オンプレミスでのCSSMの設定とISEへのライセンスの登録

ダウンロード オプション

  • PDF     (5.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (5.3 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (3.8 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 7 月 25 日
Document ID:222207

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、CSSM On-PremCisco Identity Service Engine(ISE)およびCiscoスマートアカウントと統合して、シームレスなセットアップを実現する方法について説明します。

    前提条件

    要件

    ISE 3.X

    Cisco Smart Software Manager(CSSM)バージョン8リリース202304 +

    使用するコンポーネント

    • Identity Service Engine 3.2パッチ2
    • Prem 8.20234のSSM
    • Windows Active Directory 2016(DNSおよび認証局サービス)
    • VMWare ESXiバージョン7

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    一般的なトポロジ一般的なトポロジ

    CSSMをオンプレミスでVMWARE ESXiにインストールします。

    1. Cisco IOS®をダウンロードします。次のリンクを使用できます。https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. ISOVMWARE ESXiにアップロードします。

    Storage > Datastore Browserの順に移動します。

    Data BrowserセクションData Browserセクション

    3. 「ディレクトリの作成」をクリックして新規フォルダを作成します(オプション)。

    ディレクトリの作成ディレクトリの作成

    次の例では、CSSMフォルダが作成されています。

    フォルダの作成フォルダの作成

    4. Uploadをクリックし、ISOファイルを選択します。

    ISOのアップロードISOのアップロード

    これで、ISOファイルがCSSMフォルダ内に作成されました。

    ISOのアップロードが完了しますISOのアップロードが完了します

    5. 仮想マシンを作成します。仮想マシン>作成 / VMの登録に移動します。

    新しいVMの作成手順01新しいVMの作成手順01

    6. Create a new virtual machineを選択し、nextをクリックします。

    新しいVMの作成の手順02新しいVMの作成の手順02

    7. 次のパラメータを構成します。

    • 名前:仮想マシンの名前を入力します。
    • 互換性: ESXi 6.0以降またはESXi 6.5以降のいずれかを選択します。 
    • ゲストOSファミリ:Linux
    • ゲストOSバージョン:CentOS 7(64ビット)または他の2.6x Linux(64ビット)のいずれかを選択します。

    [next] をクリックします。

    VM名とIOSVM名とIOS

    8. ストレージを選択して、nextをクリックします。

    ストレージリストストレージリスト

    9. 次のパラメータを構成します。

    • CPU:4以上。実際のvCPU設定は、スケール要件によって異なります
    note-icon

    :選択した仮想ソケットの数に関係なく、ソケットあたりのコア数を1に設定する必要があります。たとえば、4つのvCPU構成は、4つのソケットおよびソケットごとに1つのコアとして設定する必要があります。

    コアの構成コアの構成

    • メモリ:8 GB
    • ハードディスク:200 GB、プロビジョニングがシンプロビジョニングに設定されていることを確認します。

    ディスク構成ディスク構成

    • ネットワークアダプタ: E1000アダプタタイプを選択し、電源オン時に接続を選択します。

    ネットワーク設定の構成ネットワーク設定の構成

    • CD / DVDドライブ: 「データISOファイル」を選択し、ISOファイルを選択します。

    ISOイメージISOイメージ

    前の手順を完了したら、設定の概要を確認できます。

    VM設定の概要01VM設定の概要01

    [next] をクリックします。

    10. Finishをクリックします。

    VM設定の概要02VM設定の概要02

    CSSMオンプレミス(オンプレミス)の初期設定

    1. VMWARE ESXiで、Virtual Machinesに移動し、使用するVMを選択してから、Power Onをクリックします。

    電源オンオプション電源オンオプション

    1. VMコンソールの管理には複数のオプションがあります。Console > Open browser consoleの順に選択します。

    VMを管理するためのオプションVMを管理するためのオプション

    1. ネットワーク設定を構成します。
    note-icon

    注:CSSM FQDNを解決するDNSサーバのIPアドレスを設定することが重要です。

    CSSMネットワーク設定の構成CSSMネットワーク設定の構成

    Okをクリックして、新しいCLIパスワードを設定します。

    1. インストールプロセスが開始し、アクセスプロンプトが表示されるまで完了します。

    CSSMの初期設定が完了しましたCSSMの初期設定が完了しました

    1. ブラウザを開き、https://<ip_address_CSSM>と入力します。

    CSSMログインページCSSMログインページ

    デフォルトのクレデンシャルを使用します。

    ユーザ名:admin

    パスワード:CiscoAdmin!2345

    1. 言語を選択します。
    2. 新しいGUIパスワードを作成します。
    3. ホストの共通名を設定します。(例:hostname.yourdomain)。

    この例では、cssm.testlab.localはHost Common Nameとして設定されています。

    ホストの共通名設定ホストの共通名設定

    1. 設定を検証し、Applyをクリックします。

    CSSMの初期設定が完了CSSMの初期設定が完了しました。

    オンプレミスのCSSMとスマートアカウントの統合

    スマートアカウントPrem Server上のCSSMに関連付ける必要があります。

    1. 次のリンクを使用してシスコスマートアカウントを開きます。

    https://software.cisco.com/

    1. 次に、Smart Software ManagerセクションでManage Licensesを選択します。
    ライセンスの管理オプションライセンスの管理オプション
    1. Inventoryに移動し、スマートアカウント名仮想アカウントの名前をコピーします。このガイドでは、InternalTestDemoAccount67およびAAA MEX TESTを使用します。

    ソフトウェアに関するCiscoページソフトウェアに関するCiscoページ

    1. CSSM GUIを開き、Admin Workspaceオプションを選択します。

    メインCSSMメニューCSSMメインメニュー。

    1. 次にAccountsを選択します。

    CSSMアカウントアカウント:

    1. 新しい登録要求を作成するには、New Accountを選択します。

    CSSMアカウントの作成CSSMアカウントの作成。

    1. 次の情報を入力します。
    • アカウント名:これは新しい登録のカスタム名です。
    • Ciscoスマートアカウント:スマートアカウント名を貼り付けます。
    • シスコ仮想アカウント:仮想アカウント名を貼り付けます。
    • 通知用の電子メール:電子メールを入力します。

    アカウント登録アカウント登録。

    [Submit] をクリックします。

    1. 次にAccount Requestsをクリックします。

    このセクションでは、前の手順で行った要求を確認できます。

    アカウント要求。アカウント要求。

    1. [アクション(Actions)] をクリックします。

    ActionsオプションActionsオプションを選択します。

    次の 3 つのオプションがあります。

    • 承認:このオプションを使用して、CSSMをオンプレミスでインターネット経由でスマートアカウントに登録します。
    • Reject:要求をドロップします。
    • 手動登録:このオプションを使用して、CSSMをインターネットなしでスマートアカウントにオンプレミスで登録します。

     オプション1:インターネット接続を使用してCSSMをオンプレミスで登録します。

    1. Approveを選択した場合は、シスコスマートアカウントのユーザ名とパスワードを入力して、Submitをクリックする必要があります。

    承認オプション承認オプション。

    次にnextをクリックして、アカウント登録を受け入れます。

    アカウント登録アカウント登録。

    登録のステータスを確認するには、Accountに移動します。Account statusactiveである必要があります。

    アカウントステータスアカウントの状態。

    スマートアカウント(https://software.cisco.com/)を開きます。次にOn-Prem Accountsオプションを選択して新しい登録を表示します。

    オンプレミスアカウント。オンプレミスアカウント。

    オプション2:インターネット接続なしでCSSMをオンプレミスで登録します。

    Manual Registrationを選択した場合は、Generate Registration Fileをクリックします。これにより、コンピュータにダウンロードされる登録要求が作成されます。

    手動登録。手動登録。

    次に、スマートアカウント(https://software.cisco.com/)を開き、オンプレミスアカウントに移動します。

    New On-Premをクリックします。

    新しいオンプレミスの追加。新しいオンプレミスの追加。

    次に、次のパラメータを設定します。

    • On-Prem Name(オンプレミス名):これは新しいレジスタのカスタム名です。
    • Registration File:Choose Fileをクリックし、Registration Requestを選択します。
    • 仮想アカウント:仮想アカウント名を貼り付けます。

    許可ファイル。許可ファイル。

    次に、Generate Authorization Fileをクリックします。

    次に、許可ファイルをダウンロードします。

    認証ファイルのダウンロード承認ファイルをダウンロードしています。

    CSSM GUIを開いて認証ファイルをアップロードします。Browseをクリックしてファイルを選択し、Uploadをクリックします。

    認証ファイルをアップロードしています。認証ファイルをアップロードしています。

    次に、Synchronizationに移動して、Actions > Manual Synchronization > Full Synchronizationの順にクリックします。

    手動同期:手動同期:

    同期要求ファイルをダウンロードします。

    ファイル同期のダウンロードファイル同期をダウンロードしています。

    スマートアカウントを開き、オンプレミスアカウントを選択し、リストでCSSMオンプレミス名を探して、アクション>ファイル同期をクリックします

    ファイル同期のアップロードファイルの同期をアップロードしています。

    次に、同期要求ファイルをアップロードし、応答ファイルの生成をクリックします。

    応答ファイルの生成レスポンスファイルを生成します。

    次にDownload Synch Response Fileをクリックします。

    ファイルの同期ファイルを同期します。

    最後に、オンプレミスのCSSMでSynch Response Fileをアップロードします。

    同期の完了同期が完了しました。

     CSSMをオンプレミスでISEと統合します。

    1. CSSM GUIを開き、Admin Workspaceを選択します。

    CSSMメインメニュー。CSSMメインメニュー。

    1. Security > Certificates > Generate CSRの順に移動します。
    note-icon

    注:ISEはCSSMとの接続を確立するためにこのパラメータを使用するため、ホストの共通名(CN)ホスト名+ドメインを設定していることが重要です。ホスト名+ドメインの代わりにIPアドレスを使用できますが、ホスト名+ドメインを使用することを推奨します

    note-icon

    :次の手順では、CSSMにGUI証明書をインストールする手順について説明します。個人認証局(CA)によって署名された証明書を使用してGUI CSSMへの管理接続を保護する場合は、次の手順を確認する必要があります。それ以外の場合は、手順9を直接確認します。

    CSRオプションCSRオプション。

    1. 次に、個人情報を入力します。サブジェクト代替名は、共通名と同じ値を使用して自動的に作成されることに注意してください。CSRは、Generateをクリックすると自動的にダウンロードされます。

    CSRの詳細CSR詳細。

    1. CSRに署名します。詳細については、このドキュメントの「Windows CAからの証明書の作成」を確認してください。
    1. ルートCA証明書をアップロードします。

    ルートCAのアップロードルートCAをアップロードしています。

    [続行(Proceed)] をクリックします。

    Proceedオプション[続行]オプション:

    1. 説明を入力し、ルート証明書を選択して、OKをクリックします。

    ルートCAの説明説明ルートCA。

    1. CAによって署名されたCSR(CSSM ID証明書)をアップロードします。

    CSSM ID証明書のアップロードCSSM ID証明書のアップロード

    note-icon

    :この場合、中間証明書はCAに存在しません。ただし、アーキテクチャで中間証明書を使用する場合は、中間証明書が必須です。

    8. 次に、両方の証明書がインストールされていることを確認します。

    証明書の検証証明書の検証。

    1. SSM On-Prem: Select Licensing Workspaceトークン作成します。

    ワークスペースページワークスペースページ。

    1. smart Licensingに移動します。

    CSSMスマートライセンスページCSSMスマートライセンスページ

    1. ローカル仮想アカウントを探し、New TokenをクリックしてProceedをクリックします。

    新しいトークンオプション新しいトークンオプション。

    1. Create Tokenを選択してコピーします。

    新しいトークンの作成新しいトークンの作成。

    トークンの詳細トークンの詳細

    1. ISE GUIを開き、Administration > Systems > Licensingに移動し、Registration detailsをクリックし、SSM On-Prem server Hostメソッドを選択して、トークンを貼り付けます。

    ライセンスの登録ライセンスの登録。

    1. SSM On-Prem Server HostSSM On-Prem FQDNを入力し、Registerをクリックします。

    CSSMとISEの設定CSSMとISEの設定。

    note-icon

    注:ISEはCSSMとの接続を確立するためにこのパラメータを使用するため、ホスト名+ドメインホスト共通名で設定することが重要です。ホスト名+ドメインの代わりにIPアドレスを使用できますが、ホスト名+ドメインを使用することを推奨します

    1. そして最後に、登録が完了しました。

    登録の完了登録が完了しました。

     Windows CAから証明書を作成します。

    認証局の管理者は、次の手順を実行する必要があります。

    1. Webブラウザを開き、http://localhost/certsrv/に移動します。
    2. Request a certificateをクリックします。

    証明書の要求証明書を要求します。

    1. [advanced certificate request] をクリックします。

    証明書の要求の詳細設定証明書の要求の詳細設定

    1. 前に生成したCSRを開きます。  次に、情報をコピーして、Saved requestに貼り付けます。

    証明書の送信証明書を送信します。

    Submitをクリックすると、証明書が自動的にダウンロードされます。

    1. 次に、CA証明書ルートをダウンロードします。http://localhost/certsrv/に戻り、Download a CA Certificate, Certificate Chain, or CRLを選択します。

    ルートCAのダウンロードルートCAをダウンロードします。

    1. ンコード方式Base64としてCA証明書をダウンロードします。

    Base 64オプションBase 64オプション

    WindowsサーバでDNSレコードを追加します。

    管理者の場合は、ISEとCSSMのFQDNを追加します。

    1. DNSマネージャを開きます。Windowsのファインダで「DNS」と入力し、DNSアプリを開きます。

    DNSオプションDNSオプション。

    1. Forward Lookup Zonesに移動し、ドメインを選択します。

    DNSマネージャDNSマネージャ。

    1. 画面上の黒い領域で右クリックして、New Host (A or AAAA)を選択します。

    レコードの追加レコードを追加しています。

    1. レコードDNSを次のように設定します。
    • 名前:ホストの名前を意味します。
    • デバイスのIPアドレス

    Add Host」をクリックします。

    レコード設定レコード設定。

    トラブルシュート

    ホスト/IPアドレスに到達できません。  (ISEでのエラー)

    Not reachableエラー到達可能なエラー

    解決策1:ISEノードのDNS設定を確認し、修正します。

    1. ISE CLIを開き、「nslookup <CSSM_FQDN>」と入力します

    次の例では、ISEノードからcssm.testlab.localが解決されていないことがわかります

    CSSM解決に失敗しましたCSSM解決に失敗しました。

    正しい解決策は次のとおりです。

    CSSM解決に成功しましたCSSMの解決に成功しました。

    アクションプラン:

    1. このドキュメントの「DNS設定」のトピックを確認してください。
    2. ip name-server」を確認するため、ISE CLIでshow running-configコマンドを入力します。「ip name-server」はDNSサーバのIPアドレスと一致している必要があります。

    解決策2:CSSM GUIを開いて、ホストの共通名ブラウザ証明書がISE側のCSSMオンプレミスサーバホストパラメータと同じであることを確認します。

    間違ったシナリオ:

    CSSM解決とISE設定が正しくないCSSM解決とISE設定が正しくない

    正しいシナリオ:

    CSSM解決とISE設定が正しいCSSM解決とISE設定が正しい。

    アクションプラン:詳細については、このガイドの「ISEとCSSMの設定」を参照してください。

    SSOサービス:シスコにアクセスできません。(CSSMオンプレミスでのエラー)

    アカウント登録に失敗しましたアカウントを登録できませんでした。

    解決策:インターネットへの接続を確認します。

    アクションプラン:

    1. インターネットにアクセスするためにプロキシが必要な場合は、Network > Proxyの順に移動し、Use A Proxy Serverオプションをイネーブルにして、Applyをクリックします。

    プロキシ設定プロキシ設定.

    CSRの共通名がDNSで解決可能なホスト名またはIPアドレスではありません。もう一度やり直してください。 (CSSMオンプレミスでのエラー)

    CSRエラーCSRエラー。

    解決策:CSSMサーバのDNS解決を確認し、修正します。

    1. CSSM CLIを開き、「nslookup <CSSM_FQDN>」と入力します。

    次の例では、CSSMサーバからcssm.testlab.localが解決されていないことがわかります

    DNSサーバに到達できないDNSサーバに到達できない。

    正しい出力は次のようになります。

    DNSサーバに到達できるDNSサーバに到達できる。

    アクションプラン:

    CSSMオンプレミスのDNS設定を確認します。

    1. Network > General > DNS Settingの順に移動します。

    プライマリまたは代替DNSは、DNSサーバのIPアドレスと同じである必要があります。

    DNS設定DNS設定。

    更新履歴

    改定 発行日 コメント
    1.0
    25-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • オスカデイエステゴマアギラー

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています