claim:Role: ReadOnly
[…..]
アプライアンスは、次のアルゴリズムによって署名されたアクセストークンの検証のみをサポートします。
RSA256
RSA384
RSA512
OpenID Connect でアプライアンスを設定する前に、次の前提条件を満たしていることを確認します。
組織で使用される認証プロバイダはアプライアンスでサポートされている。
アプリケーションは認証プロバイダで認証し、アクセストークンを取得できる。
アプライアンスは、HTTP 経由で認証プロバイダに接続して、OpenID Connect メタデータ設定を取得できる。
次の情報について確認してください。
(認証プロバイダーの設定に基づいて)認証プロバイダーによって発行された有効なアクセストークン。
アクセストークンには、アプライアンスが必要な許可チェックを実行できるようにするためのロール情報が含まれている必要があります。
|
ステップ 1 |
をクリックします。 |
||||||||||||||||||
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||||||||||
|
ステップ 3 |
以下の表に記載される必須パラメータを入力して、OpenID Connect を設定します。
|
||||||||||||||||||
|
ステップ 4 |
変更を送信し、保存します。 |
AsyncOS API コールの Authorization Bearer ヘッダーにアクセストークンを含め、API 要求を送信します。
次に、API の Authorization Bearer ヘッダーにアクセストークンを含めた AsyncOS API を呼び出す例を示します。
curl --location --request
GET 'https://sma.com/sma/api/v2.0/config/logs/subscriptions?retrievalMethod=manual'
--header 'Authorization: Bearer <add access_token here>’次のタスクを実行するには、oidcconfig コマンドを使用します。
AsyncOS API の電子メールゲートウェイで OpenID Connect を設定します。
電子メールゲートウェイで OpenID Connect 構成設定を削除します。
(ローカル認証された管理ユーザ限定)よく利用するページのクイック アクセス リストを作成できます。
|
目的 |
操作手順 |
|---|---|
|
お気に入りリストにページを追加する |
追加するページに移動し、ウィンドウの右上隅付近にある [お気に入り(My Favorites)] メニューから [このページをお気に入りに追加(Add This Page To My Favorites)] を選択します。 お気に入りへの変更では確定操作は必要ありません。 |
|
お気に入りの順序を変更する |
[お気に入り(My Favorites)] > [お気に入りをすべて表示(View All My Favorites)] を選択し、適切な順序にお気に入りをドラッグします。 |
|
お気に入りページ、名前、または説明を編集する |
[お気に入り(My Favorites)] > [すべてのお気に入りを表示(View All My Favorites)] を選択し、編集するお気に入りの名前をクリックします。 |
|
お気に入りを削除する |
[お気に入り(My Favorites)] > [お気に入りをすべて表示(View All My Favorites)] を選択し、お気に入りを削除します。 |
|
お気に入りページに移動する |
ウィンドウの右上隅付近にある [お気に入り(My Favorites)] からページを選択します。 |
|
-メイン インターフェイスに戻る |
お気に入りを選択するか、ページ下部の [前のページに戻る(Return to previous page)] をクリックします。 |
ローカル認証されたユーザは次のプリファレンスを選択できます。このプリファレンスは、ユーザがセキュリティ管理アプライアンスにログインするたびに適用されます。
言語(GUI に適用)
ランディング ページ(ログイン後に表示されるページ)
レポート ページのデフォルトの時間範囲(使用可能なオプションは、電子メールおよび Web レポーティング ページのサブセットです)
レポート ページの表に表示する行数
実際のオプションは、ユーザ ロールによって異なります。
これらのプリファレンスを設定するには、[オプション(Options)] > [環境設定(Preferences)] を設定します。([オプション(Options)] メニューは、GUI ウィンドウの上部右側にあります)。完了したら変更を送信します。確定する必要はありません。
 ヒント |
[環境設定(Preferences)] ページにアクセスする前に表示していたページに戻るには、ページ下部の [前のページに戻る(Return to previous page)] リンクをクリックします。 |
外部認証されたユーザは、[オプション(Options)] メニューで表示言語を直接選択できます。
[使用状況分析(Usage Analytics)] は、分析統計情報のためにサイトアクティビティデータへのインサイトを得るために使用します。[使用状況分析(Usage Analytics)] が有効になっている場合、アプライアンスは新しい Web インターフェイスでアプライアンスの機能の使用状況データを収集します。使用状況の統計情報は、分析して、アプライアンスのユーザエクスペリエンスを向上させるためのインサイトを得るために使用します。
新規インストールの場合、使用状況の分析機能は Cisco Secure Email and Web Manager において、デフォルトで無効になっています。使用状況の分析機能を有効にするには、次の手順を実行します。
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [全般設定(General Settings)] を選択します。 |
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 4 |
[使用状況分析(Usage Analytics)] フィールドの [有効(Enable)] チェックボックスをオンにして、使用状況の分析機能を有効にします。 |
|
ステップ 5 |
変更を送信し、保存します。 |
優れた Web インターフェイスのレンダリングのために、Internet Explorer 互換モードのオーバーライドを有効にすることを推奨します。
(注) |
この機能を有効にすることが組織のポリシーに違反する場合は、この機能を無効にすることができます。 |
|
ステップ 1 |
(新しい Web インターフェイスのみ)セキュリティ管理アプライアンスで |
|
ステップ 2 |
[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [全般設定(General Settings)] を選択します。 |
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 4 |
[IE互換モードの上書き(Override IE Compatibility Mode)] フィールドで [有効(Enable)] チェック ボックスをオンにします。 |
|
ステップ 5 |
変更を送信し、保存します。 |
CLI で diagnostic > services サブコマンドを使用して、以下を実行できます。
アプライアンスで有効になっているサービスを再起動します。アプライアンスを再起動する必要はありません。
アプライアンスで有効になっているサービスのステータスを表示します。
例:レポート サービスのステータスの表示
services コマンドを使用して、アプライアンスで有効になっているレポート サービスのステータスを表示します。
mail.example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- RELOAD_STATUS - Display status of last reload run
- SERVICES - Service Utilities.
[]> services
Choose one of the following services:
- REPORTING - Reporting associated services
- TRACKING - Tracking associated services
- EUQWEB - End User Quarantine GUI
- WEBUI - Web GUI
- API_SERVER - API Server
[]> reporting
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> status
Reporting has been up for 28d 20h 45m 35s.
例:メッセージ トラッキング サービスの再起動
services コマンドを使用して、アプライアンスで有効になっているメッセージ トラッキング サービスを再起動します。
mail.example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- RELOAD_STATUS - Display status of last reload run
- SERVICES - Service Utilities.
[]> services
Choose one of the following services:
- REPORTING - Reporting associated services
- TRACKING - Tracking associated services
- EUQWEB - End User Quarantine GUI
- WEBUI - Web GUI
- API_SERVER - API Server
[]> tracking
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> restart
アプライアンスは、保存された信頼できる認証局を使用してリモートドメインからの証明書を検証し、ドメインのクレデンシャルを確立します。次の信頼できる認証局を使用するようにセキュリティ管理アプライアンスを設定できます。
システムリスト:アプライアンスには信頼できる認証局のリストがあらかじめインストールされています。これは、システム リストと呼ばれます。
カスタムリスト:信頼できる認証局のリストをカスタマイズし、アプライアンスにカスタムリストをインポートできます。
(注) |
システムリストまたはカスタマイズされたリストのいずれか、または両方のリストを使って、リモートドメインからの証明書を検証できます。 |
GUI の [ネットワーク(Network)] > [証明書(Certificates)] > [認証局の編集(Edit Certificate Authorities)] ページまたは CLI の certconfig > certauthority コマンドを使用してリストを管理します。
[ネットワーク(Network)] > [証明書(Certificates)] > [認証局の編集(Edit Certificate Authorities)] ページで、次のタスクを実行できます。
システム リストを使用するかどうかを選択します。システム リストはイネーブルまたはディセーブルにできます。詳細については、システム認証局リストの無効化を参照してください。
カスタム認証局リストを使用するかどうかを選択します。カスタム リストを使用して、テキスト ファイルからリストをインポートするようにアプライアンスをイネーブルにできます。詳細については、カスタム認証局リストのインポートを参照してください。
認証局のリストをエクスポートします。ローカルドライブの任意の場所に、認証局のシステムリストまたはカスタムリストをエクスポートできます。詳細については、認証局リストのエクスポートを参照してください。
[ネットワーク(Network)] > [証明書(Certificates)] > [信頼できるルート証明書の管理(Manage Trusted Root Certificates)] ページで、次のタスクを実行できます。
証明書のカスタムリストとシステムリストを表示します。詳細については、信頼できるルート証明書の表示を参照してください。
既存の証明書を削除します。インポートしたカスタム証明書を削除できます。詳細については、カスタム証明書の削除を参照してください。
プレインストールされたシステム認証局リストはアプライアンスから削除できませんが、イネーブルまたはディセーブルにできます。このリストをディセーブルにして、アプライアンスでリモートホストからの証明書の確認にユーザーのリストのみを使用するようにできます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
[ネットワーク(Network)] > [証明書(Certificates)] ページに移動します。 |
|
|
ステップ 2 |
[認証局(Certificate Authorities)] セクションで、[設定を編集(Edit Settings)] をクリックします。 |
|
|
ステップ 3 |
[システム リスト(System List)] で [ディセーブル(Disable)] をクリックします。 |
|
|
ステップ 4 |
変更を送信し、保存します。 |
信頼できる認証局のカスタムリストを作成して、アプライアンスにインポートできます。ファイルは PEM 形式にして、アプライアンスで信頼する認証局の証明書が含まれている必要があります。
|
ステップ 1 |
[ネットワーク(Network)] > [証明書(Certificates)] をクリックします。 |
||
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||
|
ステップ 3 |
[有効化(Enable)] オプションボタンを選択します。 |
||
|
ステップ 4 |
カスタムリストで [ファイルを選択(Choose File)] をクリックします。 |
||
|
ステップ 5 |
証明書の場所を参照し、[OK] をクリックします。 |
||
|
ステップ 6 |
(オプション)[FQDN検証(FQDN Validation)] チェックボックスをオンにして、証明書にある [共通名(Common Name)] フィールド、[SAN:DNS名(SAN: DNS Name)] フィールド、またはその両方が FQDN 形式であるかどうかを確認できるようにします。 |
||
|
ステップ 7 |
[送信(Submit)] をクリックします。
|
システム内の信頼できる認証局のサブセットのみを使用するか、既存のカスタムリストの編集を行う場合。
(注) |
カスタムリストを .txt ファイルにエクスポートし、認証局を追加または削除するように編集してから、ファイルをカスタムリストとしてアプライアンスにインポートできます。 |
|
ステップ 1 |
[ネットワーク(Network)] > [証明書(Certificates)] をクリックします。 |
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 [設定の編集(Edit Settings)] には、カスタム証明書およびシスコの信頼できるルート証明書がリストされます。 |
|
ステップ 3 |
証明書名をクリックします。 |
|
ステップ 4 |
[エクスポート(Export)] をクリックして、証明書をエクスポートします。 |
|
ステップ 1 |
[ネットワーク(Network)] > [証明書(Certificates)] をクリックします。 |
|
ステップ 2 |
[信頼できるルート証明書の管理(Manage Trusted Root Certificates)] をクリックします。 [信頼できるルート証明書の管理(Manage Trusted Root Certificates)] には、カスタムおよびシスコの信頼できるルート証明書が一覧表示されます。 |
|
ステップ 3 |
[信頼を上書き(Override Trust)] チェックボックスをオンにして信頼を上書きします。 |
|
ステップ 4 |
[送信(Submit)] をクリックします。 [信頼できるルート証明書の管理(Manage Trusted Root Certificates)] ページで、[証明書のダウンロード(Download Certificate)] をクリックして、ローカルマシンに証明書をダウンロードして保存できます。 |
|
ステップ 1 |
[ネットワーク(Network)] > [証明書(Certificates)] をクリックします。 |
|
ステップ 2 |
[信頼できるルート証明書の管理(Manage Trusted Root Certificates)] をクリックします。 [信頼できるルート証明書の管理(Manage Trusted Root Certificates)] にカスタム証明書がリストされます。 |
|
ステップ 3 |
カスタムの信頼できるルート証明書を削除するには、[削除(Delete)] をクリックします。 |
|
ステップ 4 |
[送信(Submit)] をクリックします。 |
Cisco Secure Email and Web Manager は、ユーザーの証明書が失効していないことを確認するために、証明書検証の一環として証明書失効リスト(CRL)と呼ばれる失効した証明書のリストを確認します。サーバー上でこのリストを最新のバージョンに保つ必要があります。Cisco Secure Email and Web Manager は、ユーザーが作成したスケジュールでこれをダウンロードします。リストは手動で更新することもできます。
関連項目
失効した証明書のリストのチェックを有効または無効にするように CRL ソースを設定できます。CRL ソースを追加、更新、および削除できます。
CRL ソースを設定するには、次の手順を実行します。
|
ステップ 1 |
[ネットワーク(Network)] > [CRLソース(CRL Sources)] をクリックします。 |
||||||||||||||||
|
ステップ 2 |
[CRLソースの追加(Add CRL Source)] をクリックして、新しい CRL ソースを追加します。 [CRL(証明書失効リスト)ソースの追加(Add CRL (Certificate Revocation Lists) Source)] ウィンドウが表示されます。 |
||||||||||||||||
|
ステップ 3 |
以下の表に記載される必須パラメータを入力して、Cisco Secure Email and Web Manager に CRL ソースを追加します。
|
||||||||||||||||
|
ステップ 4 |
変更を送信し、保存します。 |
CRL ソースを更新および削除できます。
CRL ソースを手動で更新するには、CRL ソースを選択して [更新(Update)] をクリックします。
CRL ソースを削除するには、CRL ソースを選択して削除アイコンをクリックします。すべての CRL ソースを削除するには、[すべてのCRLソースのクリア(Clear All CRL Sources)] をクリックします。
CRL ソースのグローバル設定を行って、次の接続の CRL チェックを有効または無効にできます。
インバウンド SMTP TLS
アウトバウンド SMTP TLS
Web インターフェイス
CRL ソースのグローバル設定を行うには、次の手順を実行します。
|
ステップ 1 |
[ネットワーク(Network)] > [CRLソース(CRL Sources)] をクリックします。 |
|
ステップ 2 |
[CRLソース(CRL Sources)] ウィンドウの [CRLソースのグローバル設定(Global Settings for CRL Sources)] セクションで [設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 3 |
提供されるオプションを有効または無効にするには、次のチェックボックスをオンまたはオフにします。
[グローバル設定(Global Settings)] チェックボックスをオンにして、すべてのオプションを有効にします。 |
|
ステップ 4 |
変更を送信し、保存します。 |
CLI を使用して CRL ソースを設定するには、certconfig > CRL サブコマンドを使用します。
このコマンドを実行すると、次の表に示す操作を実行できます。
|
サブコマンド |
目的 |
|---|---|
|
|
新しい CRL ソースを追加します。 |
|
|
既存の CRL ソースを変更します。 |
|
|
CRL ソースを削除します。 |
|
|
すべての CRL ソースを表示します。 |
|
|
CRL ソースを手動で更新します。 |
|
|
CRL ソースのグローバル設定を行います。次の接続の CRL チェックを有効または無効にできます。
|
例 1:
SETUP サブコマンドを使用して、次の例に示すように Web インターフェイスの CRL チェックを有効にできます。
mail3.example.com> certconfig
Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> CRL
Certificate Revocation List Summary
Inbound SMTP TLS: Disabled
Outbound SMTP TLS: Disabled
Web Interface: Disabled
There are currently 1 CRL sources configured.
Choose the operation you want to perform:
- NEW - Create a new CRL source
- EDIT - Modify a CRL source
- DELETE - Remove a CRL source
- PRINT - Display all CRL sources
- UPDATE - Manually update a CRL file
- SETUP - Change global settings
[]> setup
Do you want to enable CRL check for inbound SMTP TLS? [N]> n
Do you want to enable CRL check for outbound SMTP TLS? [N]> n
Do you want to enable CRL check for Web Interface? [N]> y
Certificate Revocation List Summary
Inbound SMTP TLS: Disabled
Outbound SMTP TLS: Disabled
Web Interface: Enabled
There are currently 1 CRL sources configured.
例 2:
PRINT サブコマンドを使用して、次の例に示すようにすべての CRL ソースを表示できます。
mail3.example.com> certconfig
Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> CRL
Certificate Revocation List Summary
Inbound SMTP TLS: Disabled
Outbound SMTP TLS: Disabled
Web Interface: Disabled
There are currently 1 CRL sources configured.
Choose the operation you want to perform:
- NEW - Create a new CRL source
- EDIT - Modify a CRL source
- DELETE - Remove a CRL source
- PRINT - Display all CRL sources
- UPDATE - Manually update a CRL file
- SETUP - Change global settings
[]> PRINT
Currently configured CRL sources (disabled sources are marked with *):
1. crl16: http://crl.example.com/certs.crl.pem
Certificate Revocation List Summary
Inbound SMTP TLS: Disabled
Outbound SMTP TLS: Disabled
Web Interface: Disabled
There are currently 1 CRL sources configured.
Choose the operation you want to perform:
- NEW - Create a new CRL source
- EDIT - Modify a CRL source
- DELETE - Remove a CRL source
- PRINT - Display all CRL sources
- UPDATE - Manually update a CRL file
- SETUP - Change global settings
Cisco Secure Email and Web Manager は、IDN ドメインを含む電子メールアドレスを持つメッセージを受信および配信できます。
現在、電子メールゲートウェイは次の言語の IDN ドメインのみをサポートしています。
インドの地域言語:ヒンディー語、タミル語、テルグ語、カンナダ語、マラーティ語、パンジャブ語、マラヤラム語、ベンガル語、グジャラート語、ウルドゥー語、アッサム語、ネパール語、バングラ語、ボド語、ドグリ語、カシミール語、コンカニ語、マイティリ語、マニプリ語、オリヤ語、サンスクリット語、サンタル語、シンド語、トゥル語。
ヨーロッパおよびアジアの言語:フランス語、ロシア語、日本語、ドイツ語、ウクライナ語、韓国語、スペイン語、イタリア語、中国語、オランダ語、タイ語、アラビア語、カザフ語。
関連項目
国際化ドメイン名(IDN)機能を使用する前に、次の前提条件を満たしていることを確認してください。
すべての着信メッセージには UTF-8 でエンコードされた IDN が必要です。
たとえば、電子メールゲートウェイにメッセージを送信する MTA は IDN をサポートし、メッセージ内のドメインが UTF-8 形式であることを確認する必要があります。
すべての発信メッセージには UTF-8 でエンコードされた IDN が必要であり、宛先サーバーはそれに応じて IDN を受け入れ、サポートする必要があります。
たとえば、電子メールゲートウェイからのメッセージを受け入れる MTA は UTF-8 形式でエンコードされた IDN とドメインをサポートする必要があります。
該当するすべての DNS レコードで、Punycode 形式を使用して IDN を設定する必要があります。
たとえば、IDN に MX レコードを設定する場合、DNS レコードのドメインは Punycode 形式である必要があります。
このリリースでは、Cisco Secure Email and Web Manager 内で IDN ドメインを使用して設定できるのは次の機能のみです。
SMTP ルートの設定:
IDN ドメインを追加または編集します。
IDN ドメインを使用して SMTP ルートをエクスポートまたはインポートします。
DNS の設定:IDN ドメインを使用して DNS サーバーを追加または編集します。
レポートの設定:IDN データ(ユーザー名、電子メールアドレス、ドメイン)をレポートに表示します。
メッセージトラッキングの設定:メッセージトラッキングに IDN データ(ユーザー名、電子メールアドレス、およびドメイン)を表示します。
ポリシー、ウイルス、およびアウトブレイク隔離の設定:
ウイルス対策エンジンによる判定に従って、マルウェアを送信する可能性のある IDN ドメインを含むメッセージを表示します。
スパムまたはマルウェアの可能性があるとアウトブレイクフィルタによって検出された IDN ドメインを含むメッセージを表示します。
メッセージフィルタ、コンテンツフィルタ、および DLP メッセージアクションによって検出された IDN ドメインを含むメッセージを表示します。
スパムの隔離の設定:
スパム、または疑いのあるスパムとして検出された IDN ドメインを含むメッセージを表示します。
IDN ドメインを含む電子メールアドレスをセーフリストとブロックリストのカテゴリに追加します。
エンドユーザー隔離:認証モードが NONE の IDN サポート。このフェーズでは、他の認証モードはサポートされていません。
完全修飾ドメイン名(FQDN)は、インターネット上の特定のコンピュータまたはホストの完全なドメイン名です。X.509 証明書の場合、FQDN 検証ではその証明書のサブジェクト識別名の共通名フィールド(CN)と dNSName タイプ(SAN:dNSName)の subjectAltName 拡張が検証されます。AsyncOS は、そのフィールド内の共通名と SAN:dNSName のドメイン名と証明書を検証します。SAN:dNSName 名を使用することを推奨します。有効な FQDN の例には、example.com、*.example.com などがあります。
FQDN 準拠の条件には次が含まれます。
CN または SAN:dNSName が証明書にあること。AsyncOS ではいずれかが FQDN に準拠している必要があります。
CN と SAN:dNSName の両方が証明書にあること。AsyncOS では、両方が FQDN に準拠している必要があります。
次のようなバリエーションがあります。
アプライアンス証明書の追加またはインポートを実行すると、Cisco Secure Email and Web Manager は、FQDN 検証が有効になっている場合、およびサーバーのピア証明書検証中に、証明書に対して FQDN 検証を実行します。詳細なログはすべて、Cisco Secure Email and Web Manager の system.current または gui.current ログファイルで追跡されます。ただし、Cisco Secure Email and Web manager では、共通名(CN)がなく、重要な拡張子のない代替サブジェクト名がある証明書をインポートすることはできません。
AsyncOS は、TLS などの SSL 設定ですべてのサービスの FQDN 検証を制御する共通の設定を提供します。ただし、FQDN サービスは手動で有効にする必要があります。
|
ステップ 1 |
[システム管理(System Administration)] > [SSL設定(SSL Configuration)] ページにアクセスします。 |
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 3 |
[ピア証明書のFQDN検証(Peer Certificate FQDN Validation)] に表示された [有効化(Enable)] チェックボックスをオンにします。 |
|
ステップ 4 |
[送信(Submit)] をクリックします。 |
ピア証明書の検証を実行するには、sslconfig コマンドを入力する必要があります。
|
prompt> sslconfig |
AsyncOS では、アプライアンスにカスタム認証局をインポートするときに FQDN 検証を実行できます。検証は手動で有効にする必要があります。
|
ステップ 1 |
CERTCONFIG > CERTAUTHORITY > CUSTOM > IMPORT コマンドを入力します。 |
|
ステップ 2 |
インポートするファイルの名前を入力します。 |
|
ステップ 3 |
FQDN を確認する場合は確定します。 |
AsyncOS では、アプライアンス証明書をアプライアンスにインポートするときに FQDN 検証を実行できます。検証は手動で有効にする必要があります。
|
ステップ 1 |
CERTCONFIG > CERTIFICATE > SETUP コマンドを入力します。 |
|
ステップ 2 |
中間証明書が必要な場合は入力します。 |
|
ステップ 3 |
FQDN を確認する場合は入力します。 |
X.509 は、公開キー証明書の形式を定義する国際電気通信連合(ITU)標準です。X.509 証明書は、デジタル署名を使用してアイデンティティを公開キーにバインドします。
X.509 準拠の基準は、ピア証明書に安全性の低い署名アルゴリズムまたは楕円曲線(EC)を含めないことです。
証明書を追加またはインポートすると、Cisco Secure Email and Web Manager は証明書の X.509 検証を実行します。サーバーのピア証明書の検証中に X.509 検証が有効になっている場合、Cisco Secure Email and Web Manager はピア証明書の X.509 検証を実行します。詳細なログは、Cisco Secure Email and Web Manager の system.current ログファイルで追跡されます。
関連項目
AsyncOS は、TLS 通信中に SSL 設定で、次のサービスのピア証明書の X.509 検証を制御するための共通の設定を提供します。
アウトバウンド SMTP
LDAP
アップデータ
TLS を介したアラート
Syslog サーバー(Syslog Server)
スマート ライセンシング サーバー
Security Services Exchange コネクタ
Security Services Exchange サーバー
ただし、アウトバウンド SMTP、LDAP、アップデータ、および TLS を介したアラートのピア証明書の X.509 検証を手動で有効にする必要があります。Syslog サーバー、スマート ライセンシング サーバー、Security Services Exchange コネクタ、および Security Services Exchange サーバーのピア証明書の X.509 検証は、デフォルトで実行されます。
Web インターフェイスまたは CLI を使用して、ピア証明書の X.509 検証を設定できます。
関連項目
|
ステップ 1 |
[システム管理(System Administration)] > [SSL設定(SSL Configuration)] に移動します。 [SSL設定(SSL Configuration)] ページが表示されます。 |
|
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
|
ステップ 3 |
[ピア証明書のX509検証(Peer Certificate X509 Validation)] に表示された [有効化(Enable)] チェックボックスをオンにします。 |
|
ステップ 4 |
[送信(Submit)] をクリックし、変更をコミットします。 |
sslconfig コマンドを使用して、ピア証明書を検証できます。
mail.example.com> sslconfig
Disabling SSLv3 is recommended for best security.
Note that the SSL/TLS service on remote servers may require that the selected TLS versions be sequential. So to avoid
communications errors, always select a contiguous set of versions for each service. For example, do not enable TLS 1.0
and 1.2, while leaving TLS 1.1 disabled.
Choose the operation you want to perform:
- VERSIONS - Enable or disable SSL/TLS versions
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, updater and LDAP.|
ステップ 1 |
CLI で |
|
ステップ 2 |
インポートするファイルの名前を入力します。 ファイルは検証なしでインポートされます。 |
|
ステップ 1 |
CLI で |
|
ステップ 2 |
受信、配信、HTTPS 管理アクセス、および LDAP に 1 つの証明書またはキーを使用する場合は、「Y」と入力します。 AsyncOS は、インポートされたアプライアンス証明書で X.509 検証を実行します。 |
(注) |
証明書の失効アラート システム証明書(インバウンド、アウトバウンド、HTTP、および LDAP)とカスタム CA 証明書の証明書の失効アラートを受信します。 アラートは system_logs に記録され、既存の証明書または新たに追加された証明書(システム証明書とカスタム CA 証明書)の期限切れまで 90 日になると、アラートメールが送信されます。アラートの送信間隔は、有効期限の 90、60、30、15、5、4、3、2、および 1 日前、有効期限日と期限切れ後にスケジュールされます。 |
一元管理(SPoG)機能を使用すると、単一のプライマリ Cisco Secure Email and Web Manager で Cisco Secure Email and Web Manager の詳細にアクセスできます。複数の Cisco Secure Email and Web Manager ユニットがプライマリ Cisco Secure Email and Web Manager ユニットに接続されていることを確認する必要があります。プライマリユニット上のセカンダリ Cisco Secure Email and Web Manager ユニットのモニタリング、トラッキング、検疫などの情報を表示できます。ただし、情報を表示するには、プライマリ Cisco Secure Email and Web Manager のコマンド ライン インターフェイスを使用して設定を有効にする必要があります。
はじめる前に
すべての Cisco Secure Email and Web Manager デバイスのバージョンが同じであることを確認します。
ドロップダウンを有効にして、プライマリ Cisco Secure Email and Web Manager ユニットで情報を収集するには、smaapplianceconfig コマンドを使用する必要があります。
設定を有効にすると、プライマリユニット内のセカンダリ Cisco Secure Email and Web Managers の詳細を表示できます。プライマリ Cisco Secure Email and Web Manager での SPoG による詳細表示 を参照してください。
(注) |
SPoG を有効または無効にすると、NGUI に同時にログインしているすべてのユーザーのセッションが無効になり、サーバーへの新しい要求によってログアウトされます。ユーザーは再度ログインする必要があります。 また、Cisco Secure Email and Web Manager が SPoG に追加されるか SPoG から削除され、現在同じ Cisco Secure Email and Web Manager の NGUI にログインしている場合は、JWT 検証のフローが変更されたため、ログアウトされます。 |
(注) |
ユーザーまたは認証関連の設定は、接続されているすべての SPoG 設定で同じである必要があります。 たとえば、プライマリ Cisco Secure Email and Web Manager に外部認証ユーザーとしてログインしようとしているとします。プライマリ Cisco Secure Email and Web Manager からセカンダリ Cisco Secure Email and Web Manager にアクセスするには、セカンダリ Cisco Secure Email and Web Manager で同じ外部認証設定を使用できる必要があります。 |
smaapplianceconfig コマンドを使用すると、次のことが可能になります。
次の例は、Cisco Secure Email and Web Manager を追加する方法を示しています。
vm21sma0061.cs21> smaapplianceconfig
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ====== ============= ========= ======== ===========
1 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
2 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> ADD
Enter the IP address or hostname of an appliance to transfer data with.
(A hostname may be entered in this field, however it will be immediately
resolved to an IP address when the form is submitted.)
[]> vm21sma0062.cs21
Enter a name to identify this appliance
[]> SMA0062
File transfer access via SSH is required to transfer reporting data, message logs, and quarantine safelist/blocklist data from appliances
Would you like to configure file transfer access for this appliance? [Y]>
Would you like to use a custom ssh port to connect to this appliance? [N]>
Enter the login credentials for an administrator or an operator account on the appliance. This will be used to obtain an SSH key for file transfers.
Username:
[]> admin
Passphrase:
[]>
Appliance 10.10.3.62 added.
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ======= ============= ========= ======== ===========
1 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
2 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
3 10.10.3.62 SMA0062 Yes Disabled Disabled Disabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]>
vm21sma0061.cs21> commit
Please enter some comments describing your changes:
[]> added vm21sma0062.cs21
Changes committed: Tue Apr 27 10:28:01 2021 GMT
vm21sma0061.cs21> smaapplianceconfig
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ======= ============= ========= ======== ===========
1 10.10.3.62 SMA0062 Yes Disabled Disabled Disabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.63 SMA63 Yes Disabled Enabled Enabled次の例は、セカンダリ Cisco Secure Email and Web Manager 接続パラメータを編集する方法を示しています。
vm21sma0061.cs21> smaapplianceconfig
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ======= ============= ========= ======== ===========
1 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
2 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
3 10.10.3.62 SMA0062 Yes Enabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> EDIT
Enter the name or number of the appliance you wish to edit.
[]> 3
Enter the IP address or hostname of an appliance to transfer data with.
(A hostname may be entered in this field, however it will be immediately
resolved to an IP address when the form is submitted.)
[10.10.3.62]>
Enter a name to identify this appliance
[SMA0062]> Tracking_SMA0062
File transfer access via SSH is required to transfer reporting data, message logs, and quarantine safelist/blocklist data from appliances
Would you like to configure file transfer access for this appliance? [Y]>
Would you like to use a custom ssh port to connect to this appliance? [N]>
Appliance 10.10.3.62 was edited
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ================ ============= ========= ======== ===========
1 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.62 Tracking_SMA0062 Yes Enabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> SERVICES
Enter the name or number of the appliance you wish to configure.
[]> 1
Services for appliance "SMA63" at address 10.10.3.63:
----------------------------------------------------------------------
Email Reporting service: Disabled
Email Tracking service: Enabled
Spam Quarantines service: Enabled
Would you like Email Reporting to be enabled on this appliance? [N]>
Would you like Email Tracking to be enabled on this appliance? [Y]>
Would you like Spam Quarantines to be enabled on this appliance? [Y]>
Services for appliance "SMA63" at address 10.10.3.63:
----------------------------------------------------------------------
Email Reporting service: Disabled
Email Tracking service: Enabled
Spam Quarantines service: Enabled
Enter the name or number of the appliance you wish to configure.
[]>
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ================ ============= ========= ======== ===========
1 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
2 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
3 10.10.3.62 Tracking_SMA0062 Yes Enabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> services
Enter the name or number of the appliance you wish to configure.
[]> 3
Services for appliance "Tracking_SMA0062" at address 10.10.3.62:
----------------------------------------------------------------------
Email Reporting service: Enabled
Email Tracking service: Enabled
Spam Quarantines service: Enabled
Would you like Email Reporting to be enabled on this appliance? [Y]> N
Would you like Email Tracking to be enabled on this appliance? [Y]>
Would you like Spam Quarantines to be enabled on this appliance? [Y]> N
Services for appliance "Tracking_SMA0062" at address 10.10.3.62:
----------------------------------------------------------------------
Email Reporting service: Disabled
Email Tracking service: Enabled
Spam Quarantines service: Disabled
Enter the name or number of the appliance you wish to configure.
[]>
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ================ ============= ========= ======== ===========
1 10.10.3.62 Tracking_SMA0062 Yes Disabled Enabled Disabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]>
vm21sma0061.cs21> commit
Please enter some comments describing your changes:
[]> use vm21sma0062.cs21 for tracking
Changes committed: Tue Apr 27 10:32:32 2021 GMT次の例は、Cisco Secure Email and Web Manager を削除する方法を示しています。
vm21sma0061.cs21> smaapplianceconfig
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ================ ============= ========= ======== ===========
1 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.62 Tracking_SMA0062 Yes Disabled Enabled Disabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> DELETE
Enter the name or number of the appliance you wish to delete.
[]> 3
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ====== ============= ========= ======== ===========
1 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
2 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]>
vm21sma0061.cs21> commit
Please enter some comments describing your changes:
[]> deleting Tracking_SMA0062
Changes committed: Tue Apr 27 10:37:12 2021 GMT
vm21sma0061.cs21>次の例は、Cisco Secure Email and Web Manager でサービスを有効にする方法を示しています。
vm21sma0061.cs21> smaapplianceconfig
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ======= ============= ========= ======== ===========
1 10.10.3.62 SMA0062 Yes Disabled Disabled Disabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]> SERVICES
Enter the name or number of the appliance you wish to configure.
[]> 1
Services for appliance "SMA0062" at address 10.10.3.62:
----------------------------------------------------------------------
Email Reporting service: Disabled
Email Tracking service: Disabled
Spam Quarantines service: Disabled
Would you like Email Reporting to be enabled on this appliance? [N]> Y
Would you like Email Tracking to be enabled on this appliance? [N]> Y
Would you like Spam Quarantines to be enabled on this appliance? [N]> Y
Services for appliance "SMA0062" at address 10.10.3.62:
----------------------------------------------------------------------
Email Reporting service: Enabled
Email Tracking service: Enabled
Spam Quarantines service: Enabled
Enter the name or number of the appliance you wish to configure.
[]>
Security Appliances:
Management
# IP Name Authenticated Email Email Spam
Reporting Tracking Quarantines
= =========== ======= ============= ========= ======== ===========
1 10.10.3.63 SMA63 Yes Disabled Enabled Enabled
2 10.10.3.165 SMA165 Yes Enabled Enabled Disabled
3 10.10.3.62 SMA0062 Yes Enabled Enabled Enabled
Choose the operation you want to perform:
- ADD - Add a new appliance.
- EDIT - Edit an appliance.
- DELETE - Remove an appliance.
- SERVICES - Configure the centralized services for an appliance.
[]>
vm21sma0061.cs21> commit
Please enter some comments describing your changes:
[]> anabled services on vm21sma0062.cs21
Changes committed: Tue Apr 27 10:29:17 2021 GMT
vm21sma0061.cs21>セカンダリユニットの詳細を表示するには、次の手順を実行する必要があります。
プライマリ Cisco Secure Email and Web Manager ユニットの [検疫(Quarantine)] ページに移動します。
[SMAを表示(View SMA)] ドロップダウンリストから、セカンダリ Cisco Secure Email and Web Manager を選択します。
選択したセカンダリ Cisco Secure Email and Web Manager に対応するデータを、プライマリユニットで表示できるようになりました。
smaapplianceconfig コマンドで services サブコマンドを使用して有効にした後、[トラッキング(Tracking)] および [モニターリング(Monitoring)] ページの両方で同じものを表示することもできます。
フィードバック