This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Cisco NAC Appliance - Clean Access Server イOL-16411-01-J
Cisco Clean Access 4.5-1 Installer (C) 2009 Cisco Systems, Inc.
Welcome to the Cisco Clean Access 4.5-1 Installer!
- To install a Cisco Clean Access device, press the <ENTER> key. - To install a Cisco Clean Access device over a serial console, enter serial at the boot prompt and press the <ENTER> key.
ます(または単 Enter キーを押します)。管理 VLAN タギングを有効にするには、Y と入力して Enter キーを押し、CAS の信頼できないインターフェイスで使用する管理 VLAN ID を指定します。
[Management Vlan Tagging] for egress packets of eth1 is disabled.Would you like to enable it? (y/n)? [n]
(注) 管理 VLAN ID をあとで変更するには、CAS の Web コンソール ページ [Network] > [IP] から
変更できます。しかし、CAS の [IP] ページで設定を変更するには、CAS のリブートが必要に
なります。
図 4-7 管理 VLAN ID タギングを使用した場合の eth1 出力パケット
ステップ 13 CAS のホスト名を指定します(デフォルトは nacserver)。プロンプトが表示されたら、アドレスを入
力して確認します。
Please enter the hostname [nacserver]: cas1You entered cas1 Is this correct? (y/n)? [y]
eth0
eth1VLANID
Clean AccessServer
VLANID
1840
95
eth0
eth1
Clean AccessServer
ID
ID
1840
96
4-15Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
OL-16411-01-J
第 4 章 CAS のインストール
初期設定の実行
ステップ 14 使用環境内の Domain Name System(DNS; ドメイン ネーム システム)サーバの IP アドレスを指定し
ます。プロンプトが表示されたら、アドレスを入力して確認します。
Please enter the IP address for the name server: []: 172.10.16.16You entered 172.10.16.16 Is this correct? (y/n)? [y]
ステップ 15 1 つの配置内の CAM および CAS は、共有秘密を使用して相互に認証します。共有秘密は、その配置
の内部パスワードとして使用されます。プロンプトが表示されたら、共有秘密を入力して確認します。
The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please remember to configure all Clean Access Devices with the same string.Only the first 8 characters supplied will be used.Please enter the shared secret between Clean Access Server and Clean Access Manager:
注意 同じ配置内の CAM とすべての CAS に、同じ共有秘密を設定しなければなりません。共有秘密が異
The timezone is currently not set on this system.Please identify a location so that time zone rules can be set correctly.Please select a continent or ocean. 1) Africa 2) Americas 3) Antarctica 4) Arctic Ocean 5) Asia 6) Atlantic Ocean 7) Australia 8) Europe 9) Indian Ocean10) Pacific Ocean11) none - I want to specify the time zone using the Posix TZ format.#? 2
b. 選択したタイムゾーンに対応する国を選択します。国のリストから該当する国(米国なら 45)を
選択し、Enter キーを押します。
Please select a country. 1) Anguilla 18) Ecuador 35) Paraguay 2) Antigua & Barbuda 19) El Salvador 36) Peru 3) Argentina 20) French Guiana 37) Puerto Rico 4) Aruba 21) Greenland 38) St Kitts & Nevis 5) Bahamas 22) Grenada 39) St Lucia 6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon 7) Belize 24) Guatemala 41) St Vincent 8) Bolivia 25) Guyana 42) Suriname 9) Brazil 26) Haiti 43) Trinidad & Tobago10) Canada 27) Honduras 44) Turks & Caicos Is11) Cayman Islands 28) Jamaica 45) United States
4-16Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Crawford County 7) Eastern Time - Indiana - Starke County 8) Eastern Time - Indiana - Switzerland County 9) Central Time10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties11) Central Time - Indiana - Pike County12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties13) Central Time - North Dakota - Oliver County14) Central Time - North Dakota - Morton County (except Mandan area)15) Mountain Time16) Mountain Time - south Idaho & east Oregon17) Mountain Time - Navajo18) Mountain Standard Time - Arizona19) Pacific Time20) Alaska Time21) Alaska Time - Alaska panhandle22) Alaska Time - Alaska panhandle neck23) Alaska Time - west Alaska24) Aleutian Islands25) Hawaii
d. 選択内容を確認するか(1 を入力)、または選択内容をキャンセルしてやり直します(2 を入力)。
Current date and time hh:mm:ss mm/dd/yy [11:23:33 08/22/08]: 11:23:33 08/22/08You entered 11:23:33 08/22/08 Is this correct? (y/n)? [y]
ステップ 18 Enter キーを押して、一時 SSL 証明書を設定します。証明書を使用すると、CAS と信頼できない(管
理対象)クライアント間のログイン交換が保護されます。証明書は次のように設定します。
a. 証明書を発行する IP アドレスまたはドメイン名を入力します。
(注) これは、Web サーバが応答する IP アドレスまたはドメイン名でもあります。ドメイン名に
対して DNS がまだ設定されていない場合は、CAS Web コンソールがロードされません。
サーバに DNS エントリを作成するか、CAS のアドレスを使用します。
4-17Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
OL-16411-01-J
第 4 章 CAS のインストール
初期設定の実行
b. 組織単位名には、組織の中のその証明書を管理するグループを入力します(test または engineering など)。
c. 組織名に証明書を受け取る組織または会社名を入力し(たとえば access)、Enter キーを押します。
d. その組織の法的所在地となっている市または郡の名前を入力し、Enter キーを押します。
e. その組織の所在地を表す 2 文字の州コード(CA または NY など)を入力し、Enter キーを押します。
f. 2 文字の国コード(たとえば US)を入力し、Enter キーを押します。
g. 入力した値の要約が表示されます。表示された値で間違いがなければ、Enter キーを押します。設
定し直す場合は、N を入力します。
You entered the following:Domain: mydomain.comOrganization unit: testOrganization name: accessCity name: My TownState code: CACountry code: USIs this correct? (y/n)? [y]
ていませんが、1o-9=OnE は有効なパスワードです。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』の「Administer the CAM」の
章の「Manage System Passwords」を参照してください。
For security reasons, it is highly recommended that you change the password for the root user.
