Cisco Identity Services Engine リリース 2.2 リリース ノート
Table of Contents
Cisco Identity Services Engine リリース 2.2 リリース ノート
内部ユーザおよび管理ユーザのパスワードのディクショナリ チェック
Cisco ISE-NAD 通信を保護する RADIUS IPSec セキュリティ
Enrollment Over Secure Transport のサポート
Microsoft Active Directory のサポート
Cisco Secure ACS から Cisco ISE への移行
Cisco ISE リリース 2.2 でサポートされていない機能
Cisco ISE のインストール ファイル、更新、およびクライアント リソース
Download Software サイトからの Cisco ISE ダウンロード
Cisco ISE リリース 2.2.0.470 パッチの更新
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 14
Cisco ISE バージョン 2.2.0.470 の新機能:累積パッチ 13
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 13
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 12
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 11
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 10
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 9
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 8
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 7
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 6
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 5
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 4
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 3
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 2
[セキュリティ設定(Security Settings)] ページの機能拡張
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 2
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 1
目次
これらのリリース ノートは、製品のハードウェアとソフトウェア リリースに含まれている Cisco ISE ドキュメントを補足するもので、次のトピックについて説明します。
- はじめに
- Cisco ISE リリース 2.2 の新機能
- システム要件
- Cisco ISE ソフトウェアのインストール
- リリース 2.2 へのアップグレード
- Cisco Secure ACS から Cisco ISE への移行
- 既知の制限事項
- Cisco ISE リリース 2.2 でサポートされていない機能
- Cisco ISE ライセンス情報
- 展開用語、ノード タイプ、およびペルソナ
- Cisco ISE と相互運用するための CA の要件
- Cisco ISE のインストール ファイル、更新、およびクライアント リソース
- Bug Search Tool の使用
- Cisco ISE リリース 2.2.0.470 パッチの更新
- Cisco ISE リリース 2.2 未解決の不具合
- 解決済みの警告
- マニュアルの更新
- 関連資料
はじめに
Cisco ISE プラットフォームは、包括的な次世代の、コンテキストに基づいたアクセス制御ソリューションです。認証されたネットワーク アクセス、プロファイリング、ポスチャ、BYOD デバイス オンボーディング(ネイティブ サプリカントと証明書のプロビジョニング)、ゲスト管理、デバイス管理(TACACS+)、およびセキュリティ グループ アクセス サービスに加え、単一の物理および仮想アプライアンスでのモニタリング、レポート、トラブルシューティング機能を備えています。Cisco ISE は、異なるパフォーマンス特性を持つ 2 台の物理アプライアンス上で、および VMware サーバで実行可能なソフトウェアとしても使用できます。展開環境にアプライアンスを追加してパフォーマンス、拡張性、および復元力を実現できます。
Cisco ISE は、スタンドアロンおよび分散展開をサポートする拡張性の高いアーキテクチャを使用しますが、設定および管理は一元化されています。また、別個のペルソナとサービスの設定や管理も可能です。この機能を使用すると、ネットワーク内で必要なサービスを作成して適用することができますが、Cisco ISE 展開環境は完全な統合システムとしても機能します。
(注
) ISE 2.2 パッチ 5 を適用する前に、現在の展開環境内の既存のホット パッチをロールバックすることを強くお勧めします。
(注) 投稿後に問題が検出されたため、ISE 2.2 パッチ 4 をリコールしました。更新されたパッチ ファイルが再投稿され、新しいファイル名は ise-patchbundle-2.2.0.470-Patch4-221755.SPA.x86_64.tar.gz になります。以前投稿したパッチをすでにインストールしている場合は、そのパッチをアンインストールして、新しいパッチをインストールする必要があります。
(注) 投稿後に問題が検出されたため、ISE 2.2 パッチ 6 をリコールしました。更新されたパッチ ファイルが再投稿され、新しいファイル名は ise-patchbundle-2.2.0.470-Patch6-232642.SPA.x86_64.tar.gz になります。以前投稿したパッチをすでにインストールしている場合は、そのパッチをアンインストールして、新しいパッチをインストールする必要があります。
(注) Cisco ISE 2.2 でサポートされている機能の詳細については、『CiscoIdentity Services Engine Administrator Guide, Release 2.2』を参照してください。
| ISE コミュニティに 参加 して、リソースを参照し、質問を投稿し、ディスカッションに参加しましょう。 ISE 製品マニュアル 、 ISE の概要 、 YouTube ビデオ 、 機能と統合のデモ 、 トレーニング リソース を参照してください。 ISE コミュニティ リソースで提供される例やスクリーンショットは、以前のリリースの Cisco ISE のものである可能性があります。新しい機能、追加機能、更新については、GUI を確認してください。 |
Cisco ISE リリース 2.2 の新機能
- エンドポイントの異常な動作の検出機能
- ACS から ISE への移行ツールの機能拡張
- 認証 VLAN DHCP と DNS サービスの機能拡張
- コンテキストの可視性の機能拡張
- 暗号化バインド TLV のサポート
- カスタム ユーザ属性
- ダイヤルイン属性のサポート
- 内部ユーザおよび管理ユーザのパスワードのディクショナリ チェック
- ポスチャ ポリシーのエンドポイント ID グループ
- ゲストの機能拡張
- API の JSON サポート
- ネットワーク条件
- ネットワーク デバイス グループ階層
- OTP トークンのキャッシング
- ポスチャの機能拡張
- pxGrid の機能拡張
- RADIUS DTLS
- Cisco ISE-NAD 通信を保護する RADIUS IPSec セキュリティ
- RADIUS 共有秘密の最小長
- サービス性機能強化
- セッション トレース テスト ケース
- Smart Call Home の機能拡張
- EAP-TLS のステートレス セッション再開のサポート
- Enrollment Over Secure Transport のサポート
- Microsoft Hyper-V 仮想マシンのサポート
- 複数の TrustSec マトリックスのサポート
- DEFCON マトリックスのサポート
- MySQL のサポート
- TC-NAC の機能拡張
- TrustSec-ACI 統合の機能拡張
- ワイヤレス設定
- Active Directory の検索の変更
エンドポイントの異常な動作の検出機能
Cisco ISE は MAC アドレス スプーフィングに関与しているエンドポイントを検出して MAC アドレスの不正使用からネットワークを保護し、疑わしいエンドポイントの権限を制限できます。[プロファイラ設定(Profiler Configuration)] ページには次のオプションがあります。
- [異常な動作の検出を有効にする(Enable Anomalous Behavior Detection)]:Cisco ISE はデータをプローブし、既存のデータに対するすべての矛盾をチェックします。矛盾が見つかった場合、 AnomalousBehavior 属性が true に設定され、対応するエンドポイントが [コンテキストの可視性(Context Visibility)] ページに表示されます。
- [異常な動作の適用を有効にする(Enable Anomalous Behavior Enforcement)]:異常な動作が検出されると CoA が発行されます。疑わしいエンドポイントは、[プロファイラ設定(Profiler Configuration)] ページで設定された認証ルールに基づいて再認証されます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ACS から ISE への移行ツールの機能拡張
- RADIUS または TACACS ベースの設定の移行:RADIUS または TACACS に固有のオブジェクトを移行できます。Cisco Secure ACS の展開に TACACS または RADIUS の設定のみが含まれている場合は、このオプションを選択できます。
- 選択的オブジェクトの移行:移行ツールを使用すると、ディクショナリなどの高レベルの設定コンポーネントを Cisco Secure ACS から Cisco ISE に移行するように選択できます。サポートされているすべての構成コンポーネントを移行するか、または要件に基づいて構成コンポーネントのリストから高レベルの設定コンポーネントの一部を選択できます。
- オブジェクト名の特殊文字:ACS のデータ オブジェクトの名前に Cisco ISE でサポートされていない特殊文字が含まれている場合、移行ツールはサポートされていない特殊文字をアンダースコア(_)に変換し、データ オブジェクトを Cisco ISE に移行します。自動変換されたデータ オブジェクトは、エクスポート レポートに警告として表示されます。ただし、LDAP/AD 属性、RSA、RSA レルム プロンプト、内部ユーザ名、または事前定義された参照データに Cisco ISE でサポートされていない特殊文字が含まれている場合、エクスポート プロセスは失敗します。
- 拡張ヘルプ:移行ツールの UI で、[ヘルプ(Help)] > [移行ツールの使用法(Migration Tool Usage)] を選択し、移行ツールで使用可能なオプションの詳細を表示します。
詳細については、『 User Guide for Cisco Secure ACS to Cisco ISE Migration Tool, Release 2.2 』を参照してください。
認証 VLAN DHCP と DNS サービスの機能拡張
DHCP サービスを設定すると、認証 VLAN に接続するクライアントに固有の DHCP オプションを割り当てることもできます。定義する各範囲に複数の DHCP オプションを追加できます。ドロップダウン リストで選択できるオプションは、RFC 2132 で定義されています。カスタマイズしたオプションを追加するには、ドロップダウン リストから [カスタム(Custom)] を選択します。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
暗号化バインド TLV のサポート
EAP ピアと EAP サーバが PEAP 認証の内部および外部 EAP 認証に参加する場合、暗号化バインド TLV オプションを有効にできます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
カスタム ユーザ属性
[ユーザカスタム属性(User Custom Attributes)] ページで、カスタム属性に対し次のデータ型を選択できます。
- [String 型(String)]:最大文字列の長さを指定できます。
- [Integer 型(Integer)]:最小値と最大値の範囲を設定できます。
- [Enum 型(Enum)]:内部値および表示値を指定できます。デフォルト パラメータを指定することもできます。ネットワーク アクセスまたは管理者ユーザの追加または編集時に、[表示(Display)] フィールドに追加する値が表示されます。
- 浮動小数点数(Float)
- パスワード(Password):最大文字列の長さを指定できます。
- Long:最小値と最大値の範囲を設定できます。
- [IP]:デフォルトの IPv4 または IPv6 アドレスを指定できます。
- [ブール型(Boolean)]:True または False をデフォルト値として設定できます。
- [日付(Date)]:カレンダーから日付を選択し、デフォルト値として設定できます。日付は yyyy-mm-dd 形式で表示されます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ダイヤルイン属性のサポート
Cisco ISE は、認証またはクエリ中にユーザのダイヤルイン アクセス権をチェックするダイヤルイン チェックをサポートします。チェックの結果は、RADIUS 応答でデバイスに返されます。
内部ユーザおよび管理ユーザのパスワードのディクショナリ チェック
内部ユーザと管理ユーザのパスワードを設定するときに、パスワードにディクショナリの単語またはその文字を逆の順序で含めることができるかどうかを選択できます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ポスチャ ポリシーのエンドポイント ID グループ
エンドポイント ID グループに基づいて、ポスチャ ポリシーを作成することができます。エンドポイント ID グループは、[ポスチャポリシー(Posture Policy)] ページの [ID グループ(Identity Groups)] 列に表示されます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ゲストの機能拡張
- ワンクリック ゲスト アカウント認証:承認を必要とするアカウント登録ゲストは、承認要求電子メールのリンクをクリックすることで、スポンサーの承認を受けることができます。
- カスタム ポータル ファイル アップロード:ISE にファイルをアップロードし、ポータルで使用できます。
- ディレクトリ属性は、スポンサー グループ メンバーシップを決定するために使用できます。Active Directory、LDAP、SAML、および ODBC の各属性がサポートされます。
- 自動タイムゾーン:Cisco ISE は、ゲスト アカウントの作成時にスポンサー ポータルのブラウザのタイムゾーンを使用します。スポンサーがアカウントを作成すると、そのタイムゾーンのデフォルトの時間が作成されます。サイトのタイムゾーンを作成する必要があります。
- [アカウントの管理(Manage Accounts)] ページで列を追加、削除、サイズ変更、並べ替えできるようになりました。電話番号でリストを検索することもできます。[作成日(Creation Date)] 列も追加されました。
- スポンサーにパスワードを非表示:ゲストに通知する際にゲストのパスワードがスポンサーに表示されないようにできます。パスワードはゲストに送信されます。
- 保留中のアカウントへのスポンサーのアクセス:Active Directory および LDAP では、すべてまたはスポンサーのアカウントのみへのアクセスがサポートされるようになりました。
- スポンサーのゲスト クレデンシャルの自動送信:電子メール通知を自動的に送信できます。スポンサーは、[通知(Notify)] ボタンをクリックする必要はありません。
- アカウント インポートでのパスワードのサポート:Cisco ISE では、CSV ファイルを使用してユーザ アカウントの詳細をインポートするときに、アカウント パスワードを設定できるようになりました
- ホットスポット CoA:ホットスポット ポータルで使用される CoA タイプを選択できるようになりました。
- ERS API で、ゲスト タイプとスポンサー グループの作成、およびアカウント パスワードの設定がサポートされるようになりました。
- ポータルの背景画像:ポータルの [カスタマイズ(Customization)] ページで、ポータルに背景画像を追加できます。
- Cisco ISE では、ゲストおよび BYOD フロー用に Apple Captive Network Assistant(CNA)ミニブラウザを使用できるようになりました。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ネットワーク条件
各ネットワーク条件は、オブジェクトのリストを定義します。このリストはポリシー条件に含めることができ、これにより、要求で示される定義と照合される定義セットになります。条件で使用する演算子は、match(示されている値がネットワーク条件の少なくとも 1 つのエントリと一致する必要がある場合)、または no matches(ネットワーク条件に存在するオブジェクト セット内のいずれのエントリにも一致しない必要がある場合)のいずれかになります。
名前の付いたネットワーク条件を作成すると、その名前を参照して、さまざまな規則およびポリシーでその条件を何度でも再利用できます。
次のネットワーク条件を作成してネットワークへのアクセスを制限することができます。
- エンドステーション ネットワーク条件(Endstation Network Conditions):接続が開始および終了されるエンドステーションに基づきます。
- デバイス ネットワーク条件(Device Network Conditions):要求を処理する AAA クライアントに基づきます。
- [デバイス ポート ネットワーク条件(Device Port Network Conditions)]:デバイスの IP アドレス、名前、NDG、およびポート(エンドポイントが接続しているデバイスの物理ポート)に基づきます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ネットワーク デバイス グループ階層
ツリー ビューやフラット テーブル ビューでデバイス グループ階層を表示できます。ツリー ビューで、ルート ノードはツリーの最上位に表示され、子グループが階層順序で次に続きます。各ルート グループに属するすべてのデバイスを表示するには、[すべて展開(Expand All)] をクリックします。ルート グループだけを表示するには、[すべて折りたたむ(Collapse All)] をクリックします。
フラット テーブル ビューでは、各デバイス グループの階層が [グループ階層(Group Hierarchy)] 列に表示されます。
また、各子グループに割り当てられたネットワーク デバイスの数を確認できます。そのデバイス グループに割り当てられているすべてのネットワーク デバイスを一覧表示する、[ネットワーク デバイス(Network Devices)] ウィンドウを起動するには、この番号付きリンクをクリックしてください。デバイス グループに追加デバイスを追加したり、別のデバイス グループに既存のデバイスを移動できます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
OTP トークンのキャッシング
RADIUS トークン サーバまたは RSA ID ソースを設定するときに、RADIUS トークン サーバによる最初の認証が成功した後に、Cisco ISE でパスコードをキャッシュに保存する場合は、パスコードのキャッシングを有効にできます。Cisco ISE は、後続の認証が設定された期間内に行われる場合、それらの認証にキャッシュされたユーザ クレデンシャルを使用します。
パスコードをキャッシュ内に保存する必要がある秒数を [エージング タイム(Aging Time)] フィールドに入力します。この期間内にユーザは同じパスコードで複数回の認証を行うことができます。
(注) EAP-FAST-GTC などの、パスコードの暗号化をサポートするプロトコルを使用する場合にのみこのオプションを有効にすることを強く推奨します。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ポスチャの機能拡張
- ファイアウォール条件により、特定のファイアウォール製品がエンドポイントで稼働しているかどうかがチェックされます。初回ポスチャと定期的再評価(PRA)の実行中にポリシーを適用できます。
- エンドポイントにインストールされているアプリケーションに対するアプリケーションの可視性の条件クエリ。これにより、エンドポイントにインストールされているソフトウェアの全体的な可視性が改善されます。
- AnyConnect クライアントのプロビジョニングとポスチャ検出では、CoA と URL のリダイレクションは必須ではありません。このフローは、オン/オフ プレミス、サードパーティの NAD、および Cisco NAD に対してシームレスです。URL リダイレクションを使用しない場合は、ISE PSN に直接接続できます。これにより、リダイレクションをサポートするために Cisco NAD に依存する必要がなくなります。また、ディスカバリを行わずに、オンボーディング プロセスが迅速化されます。
(注) 初めて AnyConnect エージェントをダウンロードする場合にのみ、プロビジョニング URL を入力するか、セカンダリ認証(オンプレミス)を実行する必要があります。
- Cisco ISE ポスチャ ポリシーをモニタおよび適用するための、ステルス モードでの AnyConnect エージェントの展開をサポートします。
- クライアントレス モードで AnyConnect を設定できます。
- ユニーク ID(UDID)属性を使用するエンドポイント コンテキストの可視性。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「 Client Provisioning Without URL Redirection for Different Networks 」セクションを参照してください。
pxGrid の機能拡張
- [管理(Administration)] > [pxGrid サービス(pxGrid Services)] > [証明書(Certificates)] ページから pxGrid 証明書を生成できます。プライマリ管理ノードから pxGrid 証明書を生成できます。次のオプションを使用できます。
- Base ライセンスを使用して pxGrid を有効にできますが、pxGrid ペルソナを有効にするには Plus ライセンスが必要です。
- ハイ アベイラビリティの設定では、[pxGrid サービス(pxGrid Services)] ページを調べ、pxGrid ノードが現在アクティブであるか、スタンバイ状態であるかを確認できます。
- セッション トピックの IPv6 フィルタリングのサポート。
- [pxGrid の設定(pxGrid Settings )] ページで [テスト(Test)] オプションを使用して、pxGrid ノードでヘルス チェックを実行します。pxgrid/pxgrid-test.log ファイルで詳細を確認できます。
- UTF-8 および追加の属性の pxGrid のサポート。
RADIUS DTLS
RADIUS 認証に RADIUS DTLS プロトコルを使用できます。RADIUS DTLS は DTLS トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。
Cisco ISE-NAD 通信を保護する RADIUS IPSec セキュリティ
Cisco ISE は、ネットワーク アクセス デバイス(NAD)との通信を保護するために、RADIUS IPsec プロトコルをサポートしています。Cisco ISE は、トンネル モードまたはトランスポート モードで IPsec をサポートしています。IPsec は、GigabitEthernet 1 ~ GigabitEthernet 5 インターフェイスで有効にすることができます。IPsec は PSN あたり 1 つの Cisco ISE インターフェイスでのみ設定できます。
(注) Gig0 は管理インターフェイスで、IPsec は Gig0 上でサポートされません。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
RADIUS 共有秘密の最小長
共有秘密鍵の長さは、[デバイスのセキュリティ設定(Device Security Settings)] ページの [RADIUS 共有秘密鍵の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定された値と同等以上である必要があります([管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] > [デバイス セキュリティ設定(Device Security Settings)])。
RADIUS サーバでのベスト プラクティスは、22 文字にすることです。新規インストールとアップグレードした展開の場合、デフォルトではこの値は 4 文字であることに注意してください。この値は [デバイス セキュリティ設定(Device Security Settings)] ページで変更できます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
サービス性機能強化
- show cpu usage コマンドの機能拡張:show cpu usage コマンドの出力に、いくつかの Cisco ISE 機能が含まれ、CPU 使用率のパーセンテージが示されるようになりました。詳細については、『 Cisco Identity Services Engine CLI Reference Guide 』を参照してください。
- このリリースには、ISE カウンタと主要パフォーマンス測定指標レポートが導入されています。
Cisco ISE はさまざまな属性のデータを収集し、これらの属性のしきい値を一覧表示する ISE カウンタ レポートを提供します。この情報を使用して、キャパシティ プランニングと Cisco ISE の問題のデバッグを行うことができます。これらの属性の値をしきい値に対して確認できます。また、特定の属性が増加している場合は、この情報を展開環境の問題と関連付けて、考えられる原因を特定できます。
主要パフォーマンス測定指標レポートは、展開環境内の各 PSN によって処理された RADIUS 要求の数、各サーバの平均および最大負荷、要求ごとの平均遅延、1 秒あたりの平均トランザクション数に関する情報を提供します。詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
セッション トレース テスト ケース
このツールでは、予測できる方法でポリシー フローをテストし、実際のトラフィックを実際のデバイスから発信することなく、ポリシーの設定方法を確認、検証できます。テスト ケースで使用する属性と値のリストを設定できます。この詳細情報を使用して、ポリシー システムとのやりとりが行われ、実行時のポリシー呼び出しがシミュレートされます。属性はディクショナリを使用して設定できます。[属性(Attributes)] フィールドに、単純な RADIUS 認証で使用可能なディクショナリがすべて示されます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
Smart Call Home の機能拡張
Cisco ISE は、サテライトまたは Transport Gateway をサポートしています。組織のセキュリティ ポリシーがネットワークの ISE サーバと Smart Call Home(SCH)サーバ間の通信を許可しない場合、SCH 通信のプロキシとして機能するオプションの Transport Gateway を使用できます。Transport Gateway ソフトウェアは Cisco.com からダウンロードでき、Linux サーバにインストールして維持することができます。RHEL サーバでの Transport Gateway ソフトウェアの導入方法については、『Smart Call Home Deployment Guide』を参照してください。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
EAP-TLS のステートレス セッション再開のサポート
EAP-TLS プロトコルの設定中に、EAP-TLS セッションのステートレス セッションの再開を有効にできます。Cisco ISE では RFC 5077 で記述されているセッション チケット拡張もサポートされます。Cisco ISE はチケットを作成して EAP-TLS クライアントにそのチケットを送信します。クライアントはセッションを再開するためにそのチケットを ISE に提示します。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
Enrollment Over Secure Transport のサポート
Cisco ISE は、SCEP プロトコルの後継である Enrollment Over Secure Transport(EST)プロトコルをサポートするようになりました。EST は、安全性が高く堅牢な方法で証明書のプロビジョニングを処理します。Cisco ISE CA は、BYOD フローを介して接続するデバイスに ECC ベースの証明書をプロビジョニングできるようになりました。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
Microsoft Hyper-V 仮想マシンのサポート
Cisco ISE は Microsoft Hyper-V サーバにインストールできます。詳細については、『 Cisco Identity Services Engine Installation Guide, Release 2.2 』を参照してください。
複数の TrustSec マトリックスのサポート
Cisco ISE では、さまざまなシナリオで複数のポリシー マトリックスを作成できます。これらのマトリックスを使用して、さまざまなネットワーク デバイスに異なるポリシーを展開できます。詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
DEFCON マトリックスのサポート
DEFCONS マトリックスは、ネットワーク セキュリティ侵害の発生時に簡単に展開できるスタンバイ ポリシー マトリックスです。
重大度レベル [重大(Critical)]、[深刻(Severe)]、[実質的(Substantial)]、および [適度(Moderate)] の DEFCON マトリックスを作成できます。
DEFCON マトリックスがアクティブになると、対応する DEFCON ポリシーがすべての TrustSec ネットワーク デバイスにすぐに展開されます。ネットワーク デバイスから DEFCON ポリシーを削除するには、非アクティブ化オプションを使用できます。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
MySQL のサポート
MySQL データベースは、ODBC ID ソースとして使用できます。詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
TC-NAC の機能拡張
- このリリースの Cisco ISE では、Cisco Threat Analytics(CTA)、Rapid7 Nexpose、および Tenable Security Center(Nessus スキャナ)アダプタとの統合がサポートされています。
- FireAMP アダプタの機能拡張:
– サブスクライブするイベント ソースを選択できます。[AMP イベントのみ(AMP events only)]、[CTA イベントのみ(CTA events only)]、および [CTA と AMP のイベント(CTA and AMP events)] のオプションを使用できます。
– 詳細設定の変更またはアダプタの再設定時に、AMP クラウドに新しいイベントが追加されている場合、これらのイベントも [イベント リスト(Events Listing)] ページに表示されます。
– アダプタ用のログ レベルを選択できます。選択可能なオプションは、[エラー(Error)]、[情報(Info)]、[デバッグ(Debug)] です。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
TrustSec-ACI 統合の機能拡張
Cisco ISE では次のアダプタがサポートされています。
[ポリシープレーン(Policy Plane)]:Cisco ISE が SGT、EPG、および SXP 情報を交換するために APIC データセンターだけとやりとりするようにするには、このオプションを選択します。
[データ プレーン(Data Plane)]:このオプションを選択すると、TrustSec ネットワークと APIC 制御ネットワーク間で接続する ASR デバイスに対し、SGT と EPG 以外に追加情報が提供されます。これらの ASR デバイスには、SGT から EPG および EPG から SGT への変換のための変換テーブルが含まれている必要があります。
(注) [データ プレーン(Data Plane)] オプションを選択した場合、SXP マッピングは ACI に伝播されません。
詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』を参照してください。
ワイヤレス設定
ISE Wireless Setup では、802.1 X、ゲスト、BYOD などの一般的なワイヤレスの使用例を迅速にセットアップする非常に直感的なワークフローを提供します。数個の手順を実行するだけで、設定ワークフローでは、稼働しているエンドツーエンドのフローに対して ISE とシスコ ワイヤレス コントローラの両方を設定できます。
Wireless Setup は、新規のインストールでのみサポートされています。以前のリリースから Cisco ISE 2.2 にアップグレードする場合、またはバックアップから ISE を復元する場合、[Wireless Setup] メニューは表示されません。
(注) Cisco Identity Services Engine リリース 2.2 累積パッチ 2 で Wireless Setup 機能はデフォルトで無効になっています。
(注) ISE Wireless Setup はベータ ソフトウェアです。実稼働ネットワークでは ISE Wireless Setup を使用しないでください。
Active Directory の検索の変更
ユーザ識別の精度を向上させるために、このパッチでは、Active Directory の検索に使用する属性が SAM と CN から SAM だけに変更されています。\
属性を前のデフォルトに戻すことができます。手順については、不具合 CSCvf21978 の [詳細な問題の説明(Further Problem Description)] フィールドを参照してください。
システム要件
(注) Cisco ISE ハードウェア プラットフォームおよびインストールの詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 2.2』を参照してください。
サポート対象ハードウェア
Cisco ISE ソフトウェアは、インストール用のアプライアンスまたはイメージを使用してパッケージ化されています。Cisco ISE リリース 2.2 は、次のプラットフォームで出荷されます。インストール後、 表 1 に記載されているプラットフォームで、特定のコンポーネント ペルソナ(管理、ポリシー サービス、モニタリング、pxGrid)を使用して Cisco ISE を設定できます。
| アプライアンス ハードウェア仕様については、『 Cisco Identity Services Engine Hardware Installation Guide 2.4 』を参照してください。 |
||
| アプライアンス ハードウェア仕様については、『 Cisco Identity Services Engine Hardware Installation Guide 2.4 』を参照してください。 |
||
ESXi 5. x (5.1 U2 以降は RHEL 7 をサポート)、6. x Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V (注) ESXi 5.x サーバに Cisco ISE をインストールまたはアップグレードしている場合に、ゲスト OS として RHEL 7 をサポートするには、VMware のハードウェア バージョンを 9 以降にアップデートしてください。RHEL 7 は、VMware のハードウェア バージョン 9 以降でサポートされます。 |
(注) レガシー ACS および NAC アプライアンス(Cisco ISE 3300 シリーズを含む)は Cisco ISE リリース 2.0 以降ではサポートされていません。
FIPS モードのサポート
Cisco ISE は、組み込みの FIPS 140-2 検証済み暗号化モジュール、Cisco FIPS オブジェクト モジュール バージョン 6.0(証明書 #2505)を使用します。FIPS コンプライアンスの要求の詳細については、『 FIPS Compliance Letter 』を参照してください。
サポートされる仮想環境
Cisco ISE は次の仮想環境プラットフォームをサポートしています。
- VMware ESXi 5. x (5.1 U2 以降は RHEL 7 をサポート) 、6. x
- Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V
- RHEL 7.0 の KVM
(注) ESXi 5.x サーバに Cisco ISE をインストールまたはアップグレードしている場合に、ゲスト OS として RHEL 7 をサポートするには、VMware のハードウェア バージョンを 9 以降にアップデートしてください。RHEL 7 は、VMware のハードウェア バージョン 9 以降でサポートされます。
サポートされるブラウザ
管理者ポータルでサポートされているブラウザは次のとおりです。
(注) Chrome 65.0.3325.189 を使用すると、[印刷プレビュー(print preview)] セクションでゲスト アカウントの詳細を表示できない場合があります。
Internet Explorer 10. x を使用する場合は、TLS 1.1 と TLS 1.2 をイネーブルにし、SSL 3.0 と TLS 1.0 をディセーブルにします([インターネット オプション(Internet Options)] > [詳細設定(Advanced)])。
Microsoft Active Directory のサポート
Cisco ISE リリース 2.2 は、すべての機能レベルで Microsoft Active Directory サーバ 2003、2003 R2、2008、2008 R2、2012、2012 R2、および 2016 と連携して動作します。
(注) Microsoft は、Windows Server 2003 および 2003 R2 のサポートを終了しました。Windows Server をサポートされるバージョンにアップグレードすることをお勧めします。
Microsoft Active Directory バージョン 2000 またはその機能レベルは、Cisco ISE ではサポートされていません。
Cisco ISE 2.2 は、マルチフォレスト/マルチドメインと Active Directory インフラストラクチャとの統合をサポートし、大規模な企業ネットワーク全体の認証および属性の収集をサポートしています。Cisco ISE 2.2 は最大 50 個のドメイン参加ポイントをサポートします。
サポート対象のウイルス対策およびマルウェア対策製品
Cisco NAC Agent および Cisco NAC Web Agent に固有のウイルス対策およびマルウェア対策サポートの詳細については、次のリンクを参照してください。
https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-device-support-tables-list.html
Cisco NAC Web エージェントには、Web エージェントをアップグレードせずにはアップグレードできない静的なコンプライアンス モジュールがあります。
Cisco ISE ソフトウェアのインストール
Cisco SNS-3415、SNS-3495、SNS-3515、および SNS-3595 ハードウェア プラットフォームに Cisco ISE リリース 2.2 ソフトウェアをインストールするには、新しいアプライアンスをオンにして、Cisco Integrated Management Controller(CIMC)を設定します。その後、CIMC またはブート可能な USB を使用して Cisco ISE リリース 2.2 をネットワーク経由でインストールできます。
(注) 仮想マシン(VM)を使用する場合、VM に ISO イメージまたは OVA ファイルをインストールする前に、NTP サーバを使用して、ゲスト VM に正しい時刻を設定することをお勧めします。
『 Cisco Identity Services Engine Hardware Installation Guide, Release 2.2 』の手順に従って、Cisco ISE の初期設定を実行します。セットアップ プログラムを実行する前に、 表 2 に記載されている設定パラメータを把握していることを確認します。
19 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。最初の文字は文字である必要があります。 |
||
(eth0)イーサネット インターフェイス アドレス((eth0) Ethernet interface address) |
||
IP アドレスは入力できません。有効な文字には、ASCII 文字、任意の数字、ハイフン(-)、およびピリオド(.)が含まれます。 |
||
(オプション)複数のネーム サーバを設定できます。追加のネーム サーバの有効な IPv4 アドレスでなければなりません。 |
||
有効な時間帯でなければなりません。詳細については、『 Cisco Identity Services CLI Reference Guide, Release 2.2 』に記載されている Cisco ISE がサポートする時間帯のリストを参照してください。たとえば、太平洋標準時(PST)の場合は、システムのタイム ゾーンは PST8PDT(または UTC-8 時間)です。 参照されるタイム ゾーンは、最も頻繁に使用されるタイム ゾーンです。サポートされているタイム ゾーンのすべてのリストについては、Cisco ISE CLI から show timezones コマンドを実行できます。 (注) すべての Cisco ISE ノードを UTC タイム ゾーンに設定することをお勧めします。このタイム ゾーンの設定により、展開におけるさまざまなノードからのレポート、ログ、およびポスチャ エージェントのログ ファイルが、タイムスタンプで常に同期されるようになります。 |
||
Cisco ISE システムへの CLI アクセスに使用される管理者ユーザ名を特定します。デフォルト(admin)を使用しない場合は、新しいユーザ名を作成する必要があります。ユーザ名は、3 ~ 8 文字の長さで、有効な英数字(A ~ Z、a ~ z、または 0 ~ 9)で構成される必要があります。 |
||
Cisco ISE システムへの CLI アクセスに使用される管理者パスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。パスワードの長さは 6 文字以上で、少なくとも 1 つの小文字(a–z)、1 つの大文字(A-Z)、および 1 つの数字(0–9)を含める必要があります。 |
(注) Cisco ISE の設定と管理の詳細については、リリース固有のマニュアルを参照してください。
リリース 2.2 へのアップグレード
次の Cisco ISE リリースからリリース 2.2 に直接アップグレードできます。
次の既知の問題のため、アップグレード前に現在の Cisco ISE バージョンに最新のパッチを適用することを推奨します。
Cisco ISE リリース 1.4 より前のバージョンの場合は、はじめに上記のリリースのいずれかにアップグレードしてから、リリース 2.2 にアップグレードする必要があります。
Cisco ISE のこのリリースでは、GUI ベースおよび CLI ベースのアップグレードをサポートします。
(注) ホット パッチをインストールしている場合は、アップグレード パッチを適用する前にホット パッチをロールバックします。
管理者用ポータルからの GUI ベースのアップグレードは、現在リリース 2.0 以降で、リリース 2.2 にアップグレードする場合にのみサポートされます。
Cisco ISE の CLI からは、リリース 1.4、2.0、2.0.1、または 2.1 からリリース 2.2 に直接アップグレードできます。
リリース 2.2 は Red Hat Enterprise Linux(RHEL)7.0 をサポートしています。
VMware 仮想マシンの Cisco ISE ノードをアップグレードする場合は、Red Hat Enterprise Linux(RHEL)7 にゲスト オペレーティング システムを変更してあることを確認します。これを行うには、VM の電源をオフにし、RHEL 7 にゲスト オペレーティング システムを変更し、変更後に VM の電源をオンにする必要があります。
逆引き DNS ルックアップの設定
DNS サーバに、分散展開のすべての Cisco ISE ノードの逆引き DNS ルックアップを設定します。そうしないと、アップグレード後に展開関連の問題が発生する可能性があります([ISE インデックス エンジン(ISE IndexingEngine)] ステータスが [未実行(not running)] に変わります)。
また、逆引き DNS が設定されていない場合は、セカンダリ PAN はプライマリ PAN に参加して ISE インデックス エンジンのクラスタを作成できず、VCS ページにエラーが表示されます。
逆引き DNS がない場合、SSL 例外「No subject alternative name presen」が ise-elasticsearch.log ファイルでセカンダリ PAN に対して表示されます。
アップグレードの準備
アップグレード プロセスを開始する前に、次のタスクを必ず実行してください。
- VMware 仮想マシンのゲスト オペレーティング システムと設定の変更
- 通信用のファイアウォール ポートを開く
- 構成と運用データのバックアップ
- システム ログのバックアップ
- 証明書の有効性の確認
- 証明書および秘密キーのエクスポート
- アップグレードの前に PAN の全自動フェールオーバーとバックアップ スケジュールを無効化
- NTP サーバを正しく設定して到達可能にする
- プロファイラ設定の記録
- Active Directory および内部管理者アカウントの資格情報の取得
- アップグレード前の MDM ベンダーのアクティベート
- リポジトリの作成およびアップグレード バンドルのコピー
- ロード バランサ構成の確認
アップグレード前およびアップグレード後のタスクのリストについては、『 Cisco ISE Upgrade Guide, Release 2.2 』を参照してください。
アップグレードに関する既知の問題
ここでは、既知のアップグレード関連の注意事項を示します。これらの注意事項の説明については、Cisco ISE リリース 2.2 未解決の不具合を参照してください。
次の既知の問題のため、アップグレード前に現在の Cisco ISE バージョンに最新のパッチを適用することを推奨します。
Cisco Secure ACS から Cisco ISE への移行
Cisco Secure ACS リリース 5.5 以降からのみ、Cisco ISE リリース 2.2 に直接移行できます。Cisco Secure ACS リリース 5.5 以降から Cisco ISE リリース 2.2 への移行については、『 Cisco Identity Services Engine Migration Tool Guide 』を参照してください。
Cisco Secure ACS 5.1、5.2、5.3、5.4、4.x 以前のバージョン、または Cisco Network Admission Control(NAC)アプライアンスからリリース 2.2 に移行することはできません。Cisco Secure ACS リリース 4.x、5.1、5.2、5.3、または 5.4 の場合は、ACS リリース 5.5 以降にアップグレードしてから、Cisco ISE リリース 2.2 に移行する必要があります。
(注) ACS PID(Cisco SNS-3515-K9 および Cisco SNS-3595-K9)を搭載した Cisco SNS-3500 シリーズ アプライアンスに Cisco ISE リリース 2.2 をインストールする場合は、Cisco ISE リリース 2.2 をインストールする前に、ハードウェア アプライアンスの BIOS および CIMC ファームウェアを更新する必要があります。BIOS および CIMC ファームウェアの更新方法については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
既知の制限事項
SXP プロトコル セキュリティ標準
SXP プロトコルは、暗号化されていないデータを転送し、draft-smith-kandula-sxp-06 ごとのメッセージ整合性チェックに脆弱なハッシュ アルゴリズムを使用します。
Cisco ISE ライセンス情報
Cisco ISE ライセンスは、Cisco ISE ネットワーク リソースを使用できる同時エンドポイントの数など、アプリケーションの機能やアクセスを管理する機能を提供します。
すべての Cisco ISE アプライアンスには 90 日間有効な評価ライセンスが付属しています。90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、システム上の現在のユーザの数の Base ライセンスを取得して登録する必要があります。追加機能が必要な場合は、該当の機能を有効にする Plus か Apex、またはその両方のライセンスが必要です。
Cisco ISE リリース 2.2 では、2 つの UID を持つライセンスがサポートされます。プライマリおよびセカンダリ管理ノードの UID に基づいてライセンスを取得できます。
Cisco ISE のライセンスのタイプとライセンスの取得の詳細については、『 Cisco Identity Services Engine Administration Guide, Release 2.2 』の「Cisco ISE Licenses」の章を参照してください。
Cisco ISE リリース 2.2 ライセンスの詳細については、『 Cisco Identity Services Engine Data Sheet 』を参照してください。
『Cisco Identity Services Engine Ordering Guide』は、 http://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/guide_c07-656177.pdf にあります。
展開用語、ノード タイプ、およびペルソナ
Cisco ISE は、スタンドアロン展開と分散展開の両方をサポートする、スケーラブルなアーキテクチャを提供します。
ノードおよびペルソナの種類
Cisco ISE ネットワークには、次の 2 つの種類のノードがあります。
– 管理:Cisco ISE のすべての管理操作を実行できます。認証、許可、監査などの機能に関連したすべてのシステム関連設定を処理します。分散環境では、1 つのノード、またはプライマリとセカンダリのペアとして設定された最大 2 つのノードで管理ペルソナを実行できます。プライマリ管理ノードがダウンした場合は、セカンダリ管理ノードを手動で昇格する必要があります。管理ペルソナには自動フェールオーバーがありません。
– ポリシー サービス:ネットワーク アクセス、ポスチャ、BYOD デバイス オンボーディング(ネイティブのサプリカントと証明書のプロビジョニング)、ゲスト アクセス、およびプロファイリング サービスを提供します。このペルソナはポリシーを評価し、すべての決定を行います。複数のノードがこのペルソナを担うことができます。通常は、分散展開に複数のポリシー サービス ペルソナが存在します。ロード バランサの背後に存在するポリシー サービス ペルソナはすべて、グループ化してノード グループを形成することができます。ノード グループ内のいずれかのノードで障害が発生した場合、そのグループ内の他のノードが障害の発生したノードの要求を処理して、ハイ アベイラビリティを実現します。
(注) ISE 2.1 および前のバージョンのインストールでは、サービスが専用ノードで有効になっていることを確認する必要があります。
– 監視:Cisco ISE はログ コレクタとして機能し、ネットワーク内の Cisco ISE ノード上にあるすべての管理ペルソナとポリシー サービス ペルソナからのログ メッセージを格納します。このペルソナは、ネットワークとリソースを効果的に管理するために使用できる高度な監視およびトラブルシューティング ツールを提供します。
このペルソナのノードは収集したデータを集約して関連付けを行い、有意義なレポートを提供します。Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを前提にできるこのペルソナを持つノードを最大 2 つ使用してハイ アベイラビリティを実現できます。プライマリ監視ペルソナおよびセカンダリ監視ペルソナの両方は、ログ メッセージを収集します。プライマリ監視ペルソナがダウンした場合は、セカンダリ監視ペルソナがプライマリ監視ペルソナのロールを自動的に担当します。
(注) 分散セットアップでは、少なくとも 1 つのノードが監視ペルソナを担当する必要があります。データの収集とレポートの観点から、パフォーマンスを向上させるために、監視ペルソナを別の指定ノードに配置することをお勧めします。
– pxGrid:Cisco pxGrid では、セキュアなパブリッシュおよびサブスクライブ メカニズムを通じて、ネットワークとセキュリティ デバイスが他のデバイスとデータを共有することができます。これらのサービスは、ISE 外部で使用されるアプリケーションや、pxGrid を操作するアプリケーションに適しています。pxGrid サービスは、ネットワーク全体でコンテキスト情報を共有して、ポリシーを識別したり、共通のポリシー オブジェクトを共有したりできます。これにより、ポリシー管理が拡張されます。
ノードのペルソナを変更できます。Cisco ISE ノードでのペルソナの設定方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Set Up Cisco ISE in a Distributed Environment」の章を参照してください。
Cisco ISE と相互運用するための CA の要件
Cisco ISE で CA サーバを使用しているときは、次の要件を満たしている必要があります。
- キー サイズは 1024、2048、またはそれ以上にする必要があります。CA サーバでは、キー サイズは証明書テンプレートを使用して定義されます。サプリカント プロファイルを使用して Cisco ISE でキー サイズを定義できます。
- キーの使用法では、拡張された署名と暗号化を許可する必要があります。
- SCEP プロトコルを介して GetCACapabilities を使用する場合は、暗号化アルゴリズムと要求ハッシュがサポートされている必要があります。RSA と SHA1 を使用することをお勧めします。
- Online Certificate Status Protocol(OCSP)がサポートされます。これは BYOD では直接使用されませんが、OCSP サーバとして機能できる CA は証明書失効に使用できます。
(注) EJBCA 4.x は、プロキシ SCEP の Cisco ISE ではサポートされていません。EJBCA は、PEAP、EAP-TLS などの標準 EAP 認証について Cisco ISE でサポートされます。
- エンタープライズ PKI を使用して Apple iOS デバイスの証明書を発行する場合は、SCEP テンプレートでキーの使用法を設定し、[キーの暗号化(Key Encipherment)] オプションを有効にする必要があります。たとえば、Microsoft CA を使用する場合は、証明書テンプレートのキー使用法拡張機能を編集します。[暗号化(Encryption)] 領域で、[キーの暗号化でのみキーの交換を許可する(Allow key exchange only with key encryption (key encipherment)) ] オプションボタンをクリックし、[ユーザ データの暗号化を許可する(Allow encryption of user data) ] チェックボックスもオンにします。
- Cisco ISE は、EAP-TLS 認証の信頼できる証明書およびエンドポイント証明書に対して、RSASSA-PSS アルゴリズムの使用をサポートしています。証明書を表示すると、署名アルゴリズムは、アルゴリズム名ではなく、1.2.840.113549.1.1.10 としてリストされます。
ただし、BYOD フローに Cisco ISE 内部の CA を使用する場合、管理証明書は(外部 CA で)RSASSA-PSS アルゴリズムを使用して署名できません。Cisco ISE 内部の CA は、このアルゴリズムを使用して署名された管理証明書を検証できず、要求が失敗します。
Cisco ISE のインストール ファイル、更新、およびクライアント リソース
Cisco ISE でポリシー サービスをプロビジョニングおよび提供するためにダウンロードして使用できるリソースが 3 つあります。
Download Software サイトからの Cisco ISE ダウンロード
Cisco ISE ソフトウェアのインストールで説明されている Cisco ISE の新規インストールを実行するために必要な.ISO インストール パッケージに加え、Windows や Mac OS X エージェント インストーラ、AV/AS コンプライアンス モジュールなど、他の Cisco ISE ソフトウェア要素を取得するために、Download Software Web ページを使用できます。
ダウンロードされたエージェント ファイルは、サポートされているエンドポイントでの手動インストール、または大規模な導入のためにサードパーティ製ソフトウェア配布パッケージで使用できます。
Cisco Download Software Center にアクセスし、必要なソフトウェアをダウンロードするには、次の手順を実行します。
ステップ 1 「Download Software」Web ページ( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にアクセスします。場合によってはログイン クレデンシャルを提供する必要があります。
ステップ 2 [製品(Products)] > [セキュリティ(Security)] > [アクセス制御とポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] を選択します。
次の Cisco ISE インストーラおよびソフトウェア パッケージをダウンロードできます。
- Cisco ISE installer.ISO イメージ
- Windows および Mac OS X ネイティブ サプリカント向けのサプリカント プロビジョニング ウィザード
- Windows クライアント マシン エージェントのインストール ファイル(手動プロビジョニング用の MST および MSI バージョンを含む)
- Mac OS X クライアント マシン エージェント インストール ファイル
- AnyConnect エージェント インストール ファイル
- AV/AS コンプライアンス モジュール
ステップ 3 [ダウンロード(Download)] または [カートに追加(Add to Cart)] をクリックします。
Cisco ISE ライブ アップデート
Cisco ISE ライブ アップデート ポータルは、サプリカント プロビジョニング ウィザード、Windows および Mac OS X 用 Cisco NAC Agent、AV/AS サポート(コンプライアンス モジュール)、およびクライアント プロビジョニングとポスチャ ポリシー サービスをサポートするエージェント インストーラ パッケージを自動的にダウンロードするのに役立ちます。Cisco.com から Cisco ISE アプライアンスに最新のクライアント プロビジョニングおよびポスチャ ソフトウェアを直接取得するために、初期展開時に Cisco ISE でこのライブ アップデート ポータルを設定する必要があります。
デフォルトのアップデート フィード URL にアクセスできず、ネットワークにプロキシ サーバが必要になる場合は、ライブ アップデートの場所にアクセスする前に、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] でプロキシを設定します。プロファイラおよびポスチャ/クライアント プロビジョニング フィードへのアクセスを許可するようにプロキシ設定を有効にした場合、Cisco ISE は MDM 通信のプロキシ サービスをバイパスできないため、MDM サーバへのアクセスが失われます。これを解決するには、MDM サーバとの通信を許可するようにプロキシ サービスを設定できます。プロキシ設定の詳細については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administer Cisco ISE」の章の「Specify Proxy Settings in Cisco ISE」セクションを参照してください。
クライアント プロビジョニングとポスチャのライブ アップデート ポータル:
- クライアント プロビジョニング ポータル : https://www.cisco.com/web/secure/pmbu/provisioning-update.xml
– Windows および Mac OS X ネイティブ サプリカント向けのサプリカント プロビジョニング ウィザード
– 最新の Cisco ISE の永続的なエージェントおよび一時的なエージェントの Windows バージョン
– 最新の Cisco ISE の永続的なエージェントの Mac OS X バージョン
– ActiveX および Java アプレット インストーラ ヘルパー
このポータルで利用可能になるソフトウェア パッケージを Cisco ISE に自動的にダウンロードする方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Configure Client Provisioning」の章の「Download Client Provisioning Resources Automatically」セクションを参照してください。
– Windows および Mac OS X の AV/AS サポート表
– Cisco ISE オペレーティング システムのサポート
このポータルで利用可能になるソフトウェア パッケージを Cisco ISE に自動的にダウンロードする方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Configure Client Posture Policies」の章の「Download Posture Updates Automatically」セクションを参照してください。
前述した自動ダウンロード機能を有効にしていない場合、更新をオフラインでダウンロードすることができます(Cisco ISE オフライン更新を参照)。
Cisco ISE オフライン更新
Cisco ISE オフライン更新では、サプリカント プロビジョニング ウィザード、エージェント、AV/AS サポート、コンプライアンス モジュール、およびクライアント プロビジョニングとポスチャ ポリシー サービスをサポートするエージェント インストーラ パッケージを手動でにダウンロードできます。このオプションを使用すると、Cisco ISE アライアンスから Cisco.com にインターネット経由で直接アクセスできない場合、またはセキュリティ ポリシーによって許可されていない場合に、クライアント プロビジョニングおよびポスチャ更新をダウンロードできます。
また、オフライン更新はプロファイラ フィード サービスでも使用できます。詳細については、『 Cisco Identity Services Engine Administrator Guide 』の「 Configure Profiler Feed Services Offline 」セクションを参照してください。
オフラインのクライアント プロビジョニン リソースをアップロードするには、次のようにします。
ステップ 1 「Download Software」Web ページ( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にアクセスします。場合によってはログイン クレデンシャルを提供する必要があります。
ステップ 2 [製品(Products)] > [セキュリティ(Security)] > [アクセス制御とポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] を選択します。
次のオフライン インストール パッケージをダウンロードできます。
- win_spw- <version> -isebundle.zip :Windows 向けのオフライン SPW インストール パッケージ
- mac-spw- <version>.zip:Mac OS X 向けのオフライン SPW インストール パッケージ
- compliancemodule- <version> -isebundle.zip :オフライン コンプライアンス モジュール インストール パッケージ
- macagent- <version> -isebundle.zip :オフライン Mac エージェント インストール パッケージ
- nacagent- <version> -isebundle.zip :オフライン NAC エージェント インストール パッケージ
- webagent- <version> -isebundle.zip :オフライン Web エージェント インストール パッケージ
ステップ 3 [ダウンロード(Download)] または [カートに追加(Add to Cart)] をクリックします。
ダウンロードしたインストール パッケージを Cisco ISE に追加する方法については、『 Cisco Identity Services Engine AdministratorGuide, Release 2.2 』の「Configure Client Provisioning」の章の「Add Client Provisioning Resources from a Local Machine」のセクションを参照してください。
ポスチャ更新を使用して、ローカル システムのアーカイブから Windows および Macintosh オペレーティング システムのチェック、オペレーティング システム情報、ウイルス対策とスパイウェア対策サポート表を更新できます。
オフライン更新の場合は、アーカイブ ファイルのバージョンが設定ファイルのバージョンと一致していることを確認する必要があります。Cisco ISE を設定した後にオフラインでポスチャ更新を使用し、ポスチャ ポリシー サービスの動的更新を有効にします。
オフラインのポスチャ更新をアップロードするには、次のようにします。
ステップ 1 https://www.cisco.com/web/secure/pmbu/posture-offline.html にアクセスします。
ローカル システムに posture-offline.zip ファイルを保存します。このファイルを使用すると、Windows および Mac オペレーティング システムのオペレーティング システム情報、チェック、ルール、ウイルス対策とスパイウェア対策サポート表が更新されます。
ステップ 2 Cisco ISE 管理者ユーザ インターフェイスを起動し、 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] を選択します。
ステップ 3 矢印をクリックすると、ポスチャの設定が表示されます。
[ポスチャの更新(Rule Updates)] ページが表示されます。
ステップ 5 [オフライン(Offline)] オプションをクリックします。
ステップ 6 [参照(Browse)] をクリックし、システムのローカル フォルダからアーカイブ ファイル(posture-offline.zip)を検索します。
(注) [更新するファイル(File to Update)] フィールドは必須フィールドです。適切なファイルを含むアーカイブ ファイル(.zip)を 1 つだけ選択できます。.zip 以外のアーカイブ ファイル(.tar や.gz など)は使用できません。
ステップ 7 [今すぐ更新(Update Now)] ボタンをクリックします。
Bug Search Tool の使用
バグ検索ツールを使用して、リリースの未解決および解決済みのバグのリストを表示できます。このセクションでは、バグ検索ツールを使用して、指定されたリリースの特定のバグまたはすべてのバグを検索する方法を説明します。
ステップ 1 https://tools.cisco.com/bugsearch/search にアクセスします。
ステップ 2 登録している Cisco.com のユーザ名とパスワードを入力し、[ログイン(Log In)] をクリックします。
(注) Cisco.com のユーザ名とパスワードを持っていない場合、http://tools.cisco.com/RPF/register/register.do で登録できます。
ステップ 3 特定のバグを検索するには、[検索対象(Search For)] フィールドにバグ ID を入力し、Enter キーを押します。
ステップ 4 現在のリリースでバグを検索するには、次のようにします。
a. [リストから選択(Select from List)] リンクをクリックします。
[製品の選択(Select Product)] ページが表示されます。
b. [セキュリティ(Security) > [アクセス制御とポリシー(Access Control and Policy) > [Cisco Identity Services Engine (ISE) 3300 シリーズアプライアンス(Cisco Identity Services Engine (ISE) 3300 Series Appliances)] を選択します。
d. 検索結果が表示されたら、フィルタ ツールを使用して検索したいタイプのバグを見つけます。ステータス、重大度、変更日など、さまざまな基準に基づいてバグを検索できます。
[検索結果(Search Results)] ページの [Excel への検索結果のエクスポート(Export Results To Excel)] リンクをクリックして、検索のすべてのバグの詳細を Excel スプレッドシートにエクスポートします。現在、一度に最大 1 万のバグを Excel スプレッドシートにエクスポートできます。
Cisco ISE リリース 2.2.0.470 パッチの更新
このセクションでは、Cisco ISE 2.2 リリースの初期のバージョン後に利用可能になったパッチについて説明します。パッチは、上記のパッチ バージョンで提供されるすべての修正が含まれるように累積されます。
(注) ホット パッチをインストールしている場合は、アップグレード パッチを適用する前にホット パッチをロールバックします。
Cisco ISE バージョン 2.2.0.470 は Cisco ISE 2.2 リリースの初期バージョンでした。パッチのインストール後、Cisco ISE GUI の [設定(Settings)] > [Identity Services Engine について(About Identity Services Engine))] ページ から、および次の形式「2.2.0.470 パッチ N」(N はパッチ番号)で CLI からバージョン情報を表示できます。
(注) バグ データベース内では、パッチで解決された問題に、形式が異なるバージョン番号「2.2(0.9NN)」が使用されます。ここで、NN は 2 桁の数字として表示されるパッチ番号です。たとえば、バージョン「2.2.0.470 パッチ 2」はバグ データベース「2.2(0.902)」の次のバージョンに対応しています。
Cisco ISE リリース 2.2 には、次のパッチ リリースが適用されます。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 14
Cisco ISE バージョン 2.2.0.470 の新機能:累積パッチ 13
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 13
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 12
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 11
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 10
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 9
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 8
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 7
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 6
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 5
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 4
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 3
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 2
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 1
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 14
表 5 に Cisco ISE リリース 2.2 累積パッチ 14 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Install a Software Patch 」のセクションを参照してください。
パッチ 14 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
表 5 Cisco ISE 2.2.0.470 パッチ 14 の解決済みの不具合
レポート ページごとの結果の数が少ない
パフォーマンスを向上させるために、Cisco ISE の [レポート(Reports)] ウィンドウに表示されるレポートのデータ行の数が 5,000 行から 1,000 行に変更されました。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 13
表 6 に、Cisco ISE リリース 2.2 累積パッチ 13 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 13 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
表 6 Cisco ISE 2.2.0.470 パッチ 13 の解決済みの不具合
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 12
表 7 に、Cisco ISE リリース 2.2 累積パッチ 12 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 12 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 11
Cisco ISE リリース 2.2 累積パッチ 11 は Cisco Download Software サイト から取り消されました。2.2 累積パッチ 11 の解決済みの不具合は、2.2 累積パッチ 12 に含まれています。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 10
表 8 に、Cisco ISE リリース 2.2 累積パッチ 10 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 10 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 9
パッチ パリティ :Cisco ISE 2.2 パッチ 9 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 パッチ 3 のパリティがあります。
表 9 に、Cisco ISE リリース 2.2 累積パッチ 9 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 9 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 8
パッチ パリティ :Cisco ISE 2.2 パッチ 8 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 パッチ 3 のパリティがあります。
表 10 に、Cisco ISE リリース 2.2 累積パッチ 8 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 8 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
[コンテキストの可視性(Context Visibility)] ページが ISE 2.2 パッチ 5 にロードされていない CSCvh48558 については、ISE 2.2 パッチ 8 を適用した後に Elasticsearch をリセットして、[コンテキストの可視性(Context Visibility)] の履歴データをクリアすることをお勧めします。手順は次のとおりです。 a. b. c. (注) Cisco ISE 2.2 パッチ 8 以降では、大規模なデータセットを表示する際のパフォーマンスの問題を防ぐために、[エンドポイントキャパシティ(Endpoint Capacity)] と [コンプライアンス:ステータストレンド(Compliance: Status Trend)] ダッシュレットが廃止された詳細については、廃止したダッシュレットを参照してください。 |
|
Visibility セットアップ ウィザードを使用したエンドポイント プロファイリングでは、他のサブネットからのエンドポイントの認証はプロファイリングされない |
|
エンドポイントの接続ステータスは、[コンテキストの可視性(Context Visibility)] の [エンドポイント(Endpoints)] ページでは正しく更新されない |
|
ISE 2.2 では、主要パフォーマンス測定指標、設定に誤りのあるサプリカント、および手動証明書プロビジョニング レポートのスケジューリングされたレポートに対して空白のページが表示される |
|
Kerberos チケットが期限切れになったため、ISE マシンのパスワードの更新が失敗し、Active Directory コネクタのステータスが [未接続(Not Connected)] と表示される |
|
古いまたは新しいプライマリ PAN で一時的な MnT ペルソナを有効または無効にしている間に、アップグレードがタイムアウトする |
|
Active Directory で使用できないドメインが検出された場合、「設定されたネームサーバがダウンしています(Configured name server is down)」アラームが 90 分おきに表示される |
|
MDMServerReachable 条件は、ISE 2.2 パッチ 4 の System Center Configuration Manager(SCCM)MDM では機能しない |
|
スマート ライセンスが有効になっている場合、毎時間「スマート ライセンスの認証の更新の成功(Smart Licensing Authorization Renewal Success)」アラームが1時間ごとにトリガーされる |
|
Plus または Advanced ライセンスがインストールされていない場合、ISE 2.2 パッチ 5 では [コンテキストの可視性(Context Visibility)] の [エンドポイント(Endpoints)] ページに、正常に認証されたエンドポイントは表示されない |
|
MnT REST API を使用した ISE 2.1 エンドポイントのルックアップが非常に遅い。現在、REST API で約 1000 のエンドポイントを良好なパフォーマンスで認証できる |
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 7
パッチ パリティ :Cisco ISE 2.2 パッチ 7 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 パッチ 3 のパリティがあります。
表 11 に、Cisco ISE リリース 2.2 累積パッチ 7 で解決される問題を示します。Cisco ISE リリース 2.2 のパッチを適用するために必要なパッチ ファイルを取得するには、Cisco.com のログイン クレデンシャルを使用して Cisco Download Software サイトにログインし、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
パッチ 7 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは MacOsXSPWizard 2.2.1.43 以降にアップグレードし、Windows ユーザは WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
(注) パッチが正常にインストールされた後、再起動しようとすると、パッチのインストールが失敗したことを示すアラームがエラーとともに表示される場合があります。これは誤ったアラームです。このアラームは無視できます。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 6
(注) 投稿後に検出された問題により、ISE 2.2 パッチ 6 をリコールしました。更新されたパッチ ファイルが再投稿され、新しいファイル名は ise-patchbundle-2.2.0.470-Patch6-232642.SPA.x86_64.tar.gz になります。以前投稿したパッチをすでにインストールしている場合は、そのパッチをアンインストールして、新しいパッチをインストールする必要があります。ただし、古いパッチ 6 ファイル(リコールされたファイル)または新しいパッチ 6 ファイルの上に、ISE 2.2 パッチ 7 以降をインストールすることができます。
(注) ISE にバイパス タイプのコレクション フィルタがすでに設定されている場合は、期限切れになったバイパス タイプのコレクション フィルタを削除することをお勧めします。Cisco ISE 2.2 パッチ 6 を適用する前に、抑制イベントを保持する必要があります。期限切れのコレクション フィルタを削除しないと、不具合 CSCvi10727 が原因で ISE ノードで CPU 使用率が高くなる可能性があります。
パッチ パリティ :Cisco ISE 2.2 パッチ 6 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 P3 のパリティがあります。
表 12 に、Cisco Identity Services Engine 2.2 累積パッチ 6 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
パッチ 6 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザはその SPW を MacOsXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
(注) パッチが正常にインストールされた後、再起動しようとすると、パッチのインストールが失敗したことを示すアラームがエラーとともに表示される場合があります。これは誤ったアラームです。このアラームは無視できます。
Active Directory アイデンティティ検索属性
Cisco ISE は、SAM と CN のいずれか、または両方の属性を使用してユーザを識別します。Cisco ISE リリース 2.2 パッチ 5 以降、および 2.3 パッチ 2 以降は、sAMAccountName 属性をデフォルトの属性として使用します。これ以前のリリースでは、SAM と CN の両方の属性がデフォルトで検索されていました。この動作はリリース 2.2 パッチ 5 以降と 2.3 パッチ 2 以降で、CSCvf21978 バグ修正の一部として変更されました(詳細については、https://tools.cisco.com/bugsearch/bug/CSCvf21978 を参照)。これらのリリースでは、sAMAccountName 属性のみがデフォルトの属性として使用されます。
実際の環境で必要に応じて、SAM と CN のいずれか、または両方を使用するように Cisco ISE を設定できます。SAM および CN が使用される場合、SAMAccountName 属性の値が一意でないと、Cisco ISE は CN 属性値も比較します。
Active Directory アイデンティティ検索の属性を設定するには、次の手順を実行します。
1. [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] の順に選択します。[Active Directory] ウィンドウで、[拡張ツール(Advanced Tools)] をクリックし、[高度な調整(Advanced Tuning)] を選択します。次の詳細を入力します。
- [ISE ノード(ISE Node)]:Active Directory に接続される ISE ノードを選択します。
- [名前(Name)]:変更するレジストリ キーを入力します。AD 検索の属性を変更するには、「
REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\IdentityLookupField」と入力します。 - 値 :ユーザを識別するために ISE で使用する属性を入力します。
– SAM :クエリで SAM のみを使用します(これがデフォルト オプションです)。
– SAMCN :クエリで CN と SAM を使用します。
2. [値の更新(Update Value)] をクリックしてレジストリを更新します。
ポップアップ メッセージが表示されます。メッセージを読み取り、変更を受け入れます。ISE の AD コネクタ サービスが再起動します。
パッチ パリティ
Cisco ISE 2.2 パッチ 5 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 P3 とのパリティがあります。
表 13 に、Cisco Identity Services Engine 2.2 累積パッチ 5 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
パッチ 5 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザはその SPW を MacOsXSPWizard 2.1.0.40 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を SWinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 4
(注) 投稿後に問題が検出されたため、ISE 2.2 パッチ 4 をリコールしました。更新されたパッチ ファイルが再投稿され、新しいファイル名は ise-patchbundle-2.2.0.470-Patch4-221755.SPA.x86_64.tar.gz になります。以前投稿したパッチをすでにインストールしている場合は、そのパッチをアンインストールして、新しいパッチをインストールする必要があります。
パッチ パリティ :Cisco ISE 2.2 パッチ 4 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 P3 のパリティがあります。
表 14 に、Cisco Identity Services Engine 2.2 累積パッチ 4 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
パッチ 4 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザはその SPW を MacOsXSPWizard 2.1.0.40 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を SWinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 3
パッチ パリティ :Cisco ISE 2.2 パッチ 3 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 P3 のパリティがあります。
表 15 に、Cisco Identity Services Engine 2.2 累積パッチ 3 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
(注) パッチが正常にインストールされた後、再起動しようとすると、パッチのインストールが失敗したことを示すアラームがエラーとともに表示される場合があります。これは誤ったアラームです。このアラームは無視できます。
ワイヤレス設定の機能拡張
Cisco ISE 2.2 パッチ 2 では、Wi-Fi 設定機能はデフォルトで無効になっています。実稼働環境ではなく、ラボ環境で有効にすることをお勧めします。デモには application configure ise コマンドを使用します。オプション 17 [Wifi 設定の有効/無効化(Enable/Disable Wifi Setup)] を選択して、この機能を有効または無効にします。
セキュリティ機能の拡張
Cisco ISE 2.2 パッチ 2 では、ISE TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1X サプリカントは TLS バージョン 1.0 をサポートしていません。TLS バージョン 1.0 で ISE TLS ベースの EAP 認証方式を使用するには、[セキュリティ設定(Security Settings)] ページで [TLS1.0 を許可する(Allow TLS 1.0)] 設定をオンにする必要があります。
ECDSA 署名アルゴリズム、ECDHE_ECDSA 暗号スイートのサポート
ISE 管理および ISE EAP 認証サーバは、インポートされた ECDSA 署名証明書をサポートしています。
この機能拡張により、管理や EAP 認証サーバ用に ISE サーバ証明書がインポートされるときに、ECDHE_ECDSA 暗号スイートをネゴシエートできます。
(注) iOS は、ECDSA をシステム証明書として使用する場合はサポートされません。ECDSA 証明書でサポートされるエンドポイントは、Android 6.x および Android 7.x です。
Windows Server によって署名された ECDSA 証明書をインポートする手順
1. キーと CSR を生成するために openssl をインストールします。
2. キーを生成する場合は、openssl ecparam-out < name_key secp384r1 (prime256v1)-genkey を使用します。
3. CSR を生成するには、openssl req -new -key <name_key.pem> -out <name_csr.pem> -sha384(sha256) を使用します。
Windows サーバに <name_csr.pem> ファイルを転送します
ステップ 2 Windows Server のコマンド プロンプトを使用して証明書を生成します。
ECDSA 証明書を生成するには、次のコマンドを使用します。
certreq.exe -submit -attrib "certificateTemplate: <ECDSA_template_name>" <name_csr.pem> <Certifiate_name.cer>
(注) ECDHE 曲線テンプレート(テンプレート バージョン 4)は Web 登録では表示されないため、ISE は Web 登録を使用して証明書を生成できません。コマンド プロンプトを使用して証明書を生成することをお勧めします。
システム証明書としてサポートされるのは、ECDSA 証明書曲線タイプ P-256 および P-384 のみです。
- Cisco ISE では、キー交換アルゴリズムは ecdh-sha2-nist 設定に制限されています。Cisco ISE は、SSHv2 キー交換アルゴリズムは ecdh-sha2-nistp256、ecdh-sha2-nistp384 または ecdh-sha2-nistp521 の任意の組み合わせに制限するように拡張されました。
たとえば、ISE CLI グローバル コンフィギュレーション コマンド ervice sshd key-exchange-algorithm ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 のようになります。
- [管理(Administration)] UI の [管理アクセス認証失敗設定(Administration Access Authentication Failure settings)] は [パスワードポリシー(Password Policy)] タブから [ロック/一時停止設定(Lock/Suspend Settings)] タブに移動しました。
SSH 公開キーの認証を使用する場合、[ロック/一時停止設定(Lock/Suspend Settings)] は SSH CLI に適用されます。
Cisco ISE では、LDAPS アクセスを使用して Active Directory で LDAP または LDAPS サーバを拡張し、ISE 管理用の認証 ID ソースとして使用します。2.2 パッチ 2 リリースより前の ISE では、ISE 管理アプリケーションに対する認証でのみ Active Directory ID ソースをサポートしていました。
[セキュリティ設定(Security Settings)] ページの機能拡張
[セキュリティ設定(Security Settings)] ページ([管理(Administration)] > [システム(System)] > [設定(Settings)] [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])に次のオプションが追加されています。
– Cisco ISE は、EAP サーバとして設定されます
– Cisco ISE は、HTTPS サーバから CRL をダウンロードします
– Cisco ISE は、セキュア LDAP サーバから CRL をダウンロードします
– Cisco ISE は、セキュアな TCP syslog クライアントとして設定されます
– Cisco ISE は、セキュアな LDAP クライアントとして設定されます
(注) Cisco ISE 2.2 パッチ 2 以上では、[TLS1.0 を許可する(Allow TLS 1.0)] オプションはデフォルトで無効になっています。このオプションが無効の場合、TLS 1.0 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.0 で使用するには、[セキュリティ設定(Security Settings)] ページで [TLS 1.0 を許可する(Allow TLS 1.0)] チェック ボックスをオンにします([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])。
– Cisco ISE は、EAP サーバとして設定されます
– Cisco ISE は、RADIUS DTLS サーバとして設定されます
– Cisco ISE は、RADIUS DTLS クライアントとして設定されます
– Cisco ISE は、HTTPS またはセキュア LDAP サーバから CRL をダウンロードします
– Cisco ISE は、セキュアな TCP syslog クライアントとして設定されます
– Cisco ISE は、セキュアな LDAP クライアントとして設定されます
(注) セキュリティを強化するために、SHA-256 または SHA-384 暗号方式を使用することを推奨します。
- [クライアントとしての ISE に対する安全でないレガシー TLS 再ネゴシエーションを許可する(Allow Unsafe Legacy TLS Renegotiation for ISE as a Client)] および [目的を検証せずに証明書を承認する(Accept Certificates without Validating Purpose)]:このオプションが有効になっている場合は次のようになります。
– 次のワークフローについて、安全な TLS 再ネゴシエーションをサポートしていない従来の TLS サーバとの通信を許可します。
- Cisco ISE は、HTTPS サーバから CRL をダウンロードします
- Cisco ISE は、セキュア LDAP サーバから CRL をダウンロードします
- Cisco ISE は、セキュアな TCP syslog クライアントとして設定されます
- Cisco ISE は、セキュアな LDAP クライアントとして設定されます
– ISE が EAP サーバとして機能する場合、キー使用拡張に ECDHE-ECDSA 暗号化の keyAgreement ビットまたは他の暗号化の keyEncipherment ビットが含まれているかどうかを確認することなく、クライアント証明書が受け入れられます。
- [ECDHE-RSA、3DES、DSS 暗号化を許可(Allow ECDHE-RSA, 3DES, DSS ciphers)]:次のワークフローについて、ピアとの通信に ECDHE-RSA、3DES、DSS 暗号化を許可します。
– Cisco ISE は EAP サーバとして設定されます(DSS 暗号は許可されません)。
– Cisco ISE は、RADIUS DTLS サーバとして設定されます(DSS 暗号は許可されません)。
– Cisco ISE は、RADIUS DTLS クライアントとして設定されます
– Cisco ISE は、HTTPS サーバから CRL をダウンロードします
– Cisco ISE は、セキュア LDAP サーバから CRL をダウンロードします
– Cisco ISE は、セキュアな TCP syslog クライアントとして設定されます
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 2
パッチ パリティ :Cisco ISE 2.2 パッチ 2 には、Cisco ISE 1.3 パッチ 8、1.4 パッチ 11、2.0 パッチ 5、2.0.1 パッチ 4、および 2.1 P3 のパリティがあります。
表 16 に、Cisco Identity Services Engine 2.2 累積パッチ 2 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
パッチ 2 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザはその SPW を MacOsXSPWizard 2.1.0.40 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を SWinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
Cisco ISE バージョン 2.2.0.470 の解決済みの問題:累積パッチ 1
表 17 に、Cisco Identity Services Engine 2.2 累積パッチ 1 で解決される問題を示します。Cisco ISE リリース 2.2 にパッチを適用するために必要なパッチ ファイルを取得するには、Cisco Download Software サイト( http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm )にログインし(Cisco.com ログイン クレデンシャルの指定を求められる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカル マシンにパッチ ファイルのコピーを保存します。
パッチ 1 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザはその SPW を MacOsXSPWizard 2.1.0.40 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を SWinSPWizard 2.1.0.51 以降にアップグレードする必要があります。
システムへのパッチの適用方法については、『 Cisco Identity Services Engine Administrator Guide, Release 2.2 』の「Administering Cisco ISE」の章の「 Installing a Software Patch 」のセクションを参照してください。
Cisco ISE リリース 2.2 未解決の不具合
次のリンクは、リリース 2.2 で未解決の不具合のリストです。
https://bst.cloudapps.cisco.com/bugsearch/search?kw=*&pf=prdNm&pfVal=283801589&rls=2.2(0.914)&sb=afr&sts=open&bt=null
解決済みの警告
関連資料
リリース固有のマニュアル
Cisco ISE の全般的な製品情報は http://www.cisco.com/go/ise で確認できます。エンドユーザ マニュアルは、Cisco.com の http://www.cisco.com/en/US/products/ps11640/tsd_products_support_series_home.html から入手できます。
『Cisco Identity Services Engine Ordering Guide』は、 http://www.cisco.com/c/dam/en/us/products/collateral/security/identity-services-engine/guide_c07-656177.pdf にあります。
プラットフォーム固有のマニュアル
プラットフォーム固有のその他のマニュアルへのリンクは、次の場所にあります。
http://www.cisco.com/en/US/docs/unified_computing/ucs/overview/guide/UCS
_rack_roadmap.html
- Cisco Secure ACS
http://www.cisco.com/c/en/us/support/security/secure-access-control-system/tsd-products-support-series-home.html - Cisco NAC Appliance
http://www.cisco.com/c/en/us/support/security/nac-appliance-clean-access/tsd-products-support-series-home.html - Cisco NAC Profiler
http://www.cisco.com/c/en/us/support/security/nac-profiler/tsd-products-support-series-home.html - Cisco NAC Guest Server
http://www.cisco.com/c/en/us/support/security/nac-guest-server/tsd-products-support-series-home.html
Cisco ISE 2.2 のアクセシビリティ機能
Cisco ISE 2.2 は、ユーザ向け Web ポータルでのみアクセシビリティをサポートしています。Cisco Web アクセシビリティ設計要件(ADR)は、W3C Web コンテンツ アクセシビリティ ガイドライン(WCAG)2.0 レベル AA 要件に基づいています。Cisco ADR では、すべてのセクション 508 標準に対応します。Cisco ADR の Web サイト( http://wwwin.cisco.com/accessibility/acc_center/adrs_web/main.html )にはアクセシビリティ要件に関するすべての情報とリソースが記載されています。
マニュアルの入手方法およびテクニカル サポート
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は Really Simple Syndication(RSS)フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.1 をサポートしています。
フィードバック