- はじめに
- Cisco ISE ネットワーク展開について
- Cisco ISE 3300 シリーズ ハードウェアについて
- Cisco ISE 3300 シリーズ アプライアンスの設定
- VMware 仮想マシンにおける Cisco ISE 3300 シリーズ ソフトウェアのインストール
- Cisco ISE のアップグレード
- インストール後のタスクの実行
- Cisco ISE 3300 シリーズ ハードウェアの設置準備
- Cisco ISE 3300 シリーズ ハードウェアの設置
- Cisco ISE 3300 シリーズ アプライアンスのトラブルシューティング
- Cisco ISE 3300 シリーズ アプライアンスの保守
- Cisco ISE 3300 シリーズ アプライアンスのポート リファレンス
- Cisco NAC および Cisco Secure ACS アプライアンス上の Cisco ISE 3300 シリーズ ソフトウェアのインストール
- 索引
Cisco Identity Services Engine リリース 1.1 ハードウェア インストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: Cisco ISE 3300 シリーズ アプライアンスの設定
Cisco ISE 3300 シリーズ アプライアンスの設定
この章では、Cisco Identity Services Engine(ISE)3300 シリーズ アプライアンスの初期設定を実行する方法について説明します。内容は次のとおりです。
•
「Cisco ISE 3300 シリーズ アプライアンスを設定する前に」
• 「Cisco ISE 3300 シリーズ ハードウェア アプライアンスの設定」
(注) Cisco ISE 3300 シリーズ アプライアンスで Cisco ISE ソフトウェアの設定を試みる前に、この章の設定の前提条件を確認する必要があります。
Cisco ISE 3300 シリーズ アプライアンスを設定する前に
Cisco ISE 3300 シリーズ アプライアンスには、Cisco Application Deployment Engine(ADE)リリース 2.0 オペレーティング システム(ADE-OS)および Cisco ISE リリース 1.1 ソフトウェアがあらかじめインストールされています。Cisco ADE-OS と Cisco ISE ソフトウェアは、専用の Cisco ISE アプライアンス(Cisco ISE 3300 シリーズ)にあらかじめインストールされています。また、このリリースでは VMware サーバにインストールすることもできます。
手順を進める前に、各アプライアンスまたは VMware インスタンスの以下のすべてのコンフィギュレーションの設定を特定していることを確認します。
• ギガビット イーサネット 0(eth0)インターフェイスの IP アドレス
• プライマリ ネットワーク タイム プロトコル(NTP)サーバ
• データベース管理者のパスワードおよびデータベース ユーザのパスワード(ワンタイム エントリのみ)
CLI 管理ユーザと Web ベース管理ユーザの権限の違いの詳細については、「CLI 管理ユーザと Web ベース管理ユーザの admin 権限の違い」を参照してください。
CLI 管理ユーザと Web ベース管理ユーザの admin 権限の違い
Cisco ISE セットアップ プログラムを使用して設定したユーザ名およびパスワードは、Cisco ISE CLI および Cisco ISE Web インターフェイスでの管理アクセスでの使用を意図しています。Cisco ISE CLI にアクセスできる管理者を CLI 管理ユーザといいます。デフォルトでは、CLI 管理ユーザのユーザ名は admin 、パスワードはセットアップ プロセスでユーザが定義したパスワードです。デフォルトのパスワードはありません。
CLI 管理ユーザのユーザ名、およびセットアップ プロセスで定義したパスワードを使用して、Cisco ISE Web インターフェイスに最初にアクセスできます。Web ベース admin のデフォルトのユーザ名およびパスワードはありません。
CLI 管理ユーザは、Cisco ISE の Web ベースの管理ユーザ データベースに コピー されます。最初の CLI 管理ユーザのみが Web ベースの管理ユーザとしてコピーされます。両方の管理ロールで同じユーザ名とパスワードを使用できるように、CLI と Web ベースの管理ユーザ ストアは同期を保持する必要があります。
追加の Web ベースの管理ユーザはユーザ インターフェイスから追加できます。さらに詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1 』の「Configuring Cisco ISE Administrators」を参照してください。
Cisco ISE CLI 管理ユーザは、Cisco ISE Web ベースの管理ユーザとは異なる権限と機能を持ち、追加のタスクを実行できます。
CLI 管理ユーザおよび Web ベース管理ユーザによって実行されるタスク
CLI 管理ユーザおよび Web ベース管理ユーザは、次の Cisco ISE システム関連タスクを実行できます。
• Cisco ISE アプリケーション データをバックアップする。
• Cisco ISE アプライアンス上でシステム、アプリケーション、または診断ログを表示する。
• Cisco ISE ソフトウェア パッチ、メンテナンス リリース、およびアップグレードを適用する。
CLI 管理ユーザのみが、次の Cisco ISE システム関連タスクを実行できます。
• Cisco ISE アプリケーション ソフトウェアを起動および停止する。
• Cisco ISE アプライアンスをリロードまたはシャットダウンする。
• ロックアウトした場合、Web ベースの管理ユーザをリセットする。詳細については、「管理者のロックアウトによるパスワードの無効化」を参照してください。
Cisco ISE CLI にアクセスするユーザのみを明示的に作成し、CLI 管理ユーザの資格情報を保護することを推奨します。
(注) Cisco ISE ユーザ インターフェイスを使用して作成された Web ベース管理ユーザは、Cisco ISE CLI に自動的にログインできません。これらの権限を持つように明示的に作成された CLI 管理ユーザのみが、Cisco ISE CLI にアクセスできます。
詳細については、「Web ブラウザを使用した Cisco ISE へのアクセス」を参照してください。
他の CLI 管理ユーザを作成するには、まず CLI 管理ユーザとして Cisco ISE CLI にログインし、次のタスクを実行します。
ステップ 1 セットアップ プロセスで作成した CLI 管理ユーザ名とパスワードを使用してログインします。
(注) 詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.0.4』を参照してください。
セットアップ プログラムのパラメータについて
Cisco ISE セットアップ プログラムを実行して Cisco ISE ソフトウェアを設定する場合、対話形式の CLI が起動し、システムの設定に必要なパラメータの入力を求めるプロンプトが表示されます( 表 3-1 を参照)。サポートされるハードウェア アプライアンスへの接続を確立してセットアップ プログラムを実行する方法は、いくつかあります。
• ハードウェア アプライアンスへのネットワークベースのコンソール接続を使用する。
• アプライアンスの背面パネルへのローカル シリアル コンソール ケーブル接続を使用する。
• アプライアンスへのローカル キーボードおよびビデオ(VGA)接続を使用する。
これらの方法により、アプライアンス管理者の資格情報の最初のセットを作成する初期ネットワークを設定できます。セットアップ プログラムの使用は一度だけ実行する設定作業です。
(注) 次の手順は、推奨手順に従って、サポートされているアプライアンスを適切にインストール、接続、および電源投入していることを前提としています。VMware サーバの設定については、「Cisco Identity Services Engine ISE ソフトウェア DVD を使用した VMware システムの設定」を参照してください。
|
|
|
|
|---|---|---|
19 文字以下にする必要があります。有効な文字は、英数字(A ~ Z、a ~ z、0 ~ 9)とハイフン(-)で、最初の文字はアルファベット文字でなければなりません。 |
||
(eth0)イーサネット インターフェイス アドレス((eth0) Ethernet interface address) |
||
有効な時間帯でなければなりません。詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.0.4 』に記載されている Cisco ISE がサポートする時間帯のリストを参照してください。たとえば、太平洋標準時(PST)の場合は、PST8PDT(または UTC-8 時間)です。 コマンドを実行できます。 |
||
Cisco ISE システムへの CLI アクセスに使用される管理者ユーザ名を特定します。デフォルト( admin )を使用しない場合は、新しいユーザ名を作成する必要があります。ユーザ名は 3 ~ 8 文字で、有効な英数字(A ~ Z、a ~ z、0 ~ 9)で構成されている必要があります。 |
||
Cisco ISE システムへの CLI アクセスに使用される管理者パスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。パスワードは最低 6 文字で、小文字(a ~ z)、大文字(A ~ Z)、数字(0 ~ 9)がそれぞれ 1 つ以上含まれている必要があります。 |
||
Cisco ISE データベースのシステム レベルのパスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。パスワードは最低 11 文字で、小文字(a ~ z)、大文字(A ~ Z)、数字(0 ~ 9)がそれぞれ 1 つ以上含まれている必要があります。使用可能な文字のリストには、アンダースコア(_)およびポンド(#)キーも含まれます。 (注) 分散環境のすべてのノードに同じパスワードが必要であるため、必ず同じエントリを使用してすべてのノードを設定してください。このパスワードの設定後、Cisco ISE はこれを「内部的に」使用します。つまり、システムのログイン時にこのパスワードを入力する必要はありません。 |
||
Cisco ISE データベースのアクセス レベルのパスワードを特定します。このパスワードは作成する必要があります(デフォルトはありません)。パスワードは最低 11 文字で、小文字(a ~ z)、大文字(A ~ Z)、数字(0 ~ 9)がそれぞれ 1 つ以上含まれている必要があります。使用可能な文字のリストには、アンダースコア(_)およびポンド(#)キーも含まれます。 (注) 分散環境のすべてのノードに同じパスワードが必要であるため、必ず同じエントリを使用してすべてのノードを設定してください。このパスワードの設定後、Cisco ISE はこれを「内部的に」使用します。つまり、システムのログイン時にこのパスワードを入力する必要はありません。 |
(注) Web ベースの管理者のユーザ名およびパスワードの詳細については、「Web ブラウザを使用した設定の確認」を参照してください。
VMware サーバに Cisco ISE ソフトウェアをインストールしている場合は、Cisco ISE は初期セットアップ中に VMware ツールもインストールおよび設定します。Cisco ISE は VMware ツール バージョン 8.3.2 をインストールします。VMware ツールが正しくインストールされたことを確認するには、「VMware ツールのインストールの確認」を参照してください。
Cisco ISE 3300 シリーズ ハードウェア アプライアンスの設定
この項では、サポートされているハードウェア アプライアンス用に Cisco ISE 3300 シリーズ ソフトウェアを設定するための Cisco ISE セットアップ プログラムの実行について説明します。
セットアップ プログラムを使用して Cisco ISE 3300 シリーズ アプライアンスを設定するには、次の手順を実行します。
キーボードと VGA モニタを Cisco ISE 3300 シリーズ アプライアンスに接続します。
ステップ 2 電源コードが Cisco ISE 3300 シリーズに接続されており、アプライアンスがオンであることを確認します。
(注) Cisco ISE ソフトウェアはすでにアプライアンスにあらかじめインストールされています。Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を挿入しないでください。DVD は、アプライアンスのイメージ再適用の実行、または CLI パスワードのリカバリの目的にのみ提供されています。
約 2 分で、次のプロンプトが表示されます。これはブート シーケンスが完了したことを意味します。
**********************************************
Please type 'setup' to configure the appliance
**********************************************
ステップ 3 プロンプトで、 setup と入力し、セットアップ プログラムを起動します。ネットワーキング パラメータおよび最初の資格情報の入力を求めるプロンプトが表示されます。次に、セットアップ プログラムとデフォルト プロンプトの例を示します。
(注) Cisco ISE アプライアンスは、UTC 時間帯を使用して内部的に時間を追跡します。特定の時間帯が不明の場合は、Cisco ISE アプライアンスがある都市、地域、または国に基づいて入力します。時間帯の例については、表 3-2、表 3-3、および表 3-4 の表を参照してください。インストール中に、セットアップによりこの設定を求めるプロンプトが表示された時に、希望する時間帯(デフォルトは UTC)を設定することをお勧めします。
Generating configuration...
Rebooting...
(注) 「Virtual machine detected, configuring VMware tools...」メッセージは、Cisco ISE が仮想マシンにインストールされている場合のみ表示されます。このメッセージは、Cisco ISE が物理マシンにインストールされている場合は表示されません。
Cisco ISE ソフトウェアの設定後、Cisco ISE システムは自動的にリブートします。Cisco ISE CLI にログインし直すには、セットアップ時に設定した CLI 管理ユーザの資格情報を入力する必要があります。
ステップ 4 Cisco ISE のリブート後、新しいデータベース管理者およびデータベース ユーザのパスワードの入力および確認を求めるプロンプトが表示されます。(分散環境のすべてのノードに同じパスワードが必要であるため、必ず同じエントリを使用してすべてのノードを設定してください)。このプロンプトが表示されます。
provision the internal database. This setup requires you to create
a database administrator password and also create a database user password.
ステップ 5 Cisco ISE CLI シェルにログインし直したら、次の CLI コマンドを実行して、Cisco ISE アプリケーション プロセスのステータスを確認することができます。
ISE Database listener is running, PID: 4845
ISE Database is running, number of processes: 27
ISE Application Server is running, PID: 6344
ISE M&T Session Database is running, PID: 4502
ISE M&T Log Collector is running, PID: 6652
ISE M&T Log Processor is running, PID: 6738
ISE M&T Alert Process is running, PID: 6542
ステップ 6 Cisco ISE アプリケーション サーバが実行中であることを確認した後、次のサポートされている Web ブラウザのいずれかを使用して Cisco ISE ユーザ インターフェイスにログインできます(「Web ブラウザを使用した Cisco ISE へのアクセス」を参照)。
Web ブラウザを使用して Cisco ISE ユーザ インターフェイスにログインするには、アドレス フィールドに次のように入力します。
ここで、「your-ise-hostname or IP address」はセットアップ時に Cisco ISE 3300 シリーズ アプライアンスに対して設定したホスト名または IP アドレスを表します。
ステップ 7 Cisco ISE のログイン ウィンドウで、Cisco ISE ユーザ インターフェイスにアクセスするための Web ベース admin ログイン資格情報(ユーザ名およびパスワード)を求めるプロンプトが表示されます。CLI 管理ユーザのユーザ名、およびセットアップ プロセスで定義したパスワードを使用して、Cisco ISE Web インターフェイスに最初にアクセスできます。
Cisco ISE ユーザ インターフェイスにログインしたら、続いて、デバイス、ユーザ ストア、ポリシー、およびその他のコンポーネントを設定できます。
Cisco ISE ユーザ インターフェイスへの Web ベースのアクセスに使用するユーザ名とパスワードの資格情報は、Cisco ISE CLI インターフェイスへのアクセス用にセットアップ時に作成した CLI 管理ユーザの資格情報と同じではありません。これらの 2 種類の管理ユーザの違いの説明については、「CLI 管理ユーザと Web ベース管理ユーザの admin 権限の違い」を参照してください。
この項では、欧州、米国およびカナダ、オーストラリア、アジアの共通の UTC 時間帯の詳細を 3 つの表で示しています。
(注) 時間帯の形式は、POSIX または System V です。POSIX 時間帯形式の構文は America/Los_Angeles、一方、System V 時間帯の構文は PST8PDT のようになります。
• 欧州、米国およびカナダの時間帯については、 表 3-2 を参照してください。
• オーストラリアの時間帯については、 表 3-3 を参照してください。
• アジアの時間帯については、 表 3-4 を参照してください。
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|||
|---|---|---|---|
ACT2 |
|||
LHI3 |
|||
NSW4 |
|||
| 1.国と都市をスラッシュ(/)で区切って入力します(例:Australia/Currie)。 2.ACT = Australian Capital Territory(オーストラリア首都特別地域) |
|
|
|||
|---|---|---|---|
Aden6 |
|||
(注) Cisco ISE CLI show timezones コマンドを使用すると、追加の時間帯を使用できます。この CLI コマンドを実行すると、使用可能なすべての時間帯が表示されます。ネットワークの場所に最適な時間帯を選択します。
設定プロセスの確認
設定プロセスが正しく完了したことを確認するには、次の 2 つの方法のいずれかを使用して Cisco ISE 3300 シリーズ アプライアンスにログインします。
(注) インストール後の設定の確認を実行するには、「インストール後のタスクの実行」を参照してください。
フィードバック