セットアップの実行
Cisco Configuration Engine 3.5 のシステム設定はセットアップ プログラムを使用して行います。セットアップ プログラムはシステムを初めて起動するときに実行する必要があります。セットアップ プログラムを実行する前に、BASH シェル モードであることを確認してください。プロンプトで、
/bin/bash, SHELL=/bin/bash, export SHELL と入力します。
次に、Cisco Configuration Engine 3.5 ソフトウェアのファイルが存在するディレクトリから ./setup コマンドを使用します。
制限事項
•
変更をコミットした後は(Commit changes (y/n): y)、Ctrl+c キーを押して中止することはできません。
• セットアップ プログラムのパスワード値はすべて、英数字 だけ で構成されている必要があります。特殊文字は UNIX シェルで別の意味を持つため、パスワードに 使用しないでください 。
• デバイス名の値に使用できるのは次の文字だけです。ピリオド(.)、アンダースコア(_)、ハイフン(-)、英数字。
• グループ名の値に使用できるのは次の文字だけです。アンダースコア(_)、英数字。
内部ディレクトリ モードのセットアップ プロンプト
次の例は、内部ディレクトリ モードのプロンプトの標準セットを示します。
注意
• 角カッコ [...] 内にデフォルト値が示されます。デフォルト値を使用するには、単に Enter キーを押します。
• ユーザ入力例を太字のテキストで示します。
(注) 内部モード セットアップ プロンプトの詳細については、「内部モード セットアップ パラメータについて」を参照してください。
Choose operational mode of system. 0=internal directory mode, 1=external
Enter company code: cisco
Do you want to authenticate Configuration Engine GUI users externally?
Enter IP Address of external directory server: 17x.xx.xxx.xxx
Enter port number of external directory server: [389]
Enter prefix for user name in external directory server: [cn]
Enter suffix for user name in external directory server: o=myorg,c=us
Do you want to enable authorization? (y/n) [n] y
Enter UserDN for external directory server: cn=simpleuser,o=myorg,c=us
Enter password for the above user: *****
Re-enter password for the above user: *****
Enter role attribute name in user objectclass which defines the role:
Enter role attribute value which defines the role of an administrator:
Configuration Engine user ID is used to log in to the web-based GUI
and manage network device objects and templates. This account does
Enter Configuration Engine login name: admin
Enter Configuration Engine login password: *****
Re-enter Configuration Engine login password: *****
Enter internal LDAP server port number: [389]
Enter internal LDAP server password: *****
Re-enter internal LDAP server password: *****
Enter SMTP server (hostname.domainname or IP address):
Enable cryptographic (crypto) operation between Event Gateway(s)/Config
server and device(s) (y/n)? [n] y
Enter absolute pathname of server key file: [/user/server.key]
Enter absolute pathname of server certificate file: [/user/server.crt]
Enabling plaintext operation will increase security risk.
Enable plaintext operation between Config Server and devices/GUI
administration (y/n)? [y]
Enable plaintext operation between Event Gateway and devices (y/n)? [y]
Enter port number for http web access: [80]
Enter port number for https web access: [443]
Enter Tomcat internal port number: [8009]
Enter Tomcat shutdown port number: [8005]
IOS Devices are normally authenticated before being allowed to connect to the Event Gateway/Config Server. Disabling authentication will increase security risk.
Enable authentication (y/n)? [n] y
The default bootstrap password should be the same as the "cns password" specified in your bootstrap file. If you are not sure what it is and would like to finish the setup now, you could enter a default password of your choice and then change it by using "update" option through the Security Manager bootstrap GUI.
Enter the default bootstrap password:*****
Re-enter the default bootstrap password: *****
Enter Event Gateway application parameter(s) for NSM: [config]
Enable Event Gateway debug log (y/n)? [n]
Enter log file rotation timer (minutes, 0 = no rotation): [15]
Enter max log file size (Kbytes): [3072]
Enable log backup (y/n)? [y]
The event gateway ports 11011 and 11012 are reserved for port
automatic allocation. If you want to zero touch deploy your devices
or have devices currently configured to use to these 2 ports, then
you should enable this feature and enter the current "cns event"
commands in the later part of this setup. For details please refer
to the CE installation and configuration guide.
Enable Event Gateways port automatic allocation (y/n)? [y]
Each Event Gateway process serves 500 devices. Maximum number of
Event Gateways allowed is 10.
Enter number of Event Gateways that will be started with crypto operation:
Is this a primary CE (y/n)? [y]
The CNS Event command configures how the managed devices should connect to this particular CE. The command entered in the following line should match what's configured on the devices WITHOUT the "cns event imgw-test35" and port number portion of the CLI.
For example, if "cns event imgw-test35 11011 source Vlan1 keepalive 120 2 reconnect 10" is configured on devices, then the command "source Vlan1 keepalive 120 2 reconnect 10" should be entered in the following line.
If this is a backup CE and CLI "cns event imgw-test35 11011 source Vlan1 backup" is configured on devices, then the command "source Vlan1 backup" should be entered in the following line.
Unable to enter a correct CLI could cause the managed devices not be able to connect to this CE.
Enter CNS Event command: cns event imgw-test35 11011 source Vlan1 keepalive 120 2 reconnect 10
Enter Cisco-CE Event Bus Network Parameter: [imgw-test35]
Enter Cisco-CE Event Bus Service Parameter: [7500]
Enter Cisco-CE Event Bus Daemon Parameter: [7500]
Enable Cisco-CE Event Bus routing daemon logging (y/n)? [n]
Enter http port for Event Bus Web Administration GUI: [7580]
Event Bus Web Admin port should always be closed unless the Web
admin GUI is needed. Keeping web admin port open is a security
Would you like to open Event Bus Administration port (y/n)? [n]
Current settings of IMGW:
-------------------------
Timeout in seconds for a CLI command to complete: 180
Timeout in seconds to get the next prompt in Telnet session: 60
Concurrent Telnet session limit: 25
Hoptest success retry interval (sec): 0
Hoptest failure retry interval (sec): 0
Logging level (verbose, error, silent): error
Log file Prefix: IMGW-LOG
Log file size (bytes): 50331648
Log file rotation timer (seconds): 60
Logging mode (append, overwrite): append
Alternative username prompt for device using TACACS/RADIUS:
Alternative password prompt for device using TACACS/RADIUS:
Re-configure IMGW (y/n)? [n]
Enter CE Monitor timer (seconds): [1800]
Enable CEConfigService web service (y/n)? [y]
Enable CEImageService web service (y/n)? [y]
Enable CEAdminService web service (y/n)? [y]
Enable CEExecService web service (y/n)? [y]
Enable CENSMService web service (y/n)? [y]
Your box has multiple IP Addresses assigned: 17x.xx.xxx.xx 17x.xx.xxx.xxx
You can create http zones so that http traffic can be limited on the IP Address 17x.xx.xxx.xx. Only selected URLs can be accessed using IP Address 17x.xx.xxx.xx. For details, you can check the CE Installation and Configuration Guide.
Do you want to create zones to have limited access to CE from public
Do you want to allow plain-text http access to CE from public network
Please review the following parameters:
Do you want to authenticate Configuration Engine GUI users externally? (y/n) y
IP Address of external directory server: 172.xx.xxx.1xx
port number of external directory server: 389
prefix for user name in external directory server: cn
suffix for user name in external directory server: o=myorg,c=us
Do you want to enable authorization? (y/n) y
UserDN for external directory server: cn=simpleuser,o=myorg,c=us
password for the above user: *****
role attribute name in user objectclass which defines the role: description
role attribute value which defines the role of an administrator: administrator
Configuration Engine login name: admin
Configuration Engine login password: *****
internal LDAP server port number: [389]
internal LDAP server password: *****
SMTP server (hostname.domainname or IP address):
Enable cryptographic (crypto) operation between Event Gateway(s)/Config server and device(s) (y/n)? y
absolute pathname of server key file: [/user/server.key]
absolute pathname of server certificate file: [/user/server.crt]
Enable plaintext operation between Config Server and devices/GUI administration (y/n)? y
Enable plaintext operation between Event Gateway and devices (y/n)? y
port number for http web access: 80
port number for https web access: 443
Tomcat internal port number: 8009
Tomcat shutdown port number: 8005
Enable authentication (y/n)? y
the default bootstrap password: *****
Event Gateway application parameter(s) for NSM: config
Enable Event Gateway debug log (y/n)? n
log file rotation timer (minutes, 0 = no rotation): 15
max log file size (Kbytes): 3072
Enable log backup (y/n)? y
number of Event Gateways that will be started with crypto operation: 10
Is this a primary CE (y/n)? y
CNS Event command: cns event imgw-test35 11011 source Vlan1 keepalive 120 2 reconnect 10
Cisco-CE Event Bus Network Parameter: imgw-test35
Cisco-CE Event Bus Service Parameter: 7500
Cisco-CE Event Bus Daemon Parameter: 7500
Enable Cisco-CE Event Bus routing daemon logging (y/n)? n
http port for Event Bus Web Administration GUI: 7580
Would you like to open Event Bus Administration port (y/n)? n
Re-configure IMGW (y/n)? n
CE Monitor timer (seconds): 1800
Enable CEConfigService web service (y/n)? y
Enable CEImageService web service (y/n)? y
Enable CEAdminService web service (y/n)? y
Enable CEExecService web service (y/n)? y
Enable CENSMService web service (y/n)? y
Do you want to create zones to have limited access to CE from public network (y/n)? y
Do you want to allow plain-text http access to CE from public network (y/n)? y
Warning: setup cannot be aborted while committing changes.
内部モード セットアップ パラメータについて
次のセクションで、セットアップ パラメータについて説明します。
• 「ログイン名、LDAP パスワード、LDAP ポート番号の設定」
• 「電子メール サービスの設定」
• 「暗号化の設定」
• 「認証の設定」
• 「イベント サービスの設定」
• 「Web サービスの設定」
ログイン名、LDAP パスワード、LDAP ポート番号の設定
Configuration Engine login name/password:Cisco Configuration Engine の GUI にアクセスするための管理者アカウントとパスワードを定義します。
Enter internal LDAP server port number:Lightweight Directory Access Protocol(LDAP)サーバによって使用されるポート番号を定義します。デフォルト値は 389 です。
Enter internal LDAP server password: dcdadmin と cdauser1 の 2 つの内部管理ユーザ用の internal-directory-account パスワードを定義します。
表 2-1 全般的なパラメータの有効な値
|
|
|
|
Configuration Engine login name |
英数字 |
1 ~ 30 |
Configuration Engine login password |
パスワード |
1 ~ 12 |
Internal LDAP server port number |
ポート番号 |
0 ~ 65535 |
Internal LDAP server password |
パスワード |
1 ~ 20 |
• パスワード タイプは、8 進数値 040(スペース)から 176(~)までの ASCII 文字(040 と 176 を含む)を表します。
• 英数字タイプは、英数字とアンダースコア(_)記号を表します。
電子メール サービスの設定
Enter SMTP server (hostname.domainname or IP address) :電子メール通知サービスを有効にするために、SMTP サーバのホスト名または IP アドレスを指定します。この SMTP サーバは電子メールの送信に使用されます。このパラメータはオプションです。電子メール サービスを利用しない場合は空白のままにします。
暗号化の設定
(注) セットアップ プログラムの暗号化と認証の設定を使用してセキュリティを有効にすることで、Cisco Configuration Engine サーバと CNS エージェント デバイス間の通信の安全を確保できます。暗号化(Encryption)と認証(Authentication)のセットアップ プロンプトに対して y を入力し、セキュリティを有効にすることを強くお勧めします。CNS エージェント デバイスでセキュリティを有効にするには、第 4 章「Setting Up CNS Agent Devices for Secure Communication」を参照してください。
(注) スケーラビリティの観点から、イベント ゲートウェイ ポートの間でデバイスを均等に分配することをお勧めします。「イベント ゲートウェイ ポート間のスケーラビリティ」を参照してください。
Enable cryptography (crypto) between Event Gateway(s)/Config Server and device(s) (y/n):このオプションは暗号 Secure Socket Layer(SSL)操作を有効にします。Web サーバは TCP ポート 443 をリッスンし、HTTPS 要求(例:https://machine/config/login.html)に応答します。イベント ゲートウェイはポート 11012、11014 ... など(起動するゲートウェイの数による)をリッスンします。ホストと遠端間のデータはすべて暗号化されます。SSL プロトコル(と有効な証明書の組み合わせ)により、ホストが遠端で確実に認証されます。SSL 設定を完了するためには、有効な証明書をホストに配置する必要があります。詳細については、「SSL 証明書の設定」 を参照してください。テストのため、設定後に各ポートへの SSL 接続を開きます(openssl s_client -connect hostname:port)。これは有効にする場合と無効にする場合のどちらの場合にも行う必要があります。
暗号操作を無効にする場合、このセクションの残りのプロンプトは省略されます。
Enable plaintext operation between Config Server and devices/GUI administration (y/n):このオプションは平文でのコンフィギュレーション サーバの操作を有効にします。Web サーバは、暗号接続のために TCP ポート 443 をリッスンするのに加えて、平文接続のために TCP ポート 80 もリッスンして HTTP 要求(例:http://machine/config/login.html)に応答します。暗号を無効にした場合、コンフィギュレーション サーバとデバイス/GUI 管理との間の平文操作が有効になります。
Enable plaintext operation between Event Gateway and devices (y/n):このプロンプトは、イベント サービスの設定(「イベント サービスの設定」を参照)に含まれる number of Event Gateways that will be started with plaintext operation というプロンプトを有効または無効にします。
Port number for http web access:HTTP Web アクセスに使用するポート番号を指定します。デフォルトは 80 です。
Enter port number for https web access:安全な HTTP Web アクセスに使用するポート番号を指定します。デフォルトは 443 です。
Enter Tomcat internal port number:Apache と Tomcat 間の内部通信に使用するポート番号を指定します。デフォルトは 8009 です。
Enter Tomcat shutdown port number:Tomcat のシャットダウン ポート番号を指定します。デフォルトは 8005 です。
表 2-2 暗号化パラメータの有効な値
|
|
|
|
Enable cryptography (crypto) between Event Gateway(s)/Config Server and device(s) |
y、n |
-- |
Absolute pathname of key file |
英数字 |
1 ~ 255 |
Absolute pathname of certificate file |
英数字 |
1 ~ 255 |
Enable plaintext between Config Server and devices/operators |
y、n |
-- |
Enable plaintext operation between Event Gateway and devices |
y、n |
-- |
port number for http web access |
ポート番号 |
0 ~ 65535 |
port number for https web access |
ポート番号 |
0 ~ 65535 |
Tomcat internal port number |
ポート番号 |
0 ~ 65535 |
Tomcat shutdown port number |
ポート番号 |
0 ~ 65535 |
認証の設定
(注) セットアップ プログラムの暗号化と認証の設定を使用してセキュリティを有効にすることで、Cisco Configuration Engine サーバと CNS エージェント デバイス間の通信の安全を確保できます。暗号化(Encryption)と認証(Authentication)のセットアップ プロンプトに対して y を入力し、セキュリティを有効にすることを強くお勧めします。CNS エージェント デバイスでセキュリティを有効にするには、第 4 章「Setting Up CNS Agent Devices for Secure Communication」を参照してください。
Enable authentication (y/n):ホスト内で IOS デバイス認証メカニズムを有効にします。テストでは、間違ったパスワードを使用して IOS デバイスを Configuration Engine 1.6 に接続してみます。このパスワードは、IOS 上で隠しコマンド cns password newPassword を使用して変更できます。
Enter the default bootsrap password:Cisco Configuration Engine の GUI にアクセスするためのデフォルトのブートストラップ パスワードを定義します。このパスワードは、ブートストラップ ファイルで指定した cns password と同じにします。これが何か不明で、今すぐにセットアップを終了したい場合は、任意のデフォルト パスワードを入力しておき、後で Security Manager のブートストラップ GUI から update オプションを使用してパスワードを変更してもかまいません。
(注) デバイス認証を無効にした場合、12.2(10)T よりも前の IOS を搭載したデバイスへの接続は暗黙的に許可されます。
表 2-3 認証パラメータの有効な値
|
|
|
|
Enable authentication |
y、n |
-- |
Enter the default bootstarp password |
英数字 |
-- |
外部認証
Cisco Configuration Engine では、外部認証アプリケーションを使用してユーザを認証できます。この場合、ユーザが Cisco Configuration Engine にログインすると、Cisco Configuration Engine LDAP サーバを使用してユーザを認証する代わりに、外部の認証アプリケーションに認証要求が転送されます。Cisco Configuration Engine は LDAP ベースの認証をサポートし、MS Active Directory と統合できます。
Cisco Configuration Engine では、Cisco Configuration Engine のセットアップ時にユーザが選択したオプションに基づいて、内部と外部の両方でユーザを認証できます。
Cisco Configuration Engine のセットアップ時に、管理者は認証モードを選択できます。その際、リモート LDAP サーバの IP アドレスとユーザ クレデンシャルを入力するよう求められます。
システムの認証モードとして 0=内部モードまたは 1=外部モードのどちらかを選択します。
次の例は、外部認証設定の設定方法を示します。
Enter IP Address of external directory server: 10.1.2.3
Enter port number of external directory server: [389]
Enter prefix for user name in external directory server: [cn]
Enter suffix for user name in external directory server: o=myorg,c=us
許可
Cisco Configuration Engine は、タスクまたはリソースベースの許可をサポートしていません。ただし、Cisco Configuration Engine の GUI には Admin と Operator のユーザ レベルがあります。ユーザの役割に応じて、適切な GUI 画面がユーザに表示されます。
バックアップ認証/許可
既存の Cisco Configuration Engine ユーザをサポートするため、外部認証メカニズムのバックアップ認証および許可がサポートされています。ログインする Cisco Configuration Engine ユーザは、外部アプリケーションに対して認証されます。外部認証が失敗すると、Cisco Configuration Engine の LDAP サーバに対してユーザが認証されます。このフォールバック サーバは、Cisco Configuration Engine で使用される LDAP ディレクトリ(内部または外部)です。ユーザが内部認証を選択した場合は、Cisco Configuration Engine の LDAP が認証に使用され、フォールバック認証サーバは使用されません。
イベント サービスの設定
Event Gateway application parameter(s) for NSM:マッピング解決のために NameSpace Mapper で使用されるアプリケーション名前空間を指定します。デフォルトで使用される名前空間は config です。
Event Gateway debug log:イベント ゲートウェイのデバッグ出力をログ ファイル /var/log/CNSCE/evtgateway に送信します。
Log file rotation timer (minutes, 0 = no rotation):イベント ゲートウェイ ログ ファイルを現在の作業ディレクトリでローテーションするかどうかをチェックする周期。この値を 0 にすると、イベント ログ ファイルはローテーションしません。デフォルト値は、イベント ゲートウェイのデバッグ ログをオンにした場合は 2 分、オフにした場合は 5 分です。有効な値の範囲は 0 ~ 1440 です。
Max log file size (Kbytes):ログローテーションを開始するファイル サイズ。デフォルトは 3072 KB です。有効な値の範囲は 1 ~ 2097152(KB)です。
Log backup (y/n)?イベント ゲートウェイのログローテーション ファイルをバックアップ ディレクトリ /var/log/CNSCE/evt_gateway/backup にコピーするかどうかを示します。デフォルトは y です。つまり、/var/log/CNS 内のログ ファイルが tar で圧縮され、タイムスタンプを設定してバックアップ ディレクトリに移動されます。
Number of Event Gateways that will be started with crypto operation:暗号モードで起動するイベント ゲートウェイ プロセスの数(たとえば、SSL を使用してデバイスと通信するイベント ゲートウェイの数)を指定します。
(注) 暗号操作を無効にした場合は、このプロンプトも無効になります。
Is this a primary CE(y/n)?この Cisco Configuration Engine をプライマリ Cisco Configuration Engine として指定します。
Number of Event Gateways that will be started with plaintext operation:平文モードで起動するイベント ゲートウェイ プロセスの数(たとえば、SSL を使用せずにデバイスと通信するイベント ゲートウェイの数)を指定します。
(注) デュアル プロセッサの 2GB メモリ システムの場合、イベント ゲートウェイの数の上限は 20 です。
Event CNS Event Command:この特定の Cisco Configuration Engine に接続するネットワーク要素を設定するための CNS イベント コマンドを指定します。入力するコマンドは、対象のネットワーク要素で設定されているコンフィギュレーションからイベント ゲートウェイのポート番号を除去したものと一致する必要があります。たとえば、デバイスで cns event ce-host 11011 source Vlan1 keepalive 120 2 reconnect 10 が設定されている場合は、コマンド cns event <ce-host> source Vlan1 keepalive 120 2 reconnect 10 を入力します。ここで <ce-host> は、Cisco Configuration Engine サーバの IP アドレスまたはホスト名です。
Event CNS Bus Network Parameter:イベントのパブリッシュに使用されるホスト システムのアウトバウンド ネットワーク インターフェイスを指定します。IP アドレス、ローカル ネットワーク インターフェイスの名前、ホスト名、マルチキャスト アドレスのいずれかを指定できます。
Event CNS Bus Service Parameter:イベント バス デーモンの間でイベントのパブリッシュとリッスンに使用される UDP ポートを指定します。ホスト システムとその管理対象デバイスとの通信用に専用のポートを指定すると、他の非関連イベントのリッスンによって生じるトラフィックを削減できます。デフォルトは 7500 です。
Enter CNS Event Bus Daemon Parameter:イベント バス デーモンとそのクライアント アプリケーション間の TCP 接続に使用する TCP ポートを指定します。デフォルトは 7500 です。
Enable CNS Event Bus routing daemon logging (y/n)?イベント バスのロギングを有効または無効にします。デフォルトは無効です。ログ ファイルは /var/log/CNSCE/rvrd/rvrd.log に作成されます。
Enter http port for Event Bus Web Administration GUI:イベント バス Web 管理インターフェイスにアクセスするための HTTP ポートを指定します。デフォルトは 7580 です。
Would you like to open Event Bus Web Administration port (y/n)?イベント バス Web インターフェイスへのアクセス用の HTTP ポートを有効または無効にします。
表 2-4 イベント サービス パラメータの有効な値
|
|
|
|
Event Gateway application parameter(s) for NSM |
英数字、ダッシュ、スペース |
1 ~無制限 |
Event Gateway debug log |
y、n |
-- |
Log file rotation timer (minutes, 0=no rotation) |
タイマー |
0 ~ 1440 |
Max log file size |
ファイル サイズ |
1 ~ 2097152(KB) |
Log backup (y/n)? |
y、n |
-- |
Number of Event Gateways that will be started with crypto operation |
整数 |
1 ~ 11 デュアル プロセッサで 2GB メモリの場合は 1 ~ 20 |
Number of Event Gateways that will be started with plaintext operation |
整数 |
暗号モードが有効な場合: 0 ~ 11
デュアル プロセッサで 2GB メモリの場合は 0 ~ 20 暗号モードが無効な場合: 1 ~ 11
デュアル プロセッサで 2GB メモリの場合は 1 ~ 20 |
Is this a primary CE (y/n) |
y、n |
-- |
Event CNS Even Command |
コマンド |
-- |
Event CNS bus network parameter |
ネットワーク パラメータ |
-- |
Event CNS bus service parameter |
ポート番号 |
0 ~ 65535 |
Event CNS bus daemon parameter |
ポート番号 |
0 ~ 65535 |
Event CNS bus routing daemon logging (y/n) |
y、n |
-- |
HTTP port for Event Bus Web Administration GUI |
ポート番号 |
0 ~ 65535 |
Open Event Bus Web Administration port (y/n) |
y、n |
-- |
Web サービスの設定
次の Web サービス インターフェイスが用意されています。
• Enable CEConfigService web service:コンフィギュレーションをデバイスに送信またはデバイスから取得するための Web サービスを有効にします。
• Enable CEImageService web service:ファイルの削除、ハードウェア、ファイル システム、およびその内容のインベントリの取得、デバイスへのイメージの配信またはアクティブ化を行うための Web サービスを有効にします。
• Enable CEExecService web service:デバイスで show コマンドまたはリブートを実行するための Web サービスを有効にします。
• Enable CEAdminService web service:Cisco Configuration Engine でデバイスの管理に使用される各種システム オブジェクト(デバイス、ラインカード、イメージ、コンフィギュレーション(テンプレート)、ユーザ、条件、グループ、パスワードなど)を作成および管理するための Web サービスを有効にします。
• Enable CE NSMService web service:名前空間、名前空間のサブジェクト、および名前空間のサブジェクト マッピングを作成および管理するための Web サービスを有効にします。この Web サービスには、サブジェクトを解決するための実用的なアプリケーション プログラミング インターフェイス(API)も含まれます。
IMGW 再設定のパラメータ
このセクションには、IMGW 設定の再設定に必要となる一連のプロンプトが示されます。
Re-configure IMGW (y/n)? [n] y
Enter Gateway ID: [mainstreet]
Enter timeout in seconds for a CLI command to complete: [180]
Enter timeout in seconds to get the next prompt in Telnet session: [60]
Enter concurrent Telnet session limit: [20]
Remove temporary logs of Telnet sessions into devices (y/n)? [y]
Enter location of temporary logs of Telnet sessions into devices: [/tmp]
Enter hoptest success retry interval (sec): [7200]
Enter hoptest failure retry interval (sec): [3600]
Enter logging level (verbose, error, silent): [error]
Enter log file prefix: [IMGW-LOG]
Enter log file size (bytes): [50331648]
Enter log file rotation timer (seconds): [60]
Enter logging mode (append, overwrite): [append]
Alternative username prompt for device using TACACS/RADIUS:
Alternative password prompt for device using TACACS/RADIUS:
IMGW パラメータ
Reconfigure IMGW:この yes/no プロンプトへの答えによって、この後に IMGW 関連パラメータを再設定するためのプロンプト セクションが表示されるかどうかが決まります。通常ユーザは常に n を選択してください。
Gateway ID:IMGW プロセスに割り当てる一意の識別子。これはデフォルトで常にホスト名に設定されます。
Run as daemon:通常使用の場合は y に設定します。n を使用するのはデバッグを目的とする場合だけです。
Timeout in seconds for a CLI command to complete:コマンドライン インターフェイス(CLI)が完了するのを待機する最大時間(秒)。
Timeout in seconds to get the next prompt in Telnet session:Telnet セッションで次のプロンプトを取得するのを待機する最大時間(秒)。
Concurrent Telnet session limit:IMGW がサポートする Telnet の最大同時接続数。
Remove temporary logs of Telnet sessions into devices:IMGW でダウンロードまたは実行のために作成された一時ファイルを削除するかどうかを指定します。
Location of temporary logs of Telnet sessions into devices:IMGW の一時ファイルを作成するファイル システムの場所。
Hoptest success retry interval:IMGW が成功リスト内のデバイス(接続性チェックが成功したデバイス)をチェックする時間間隔(分)。
Hoptest failure retry interval:IMGW が失敗リスト内のデバイス(接続性チェックが失敗したデバイス)をチェックする時間間隔(分)。
Logging level:verbose モードを選択すると、エラー メッセージとデバッグ メッセージが両方ともログに記録されます。error モードではエラー メッセージだけが記録されます。silent モードではどのメッセージも記録されません。
Log file prefix:ログ ファイル名の作成に使用するプリフィックス。作成されるファイル名は、プリフィックスと IMGW ゲートウェイ ID で構成されます。
Log file size:ログ ローテーションを実行するログ ファイルのサイズ。
Log file rotation timer:ログ ローテーションのためにログファイルのサイズをチェックする周期(秒)。
Logging mode:新しいログをログ ファイルの末尾に追記するか、以前のログを上書きするかを選択します。
Alternative username/password prompts for device using TACACS/RADIUS:デバイスが TACACS+ または RADIUS サーバによって認証される場合、Telnet ユーザに返されるユーザ名/パスワードのプロンプトを設定できます。alternative username/password prompts では、独自のユーザ名/パスワード プロンプトの組み合わせを指定できます。何も入力しなければ、デフォルトのユーザ名/パスワード プロンプトである Username: と Password: が使用されます。
表 2-5 IMGW パラメータの有効な値
|
|
|
|
Gateway ID |
英数字 |
1 ~ 32 |
Run as daemon |
y、n |
|
Timeout in seconds for a CLI command to complete |
整数 |
30 ~ 7200(秒) |
Timeout in seconds to get the next prompt in Telnet session |
整数 |
30 ~ 7200(秒) |
Remove temporary logs of Telnet sessions into devices |
y、n |
-- |
Location of temporary logs of Telnet sessions into devices |
フル パス名 |
-- |
Concurrent Telnet Session Limit |
整数 |
1 ~ 25 |
Hoptest success retry interval (sec) |
整数 |
0 ~ 2147483647 (秒) |
Hoptest failure retry interval (sec) |
整数 |
0 ~ 2147483647 (秒) |
Logging level |
verbose、error、silent |
-- |
Log file prefix |
英数字 |
1 ~ 32 |
Log file size (bytes) |
整数 |
5242880 ~ 4294967295 (バイト) |
Log file rotation timer (minutes) |
整数 |
0 ~ 2147483647 (秒) |
Log file rotation timer (seconds) |
整数 |
0 ~ 2147483647 (秒) |
Logging mode |
append、overwrite |
-- |
Username prompt for device using TACACS/RADIUS |
印字可能な ASCII 文字 |
-- |
Password prompt for device using TACACS/RADIUS |
印字可能な ASCII 文字 |
-- |
外部ディレクトリ モードのセットアップ プロンプト
外部ディレクトリ モードでもほとんどのプロンプトは内部ディレクトリ モードと同じですが、外部ディレクトリ モード設定の導入部とサンプル スキーマのプロンプトが異なります。
外部ディレクトリ モードでは、外部ディレクトリにデバイス情報を問い合わせるようシステムが設定されます。(デバイス クラスの)属性名やコンテナの場所など、外部ディレクトリのスキーマを構成する特定の情報をセットアップ時に入力する必要があります。
入力を簡単にするため、あらかじめ定義されたサンプル スキーマを使用することを選択し、それに応じて外部ディレクトリを構成できます。
(注) 外部ディレクトリ モードでは FTP および TFTP ファイル サーバは常に無効になるため、これらのサービスをセットアップするプロンプトは表示されません。すでに内部ディレクトリ モードで FTP または TFTP をセットアップしている場合は、外部ディレクトリ モードに切り替えた後、これらのサービスは無効になります。これらのサービスを有効にするには、セットアップ プログラムを内部ディレクトリ モードで再度実行する必要があります。
次の例は、外部ディレクトリ モードでサンプル スキーマを有効にした場合のプロンプトを示します。
注意
• 角カッコ [...] 内にデフォルト値が示されます。デフォルト値を使用するには、単に Enter キーを押します。
• ユーザ入力例を太字のテキストで示します。
(注) 外部モード セットアップ プロンプトの詳細については、「外部モード セットアップ パラメータについて」を参照してください。
Choose operational mode of system. 0=internal directory mode, 1=external
Enter SMTP server (hostname.domainname or IP address): abc.cisco.com
Enable cryptographic (crypto) operation between Event Gateway(s)/Config
Server and device(s) (y/n)? [n] y
Enter absolute pathname of key file: /a/b/c
Enter absolute pathname of certificate file: /a/b/c
Enabling plaintext operation will increase security risk.
Enable plaintext operation between Config Server and devices/GUI
administration (y/n)? [y]
Enable plaintext operation between Event Gateway and devices (y/n)? [y]
Enter port number for http web access: [80]
Enter port number for https web access: [443]
Enter Tomcat internal port number: [8009]
Enter Tomcat shutdown port number: [8005]
IOS Devices are normally authenticated before being allowed to
connect to the Event Gateway/Config Server. Disabling
authentication will increase security risk.
Enable authentication (y/n)? [n]
Enter Event Gateway application parameter(s) for NSM: [config]
Enable Event Gateway debug log (y/n)? [n]
Enter log file rotation timer (minutes, 0 = no rotation): [15]
Enter max log file size (Kbytes): [3072]
Enable log backup (y/n)? [y]
Each Event Gateway process serves 500 devices. Maximum number of
Event Gateways allowed is 20.
Enter number of Event Gateways that will be started with plaintext
Enter Cisco-CE Event Bus Network Parameter: [imgw-test7]
Enter Cisco-CE Event Bus Service Parameter: [7500]
Enter Cisco-CE Event Bus Daemon Parameter: [7500]
Enable Cisco-CE Event Bus routing daemon logging (y/n)? [n]
Enter http port for Event Bus Web Administration GUI: [7580]
Event Bus Web Admin port should always be closed unless the Web
admin GUI is needed. Keeping web admin port open is a security
Would you like to open Event Bus Administration port (y/n)? [n]
External directory settings:
----------------------------
Do you want to authenticate Configuration Engine GUI users using external
Enter IP Address of external directory server: 10.1.2.3
Enter port number of external directory server: [389]
Enter prefix for user name in external directory server: [cn]
Enter suffix for user name in external directory server: o=myorg,c=us
Do you want to enable authorization? (y/n) [n] y
Enter UserDN for external directory server: cn=simpleuser,o=myorg,c=us
Enter password for the above user: *****
Re-enter password for the above user: *****
Enter role attribute name in user objectclass which defines the role: description
Enter role attribute value which defines the role of an administrator: admin
Current settings of IMGW:
-------------------------
Timeout in seconds for a CLI command to complete: 180
Timeout in seconds to get the next prompt in Telnet session: 60
Concurrent Telnet session limit: 25
Hoptest success retry interval (sec): 0
Hoptest failure retry interval (sec): 0
Logging level (verbose, error, silent): error
Log file Prefix: IMGW-LOG
Log file size (bytes): 50331648
Log file rotation timer (seconds): 60
Logging mode (append, overwrite): append
Alternative username prompt for device using TACACS/RADIUS:
Alternative password prompt for device using TACACS/RADIUS:
Re-configure IMGW (y/n)? [n]
外部モード セットアップ パラメータについて
以降のパラメータ説明は、外部ディレクトリ モードに固有のパラメータに関するものです。上記の例の全般的なパラメータの説明(両方のモードに共通)については、「内部モード セットアップ パラメータについて」以降を参照してください。
IP address of directory server:外部ディレクトリの場所を表す IP アドレス。
Port number of directory server:外部ディレクトリのサービス ポート番号。
Directory server login name:Cisco-CE コンテキストの下位にあるすべてのオブジェクトの管理権限を持つディレクトリ ユーザ(例: admin )。
Directory server password:ディレクトリ ユーザのパスワード。
User DN:ディレクトリ管理ユーザの完全な識別名。
Cisco-CE context:その下位にすべての Cisco Configuration Engine オブジェクトが作成される、ディレクトリ コンテキスト(DN)。これには、デバイス オブジェクト、グループ オブジェクト、アプリケーション オブジェクト、イベント オブジェクトなどが含まれます。これらのオブジェクトは、Cisco-CE コンテキストの下位にあるコンテナ内に作成できます。
Use sample schema:あらかじめ定義されたサンプル スキーマを有効にする場合は y を、有効にしない場合は n を選択します。サンプル スキーマの定義とデフォルト値については、「サンプル スキーマ」を参照してください。
表 2-6 全般的な外部ディレクトリ モード パラメータの有効な値
|
|
|
|
IP address of the Directory Server |
IP アドレス |
-- |
Port number of the Directory Server |
ポート番号 |
0 ~ 65535 |
Directory server login name |
英数字 |
1 ~ 32 |
Directory server password |
英数字 |
1 ~ 20 |
User DN |
スペースを含む名前と値のペア |
3 ~無制限 |
Cisco-CE context |
スペースを含む名前と値のペア |
3 ~無制限 |
サンプル スキーマ
最初のプロンプト(Use sample schema (y/n):)に y と答えてサンプル スキーマを使用することを選択した場合は、下記サンプルの角カッコで囲まれたデフォルト値がすべてのサンプル スキーマ属性に対して使用され、これらの属性は表示されません。
最初のプロンプトに n と答えてサンプル スキーマをそのまま使用しないことを選択した場合は、サンプル スキーマの属性が表示され、その横の角カッコ内にデフォルト値が示されます。これらのデフォルト値を上書きして独自のスキーマを作成できます。
Use sample schema (y/n): n
Enter container name under which device objects are stored: [ou=CNSDevices]
Enter container name under which generic device objects are stored:
Enter container name under which PIX device objects are stored:
Enter container name under which linecard objects are stored:
Enter container name under which application objects are stored:
Enter container name under which IMGW objects are stored: [ou=imgw]
Enter container name under which CIS objects are stored: [ou=CISObjects]
Enter container name under which image objects are stored: [ou=Images]
Enter container name under which CIS device objects are stored:
Enter container name under which distribution objects for Image are stored:
Enter container name under which Query objects are stored: [ou=Query]
Enter objectclass for device object: [IOSConfigClass]
Enter template attribute name in device objectclass: [IOSconfigtemplate]
Enter config ID attribute name in device objectclass: [IOSConfigID]
Enter event ID attribute name in device objectclass: [IOSEventID]
Enter device category attribute name in device objectclass: [AdminDevType]
Enabling Modular Router feature allows you to configure linecards
independently of the slot numbers.
Would you like to use Modular Router Feature (y/n)? [y] y
Enter IOS device type attribute name in device objectclass: [IOSlinecardtype]
Enter IOS sub devices attribute name in device objectclass: [IOSsubdevices]
Enter IOS main device attribute name in device objectclass: [IOSmaindevice]
Enter IOS slot attribute name in device objectclass: [IOSslot]
Enter interfaces info attribute name in device objectclass: [IOSinterfacesinfo]
Enter controllers info attribute name in device objectclass: [IOScontrollerinfo]
Enter voiceports info attribute name in device objectclass: [IOSvoiceportinfo]
Enter Cisco-CE group attribute name in device: [parent]
Enter Cisco-CE password attribute name in device object class: [AuthPassword]
Enter objectclass for bootstrap password object: [CNSBootstrapPwdClass]
Enter bootstrap password attribute name in bootstrap password objectclass: [CNSBootPassword]
定義
Device objects container name:その下位にデバイス オブジェクトが作成される、ディレクトリ内のコンテナ。
Generic device objects container name:その下位に汎用デバイス オブジェクトが作成される、ディレクトリ内のコンテナ。
Groups objects container name:その下位にグループ オブジェクトが作成される、ディレクトリ内のコンテナ。
Application objects container name:その下位にアプリケーション オブジェクトが作成される、ディレクトリ内のコンテナ。
IMGW objects container name:その下位に IMGW オブジェクトが作成される、ディレクトリ内のコンテナ。
Object class:デバイス オブジェクト用のユーザ定義オブジェクト クラスの名前。
Template attribute name:デバイス オブジェクト用のテンプレート ファイルを指定する、(Object class プロンプトで指定した)デバイス クラスの属性。これはテンプレート ファイルそのものではなく、テンプレート ファイル名の値を保持する属性の名前である点に注意してください。
Config ID attribute name:コンフィギュレーション サーバ ドメイン内でデバイスを一意に識別する、デバイス クラスの属性。
Event ID attribute name:イベント ゲートウェイ サーバ内でデバイスを一意に識別する、デバイス クラスの属性。
Would you like to use Modular Router Feature (y/n)?:続く 7 つのモジュラ ルータ関連のスキーマ プロンプト(IOS-device-type attribute name から voiceports-info attribute name まで)を有効または無効にします。
IOS device type attribute name:ディレクトリへのデバイス タイプ情報の格納に使用する単一値の文字列属性。
IOS sub devices attribute name:ディレクトリ内のメイン デバイスに関連付けられたサブデバイス リストを格納する属性。これは複数値属性である必要があります。
IOS main device attribute name:ディレクトリ内のサブデバイスのメイン デバイス名を格納する属性。
IOS slot device attribute name:スロットの番号付けに関連するインベントリ詳細を格納する属性。
Interfaces info attribute name:インターフェイスに関連するインベントリ詳細を格納する属性。
Controllers info attribute name:コントローラに関連するインベントリ詳細を格納する属性。
Voiceports info attribute name:音声ポートに関連するインベントリ詳細を格納する属性。
Cisco-CE group attribute:デバイス オブジェクトが属するグループを指定する、デバイス クラスの属性。これは単なる属性名であり、グループそのものではない点に注意してください。また、これが必要となるのは、NSM ディレクティブが HTTP モードに設定されている場合だけです。
Cisco-CE password attribute name in device object class:ホスト システムが IOS デバイスからの CNS パスワードとして予期する値を格納する、デバイス クラスの属性。認証のバイパスが y の場合、このプロンプトは無効になります。
objectclass for bootstrap password object:ブートストラップ パスワード オブジェクト用のユーザ定義オブジェクトの名前。認証のバイパスが y の場合、このプロンプトは無効になります。
Bootstrap password attribute name in bootstrap password object class:ホスト システムがブートストラップ パスワードとして使用する値を格納する、ブートストラップ パスワード クラスの属性。認証のバイパスが y の場合、このプロンプトは無効になります。
表 2-7 サンプル スキーマ パラメータの有効な値
|
|
|
|
Device object container name |
スペースを含む名前と値のペア |
3 ~無制限 |
Generic device object container name |
スペースを含む名前と値のペア |
3 ~無制限 |
Group object container name |
スペースを含む名前と値のペア |
3 ~無制限 |
Application container name |
スペースを含む名前と値のペア |
3 ~無制限 |
Object class |
英数字 |
1 ~ 80 |
Template attribute name |
英数字 |
1 ~ 80 |
Config ID attribute name |
英数字 |
1 ~ 80 |
Device ID attribute name |
英数字 |
1 ~ 80 |
Event ID attribute name |
英数字 |
1 ~ 80 |
IOS device type attribute name |
英数字 |
1 ~ 80 |
IOS sub device type attribute name |
英数字 |
1 ~ 80 |
IOS main device type attribute name |
英数字 |
1 ~ 80 |
IOS slot attribute name |
英数字 |
1 ~ 80 |
Interfaces info attribute name |
英数字 |
1 ~ 80 |
Controllers info attribute name |
英数字 |
1 ~ 80 |
Voiceports info attribute name |
英数字 |
1 ~ 80 |
Cisco-CE group attribute |
英数字 |
1 ~ 80 |
Cisco-CE password attribute name |
英数字 |
1 ~ 80 |
Objectclass for bootstrap password object |
英数字 |
1 ~ 80 |
Bootstrap password attribute name |
英数字 |
1 ~ 80 |
コマンド ラインによるコンポーネントの起動/停止のサポート
Cisco Configuration Engine 3.5 は、次のコンポーネントの起動/停止をサポートします。
• http/tomcat(Web サーバ): /etc/init.d/httpd {start|stop}
• IMGW: /etc/init.d/Imgw {start|stop}
• イベント ゲートウェイ: /etc/init.d/EvtGateway {start|stop} [ポート番号]
• イベント ゲートウェイ(暗号モード): /etc/init.d/EvtGatewayCrypto {start|stop} [ポート番号]
Cisco Configuration Engine 3.5 には、コンポーネントの起動と停止を処理する 2 つの新しいスクリプトが含まれています。サーバの中には他のサーバへの依存関係を持つものがあります。そのため、そのようなタイプのサーバにはシャットダウンおよびスタートアップ スクリプトは用意されていません。たとえば http/tomcat では、このサーバが動作する前提として Tibco が起動している必要があります。Tibco をシャットダウンして再起動すると、Tibco に依存する Web サーバ(httpd と tomcat)に接続の問題が発生します。したがって、Tibco の再起動はサポートされていません。
• ce_startup :各種コンポーネント用のすべてのスタートアップ スクリプトを 1 つにまとめたスクリプト。
このスクリプトは ${CISCO_CE_INSTALL_ROOT}/CSCOcnsie/bin/ にあります。
-all :すべてのサービスを起動するオプション(デフォルト)。
-http :Apache、Tomcat、コンフィギュレーション サーバ、イメージ サーバ、Web サービスを起動。
-imgw :IMGW サーバを起動。
-eventgw :暗号モードのイベント ゲートウェイを含むイベント ゲートウェイを起動。このスクリプトは、セットアップ データ ファイル varsetup.dat を読み取ってユーザ入力 enable_ssl の値を取得します。この値が y (yes)の場合は EvtGatewayCrypto が実行され、それ以外の場合は EvetGateway が実行されます。
-monitor :Configuration Engine の Monitor スクリプト。
• ce_shutdown :各種コンポーネント用のすべての停止スクリプトを 1 つにまとめたスクリプト。
このスクリプトは ${CISCO_CE_INSTALL_ROOT}/CSCOcnsie/bin/ にあります。
-all :すべてのサービスを停止するオプション(デフォルト)。
-http :Apache、Tomcat、コンフィギュレーション サーバ、イメージ サーバ、Web サービスを停止。
-imgw :IMGW サーバを停止。
-evtgw :暗号モードのイベント ゲートウェイを含むイベント ゲートウェイを停止。
-monitor :Configuration Engine Monitor スクリプト。
DNS へのシステムの登録
システムのホスト名を DNS 名として、システムを DNS に登録します。
注意 システムのホスト名を DNS 名としてシステムを DNS に登録しない場合、ネットワーク接続の問題が発生する可能性があります。
イベントは、IP アドレスではなくホスト名を識別子としてルータに送信されます。したがって、ホスト システムが DNS に登録されていない場合、ルータからホスト システムを見つけることができず、ルータにコンフィギュレーションをダウンロードできません。
SSL 証明書の設定
SSL を設定するには、有効な証明書を生成する必要があります。
ステップ 1 OpenSSL がインストールされている任意の UNIX ホストで、次のコマンドを入力します。
% openssl genrsa -out server.key 1024
% chown root:root server.key
% openssl req -new -key server.key -out server.csr
ステップ 2 共通名が対象のホストの完全修飾名(例:www.company.com)であることを確認します。
ステップ 3 署名を取得するためにファイル server.csr を認証機関(CA)に送信します。
(注) ファイル server.key と server.crt がホスト システム上に存在する必要があります。
ソフトウェアのインストールの検証
ステップ 1 別のコンピュータに移動し、Web ブラウザを起動します。
Cisco Configuration Engine は次のものをサポートしています。
• Java SE Development Kit 6 update 5 以上
• Internet Explorer 6.0 以上
ステップ 2 ネットサイト ウィンドウで、Cisco Configuration Engine の URL を入力します。
例: http://< ip_address >
ここで <ip_address> は、ホスト システムの設定時に入力した IP アドレスです。ホスト名を DNS ドメイン内で定義して登録している場合は、ホスト名を使用してもかまいません。
(注) セットアップ プログラムで暗号化を有効にした場合は、https://<ip_address> を使用する必要があります。
Cisco Configuration Engine のログイン ページが表示されます
ステップ 3 ホスト システムの設定時に入力した ConfigService 管理 ID とパスワードを入力します。
ホーム ページが表示されます
Cisco Configuration Engine のホーム ページ(図 2-1)に到達した場合は、Cisco Configuration Engine が正常にインストールされています。
図 2-1 内部ディレクトリ モードのホーム ページ
システムへのイメージの再導入
ハード ディスク上のイメージが破損した場合、ディスクが動作していれば(つまり、ハード ディスクから再起動できる状態であれば)、Cisco Configuration Engine ソフトウェアをいったんアンインストールしてから再インストールすることで、システムにイメージを再導入できます。
フィードバック