** Please enter a valid password for root user as per the requirements below! **
Changing password for user root.
You can now choose the new password.
A valid password should be a mix of upper and lower case letters,digits, and other characters. Minimum of 8 characters and maximumof 16 characters with characters from all of these classes. Minimumof 2 characters from each of the four character classes is mandatory.An upper case letter that begins the password and a digit that endsit do not count towards the number of character classes used.
Enter new password:Re-type new password:passwd: all authentication tokens updated successfully.
ステップ 21 次に、CAS ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。
Please enter an appropriately secure password for the web console admin user.
4-18Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
(注) SSH 接続を通じて、バーチャル ゲートウェイ CAS のハイ アベイラビリティ(フェールオーバー)をテストするときに
は、service perfigo maintenance を使用して、サービス
を停止することができます。
service perfigo platform このコマンドを使用すると、CAS が標準の CAS アプライアンスな
のか、Cisco ISR ルータ シャーシに設置されている Cisco NAC ネッ
トワーク モジュールなのかを判別できます。出力では、プラット
フォーム設定として APPLIANCE または NME-NAC が表示されま
す。
詳細と設定情報については、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』および『Installing Cisco Network Modules in Cisco Access Routers』を参照してください。
service perfigo restart Clean Access のサービスをシャットダウンし、再起動します。この
有効にして設定する必要があります。表 4-2 に、Cisco NAC Profiler Collector サービス向けに CAS 上で実行される CLI コマンドの一覧を示します。Cisco NAC Profiler ソリューションの詳細は、『Cisco NAC Profiler Installation and Configuration Guide』および『Release Notes for Cisco NAC Profiler』を
参照してください。
(注) CAS 上の Collector のバージョンを表示するには、Collector サービスが稼動している CAS に SSH で接続し、rpm -q Collector と入力します。
service perfigo config コンフィギュレーション スクリプトを起動します。このスクリプト
で CAS コンフィギュレーションを変更できます。service perfigo
config が完了したら、CAS を再起動する必要があります。スクリ
プトの使用法については、「初期設定の実行」(P.4-11)を参照して
ください。
service perfigo time タイム ゾーンの設定値を変更する際に使用します。
表 4-1 CAS 用の Cisco NAC アプライアンスの CLI コマンド (続き)
コマンド 説明
表 4-2 CAS 用の Cisco NAC Profiler Collector CLI コマンド
コマンド 説明
service collector start CAS 上で Collector サービスを起動します。
service collector stop CAS 上で Collector サービスをシャットダウンします。
service collector verify CAS 上で稼動中の設定済みの Collector サービスを表示します。
Collector Network ConfigurationCollector Name = bcas1-fwConnection Type = serverListen on IP = 10.40.1.10Network IP ACL127.0.0.110.10.0.21110.10.0.21010.10.0.212Port Number = 31416Encryption type = AESShared secret = profiler
service collector status 次のように、CAS 上の個別の Collector モジュールの稼動状態を
表示します。
Profiler Status o Server Not Installed o Forwarder Running o NetMap Running o NetTrap Running o NetWatch Running o NetInquiry Running o NetRelay Running
4-22Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
service collector restart CAS 上で Collector サービスを停止し起動します。このコマンド
は、稼動中のサービスを再起動する場合に使用します。
service collector config Collector サービスの設定スクリプトを起動し、Cisco NAC Profiler Server との通信を可能します。次の例を参考にしてくだ
さい。
[root@caserver12 /]# service collector configEnable the NAC Collector (y/n) [y]: Configure NAC Collector (y/n) [y]: Network configuration to connect to a NAC Profiler Server Connection type (server/client) [client]: Connect to IP [127.0.0.1]: 192.168.96.20 Port number [31416]: Encryption type (AES, blowfish, none) [AES]: none Shared secret []: cisco1232-- Configured caserver12-fw-- Configured caserver12-nm-- Configured caserver12-nt-- Configured caserver12-nw-- Configured caserver12-ni-- Configured caserver12-nr
NAC Collector has been configured
インストールと設定の詳細は、『Cisco NAC Profiler Installation and Configuration Guide』を参照してください。
NIC ドライバがサポートされていない 詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』の「Troubleshooting Network Card Driver Support Issues」を参照してください。
CAS の設定のリセット
ネットワーク、共有秘密、または VLAN 設定が不正なために CAM から CAS に到達できない場合は、
CAS の設定をリセットできます。設定をリセットすると、CAS 設定がインストール時の状態に戻りま
す。インストール後に設定された設定値は失われます。
設定をリセットする手順は、次のとおりです。
ステップ 1 SSH を使用して CAS に接続します。
ステップ 2 env ファイルを削除します。
# rm /perfigo/access/bin/env
ステップ 3 次のコマンドを使用して、リブートします。
# service perfigo reboot
これで、CAM に CAS を追加できます。第 5 章「CAS の管理対象ネットワークの設定」を参照してく
ださい。
4-26Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド