この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Context Directory Agent(CDA)は、自己署名証明書を使用して HTTPS をサポートする Web ベース アプリケーションです。
|
|
---|---|
Microsoft Internet Explorer バージョン 11、Firefox バージョン 41、Google Chrome バージョン 45 |
|
Web ブラウザを開き、Web インターフェイスを介して CDA に接続できます。
CDA インターフェイスにログインするには、次の手順を実行します。
手順 1 Web ブラウザに CDA マシンの URL(https://<ip_address/hostname>/cda)を入力します。
手順 2 ユーザ名とパスワードを CDA ログイン ページ(図 3-1)に入力し、[Login] をクリックします。
手順 3 初めてのログイン時に CDA ダッシュボードが表示されます(図 3-2)。
CDA ダッシュボードには、Active Directory サーバ、コンシューマ デバイス、Syslog サーバ、および管理者を迅速に作成、編集、または削除するためのダッシュレットが用意されています。
また、ダッシュレットには既存の Active Directory サーバ、コンシューマ デバイス、および Syslog サーバのリストがあります。さらに、ダッシュボードには、Active Directory の基本設定、登録済みデバイスのページ、およびログ レベル設定へのリンクもあります。図 3-2 を参照してください。
コンシューマ デバイスは CDA から最新の IP-to-user-identity マッピングをアクティブに取得(およびパッシブに受信)します。ネットワーク デバイスの追加、編集、削除を行うことができます。CDA は、このテーブルの IP アドレス範囲が重ならないことを検証します。
ダッシュレットのコンシューマ デバイス エントリは、実際の ASA および WSA ファイアウォール デバイスと同義ではありません。代わりに、それぞれのコンシューマ デバイス エントリは、RADIUS を介して CDA と通信するための論理的なルールで、IP アドレス(マスクが 32 の場合)またはアドレス範囲(マスクが 0 ~ 31 の場合)を許可します。
コンシューマ デバイス エントリをテーブルまたはダッシュレットに作成しても、実際にはデバイスとの通信が開始されることはありません。コンシューマ デバイスが RADIUS を介して CDA と通信することを許可するルールのみが作成されます。CDA は、この場合は RADIUS サーバとして動作するため、デバイスとのメッセージ交換を開始しません。CDA との RADIUS メッセージ交換を開始するのは実際のコンシューマ デバイスです。最初にコンシューマ デバイスの IP アドレスまたは IP 範囲を CDA で追加し、次に CLI または管理 GUI を使用して CDA と接続するようにデバイス自体を設定します。
コンシューマ デバイスを追加または編集するには、次の手順を実行します。
手順 1 [Identity Consumers] ダッシュレットで [Add] をクリックするか、デバイスの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Consumer Devices] リンクをダッシュボードでクリックすることもできます。
[Consumer Device Configuration] ダイアログボックスが表示されます(図 3-4)。
図 3-3 [Identity Consumers] ダッシュレット
図 3-4 [Consumer Device Configuration] ダイアログボックス
(注) WSA デバイスを追加するときは、デバイスの管理 IP アドレスを入力します。
手順 3 共有秘密をプレーン テキストで表示する場合には、[Show Secret] チェックボックスをオンにします。
新しいネットワーク デバイスが [Identity Consumers] ダッシュレットに一覧表示されます。
CDA でコンシューマ デバイスとして削除する前に、CDA に対するクエリを停止するよう最初にコンシューマ デバイスを設定することをお勧めします。コンシューマ デバイスを削除すると、CDA との通信を許可していたセキュリティ ルールも削除されるため、このデバイスは CDA と通信できなくなります。
コンシューマ デバイスを削除するには、次の手順を実行します。
手順 1 [Identity Consumers] ダッシュレットで、リスト内の削除するデバイスの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
次の基準に基づいてコンシューマ デバイスをフィルタリングできます。
コンシューマ デバイス リストをフィルタリングするには、次の手順を実行します。
手順 1 [Identity Consumers] ダッシュレットでフィルタ アイコンをクリックします。
Active Directory は組織 ID およびその情報を管理します。CDA は、Active Directory(またはドメイン コントローラ)と相互動作し、MS WMI プロトコルを使用して IP-to-user-identity マッピング情報を取得します。Active Directory サーバの追加、編集、インポート、エクスポート、または削除を行うことができます。Active Directory ドメイン コントローラのバックアップ マシンを追加する必要もあります。
CDA 1.0、パッチ 5 は、[Active Directory Server] ダッシュレットの Active Directory サーバの詳細テーブルに新しい稼働時間/ダウンタイム フィールドを導入しています。このフィールドは、各 Active Directory サーバを展開すると詳細を表示できます。このフィールドには、選択した Active Directory サーバの稼働時間またはダウンタイムが表示されます。
CDA との正常な接続のために、“CDA との正常な接続のための Active Directory の要件” sectionで説明するすべての要件が満たされていることを確認します。
Active Directory サーバを追加または編集するには、次の手順を実行します。
手順 1 [Active Directory Servers] ダッシュレットで [Add] をクリックするか、サーバの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Active Directory Server] リンクをダッシュボードでクリックすることもできます。
[Active Directory Server Configuration] ダイアログボックスが表示されます(図 3-5)。
図 3-5 [Active Directory Server Configuration] ダイアログボックス
– [Display Name]:Active Directory サーバの表示名。
– [Domain FQDN]:Active Directory サーバのドメイン完全修飾ドメイン名(FQDN)。
– [Host FQDN]:Active Directory サーバのホスト FQDN。
– [User name]:CDA が Active Directory サーバとの通信に使用するユーザ名。
– [Password]:CDA が Active Directory サーバとの通信に使用するパスワード。これは、上記で指定したユーザ名に対応するパスワードにしてください。
このアカウントは、“CDA との正常な接続のための Active Directory の要件” sectionで説明する必要な権限が付与されている必要があります。
新しい Active Directory サーバが [Active Directory Servers] ダッシュレットに一覧表示されます。
ドメイン コントローラに適用されるグループ ポリシーが [Send NTLMv2 response only.Refuse LM & NTLM] に設定されている場合は、図 3-6 を参照し、NTLMv2 を使用してドメイン コントローラに接続する必要があります。CDA を正常にドメイン コントローラに接続するには、Active Directory の基本設定で [Use NTLMv2] チェックボックスをオンにする必要があります。
ドメイン コントローラに適用されるグループ ポリシーの内容を確認するには、次の手順を実行します。
手順 1 [Start] > [Administrative Tools] > [Group Policy Management] を選択します。
手順 2 [Default Domain Controllers Policy] を選択し、右クリックして、[Edit] を選択します。
手順 3 [Security Settings] > [Local Policies] > [Security Options] を選択します。
[Local Security Settings] タブにグループ ポリシーが表示されます。
Active Directory サーバは、.txt または.csv ファイルからインポートできます。
手順 1 [Active Directory Servers] ダッシュレットで [Import] をクリックします。
手順 2 [Browse] をクリックして、ローカル システムから.txt または.csv ファイルを選択します。サンプルの.csv インポート ファイルについては、図 3-7 を参照してください。また、右上隅の [Generate Template] リンクを右クリックしてサンプル インポート ファイルを保存することもできます。
手順 3 [Import] をクリックします。ファイル内のすべてのアクティブ ディレクトリ サーバがインポートされます。[Results] 領域でインポート結果を見ることができます(図 3-8)。エラーがある場合は、エラーも同じ領域に表示されます。
(注) インポート ファイル(.csv または.txt)内のパスワードは暗号化されていない状態にする必要があるため、このファイルは機密ファイルとして扱う必要があります。インポート時、CDA は内部的にハッシュを使用してこれらのパスワードを格納します。
CDA 1.0 パッチ 5 では、[Active Directory Server] ダッシュレットで使用可能なエクスポート オプションを使用して、Active Directory サーバの詳細をカンマ区切り値(.csv)ファイルにエクスポートすることができます。このオプションは、[Active Directory Server] ダッシュレットに記載されているすべての Active Directory サーバを.csv ファイルにエクスポートします。このファイルをローカル ドライブに保存することができます。パスワードを除くすべての Active Directory サーバの詳細が CSV ファイルにエクスポートされます。Active Directory サーバの安全性を確保するため、パスワードはエクスポートされません。サンプル csv エクスポート ファイルについては、図 3-9 を参照してください。
手順 1 [Active Directory Servers] ダッシュレットで [Export] をクリックします。
CDA に、ファイルをローカル ドライブに保存するよう求められます。
手順 2 適切な場所を選択し、[Save] をクリックします。
CDA はリストされた Active Directory サーバを.csv ファイルにエクスポートし、.csv ファイルを指定した場所に保存します。サンプル csv エクスポート ファイルについては、図 3-9 を参照してください。
Active Directory サーバを削除するには、次の手順を実行します。
手順 1 [Active Directory Servers] ダッシュレットで、リスト内の削除する Active Directory サーバの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
ドメイン FQDN に基づいて Active Directory サーバをフィルタリングできます。
Active Directory サーバ リストをフィルタリングするには、次の手順を実行します。
手順 1 [Active Directory Servers] ダッシュレットでフィルタ アイコンをクリックします。
Active Directory の基本設定を変更して、CDA が Active Directory サーバと対話する方法を設定できます。
Active Directory の基本設定を行うには、次の手順を実行します。
手順 1 [Active Directory General Settings] リンクをダッシュボードでクリックします。
[Active Directory General Settings] ダイアログボックスが表示されます。
CDA との正常な接続のために、“CDA との正常な接続のための Active Directory の要件” sectionで説明するすべての要件が満たされていることを確認します。
ドメイン コントローラに適用されるグループ ポリシーが [Send NTLMv2 response only.Refuse LM & NTLM] に設定されている場合は、図 3-6 を参照し、NTLMv2 を使用して、ドメイン コントローラに正しく接続できるように CDA のドメイン コントローラに接続する必要があります。
CDA は、管理とトラブルシューティングに関する情報が含まれているログを 1 つ以上の Syslog サーバに転送できます。これらのログの内容は、CDA マシンでローカルに使用可能なカスタマー ログと同じです。
CDA は、1 つまたは複数の syslog クライアントが追加されても syslog サーバとして機能できます。Cisco Identity Services Engine(ISE)と Cisco Secure Access Control System(ACS)に接続し、syslog メッセージを受信できます。ライブ ログをチェックすると、受信した syslog メッセージを確認できます。利点は、CDA が 802.1x の導入と統合され、必ずしも Microsoft ドメイン コントローラによって認証されていない他のデバイスがサポートされることです。
CDA は ISE 1.1、1.2、1.3、および 2.0 と、ACS 5.3、5.4、5.6、5.7、および 5.8 のみをサポートします。CDA は、ISE 2.0 では Cisco デバイスのみをサポートします。
syslog サーバまたはクライアントの追加、編集、削除を行うことができます。
CDA は、次の 3 つのタイプの syslog メッセージをサポートします。
syslog サーバ/クライアントを追加または編集するには、次の手順を実行します。
手順 1 [Syslog] ダッシュレットで [Add] をクリックするか、サーバの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Syslog Servers/Client] リンクをダッシュボードでクリックすることもできます。
[Syslog Server/Client Configuration] ダイアログボックスが表示されます。(図 3-5)。
図 3-10 [Syslog Server/Client Configuration] ダイアログボックス
(注) 現在、SSL 経由のセキュリティで保護された syslog は暗号化にのみ使用され、syslog メッセージの認定送信者として ISE/ACS の認証は行いません。
(注) syslog を CDA に送信するすべての ISE ノードの IP アドレスを追加します。
新しいサーバ/クライアントが [Syslog Server/Client] ダッシュレットに一覧表示されます。
ISE 経由で認証されるユーザの場合、ISE が参加するドメインがドメイン名として使用されます。ISE 経由で認証されるがドメインがないユーザの場合、「LOCAL」がドメイン名として使用されます。
ISE から syslog メッセージを受信するように CDA をセットアップするためには、ISE にリモート ログ ターゲットを設定する必要があります。これが合格した認証と RADIUS アカウンティングの syslog メッセージを CDA に転送します。CDA では、ISE から syslog メッセージを受信する syslog サーバをセットアップする必要があります。
次の手順では、ISE と CDA に必要な設定について説明します。
手順 1 ISE の新しいリモート ログ ターゲットを設定します。このログ ターゲットは、ISE が発信する syslog メッセージを受信する CDA マシンにする必要があります(図 3-11)。リモート ログ ターゲットの設定方法の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2 』を参照してください。
手順 2 合格した認証 syslog メッセージを CDA に転送するよう ISE を設定します(図 3-12)。詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2 』を参照してください。
図 3-12 合格した認証 syslog メッセージを転送する ISE の設定
手順 3 RADIUS アカウンティング syslog メッセージを CDA に転送するよう ISE を設定します(図 3-13)。詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2 』を参照してください。
図 3-13 RADIUS アカウンティング syslog メッセージを転送する ISE の設定
ISE と CDA の syslog サーバを設定する方法の詳細については、“Syslog サーバ/クライアントの追加と編集” sectionを参照してください。CDA の設定時は、ISE からのメッセージが解析されるように [Listen for Syslog] チェックボックスがオンになっていることを確認してください。
ドメイン名の属性が syslog クライアント(ISE/ACS)で設定されていない場合、デフォルトでは CDA は [IP-to-User-Identity Mappings] ページのドメイン名として LOCAL を使用します。これは EAP-TLS 認証や RADIUS 認証などの場合に発生します。これを避けるためには、ユーザのドメイン名が不明の場合に表示されるドメイン名を設定することができます。
ドメイン名の属性が見つからず、置き換え用のドメイン名を設定している場合は、その名前がすべての syslog リスナーに適用されます。複数のドメインに異なるドメイン名を設定することはできません。置き換え用のドメイン名は、設定後に受信されるすべての syslog メッセージに適用されます。
ISE/ACS からドメインを得られないユーザの共通のドメイン名を設定するには、次の手順を実行します。
手順 2 [Syslog] ダッシュレットから [Settings] を選択します。
図 3-14 の強調表示されたドメイン名は、 LOCAL がデフォルト名として表示されることを示しています。図 3-15 に示すようにデフォルト ドメイン名を変更することができます。
デフォルト ドメイン名を変更したら、図 3-16 に示すように、更新された名前が [IP-to-User-Identity Mappings] ページに表示されます。
手順 1 [Syslog Servers] ダッシュレットで、リスト内の削除する Syslog サーバの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
次の基準に基づいて Syslog サーバをフィルタリングできます。
Syslog サーバ リストをフィルタリングするには、次の手順を実行します。
手順 1 [Syslog Servers] ダッシュレットでフィルタ アイコンをクリックします。
ログ レベル設定は、Syslog サーバに送信されたログおよび CDA マシンに保存されているログに使用されるグローバル設定で、設定内容はライブ ログの下でユーザ インターフェイスにより表示できます。
グローバルなログ レベル設定を行うには、次の手順を実行します。
手順 1 [Log Level Settings] リンクをダッシュボードでクリックします。
[Global Log Level Settings] ダイアログボックスが表示されます。
手順 2 [Log Level] ドロップダウン リストでログ レベルを選択します。CDA には次のログ レベルがあります。
CDA では、現在キャッシュされているすべての IP-to-user-identity マッピングが一覧表示され、管理者はそのマッピングのリフレッシュ、フィルタリング、および削除を行うことができます。図 3-17 は、IP-to-user-identity マッピング ページを示しています。
図 3-17 IP-to-User-Identity マッピング ページ
IP-to-user-identity マッピングを一覧表示するには、[Mappings] > [IP to Identity] を選択します。
このページはデフォルトでは 10 秒ごとに自動的にリフレッシュされます。リフレッシュ レートは次のいずれかに変更できます。
クイック フィルタ オプションまたは拡張フィルタ オプションを使用して、IP-to-user-identity マッピング レコードをフィルタリングできます。
手順 1 [Mapping] > [IP to Identity] を選択します。
[Mapping of IP Addresses to Identities] ページが表示されます。このページには、IP-to-user-identity マッピング レコードが一覧表示されます。
手順 2 [Show] ドロップダウン リストをクリックしてフィルタ オプションを一覧表示します。
ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[Manage Preset Filters] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。
(注) IP-to-user-identity マッピング リストに戻るには、[Show] ドロップダウン リストから [All] を選択します。フィルタリングなしですべてのマッピングが表示されます。
クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。
クイック フィルタでは、[Mapping of IP Addresses to Identities] ページの各属性に基づいて IP-to-user-identity マッピングがフィルタリングされます。
フィルタリングするには、いずれかのフィールド内部をクリックし、テキスト ボックスに検索基準を入力します。ページがリフレッシュされて、結果が [Mapping of IP Addresses to Identities] ページに表示されます。フィールドをクリアすると、[Mapping of IP Addresses to Identities] ページにすべてのマッピングのリストが表示されます。
拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。
拡張フィルタでは、より複雑な変数を使用して IP-to-user-identity マッピングをフィルタリングできます。フィールド説明に一致する値に基づいてマッピングをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、マッピングは各属性とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値の照合を行い、1 つの拡張フィルタ内でそれらのフィルタのいずれか 1 つまたは全部を使用してマッピングをフィルタリングできます。
手順 1 ドロップダウン リストから属性を選択します。次のレコード属性で IP-to-user-identity マッピング レコードをフィルタリングできます。
手順 4 ファイルタを追加するには [Add Row](プラス [+] 符号)ボタンをクリックし、フィルタを削除するには [Remove Row](マイナス [-] 符号)ボタンをクリックします。
手順 5 各フィルタの値に一致させるには [All] をクリックし、いずれか 1 つのフィルタの値に一致させるには [Any] をクリックします。
手順 6 [Go] をクリックしてフィルタリングを開始します。
手順 7 [Save] アイコンをクリックしてフィルタを保存します。
[Save a Preset Filter] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[Save] をクリックします。作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、[Cancel] をクリックします。
マッピングを選択して削除することも、あるいはすべてのマッピング レコードをクリアすることもできます。これらの操作は両方とも本質的に非同期であるため、[Identity to IP] マッピング ページに変更が反映されるには、ある程度時間がかかります。
手順 1 [Mappings] > [IP to Identity] を選択します。
手順 2 削除するマッピングの隣にあるチェックボックスをオンにします。
[Mapping Filters] を使用すると、CDA によってモニタされないように特定のユーザまたは IP アドレスをブロックできます。
フィルタを作成し、ユーザ名と IP アドレスの一方または両方を指定できます。CDA は指定されたユーザ名と IP アドレスの一方または両方によるマッピングの更新を無視し、これらの更新からはマッピング データを収集しません。フィルタリングされたユーザ、IP アドレスのデータは CDA によってキャッシュされません。したがって、[IP-to-Identity] マッピング ページに一覧表示されることも、コンシューマ デバイスに配布されることもありません。
手順 1 [Mappings] > [Filters] を選択します。
[Mapping Filters Configuration] ダイアログボックスが表示されます。
[Registered Devices] ページには、特定の IP アドレス(登録にオンデマンド)またはマッピング データベース全体(登録にフル ダウンロード)に対するマッピングの更新を受信するように予約されている、CDA に接続されたコンシューマ デバイスのリストが表示されます。
一部のコンシューマ デバイスは更新登録されず、必要に応じて CDA と通信した場合でも、このページに表示されないことに注意してください。このようなデバイスでは、これは問題とはなりません。こうしたデバイスの例に Cisco WSA があります。
すべての登録済みデバイスを表示するには、ホーム ページで [Registered Devices] タブをクリックします。
[status] フィールドは、デバイスが CDA と「同期」(緑)または「非同期」(赤)のいずれであるかを示します。他のフィールドには、デバイス設定時に指定された情報が表示されます。
CDA ユーザ インターフェイスにアクセスする管理権限またはユーザ権限を持つ CDA 管理者を追加できます。
ユーザ権限のみを持つ管理者は、[System] メニューを除いたすべての CDA ユーザ インターフェイス画面および機能にアクセスできます。
ユーザ権限と管理権限の両方を持つ管理者は、[System] メニューを含むすべての CDA ユーザ インターフェイス画面および機能にアクセスできます。
手順 1 [System] > [Administrators] を選択します。
手順 4 [Save] をクリックして、追加または編集した管理者を保存します。
手順 1 [System] > [Administrators] を選択します。
手順 2 リスト内の削除する管理者の隣にあるチェックボックスをオンにして、[Delete] をクリックします。
セキュリティ向上のために管理者アカウントにパスワード ポリシーを作成できます。ここで定義するポリシーは、CDA において管理権限を持つすべてのアカウントに適用されます。
手順 1 [System] > [Password Policy] を選択します。
– [Three or more consecutive characters]:このチェックボックスは、連続する 3 文字以上の使用を制限する場合にオンにします。
– [Username (or reversed)]:このチェックボックスは、管理者ユーザ名またはその文字の逆順での使用を制限する場合にオンにします。
– ["Cisco" (or reversed)]:このチェックボックスは、単語「cisco」またはその文字の逆順での使用を制限する場合にオンにします。
– [Custom word (or Reversed)]:定義した単語またはその文字の逆順での使用を制限します。
手順 3 [Save] をクリックしてポリシーを保存します。
CDA においても、その CDA ユーザ インターフェイス セッションが非アクティブで引き続き接続したままでいることが可能な時間の長さを決定できます。分単位の時間を指定することができ、その時間が経過すると CDA は管理者をログアウトします。セッションのタイムアウト後、管理者は、CDA ユーザ インターフェイスにアクセスするには再びログインする必要があります。
セッションのタイムアウトを設定するには、次の手順を実行します。
手順 1 [System] > [Session Timeout] を選択します。
CDA ライブ ログには、CDA の動作を診断、トラブルシューティング、監査するメカニズムが用意されています。ライブ ログは、システムの監査とトラブルシューティングに必要なすべての情報を収集します。ライブ ログは、db/reports.db ファイルと設定済みの Syslog サーバに保存されます。ライブ ログ GUI には、CDA によって生成された最新メッセージが最大で 10,000 件表示されます。
次に示すのは、CDA でサポートされるログ レベルとそのステータス記号です。
次のログ属性でライブ ログをフィルタリングできます。次のログ属性があります。
ライブ ログをフィルタリングするには、次の手順を実行します。
手順 1 [Live Logs] ページでフィルタ アイコンをクリックします。
このページはデフォルでは 10 秒ごとに自動的にリフレッシュされます。リフレッシュ レートは次のいずれかに変更できます。