Cisco IronPort AsyncOS 7.3 for Email 日常 管理ガイド

Cisco IronPort アプライアンスのシャットダウン

IronPort アプライアンスをシャットダウンするには、GUI の [System Administration] メニューで利用可能な [Shutdown/Suspend] ページを使用するか、CLI で s hutdown コマンドを使用します。図 8-1 に、[Shutdown/Suspend] ページを使用してアプライアンスをシャットダウンする方法を示します。

アプライアンスをシャットダウンすると、IronPort AsyncOS が終了し、アプライアンスの電源を安全にオフにできます。アプライアンスは、配信キューのメッセージを失わずに後で再起動できます。アプライアンスをシャットダウンする遅延値を入力する必要があります。デフォルトの遅延値は 30 秒です。IronPort AsyncOS では、その遅延値の間にオープンな接続が完了します。その遅延値を超えると、オープンな接続は強制的に閉じられます。

図 8-1 GUI によるアプライアンスのシャットダウン

Cisco IronPort アプライアンスのリブート

IronPort アプライアンスをリブートするには、GUI の [System Administration] メニューで利用可能な [Shutdown/Suspend] ページを使用するか、CLI で r eboot コマンドを使用します。図 8-2 に、[Shutdown/Suspend] ページを使用してアプライアンスをリブートする方法を示します。

アプライアンスをリブートすると、IronPort AsyncOS が再起動され、アプライアンスの電源を安全にオフにし、アプライアンスをリブートできます。アプライアンスをシャットダウンする遅延値を入力する必要があります。デフォルトの遅延値は 30 秒です。IronPort AsyncOS では、その遅延値の間にオープンな接続が完了します。その遅延値を超えると、オープンな接続は強制的に閉じられます。アプライアンスは、配信キュー内のメッセージを失わずに再起動できます。

図 8-2 GUI を使用したアプライアンスのリブート

IronPort アプライアンスをメンテナンス状態にする

システム メンテナンスを実行する場合は、Cisco IronPort アプライアンスをオフライン状態にする必要があります。 suspend コマンドと offline コマンドを実行すると、IronPort AsyncOS オペレーティング システムがオフライン状態になります。オフライン状態の特徴は次のとおりです。

• 着信電子メール接続が許可されません。

• 発信電子メール配信は停止されます。

• ログ転送が停止されます。

• CLI はアクセス可能のままになります。

アプライアンスがオフライン状態になる遅延値を入力する必要があります。デフォルトの遅延値は 30 秒です。IronPort AsyncOS では、その遅延値の間にオープンな接続が完了します。その遅延値を超えると、オープンな接続は強制的に閉じられます。オープンな接続がない場合は、すぐにオフライン状態になります。

（注） suspend コマンドと offline コマンドの違いは、suspend コマンドはマシンのリブート後でもその状態を保持することです。suspend コマンドを発行し、アプライアンスをリブートする場合は、resume コマンドを使用してシステムをオンライン状態に戻す必要があります。

GUI で [System Administration] > [Shutdown/Suspend] ページを使用して、アプライアンスでの電子メールの送受信を中断できます。アプライアンスに複数のリスナーが存在する場合は、個々のリスナーに対して電子メールの受信を中断および再開できます。電子メールの送受信を中断するために、[Commit] をクリックします。

図 8-3 に、電子メールの送受信が中断された電子メール セキュリティ アプライアンスの例を示します。

図 8-3 アプライアンスで中断された電子メールの処理

suspend コマンドと offline コマンド

オフライン状態からの再開

AsyncOS CLI で r esume コマンドを実行すると、IronPort AsyncOS オペレーティング システム（ suspenddel または suspend コマンドの使用後）が通常の動作状態に戻ります。

また、GUI で [System Administration] > [Shutdown/Suspend] ページを使用して、アプライアンスでの電子メールの送受信を再開できます。アプライアンスに複数のリスナーが存在する場合は、個々のリスナーに対して電子メールの受信を再開できます。電子メールの送受信を再開するために、[Commit] をクリックします。

resume コマンド

出荷時デフォルト値へのリセット

物理的にアプライアンスを移動したときに、出荷時デフォルト値に戻したい場合があります。[System Administration] > [Configuration File] ページの [Reset Configuration] セクションまたは r esetconfig コマンドを使用すると、 すべての IronPort AsyncOS の設定値が出荷時デフォルト値にリセットされます。このコマンドは非常に破壊的であるため、ユニットを移動する場合や、設定の問題を解決する最後の手段としてのみ使用してください。設定のリセット後にシステム設定ウィザードまたは systemsetup コマンドを実行することが推奨されます。

FIPS 準拠のアプライアンスの場合、HSM カードにある既存のすべての秘密キーは、そのペアの証明書が削除されるために孤立します。 resetconfig コマンドを実行する前に fipsconfig -> init コマンドを実行することが推奨されます。

（注） resetconfig コマンドは、アプライアンスがオフライン状態にあるときにのみ動作します。resetconfig コマンドが完了すると、systemsetup コマンドを再び実行する前であってもアプライアンスがオフライン状態に戻ります。resetconfig コマンドを実行する前に電子メールの送信が中断された場合は、resetconfig コマンドが完了したときに電子メールの送信が再試行されます。

警告 resetconfig コマンドを実行すると、すべてのネットワーク設定が出荷時デフォルト値に戻ります。場合によっては、CLI から切断され、アプライアンスに接続するために使用したサービス（FTP、Telnet、SSH、HTTP、HTTPS）がディセーブルにされ、userconfig コマンドで作成した追加のユーザ アカウントが削除されます。このコマンドは、シリアル インターフェイスを使用するか、またはデフォルトの Admin ユーザ アカウントから管理ポート上のデフォルト設定を使用して CLI に再接続できない場合は使用しないでください。

resetconfig コマンド

AsyncOS のバージョン情報の表示

Cisco IronPort アプライアンスに現在インストールされている AsyncOS のバージョンを確認するには、GUI の [Monitor] メニューから [System Overview] ページを使用するか（「[System Status]」を参照）、CLI で version コマンドを使用します。

テクニカル サポート

[System Administration] メニューの [Technical Support] セクションには、[Support Request] と [Remote Access] の 2 つのページが含まれます。

リモート アクセス

IronPort アプライアンスへの IronPort カスタマー サポート リモート アクセスを許可するには、[Remote Access] ページを使用します。

図 8-4 [Remote Access] ページ

リモート アクセスをイネーブルにすると、デバッグとシステムへの一般的なアクセスのための、IronPort カスタマー サポートにより使用される特別なアカウントが有効になります。これは、IronPort カスタマー サポートにより、顧客がシステムを設定したり、設定を理解したり、障害レポートを調査したりするのを支援するために使用されます。また、CLI で techsupport コマンドを使用することもできます。

「セキュアなトンネル」の使用をイネーブルにすると、アプライアンスにより指定済みポートを介してサーバ upgrades.ironport.com への SSH トンネルが作成されます。デフォルトでは、この接続はポート 25 を介します（システムでは電子メール メッセージを送信するためにこのポートを介して一般的なアクセスが必要になるため、このポートの使用はほとんどの環境で問題ありません）。 upgrades.ironport.com への接続が確立されたら、IronPort カスタマー サポートは SSH トンネルを使用してアプライアンスへのアクセスを取得できます。ポート 25 を介した接続が許可される限り、ほとんどのファイアウォールの制限は適用されません。また、CLI で techsupport tunnel コマンドを使用することもできます。

「リモート アクセス」と「トンネル」の両方のモードでは、パスワードが必要です。これはシステムにアクセスするために使用されるパスワード ではない ことを理解することが重要です。パスワードとシステムのシリアル番号がカスタマー サポート担当者に提供された後で、プライアンスにアクセスするために使用されるパスワードが生成されます。

techsupport トンネルがイネーブルになると、 upgrades.ironport.com に 7 日間接続されたままになります。7 日間後に、確立された接続は切断されませんが、いったん切断されるとトンネルに再接続できません。SSH トンネル接続に設定されたタイムアウトはリモート アクセス アカウントに適用されません。リモート アクセス アカウントは特に非アクティブ化するまではアクティブです。

サポート要求

[Help] > [Support Request] ページまたは supportrequest コマンド（ supportrequest コマンドの詳細については、『 Cisco IronPort AsyncOS CLI Reference Guide 』 を参照してください）を使用すると、アプライアンスの設定を IronPort カスタマー サポート チームや追加ユーザに電子メールで送信したり、サポートが必要な問題に関するコメントを入力したりできます。このコマンドを使用するには、アプライアンスがインターネットに電子メールを送信できる必要があります。

図 8-5 [Support Request] ページ

ステップ 1 連絡先情報（名前、電子メール アドレス、電話番号など）を入力します。

ステップ 2 問題の内容を入力します。

ステップ 3 デフォルトでは、サポート要求（コンフィギュレーション ファイルを含む）は IronPort カスタマー サポートに送信されます（フォーム上部のチェックボックスを使用）。また、他の電子メール アドレス（複数のアドレスはカンマで区切ります）にコンフィギュレーション ファイルを電子メールで送信することもできます。

ステップ 4 この問題に関するカスタマー サポート チケットをすでに持っている場合は、それを入力してください。

ステップ 5 [Send] をクリックします。

ステップ 6 トラブル チケットが作成されます。詳細については、「IronPort Customer Support」を参照してください。

パケット キャプチャ

場合によっては、問題発生時に IronPort カスタマー サポートに問い合わせたときに、電子メール セキュリティ アプライアンスとのネットワーク状況について尋ねられることがあります。アプライアンスでは、アプライアンスが接続されたネットワークで送受信されている TCP/IP と他のパケットを傍受および表示できます。

パケット キャプチャを実行すると、ネットワーク設定をデバッグしたり、アプライアンスに到達しているネットワーク トラフィックやアプライアンスから送信されているネットワーク トラフィックを確認したりできます。

アプライアンスはキャプチャされたパケットの状態をファイルに保存し、ファイルをローカルで保持します。パケット キャプチャ ファイルの最大サイズ、パケット キャプチャの実行時間、およびキャプチャを実行するネットワーク インターフェイスを設定できます。また、フィルタを使用して、特定のポートからのトラフィックや特定のクライアントまたはサーバの IP アドレスからのトラフィックにパケット キャプチャを制限することもできます。

GUI の [Support and Help] > [Packet Capture] ページには、ハード ドライブに格納された完全なパケット キャプチャ ファイルの一覧が表示されます。パケット キャプチャが実行されている場合、[Packet Capture] ページには、実行中のキャプチャのステータス（ファイル サイズや経過時間などの現在の統計情報）が表示されます。

パケット キャプチャ ファイルは [Download File] ボタンを使用してダウンロードし、デバッグやトラブルシューティングのために IronPort カスタマー サポートに電子メールで送信できます。また、1 つまたは複数のファイルを選択し、[Delete Selected Files] をクリックすることにより、パケット キャプチャ ファイルを削除することもできます。

CLI で、 packetcapture コマンドを使用します。

図 8-6 に、GUI の [Packet Capture] ページを示します。

図 8-6 [Packet Capture] ページ

（注） パケット キャプチャ機能は UNIX の tcpdump コマンドに似ています。

パケット キャプチャの開始

CLI でパケット キャプチャを開始するには、 packetcapture > start コマンドを実行します。実行されているパケット キャプチャを停止する必要がある場合は、 packetcapture > stop コマンドを実行します。アプライアンスで、セッション終了時にパケット キャプチャが停止します。

GUI でパケット キャプチャを開始するには、[Support and Help] メニューの [Packet Capture] オプションを選択し、[Start Capture] をクリックします。実行されているキャプチャを停止するには、[Stop Capture] をクリックします。GUI で開始されたキャプチャはセッション間で維持されます。

（注） GUI に表示されるのは GUI で開始されたパケット キャプチャだけで、CLI で開始されたパケット キャプチャは表示されません。同様に、CLI には CLI で開始された現在のパケット キャプチャのステータスだけが表示されます。キャプチャは一度に 1 つだけ実行できます。

パケット キャプチャ設定の編集

CLI でパケット キャプチャ設定を編集するには、 packetcapture > setup コマンドを実行します。

GUI でパケット キャプチャ設定を編集するには、[Support and Help] メニューの [Packet Capture] オプションを選択し、[Edit Settings] をクリックします。

表 8-1 に、設定可能なパケット キャプチャの項目を示します。

AsyncOS は新しいパケット キャプチャ設定を使用します（これらを送信後）。変更を保存する必要はありません。

図 8-7 に、GUI でパケット キャプチャ設定を編集する例を示します。

図 8-7 [Edit Packet Capture Settings] ページ

機能キーの使用

場合によっては、サポート チームが、システムで特定の機能をイネーブルにするキーを提供することがあります。GUI で [System Administration] > [Feature Keys] ページ（または CLI で featurekey コマンド）を使用し、キーを入力して、関連付けられた機能をイネーブルにします。

キーはアプライアンスのシリアル番号とイネーブルにされる機能に固有です（あるシステムのキーを別のシステムで再使用することはできません）。キーを間違って入力した場合は、エラー メッセージが生成されます。

機能キーの機能は [Feature Keys] と [Feature Key Settings] の 2 つのページに分割されます。

[Feature Keys] ページ

GUI にログインし、[System Administration] タブをクリックします（GUI へのアクセス方法については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Overview」の章を参照してください）。左側のメニューの [Feature Keys] リンクをクリックします。[Feature Keys] ページの内容は次のとおりです。

• アプライアンスのすべてのアクティブな機能キーが表示されます。

• アクティベーション待ちのすべての機能キーが表示されます。

• 発行された新しいキーを検索できます（これは任意であり、キーをインストールすることもできます）。

現在イネーブルな機能の一覧が表示されます。[Pending Activation] セクションは、アプライアンスに対して発行され、まだアクティベートされていない機能キーの一覧です。設定に応じてアプライアンスが新しいキーを定期的に確認することがあります。[Check for New Keys] ボタンをクリックすると、待機状態のキーの一覧が更新されます。

機能キーの設定

[Feature Key Settings] ページは、新しい機能キーを確認およびダウンロードするかどうかや、これらのキーを自動的にアクティベートするかどうかを制御するために使用します。

図 8-8 [Feature Key Settings] ページ

図 8-9 [Feature Keys] ページ

新しい機能キーを手動で追加するには、[Feature Key] フィールドにキーを貼り付けるか、または入力し、[Submit Key] をクリックします。機能が追加されない場合は、エラー メッセージが表示されます（キーが正しくない場合など）。それ以外の場合は、機能キーが画面に追加されます。

[Pending Activation] 一覧の新しい機能キーをアクティベートするには、そのキーを選択し（[Select] チェックボックスをオンにします）、[Activate Selected Keys] をクリックします。

新しいキーが発行されたときにキーを自動的にダウンロードおよびインストールするよう IronPort アプライアンスを設定できます。この場合、[Pending Activation] 一覧は常に空白になります。[Feature Key Settings] ページで自動確認をディセーブルにした場合であっても、[Check for New Keys] ボタンをクリックすることにより、新しいキーを検索するよう AsyncOS にいつでも指示できます。

期限切れ機能キー

（GUI から）アクセスしようとしている機能の機能キーの有効期限が切れている場合は、IronPort 担当者またはサポート組織までご連絡ください。

ユーザの管理

GUI にログインし、[System Administration] メニューで [Users] を選択します。

図 8-10 [Users] ページ

[Users] ページには、システムの既存のユーザが一覧（ユーザ名、氏名、およびユーザ タイプまたはグループを含む）で表示されます。

[Users] ページからは、次の操作が行えます。

• 新しいユーザの追加

• ユーザの削除

• ユーザの編集（admin ユーザのパスワードの変更を含む）

また、ユーザを認証するために LDAP または RADIUS ディレクトリを使用するようアプライアンスをイネーブルにすることもできます。詳細については、「外部認証」を参照してください。

ユーザの追加

ユーザを追加するには、次の手順を実行します。

図 8-11 ユーザの追加

ステップ 2 ユーザの名前を入力します。一部の単語（「operator」や「root」など）は予約されています。

ステップ 3 ユーザの氏名を入力します。

ステップ 4 ユーザ タイプを選択します（ユーザ タイプの詳細については、 表 8-2 を参照してください）。

ステップ 5 パスワードを入力し、パスワードを再入力します。パスワードは、6 文字以上にする必要があります。

ステップ 6 変更を送信し、保存します。

ユーザの編集

ユーザを編集（パスワードの変更など）するには、次の手順を実行します。

ステップ 1 [Users] 一覧でユーザの名前をクリックします。[Edit User] ページが表示されます。

ステップ 2 ユーザに対して変更を行います。

ステップ 3 変更を送信し、保存します。

ユーザの削除

ユーザを削除するには、次の手順を実行します。

ステップ 1 [Users] 一覧でユーザの名前に対応するゴミ箱のアイコンをクリックします。

ステップ 2 表示される警告ダイアログで [Delete] をクリックして削除を確認します。

ステップ 3 変更を保存します。

パスワードの変更

ユーザは GUI の上部にある [Options] > [Change Password] リンクを使用して自分のパスワードを変更できます。

古いパスワードを入力し、次に新しいパスワードを入力して確認のためにそのパスワードを再入力します。[Submit] をクリックします。ログアウトされ、画面にログが表示されます。

複数のユーザをサポートする追加コマンド：who、whoami、last

次に、アプライアンスへの複数ユーザ アクセスをサポートするコマンドを示します。

• w ho コマンドは、CLI からシステムにログインしたすべてのユーザ、ログイン時間、アイドル時間、およびユーザがログインしたリモート ホストを一覧表示します。

• w hoami コマンドは、現在ログインしているユーザのユーザ名および氏名と、ユーザが属しているグループを表示します。

• l ast コマンドは、アプライアンスに最近ログインしていたユーザを表示します。また、リモート ホストの IP アドレス、ログイン時間、ログアウト時間、および合計時間も表示されます。

外部認証

ネットワークの LDAP または RADIUS ディレクトリにユーザ情報を保存する場合は、外部ディレクトリを使用してアプライアンスにログインするユーザを認証するよう IronPort アプライアンスを設定できます。認証のために外部ディレクトリを使用するようアプライアンスを設定するには、GUI で [System Administration] > [Users] ページを使用するか、CLI で userconfig コマンドと external サブコマンドを使用します。

外部認証がイネーブルであり、ユーザが電子メール セキュリティ アプライアンスにログインすると、アプライアンスは最初に、ユーザがシステム定義の「admin」アカウントであるかどうかを確認します。ユーザがシステム定義の「admin」アカウントでない場合、アプライアンスは最初に設定された外部サーバをチェックしてユーザがそこで定義されたかどうかを確認します。アプライアンスが最初の外部サーバに接続できなければ、アプライアンスは一覧の次の外部サーバをチェックします。

LDAP サーバの場合は、ユーザが外部サーバで認証に失敗すると、アプライアンスは電子メール セキュリティ アプライアンスで定義されたローカル ユーザとしてユーザを認証しようとします。そのユーザが外部サーバまたはアプライアンスに存在しない場合、またはユーザが間違ったパスワードを入力した場合は、アプライアンスへのアクセスが拒否されます。

外部 RADIUS サーバに接続できなければ、一覧の次のサーバが試行されます。すべてのサーバに接続できない場合、アプライアンスは電子メール セキュリティ アプライアンスで定義されたローカル ユーザとしてユーザを認証しようとします。ただし、外部 RADIUS サーバが何らかの理由（パスワード間違いやユーザ未登録など）でユーザを拒否すると、アプライアンスへのアクセスは拒否されます。

図 8-12 外部認証の確立

LDAP 認証のイネーブル化

ユーザを認証するために LDAP ディレクトリを使用する以外に、LDAP グループを IronPort ユーザ ロールに割り当てることができます。たとえば、IT グループのユーザを Administrator ユーザ ロールに割り当てたり、Support グループのユーザを Help Desk User ロールに割り当てたりできます。ユーザが異なるユーザ ロールを持つ複数の LDAP グループに属する場合は、AsyncOS がユーザに最も制限されたロールの権限を割り当てます。たとえば、ユーザが Operator 権限を持つグループと Help Desk User 権限を持つグループに属する場合、AsyncOS はユーザに Help Desk User ロールの権限を割り当てます。

（注） 外部ユーザが LDAP グループのユーザ ロールを変更する場合、外部ユーザはアプライアンスからログアウトし、再びログインする必要があります。このユーザは新しいロールの権限を持ちます。

LDAP を使用して外部認証をイネーブルにする前に、LDAP サーバ プロファイルと LDAP サーバの外部認証クエリーを定義します。詳細については、『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』の「LDAP Queries」の章を参照してください。

LDAP を使用して外部認証をイネーブルにするには、次の手順を実行します。

ステップ 1 [System Administration] > [Users] ページで、[Enable] をクリックします。[Edit External Authentication] ページが表示されます。

ステップ 2 [Enable External Authentication] チェックボックスをオンにします。

ステップ 3 認証タイプとして LDAP を選択します。

図 8-13 LDAP を使用した外部認証のイネーブル化

ステップ 4 Web ユーザ インターフェイスで、外部認証クレデンシャルを保存する時間を入力します。

ステップ 5 ユーザを認証する LDAP 外部認証クエリーを選択します。

ステップ 6 タイムアウトするまでアプライアンスがサーバからの応答を待つ時間を秒単位で入力します。

ステップ 7 アプライアンスで認証する LDAP ディレクトリからのグループ名を入力し、グループのユーザに対するロールを選択します。

ステップ 8 また、[Add Row] をクリックして別のディレクトリ グループを追加することもできます。アプライアンスが認証する各ディレクトリ グループに対してステップ 7 とステップ 8 を繰り返します。

ステップ 9 変更を送信し、保存します。

RADIUS 認証のイネーブル化

ユーザを認証するために RADIUS ディレクトリを使用し、ユーザのグループを IronPort ロールに割り当てることもできます。RADIUS サーバは CLASS 属性をサポートする必要があります（AsyncOS は RADIUS ディレクトリのユーザを IronPort ユーザ ロールに割り当てるために CLASS 属性を使用します）。AsyncOS は、RADIUS サーバと通信するために Password Authentication Protocol（PAP; パスワード認証プロトコル）と Challenge Handshake Authentication Protocol（CHAP; チャレンジ ハンドシェイク認証プロトコル）の 2 つの認証プロトコルをサポートします。

RADIUS ユーザを IronPort ユーザ ロールに割り当てるには、最初に RADIUS サーバで <radius-group> という文字列値を使用して CLASS 属性を設定します（これは IronPort ユーザ ロールにマップされます）。CLASS 属性には文字、数字、およびダッシュを含めることができますが、先頭にダッシュを使用することはできません。AsyncOS は CLASS 属性で複数の値をサポートしません。CLASS 属性またはマップされていない CLASS 属性がないグループに属する RADIUS ユーザはアプライアンスにログインできません。

アプライアンスが RADIUS サーバと通信できない場合、ユーザはアプライアンスのローカル ユーザ アカウントでログインできます。

（注） 外部ユーザが RADIUS グループのユーザ ロールを変更する場合、外部ユーザはアプライアンスからログアウトし、再びログインする必要があります。このユーザは新しいロールの権限を持ちます。

RADIUS を使用して外部認証をイネーブルにするには、次の手順を実行します。

ステップ 1 [System Administration] > [Users] ページで、[Enable] をクリックします。[Edit External Authentication] ページが表示されます。

ステップ 2 [Enable External Authentication] チェックボックスをオンにします。

ステップ 3 認証タイプとして RADIUS を選択します。

図 8-14 RADIUS を使用した外部認証のイネーブル化

ステップ 4 RADIUS サーバのホスト名を入力します。

ステップ 5 RADIUS サーバのポート番号を入力します。デフォルトのポート番号は 1812 です。

ステップ 6 RADIUS サーバの共有秘密パスワードを入力します。

（注） IronPort アプライアンスのクラスタに対して外部認証をイネーブルにするには、クラスタ内のすべてのアプライアンスで同じ共有秘密パスワードを入力します。

ステップ 7 タイムアウトするまでアプライアンスがサーバからの応答を待つ時間を秒単位で入力します。

ステップ 8 RADIUS 認証として PAP を使用するか、CHAP を使用するかを選択します。

ステップ 9 また、[Add Row] をクリックして別の RADIUS サーバを追加することもできます。認証のためにアプライアンスで使用する各 RADIUS サーバに対してステップ 6 とステップ 7 を繰り返します。

ステップ 10 Web ユーザ インターフェイスで、外部認証クレデンシャルを保存する時間を入力します。

ステップ 11 RADIUS ユーザのグループを IronPort ロールにマップするかどうか、またはすべての RADIUS ユーザに Administrator ロールを割り当てるかどうかを選択します。RADIUS グループを IronPort ロールにマップすることを推奨します。

ステップ 12 RADIUS グループを IronPort ロールにマップすることを選択した場合は、グループの RADIUS CLASS 属性を入力し、その CLASS 属性を持つユーザのロールを選択します。

ステップ 13 また、[Add Row] をクリックして別のグループを追加することもできます。アプライアンスが認証するユーザの各グループに対してステップ 12 とステップ 13 を繰り返します。

ステップ 14 変更を送信し、保存します。

XML コンフィギュレーション ファイルを使用した複数のアプライアンスの管理

• ある Cisco IronPort アプライアンスから既存のコンフィギュレーション ファイルをダウンロードし、変更を行い、別のアプライアンスにアップロードできます。これにより、複数の IronPort アプライアンスのインストールを簡単に管理できるようになります。現時点では、コンフィギュレーション ファイルを C/X-Series アプライアンスから M-Series アプライアンスにロードできません。

• ある Cisco IronPort からダウンロードされた既存のコンフィギュレーション ファイルを複数のサブセクションに分割できます。（複数のアプライアンス環境の）すべてのアプライアンスで共通するこれらのセクションを変更し、サブセクションの更新時にこれらのセクションを他のアプライアンスにロードできます。

たとえば、Global Unsubscribe コマンドをテストするためにテスト環境でアプライアンスを使用できます。グローバル配信停止リストを適切に設定した場合は、テスト アプライアンスのグローバル配信停止設定セクションをすべての実稼動アプライアンスにロードできます。

GUI を使用したコンフィギュレーション ファイルの管理

GUI を使用して IronPort アプライアンスでコンフィギュレーション ファイルを管理するには、[System Administration] タブの [Configuration File] リンクをクリックします。

[Configuration File] ページには次の 3 つのセクションがあります。

• [Current Configuration]：現在のコンフィギュレーション ファイルを保存およびエクスポートするために使用します。

• [Load Configuration]：コンフィギュレーション ファイルの全体または一部をロードするために使用します。

• [Reset Configuration]：現在の設定を出荷時デフォルト値にリセットするために使用します（リセット前に設定を保存する必要があります）。

現在のコンフィギュレーション ファイルの保存およびエクスポート

[System Administration] > [Configuration File] ページの [Current Configuration] のセクションを使用すると、現在のコンフィギュレーション ファイルを、ローカル マシンに保存したり、アプライアンスで保存したり（FTP/SCP ルートの configuration ディレクトリに保存されます）、指定されたアドレスに電子メールで送信したりできます。

図 8-15 現在のコンフィギュレーション ファイル

チェックボックスをクリックすることにより、ユーザのパスワードをマスクできます。パスワードをマスクすると、元の暗号化されたパスワードが、エクスポートまたは保存されたファイルで「*****」に置き換えられます。ただし、パスワードがマスクされたコンフィギュレーション ファイルを AsyncOS に再びロードすることはできないことに注意してください。

コンフィギュレーション ファイルのロード

[System Administration] > [Configuration File] ページの [Load Configuration] のセクションを使用して新しい設定情報を Cisco IronPort アプライアンスにロードします。情報は次の 3 つのいずれかの方法でロードできます。

• configuration ディレクトリに情報を格納し、アップロードする。

• コンフィギュレーション ファイルをローカル マシンから直接アップロードする。

• GUI に設定情報を直接貼り付ける。

パスワードがマスクされたコンフィギュレーション ファイルはロードできません。

図 8-16 コンフィギュレーション ファイルのロード

どの方法の場合でも、設定の上部に次のタグを含める必要があります。

</config> 閉じタグは設定情報の後に指定する必要があります。XML 構文の値は、IronPort アプライアンスの configuration ディレクトリにある Document Type Definition（DTD）を使用して解析および検証されます。DTD ファイルの名前は config.dtd です。 loadconfig コマンドを使用したときにコマンド ラインで検証エラーが報告された場合、変更はロードされません。コンフィギュレーション ファイルをアップロードする前に、アプライアンスの外部で DTD をダウンロードし、コンフィギュレーション ファイルを検証できます。

いずれの方法の場合でも、コンフィギュレーション ファイル全体（最上位のタグである <config></config> 間で定義された情報）またはコンフィギュレーション ファイルの complete および unique サブセクション（上記の宣言タグが含まれ、 <config></config> タグ内に存在する場合）をインポートできます。

「complete」とは、DTD で定義されたサブセクションの開始タグおよび終了タグ全体が含まれることを意味します。たとえば、次の内容をアップロードまたは解析します。

この場合は、アップロード中に検証エラーが発生します。ただし、

この場合は、検証エラーが発生しません。

「unique」とは、アップロードまたは貼り付けられるコンフィギュレーション ファイルのサブセクションが、設定として多義的でないことを意味します。たとえば、システムは 1 つのホスト名しか持つことができないため、次の内容（宣言と <config></config> タグを含む）をアップロードすることは可能です。

ただし、システムでは複数のリスナーを定義できるため（リスナーごとに異なる受信者アクセス テーブルが定義されます）、

上記の内容だけをアップロードすることは多義的と見なされ、「完全」な構文であっても許可されません。

警告 コンフィギュレーション ファイルまたはコンフィギュレーション ファイルのサブセクションをアップロードまたは解析する場合は、待機中の可能性がある、保存されていない変更が破棄されることがあります。

空白タグと省略されたタグ

コンフィギュレーション ファイルのセクションをアップロードまたは解析する場合は注意が必要です。タグを含めないと、コンフィギュレーション ファイルのアップロード時に設定の値が変更されません。ただし、空白タグを含めると、設定の問題が解消されます。

たとえば、

上記の内容をアップロードすると、システムからすべてのリスナーが削除されます。

警告 コンフィギュレーション ファイルのサブセクションをアップロードしたり、貼り付けたりした場合、GUI または CLI から切断され、大量の設定データが破壊されることがあります。別のプロトコル、シリアル インターフェイス、または管理ポートのデフォルト設定を使用してアプライアンスに再接続できない場合は、このコマンドでサービスをディセーブルにしないでください。また、DTD で定義された設定構文がよくわからない場合は、このコマンドを使用しないでください。新しいコンフィギュレーション ファイルをアップロードする前に、必ず設定データをバックアップしてください。

ログ サブスクリプションのパスワードのロードについての注意事項

パスワードが必要なログ サブスクリプションを含むコンフィギュレーション ファイルをロードしようとしても（たとえば、FTP プッシュを使用）、 loadconfig コマンドは不明なパスワードについて警告しません。FTP プッシュが失敗し、 logconfig コマンドを使用して正しいパスワードを設定するまで警告が生成されます。

文字セット エンコーディングについての注意事項

XML コンフィギュレーション ファイルの「encoding」属性は、ファイルをオフラインで操作するために使用している文字セットに関係なく、「 ISO-8859-1 」である必要があります。 showconfig コマンド、 saveconfig コマンド、または mailconfig コマンドを発行するたびにエンコーディング属性がファイルで指定されることに注意してください。

現時点では、このエンコーディングを持つコンフィギュレーション ファイルだけをロードできます。

現在の設定のリセット

現在の設定をリセットすると、IronPort アプライアンスが元の出荷時デフォルト値に戻ります。リセットする前に設定を保存する必要があります。GUI でこのボタンを使用して設定をリセットすることは、クラスタリング環境ではサポートされていません。

図 8-17 コンフィギュレーション ファイルのリセット

「出荷時デフォルト値へのリセット」を参照してください。

コンフィギュレーション ファイル用の CLI コマンド

次のコマンドを使用すると、コンフィギュレーション ファイルを操作できます。

• showconfig

• mailconfig

• saveconfig

• loadconfig

• resetconfig （「出荷時デフォルト値へのリセット」を参照）

showconfig、mailconfig、および saveconfig コマンド

コンフィギュレーション コマンドの showconfig 、 mailconfig 、および saveconfig の場合は、電子メールで送信されるファイルまたは表示されるファイルにパスワードを含めるかどうか選択することを求められます。パスワードを含めないことを選択すると、パスワード フィールドが空白のままになります。セキュリティの問題を心配する場合は、パスワードを含めないことを選択できます。ただし、 loadconfig コマンドを使用してロードされた場合、パスワードがないコンフィギュレーション ファイルは失敗します。「ログ サブスクリプションのパスワードのロードについての注意事項」を参照してください。

（注） パスワードを含めることを選択した場合（「Do you want to include passwords?」に「yes」と回答します）にコンフィギュレーション ファイルを保存、表示、または電子メールで送信するとき、パスワードは暗号化されます。ただし、秘密キーと証明書は暗号化されない PEM 形式で含められます。

s howconfig コマンドは現在の設定を画面に出力します。

m ailconfig コマンドを使用して現在の設定をユーザに電子メールで送信します。メッセージには config.xml という名前の XML 形式のコンフィギュレーション ファイルが添付されます。

s aveconfig コマンドは、一意のファイル名を使用してコンフィギュレーション ファイルを configuration ディレクトリに保存します。

loadconfig コマンド

Cisco IronPort アプライアンスに新しい設定情報をロードするには l oadconfig を使用します。情報は次の 2 つのいずれかの方法でロードできます。

ステップ 1 configuration ディレクトリに情報を格納し、アップロードする。

ステップ 2 CLI に設定情報を直接貼り付ける。

詳細については、「コンフィギュレーション ファイルのロード」を参照してください。

CLI を使用した設定変更のアップロード

ステップ 1 CLI の外部で、アプライアンスの configuration ディレクトリにアクセスできることを確認します。詳細については、 Appendix A, "Accessing the Appliance" を参照してください。

ステップ 2 コンフィギュレーション ファイル全体またはコンフィギュレーション ファイルのサブセクションをアプライアンスの configuration ディレクトリに格納するか、 saveconfig コマンドで作成した既存の設定を編集します。

ステップ 3 CLI 内で、 loadconfig コマンドを使用して、ステップ 2 で示されたディレクトリに格納したコンフィギュレーション ファイルをロードするか、テキスト（XML 構文）を CLI に直接貼り付けます。

この例では、 changed.config.xml という名前のファイルがアップロードされ、変更が保存されます。

この例では、新しいコンフィギュレーション ファイルをコマンド ラインに直接貼り付けます（空白行で Ctrl+D を押すと貼り付けコマンドが終了します）。次に、システム設定ウィザードを使用して、デフォルトのホスト名、IP アドレス、およびデフォルトのゲートウェイ情報を変更します（詳細については、『 Cisco IronPort AsyncOS for Email Configuration Guide 』の「Setup and Installation」を参照してください）。最後に、変更を保存します。

SSH1 のディセーブル化

SSH1 をディセーブル（またはイネーブル）にするには、 sshconfig コマンドの setup サブコマンドを使用します。

リモート SSH コマンド実行

CLI では、リモート SSH コマンド実行を使用してコマンドを実行できます。コマンドの一覧については、『 Cisco IronPort AsyncOS for Email Advanced Configuration Guide 』の付録 A「AsyncOS Quick Reference Guide」を参照してください。たとえば、IronPort アプライアンスで admin アカウントに対して SSH 公開キーが設定されている場合は、チャレンジされないリモート ホストから次のコマンドを実行できます。