- はじめに
- Cisco ISE でのネットワーク配置
- Cisco SNS-3400 シリーズ アプライアンス
- Cisco SNS-3400 シリーズ アプライアンスのインストールおよび設定
- VMware 仮想マシンでのリリース 1.2 ソフトウェアのインストール
- Cisco ISE 3300 シリーズ、Cisco NAC、および Cisco Secure ACS のアプライアンスへのリリース 1.2 ソフトウェアのインストール
- 管理者アカウントの管理
- インストール後のタスクの実行
- ラックへの Cisco SNS-3400 シリーズ アプライアンスの設置
- Cisco SNS-3400 シリーズ サーバの仕様
- Cisco SNS-3400 シリーズ アプライアンスのポート リファレンス
- Cisco ISE ライセンス
- Cisco ISE での証明書の管理
- Index
Cisco Identity Services Engine ハードウェア インストレーション ガイド リリース 1.2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: インストール後のタスクの実行
インストール後のタスクの実行
この章では、Cisco Identity Services Engine(ISE)リリース 1.2 ソフトウェアのインストールおよび設定が正常に完了した後に実行が必要ないくつかの作業について説明します。この章で説明する内容は、次のとおりです。
Web ブラウザを使用した Cisco ISE へのアクセス
Cisco SNS-3400 シリーズ アプライアンスは次の HTTPS 対応ブラウザを使用して Web インターフェイスをサポートします。
•
Mozilla Firefox バージョン 3.6.x 以降
• Microsoft Internet Explorer 8.x 以降
(注) Cisco ISE ユーザ インターフェイスは Microsoft IE8 のブラウザの IE7 互換モードでの使用をサポートしません(Microsoft IE8 は IE8 モードのみでサポートされます)。
クライアント ブラウザを実行しているシステムに、Adobe Flash Player 11.2.0.0 以降がインストールされている必要があります。
• 「Cisco ISE の Web ベースのインターフェイスへのログイン」
• 「Cisco ISE の Web ベースのインターフェイスからのログアウト」
Cisco ISE の Web ベースのインターフェイスへのログイン
初めて Cisco ISE の Web ベースのインターフェイスにログインするときは、事前インストールされている評価ライセンスを使用します。前の項で挙げたサポートされている HTTPS 対応のブラウザのみを使用する必要があります。本マニュアルで説明するとおりに Cisco ISE をインストールしたら、Cisco ISE Web ベースのインターフェイスにログインできます。
ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。
ステップ 2 [Address(アドレス)] フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。
たとえば、https://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。
ステップ 3 設定時に定義したユーザ名とパスワードを入力します。
ステップ 4 [Login(ログイン)] をクリックします。
(注) Cisco ISE CLI 管理ユーザ名またはパスワードを回復またはリセットするには、「管理者パスワードのリセット」を参照してください。
ヒント Cisco ISE の GUI を表示するのに最低限必要な画面解像度は 1280 x 800 ピクセルです。
CLI 管理および Web ベースの管理のユーザ名とパスワードは同じではありません。Cisco ISE へのログイン時。これらの違いの詳細については、「CLI 管理および Web ベース管理のユーザー権限の違い」を参照してください。
(注) ライセンス ページは、評価ライセンスの期限が切れた後、初めて Cisco ISE にログインするときにだけ表示されます。
(注) Cisco ISE ユーザ インターフェイスを使用して、定期的に管理者ログイン パスワードをリセットすることを推奨します。詳細については、『Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2)』を参照してください。
ログインの試行に失敗した後の管理者のロックアウト
指定された管理者のユーザ ID に対して誤ったパスワードを一定の回数入力すると、Cisco ISE ユーザ インターフェイスはシステムから「そのユーザをロックアウト」します。「管理者のロックアウトによるパスワードのリセット」 で説明されているように、Cisco ISE は、その管理者 ID に関連付けられたパスワードがリセットされるまで、[Monitor(モニタ)] > [Reports(レポート)] > [Catalog(カタログ)] > [Server Instance(サーバ インスタンス)] > [Server Administrator Logins report(サーバ管理者のログイン レポート)] にログ エントリを追加し、その管理者 ID のクレデンシャルを一時停止します。その管理者アカウントが無効になるまでの失敗回数は、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』の「Managing Administrators and Admin Access Policies(管理者および管理アクセスのポリシーの管理)」の章に記載されているガイドラインに従って設定できます。管理者ユーザ アカウントがロックアウトされると、関連する管理ユーザに電子メールが送信されます。
Cisco ISE の Web ベースのインターフェイスからのログアウト
Cisco ISE の Web ベースのインターフェイスからログアウトするには、Cisco ISE メイン ウィンドウ ツールバーで [Log Out(ログアウト)] をクリックします。これにより、管理セッションが終了してログアウトされます。
Cisco ISE の Web ベースの Web インターフェイスの使用の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』 を参照してください。
ライセンスのインストール
ライセンスの詳細については、 付録 D「Cisco ISE ライセンス」 を参照してください。
証明書のインストール
証明書の詳細については、 付録 E「Cisco ISE での証明書の管理」 を参照してください。
Cisco ISE の設定の確認
この項では、Cisco ISE 設定の確認にそれぞれ異なるユーザ名とパスワードの資格情報を使用する 2 つの方法について説明します。
(注) Cisco ISE システムに初めて Web によるアクセスを行う場合、管理者のユーザ名とパスワードはセットアップ時に設定した CLI ベースのアクセスと同じです。Cisco ISE システムへの CLI ベースのアクセスの場合、デフォルトの管理者ユーザ名は admin であり、管理者パスワードにはデフォルトがないためユーザ定義です。
CLI 管理ユーザと Web ベースの管理ユーザの違いをさらに詳細に理解するには、「CLI 管理および Web ベース管理のユーザー権限の違い」を参照してください。
Web ブラウザを使用した設定の確認
Cisco SNS-3400 シリーズ アプライアンスが正常に設定されたことを確認するには、Web ブラウザを使用して次の手順を実行します。
Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。
ステップ 2 [Address(アドレス)] フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。
たとえば、https://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。
ステップ 3 Cisco ISE のログイン ページで、セットアップ時に定義したユーザ名とパスワードを入力し、[Login(ログイン)] をクリックします。
(注) Cisco ISE ユーザ インターフェイスを使用して、定期的に管理者パスワードをリセットすることを推奨します。管理者パスワードをリセットの詳細については、『Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2)』を参照してください。
CLI を使用した設定の確認
Cisco ISE アプライアンスが正常に設定されたことを確認するには、Cisco CLI を使用して次の手順を実行します。
ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、PuTTY などのサポートされる製品を起動して、Cisco ISE アプライアンスへの Secure Shell(SSH)接続を確立します。
ステップ 2 [Host Name(ホスト名)](または [IP Address(IP アドレス)] )フィールドにホスト名(または Cisco ISE アプライアンスのドット付き 10 進表記の IP アドレス)を入力し、[Open(開く)] をクリックします。
ステップ 3 ログイン プロンプトで、セットアップ時に設定した CLI 管理ユーザ名(admin がデフォルト)を入力し、Enter を押します。
ステップ 4 パスワード プロンプトで、セットアップ時に設定した CLI 管理パスワード(これはユーザ定義であり、デフォルトはありません)を入力し、Enter を押します。
ステップ 5 システム プロンプトで、 show application version ise と入力し、Enter を押します。
(注) [Version(バージョン)] フィールドに、Cisco ISE ソフトウェアに現在インストールされているバージョンが表示されます。
ステップ 6 Cisco ISE プロセスの状態を調べるには、 show application status ise と入力し、Enter を押します。
(注) 最新の Cisco ISE パッチを入手し Cisco ISE を最新に保つには、Web サイト http://www.cisco.com/public/sw-center/index.shtml を参照してください。
ステップ 7 Cisco Application Deployment Engine リリース 2.0.5 オペレーティング システム(ADE-OS)のバージョンを確認するには、 show version と入力し、Enter を押します。
Cisco Application Deployment Engine OS Release: 2.0
ADE-OS Build Version: 2.0.5.083
ADE-OS System Architecture: i386
VMware ツールのインストールの確認
VMware ツールのインストールは次の 2 つの方法で確認できます。
• vSphere クライアントの [Summary(概要)] タブを使用する
• CLI の使用
vSphere クライアントの [Summary(概要)] タブを使用する
vShpere クライアントで指定された VMware ホストの [Summary(概要)] タブに移動します。[VMware Tools(VMware ツール)] フィールドの値が OK である必要があります。(図 7-1 を参照)。
図 7-1 vSphere Client での VMware ツールの確認
show inventory コマンドを使用して、VMware ツールがインストールされているかどうかを確認することもできます。このコマンドは NIC ドライバ情報をリストします。VMware ツールがインストールされている仮想マシンの [Driver Descr(ドライバの説明)] フィールドに、VMware Virtual Ethernet ドライバが表示されます。
NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis"
PID: ISE-VM-K9 , VID: V01 , SN: 8JDCBLIDLJA
CPU 0: Model Info: Intel(R) Xeon(R) CPU E5504 @ 2.00GHz
Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders
NIC 0: HW Address: 00:0C:29:BA:C7:82
NIC 0: Driver Descr: VMware Virtual Ethernet driver
(*) Hard Disk Count may be Logical.
VMware ツールのアップグレード
Cisco ISE ISO イメージ(通常、アップグレード、またはパッチ)には、サポートされる VMware ツールが含まれています。VMware クライアント ユーザ インターフェイスを使用した VMware ツールのアップグレードは、Cisco ISE ではサポートされていません。VMware ツールを新しいバージョンにアップグレードする場合、サポートは Cisco ISE の新しいバージョンで提供されます(通常、アップグレード、またはパッチ リリース)。
管理者パスワードのリセット
Cisco ISE 管理者パスワードをリセットする方法には次の 2 通りがあります。
• 「紛失、失念、侵害されたパスワードのリセット」:管理者パスワードの紛失、失念、または侵害により、誰も Cisco ISE システムにログインできない場合、この手順を使用します。
• 「管理者のロックアウトによるパスワードのリセット」:ログイン試行の失敗回数が多すぎたことが原因で管理者アカウントがロックされた場合は、この手順を使用します。
紛失、失念、侵害されたパスワードのリセット
管理者パスワードの紛失、失念、または侵害により、誰も Cisco ISE システムにログインできない場合は、Cisco ISE ソフトウェア DVD を使用して、管理者パスワードをリセットすることができます。
次の接続関連の状態が原因で、Cisco ISE ソフトウェア DVD を使用して Cisco ISE アプライアンスを起動しようとしたときに問題が発生する場合があることを理解しておいてください。
• ターミナル サーバにシリアル コンソールから Cisco ISE アプライアンスへの exec に設定された接続が関連付けられている。これを no exec に設定すると、KVM 接続およびシリアル コンソール接続を使用できるようになります。
• Cisco ISE アプライアンスへのキーボードおよびビデオ モニタ(KVM)接続がある(これはリモート KVM または VMware vSphere Client コンソール接続のいずれかの場合があります)。
• Cisco ISE アプライアンスへのシリアル コンソール接続がある。
ステップ 1 Cisco ISE アプライアンスの電源がオンになっていることを確認します。
ステップ 2 Cisco ISE ソフトウェア DVD を挿入します。
ステップ 3 DVD から起動するように Cisco ISE アプライアンスをリブートします。
コンソールに次のメッセージが表示されます(これは Cisco ISE 3355 の例です)。
Welcome to Cisco Identity Services Engine - ISE 3355
To boot from hard disk press <Enter>
[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)
[2] Cisco Identity Services Engine Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
Please enter boot option and press <Enter>.
ステップ 4 システム プロンプトで、アプライアンスへのキーボードおよびビデオ モニタ接続を使用している場合は 3 を入力し、ローカル シリアル コンソール ポート接続を使用している場合は 4 と入力します。
ステップ 5 表 7-1 にリストされている説明に従って、パラメータを入力します。
|
|
|
|---|---|
Enter number of admin for password recovery:2
詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2(Cisco Identity Services Engine CLI リファレンス ガイド リリース 1.2) 』を参照してください。
管理者のロックアウトによるパスワードのリセット
管理者が、誤ったパスワードをアカウントが無効になる所定の回数入力する場合があります。デフォルトの最小試行回数は 5 です。
(注) 管理者ユーザ インターフェイス パスワードをリセットするには、次のコマンドを使用します。このコマンドは、管理者の CLI のパスワードには影響を与えません。
ステップ 1 ダイレクト コンソール CLI にアクセスして、次を入力します。
application reset-passwd ise administrator_ID
ステップ 2 この管理者 ID に使用されていた前の 2 つのパスワードと異なる新しいパスワードを指定して、確認します。
正常に管理者パスワードをリセットすると、クレデンシャルはただちにアクティブになり、システムをリブートせずにログインできます。
application reset-passwd ise コマンドの使用の詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2(Cisco Identity Services Engine CLI リファレンス ガイド リリース 1.2) 』を参照してください。
Cisco ISE アプライアンスの IP アドレスの変更
Cisco SNS-3400 シリーズ アプライアンスの IP アドレスを変更するには、次の手順を実行します。
IP アドレスを変更する前に、Cisco ISE ノードがスタンドアロン状態であることを確認します。ノードが分散導入環境の一部である場合は、その環境からノードを登録解除して、スタンドアロン ノードにします。
ステップ 1 Cisco ISE CLI にログインします。
ip address new_ip_address new_subnet_mask
(注) Cisco ISE アプライアンスの IP アドレスを変更する際に no ip address コマンドを使用しないでください。
(注) Cisco ISE アプライアンスの IP アドレスを変更した後、すべての Cisco ISE サービスを再起動する必要はありません。
Cisco ISE システムの設定
Cisco ISE の Web ベースのユーザ インターフェイスのメニューおよびオプションを使用して、Cisco ISE システムをニーズに合わせて設定できます。認証および認証ポリシーの設定、および他の機能、メニュー、およびオプションの詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』を参照してください。
Cisco ISE の操作およびモニタリングやレポートなどのその他の管理機能の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.2(Cisco Identity Services Engine ユーザ ガイド リリース 1.2) 』を参照してください。
本リリースの最新情報については、『 Release Notes for Cisco Identity Service Engine, Release 1.2(Cisco Identity Service Engine のリリース ノート リリース 1.2) 』 を参照してください。
Cisco ISE でのシステム診断レポートのイネーブル化
初めて Cisco ISE をインストールした後またはアプライアンスのイメージ再適用を行った後、Cisco ISE CLI を使用してシステム レベルの診断レポートを有効にすることができます(システム診断についてのレポートを行うロギング機能は、デフォルトでは Cisco ISE で有効になっていません)。
システム診断レポートを有効にするには、次のことを実行します。
ステップ 1 デフォルトの管理者ユーザ ID およびパスワードを使用して Cisco ISE CLI コンソールにログインします。
Cisco ISEユーザ インターフェイス([Administration(管理)] > [System(システム)] > [Logging(ロギング)] > [Logging Categories(ロギングのカテゴリ)] > [System Diagnostics(システム診断)])からシステム診断設定を指定できます。
フィードバック