- はじめに
- Cisco ISE ネットワーク展開について
- Cisco ISE 3300 シリーズ ハードウェアについて
- Cisco ISE 3300 シリーズ アプライアンスの設定
- VMware 仮想マシンにおける Cisco ISE 3300 シリーズ ソフトウェアのインストール
- Cisco ISE のアップグレード
- インストール後のタスクの実行
- Cisco ISE 3300 シリーズ ハードウェアの設置準備
- Cisco ISE 3300 シリーズ ハードウェアの設置
- Cisco ISE 3300 シリーズ アプライアンスのトラブルシューティング
- Cisco ISE 3300 シリーズ アプライアンスの保守
- Cisco ISE 3300 シリーズ アプライアンスのポート リファレンス
- Cisco NAC および Cisco Secure ACS アプライアンス上の Cisco ISE 3300 シリーズ ソフトウェアのインストール
- 索引
Cisco Identity Services Engine リリース 1.1 ハードウェア インストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: インストール後のタスクの実行
インストール後のタスクの実行
この章では、Cisco Identity Services Engine(ISE)3300 シリーズ アプライアンスのインストールおよび設定が正常に完了した後に実行が必要ないくつかの作業について説明します。この章で説明する内容は、次のとおりです。
•
「Web ブラウザを使用した Cisco ISE へのアクセス」
• 「Cisco ISE 3300 シリーズ アプライアンスのイメージ再適用」
ライセンスのインストール
Cisco ISE システムを管理するには、有効なライセンスが必要です。ライセンスは、Cisco ISE ネットワーク リソースを使用できる同時エンドポイントの数など、アプリケーションの機能の使用やアクセスを制限する機能を提供します。
(注) 同時エンドポイントは、サポートされるユーザとデバイスの合計数を表します。エンドポイントには、ユーザ、パーソナル コンピュータ、ラップトップ、IP 電話、スマート フォン、ゲーム コンソール、プリンタ、ファクス機、またはその他のネットワーク デバイスを組み合わせることができます。
Cisco ISE ソフトウェア機能サポートは、2 つの機能セットに分けられます。
• 基本パッケージ:ネットワーク アクセス、ゲスト、およびリンク暗号化の基本サービスをイネーブルにします。
• 拡張パッケージ:プロファイラ、ポスチャ、およびセキュリティ グループ アクセスなど、より高度なサービスをイネーブルにします。
各ライセンス パッケージは、対応するサービスの接続および使用が可能な特定の数の同時エンドポイントをサポートしています。各パッケージ タイプのサービスは、対応するライセンスをインストールすることによってイネーブルになります。2 通りのライセンス インストールのアプローチの可能性が考えられます。
• 基本および拡張ライセンス :基本および拡張ライセンスをインストールし、インストールに応じて対応する機能サポートをイネーブルにできます。各ライセンスは個別にインストールできます。また、同じタイプの複数のライセンスをインストールして、対応するパッケージのエンドポイント数を累積的に増やすことができます。
• ワイヤレス ライセンス :ワイヤレス ライセンスは、基本および拡張パッケージの両方で同じ数のエンドポイントをイネーブルにします。ただし、このタイプのライセンスでサポートされているデバイスはワイヤレス デバイスに制限されます。その後、すべてのタイプのデバイスの基本および拡張パッケージ機能のサポートをイネーブルにするワイヤレス アップグレード ライセンスをインストールすることにより、この制限を削除することができます。
これらのトピックに関する詳細については、次の各項を参照してください。
Cisco ISE システムには、基本および拡張の両方のパッケージ サービスをフィーチャする評価ライセンスが含まれます。これは 90 日間有効で、システムの基本および拡張パッケージのユーザ数を 100 に制限します。Cisco ISE システムにより、評価ライセンスの期限が切れる前に、有効な製品ライセンスのダウンロードを求めるプロンプトが表示されます。
90 日間の最後に評価ライセンスの期限が切れると、管理 Web アプリケーションにより、基本、基本および拡張、またはワイヤレスの有効な製品ライセンスのインストールを求めるプロンプトが表示されます。(評価ライセンスは有線およびワイヤレスの両方のユーザのサポートを提供できますが、ワイヤレス ライセンス オプションを購入および適用すると、評価期間中にサポートされていた可能性のあるサポートが切り捨てられます)。管理ユーザ インターフェイスを使用したライセンス ファイルの追加および変更の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1 』の「Managing Licenses」の章を参照してください。
ライセンスは Cisco ISE ネットワーク内の管理 ISE ノードによって集中管理され、展開内のすべての他の Cisco ISE ノード(インライン ポスチャ ノードを除く)に自動的に分散されます。たとえば、分散展開では、プライマリおよびセカンダリとして展開されている 2 つの管理ペルソナ インスタンスがあります。ライセンス ファイルのインストールが正常終了すると、プライマリ管理 ISE ノードからのライセンス情報はセカンダリ管理 ISE ノードに伝播されます(これにより、展開内の各管理 ISE ノードに同じライセンスをインストールする必要はありません)。
(注) Cisco ISE ライセンスは、MAC アドレスではなく、プライマリ管理 ISE ノード ハードウェア ID に基づいて生成されます。
各 Cisco ISE ライセンスには、Cisco ISE サービスを使用できる同時エンドポイントの数を制限する、基本、基本および拡張、またはワイヤレス パッケージのカウント値が含まれます。カウントには、ネットワークに同時接続されており、サービスにアクセスしている全体の展開間のエンドポイントの合計数が含まれます。エンドポイントの数がサポートされているライセンス カウントを超えて増えた場合、Cisco ISE 内でのライセンス強制はソフトで、エンドポイントはサービスのアクセスからブロックされないままです。エンドポイントがライセンスされている値を超えたときに生成されるアラームに関する詳細については、「ライセンスの強制」を参照してください。
Cisco ISE はネットワーク上で同時エンドポイントを追跡し、エンドポイント カウントがライセンスされている量を超えるとアラームを生成します。
ライセンスの期限切れの通知のためのアラームは送信されません。期限切れのライセンスで Cisco ISE ノードにログインすると、管理者は Cisco ISE ダッシュボードまたはその他のサービスにアクセスできず、www.cisco.com のライセンス ページにリダイレクトされます。
• デフォルトの評価ライセンスの上にワイヤレス ライセンスをインストールすると、ワイヤレス ライセンスにより、評価ライセンスのパラメータがワイヤレス ライセンスに関連付けられている特定の期間とユーザ カウントで上書きされます。
• デフォルトの評価ライセンスの上に基本ライセンスをインストールすると、基本ライセンスにより、評価ライセンスの「基本」部分のみが上書きされます。このため、拡張ライセンスの機能はデフォルトの評価ライセンス期間によって許可されている残りの期間のみ使用可能なままになります。
• デフォルトの評価ライセンスの上に拡張ライセンスをインストールすると、拡張ライセンスにより評価ライセンスの「拡張」部分のみが上書きされます。このため、基本ライセンスの機能はデフォルトの評価ライセンス期間によって許可されている残りの期間のみ使用可能なままになります。
(注) Cisco ISE の基本または拡張機能に関連する期限切れの問題を回避するため、デフォルトの評価ライセンスを同時に基本と拡張の両方のライセンスに置き換えることを推奨します。
ライセンスのタイプ
この項では、Cisco ISE 3300 シリーズ アプライアンスでの使用がサポートされている 4 種類のライセンスについて説明します。
一般的に、基本および拡張ライセンスは主に Cisco ISE サービスの提供に重点が置かれており、ワイヤレス ライセンス オプションは純粋にワイヤレス エンドポイント環境でより迅速かつ容易に Cisco ISE を確実に展開できるようにすることに重点が置かれています。
Cisco ISE の基本、拡張、ワイヤレスおよびワイヤレス アップグレード ライセンスで使用可能な機能および Stock-Keeping Unit(SKU)の詳細については、『Cisco Identity Services Engine Ordering Guidelines』( http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/guide_c07-656177.html )を参照してください。
ライセンスに関するガイドライン
次に、遵守する必要があるライセンスに関するガイドラインをいくつか示します。
• 展開ごとにすべてのライセンスは Cisco ISE ノード(管理 ISE ノード)で集中管理されます。
• すべてのライセンスは管理 ISE ノードにのみ適用されます。
• 展開に、基本ライセンスなしで拡張ライセンスを持たせることはできません。
• ワイヤレス ライセンスは、管理 ISE ノード上で基本ライセンス、または基本および拡張ライセンスと共存することができません。
• 管理 ISE ノードで、基本エンドポイント ライセンスより多い拡張エンドポイント ライセンスを追加できないことを確認する必要があります。
• インライン ポスチャ ノードに個別のライセンスは必要ありません。
– インライン ポスチャ ノードは Cisco ISE 3300 シリーズ アプライアンスでのみサポートされます。VMware サーバ システムではサポートされません。
– 特定のワイヤレス LAN コントローラ(WLC)バージョンのみがインライン ポスチャでサポートされます。(詳細については、『 Cisco Identity Services Engine Network Component Compatibility, Release 1.1 』を参照してください)。
(注) インライン ポスチャ ノードは、VMware サーバ システムでサポートされません。
• ライセンスが適用される前に Cisco ISE を起動すると、ライセンス ページのみが含まれるブートストラップ設定のみが表示されます。
• 評価ライセンスが期限切れに近づくと、Cisco ISE システムに Web ベースのアクセスを試みたときに製品ライセンス(基本、基本および拡張、またはワイヤレス)のダウンロードおよびインストールを求めるプロンプトが表示されます。
• 基本ライセンスが適用されると、基本的なネットワーク アクセスおよびゲスト アクセスのための Cisco ISE ユーザ インターフェイス画面およびタブが表示されます。
• 拡張ライセンスが適用されると、プロファイラ、ポスチャ、およびセキュリティ グループ アクセスのための Cisco ISE ユーザ インターフェイス画面およびタブが表示されます。
評価ライセンス
評価ライセンスは、基本と拡張の両方のライセンス パッケージで構成されます。評価ライセンスでは、サポートが 100 エンドポイントに制限され、90 日で期限が切れます。この期間はリアルタイム クロックではなく、Cisco ISE システム クロックに基づいています。評価ライセンスは事前インストールされているため、別途インストールする必要はありません。
評価ライセンスが 90 日間の終わりに近づくと、Cisco ISE システムはライセンスのアップグレードのアラームを生成することにより、ユーザに有効な製品ライセンス(基本または拡張)のダウンロードとインストールを求めるプロンプトを表示します。正規ライセンスのインストールでは、サービスは選択したパッケージに基づいて継続されます。
基本ライセンス
基本ライセンスはデバイス上で Cisco ISE 管理インターフェイスを使用してインストールされます。評価ライセンスと異なり、基本ライセンスでは使用状況もデバイスに記録されます。基本ライセンスは永続ライセンスです。基本パッケージには認証、許可、ゲスト、およびスポンサー サービスが含まれ、このライセンスの期限が切れることはありません。
拡張ライセンス
拡張ライセンスは、基本ライセンスの上にのみインストールできます。最初に基本ライセンスをインストールせずに、評価ライセンスを拡張ライセンスにアップグレードすることはできません。基本ライセンス パッケージで使用可能な機能に加え、拡張ライセンスでは Cisco ISE のプロファイラ、ポスチャ、およびセキュリティ グループ アクセス サービスがアクティブになります。
拡張ライセンスでサポートされるエンドポイントの合計数は、常に基本ライセンスのカウントを上回ることができません(基本ライセンス カウント以下にすることができます)。
(注) 拡張ライセンスはサブスクリプション ベースで、3 年と 5 年の 2 つの有効サブスクリプション期間があります。
ワイヤレス ライセンス
ワイヤレス ライセンスは、基本的なネットワーク アクセス(認証および許可)、ゲスト サービス、およびリンク暗号化など基本的な基本ライセンス機能だけでなく、プロファイラ、ポスチャ、セキュリティ グループ アクセス サービスを含むすべての拡張ライセンス機能も提供するワイヤレス専用のサービス プロバイダに、柔軟なオプションを提供するように設計されています。Cisco ISE は、ワイヤレス専用の顧客のみがワイヤレス LAN コントローラ(WLC)からの RADIUS ワイヤレス認証要求のみを許可することによりワイヤレス ライセンス オプションを活用できることを保証します(他の認証リクエスト メソッドはドロップされます)。さらに、LiveLogs エントリにも、「Request from a non-wireless device was dropped due to installed Wireless license」と表示し、ドロップされた要求の理由を示します。
(注) 拡張ライセンス パッケージと同様に、ワイヤレス ライセンスはサブスクリプション ベースです。
現在展開にワイヤレス ライセンス モデルをサブスクライブしており、その後、前述の基本および拡張ライセンス スキームに戻さずに、ネットワーク上の非ワイヤレス エンドポイントの Cisco ISE サポートを提供することを決定した場合、ワイヤレス アップグレード ライセンスに移行できます。これらのライセンスは、Cisco ISE 機能、および有線および VPN コンセントレータ アクセスを含むすべてのワイヤレスおよび非ワイヤレス クライアント アクセス メソッドの全範囲を提供するように設計されています。
(注) ワイヤレス アップグレード ライセンス オプションは、同じ許容エンドポイント カウントを持つ既存のワイヤレス ライセンスの上にのみインストールできます。ワイヤレス アップグレードを基本プラス拡張ライセンス パッケージの上にインストールすることはできません。
ライセンスの取得
90 日間の評価ライセンスの期限が切れた後、引き続き Cisco ISE サービスを使用して、100 を超える同時エンドポイントをネットワーク上でサポートするには、Cisco ISE で固有の基本または基本および拡張ライセンス パッケージを取得してインストールする必要があります。ライセンス ファイルは、Cisco ISE ハードウェア ID と製品認証キー(PAK)の組み合わせに基づいています。Cisco ISE を購入した時点で、または 90 日間のライセンスの期限が切れる前に、Cisco.com にアクセスして基本または基本および拡張ライセンスを注文することができます。
Cisco.com からライセンス ファイルを注文して 1 時間以内に、シスコの補遺エンド ユーザ ライセンス契約書および注文した各ライセンスの PAK を含む権利証明書が添付された電子メールを受信するはずです。権利証明書の受信後、シスコの製品ライセンス登録サイト( http://www.cisco.com/go/license )にログインおよびアクセスし、適切なハードウェア ID 情報および PAK を入力してライセンスを生成できます。
ライセンス ファイルを生成するには、次の固有の情報を指定する必要があります。
シスコの製品ライセンス登録サイトでライセンス情報を送信した翌日に、ライセンス ファイルが添付された電子メールを受信します。ローカル マシン上の既知の場所にライセンス ファイルを保存し、『 Cisco Identity Services Engine User Guide, Release 1.1 』の「 Managing Licenses 」の章の手順に従って、Cisco ISE での製品ライセンスの追加およびアップデートを行います。
プライマリ管理 ISE ノード ハードウェア ID を決定するには、次の手順を実行します。
ステップ 1 ダイレクト コンソール CLI にアクセスし、 show inventory コマンドを入力します。次のような行を含む出力が表示されます。
ステップ 2 (オプション)ライセンスの期限が切れていない場合は、次の手順を実行してプライマリ管理 ISE ノードを表示できます。
a. [管理(Administration)] > [システム(System)] > [ライセンス(Licensing)] を選択します。
[ライセンスの操作(License Operations)] ナビゲーション ペインと [現在のライセンス(Current Licenses)] ページが表示されます。
b. [ライセンスの操作(License Operations)] ナビゲーション ペインで [現在のライセンス(Current Licenses)] をクリックします。
[現在のライセンス(Current Licenses)] ページが表示されます。
c. プライマリ管理 ISE ノード ハードウェア ID をチェックする Cisco ISE ノードに対応するボタンを選択して、[管理ノード(Administration Node)] をクリックします。
製品 ID、バージョン ID、およびシリアル番号が表示されます。
(注) Cisco ISE ライセンスは、MAC アドレスではなく、プライマリ管理 ISE ノード ハードウェア ID に基づいて生成されます。
詳細、および新しいインストールのライセンス オプションや Cisco Secure Access Control System などのシスコの既存のセキュリティ製品を含む、Cisco ISE で使用可能なライセンス製品番号については、Cisco Identity Services Engine の注文ガイドライン( http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/guide_c07-656177.html )を参照してください。
評価ライセンスの自動インストール
ディスク領域が 60 ~ 600 GB の Cisco ISE で仮想マシンを使用する場合は、Cisco ISE によって評価ライセンスが自動的にインストールされます。すべての Cisco ISE 3300 シリーズ アプライアンスには 90 日間および 100 エンドポイントに制限される評価ライセンスが付属しています。
Cisco ISE ソフトウェアをインストールし、アプライアンスをプライマリ管理 ISE ノードとして初期設定した後、「ライセンスの取得」の手順に従って、Cisco ISE のライセンスを取得および適用する必要があります。プライマリ管理 ISE ノード ハードウェア ID を使用して、すべてのライセンスを Cisco ISE プライマリ管理 ISE ノードに適用します。その後、プライマリ管理 ISE ノードは展開にインストールされているすべてのライセンスを集中管理します。
Cisco ISE ライセンスは、MAC アドレスでは なく 、プライマリ管理 ISE ノード ハードウェア ID に基づいて生成されます。ライセンス管理のプロセスは、デュアル管理 ISE ノードの場合もシングル管理 ISE ノードの場合も同じです。
Cisco ISE ユーザ インターフェイスを使用してライセンスを管理するには、『 Cisco Identity Services Engine User Guide, Release 1.1 』の「Managing Licenses」の章を参照し、次のタスクを実行します。
Web ブラウザを使用した Cisco ISE へのアクセス
Cisco ISE 3300 シリーズ アプライアンスは、次の HTTPS が有効なブラウザを使用した Web インターフェイスをサポートしています。
• Microsoft Internet Explorer 8
• Microsoft Internet Explorer 9(Internet Explorer 8 互換モード)
(注) Cisco ISE ユーザ インターフェイスは Microsoft IE8 ブラウザの IE7 互換モードの使用をサポートしていません(Microsoft IE8 は IE8 モードのみがサポートされています)。
• 「ログイン」
• 「ログアウト」
ログイン
初めて Cisco ISE Web ベース インターフェイスにログインするときは、事前インストールされている評価ライセンスを使用します。前の項で挙げたサポートされている HTTPS が有効なブラウザのみを使用する必要があります。本マニュアルで説明するとおりに Cisco ISE をインストールしたら、Cisco ISE Web ベース インターフェイスにログインできます。
Web ベース インターフェイスを使用して Cisco ISE にログインするには、次の手順を実行します。
ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。
ステップ 2 アドレス フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。
たとえば、http://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。
ステップ 3 Cisco ISE のログイン ページで、セットアップ時に定義したユーザ名とパスワードを入力します。
ステップ 4 [ログイン(Login)] をクリックすると Cisco ISE のダッシュボードが表示されます。
(注) Cisco ISE CLI 管理ユーザ名またはパスワードを回復またはリセットするには、「管理者パスワードのリセット」を参照してください。
(注) CLI 管理ユーザ名またはパスワードを忘れた場合は、Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を使用して [パスワードの回復(Password Recovery)] を選択します。このオプションにより、CLI 管理ユーザ名およびパスワードをリセットできます。
ヒント Cisco ISE GUI を表示しより良いユーザ エクスペリエンスのために必要な最小画面解像度は 1280 X 800 ピクセルです。
Cisco ISE へのログイン時、CLI ベースと Web ベースでは、ユーザ名とパスワードの値は同じではありません。Cisco ISE CLI 管理ユーザと Cisco ISE Web ベース管理ユーザとの違いの詳細については、「CLI 管理ユーザと Web ベース管理ユーザの admin 権限の違い」を参照してください。
(注) ライセンス ページは、評価ライセンスの期限が切れた後、初めて Cisco ISE にログインするときにだけ表示されます。
(注) Cisco ISE システムに正常にログインした後、Cisco ISE ユーザ インターフェイスを使用して管理者ログイン パスワードを定期的にリセットすることを推奨します。管理者パスワードのリセットの詳細については、『Cisco Identity Services Engine User Guide, Release 1.1』の「Configuring Cisco ISE Administrators」を参照してください。
ログインの試行に失敗した後の管理者のロックアウト
指定した管理者ユーザ ID に対して誤ったパスワードを十分な回数入力した場合、Cisco ISE ユーザ インターフェイスにより「ロックアウト」され、ログ エントリが [モニタ(Monitor)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] > [サーバ管理者ログイン(Server Administrator Logins)] レポートに追加され、「管理者のロックアウトによるパスワードの無効化」に従ってその管理者 ID に関連付けられたパスワードをリセットする機会を得るまで、その管理者 ID の資格情報が一時停止されます。管理者アカウントをディセーブルにするのに必要な失敗試行数は、『 Cisco Identity Services Engine User Guide, Release 1.1 』の「Managing Identities」の章に記載されているガイドラインに従って設定できます。管理者ユーザ アカウントがロックアウトされると、関連する管理ユーザに電子メールが送信されます。
ログアウト
Cisco ISE Web ベース インターフェイスをログアウトするには、Cisco ISE メイン ウィンドウ ツールバーで [ログアウト(Log Out)] をクリックします。これにより、管理セッションが終了してログアウトされます。
Cisco ISE Web ベースの Web インターフェイスの使用の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1 』を参照してください。
Cisco ISE 設定の確認
この項では、ログインおよび Cisco ISE 設定の確認にそれぞれ異なるユーザ名とパスワードの資格情報を使用する 2 つの方法を提供しています。
(注) Cisco ISE システムに初めて Web ベースでアクセスする場合、管理者のユーザ名とパスワードはセットアップ時に設定した CLI ベースのアクセスと同じです。Cisco ISE システムに CLI ベースでアクセスする場合、管理者のユーザ名はデフォルトで admin、管理者パスワード(デフォルトがないため、ユーザ定義)はセットアップ時に設定した値を表します。
CLI 管理ユーザと Web ベース管理ユーザの権限の違いの詳細については、「CLI 管理ユーザと Web ベース管理ユーザの admin 権限の違い」を参照してください。
Web ブラウザを使用した設定の確認
Cisco ISE 3300 シリーズ アプライアンスが正常に設定されたことを確認するには、Web ブラウザを使用して次の手順を実行します。
Cisco ISE アプライアンスのリブートが完了したら、サポートされている Web ブラウザの 1 つを起動します。
ステップ 2 アドレス フィールドに、Cisco ISE アプライアンスの IP アドレス(またはホスト名)を次のフォーマットを使用して入力し、Enter を押します。
たとえば、http://10.10.10.10/admin/ と入力すると Cisco ISE のログイン ページが表示されます。
ステップ 3 Cisco ISE のログイン ページで、セットアップ時に定義したユーザ名とパスワードを入力し、[ログイン(Login)] をクリックします。
(注) Cisco ISE システムに正常にログインした後、Cisco ISE ユーザ インターフェイスを使用して管理者ログイン パスワードを定期的にリセットすることを推奨します。管理者パスワードのリセットの詳細については、『Cisco Identity Services Engine User Guide, Release 1.1』の「Configuring Cisco ISE Administrators」を参照してください。
CLI を使用した設定の確認
Cisco ISE 3300 シリーズ アプライアンスが正常に設定されたことを確認するには、Cisco CLI を使用して次の手順を実行します。
ステップ 1 Cisco ISE アプライアンスのリブートが完了したら、ISE アプライアンスへのセキュア シェル(SSH)接続の確立にサポートされている製品を起動します(たとえば、PuTTY、オープン ソース Telnet/SSH クライアントを使用します)。
ステップ 2 ホスト名(または IP アドレス)のフィールドに、ホスト名(またはドット付き 10 進形式を使用して Cisco ISE の IP アドレス)を入力し、[開く(Open)] をクリックして Cisco ISE アプライアンスのシステム プロンプトを表示します。
ステップ 3 ログイン プロンプトで、セットアップ時に設定した CLI 管理ユーザ名( admin がデフォルト)を入力し、Enter を押します。
ステップ 4 パスワード プロンプトで、セットアップ時に設定した CLI 管理パスワード(これはユーザ定義でデフォルトはありません)を入力し、Enter を押します。
ステップ 5 アプリケーションが適切にインストールされていることを確認するには、システム プロンプトで show application version ise と入力し、Enter を押します。
(注) ビルド番号は、現在インストールされている Cisco ISE ソフトウェアのバージョンを反映します。
ステップ 6 Cisco ISE プロセスのステータスを確認するには、システム プロンプトで show application status ise と入力し、Enter を押します。
(注) 最新の Cisco ISE パッチを入手し Cisco ISE を最新に保つには、http://www.cisco.com/public/sw-center/index.shtml を参照してください。
ステップ 7 Cisco Application Deployment Engine(ADE)リリース 2.0 オペレーティング システム(ADE-OS)のバージョンを確認するには、システム プロンプトで show version と入力し、Enter を押します。
Cisco Application Deployment Engine OS Release: 2.0
ADE-OS Build Version: 2.0.2.083
ADE-OS System Architecture: i386
VMware ツールのインストールの確認
VMware ツールのインストールは次の 2 つの方法で確認できます。
• vSphere Client での [サマリー(Summary)] タブの使用
• CLI の使用
vSphere Client での [サマリー(Summary)] タブの使用
vSphere Client の [サマリー(Summary)] タブに移動します。[VMware ツール(VMware Tools)] の値は「OK」であるはずです。図 6-1 の赤色の矢印は、値が「OK」であるため、VMware ツールがインストールされていることを示しています。
図 6-1 vSphere Client での VMware ツールの確認
show inventory CLI コマンドを使用して VMware ツールがインストールされているかどうかを確認することもできます。このコマンドは NIC ドライバ情報をリストします。VMware ツールがインストールされた仮想マシンでは、ドライバ情報が「VMware 仮想イーサネット ドライバ」としてリストされます。次の例を参照してください。
NAME: "ISE-VM-K9 chassis", DESCR: "ISE-VM-K9 chassis"
PID: ISE-VM-K9 , VID: V01 , SN: 8JDCBLIDLJA
CPU 0: Model Info: Intel(R) Xeon(R) CPU E5504 @ 2.00GHz
Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders
NIC 0: HW Address: 00:0C:29:BA:C7:82
NIC 0: Driver Descr: VMware Virtual Ethernet driver
管理者パスワードのリセット
Cisco ISE の管理者パスワードをリセットする方法は 2 つあります。特定のパスワードの紛失の性質に応じて、次の一連の手順の 1 つを使用します。
• 「紛失、失念、または侵害されたパスワード」:管理者パスワードの紛失、失念、または侵害により、誰も Cisco ISE にログインできない場合、この手順を使用します。
• 「管理者のロックアウトによるパスワードの無効化」:管理者 ID の行で指定された回数のログインを失敗したためにパスワードが使用できなくなった場合、この手順を使用します。
紛失、失念、または侵害されたパスワード
管理者パスワードが紛失、失念、または侵害により誰も Cisco ISE システムにログインできない場合は、Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を使用して管理者パスワードをリセットできます。
Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を使用して Cisco ISE アプライアンスの起動を試みる場合、問題が発生する可能性のある次の接続関連の状況を理解していることを確認する必要があります。
• 次の状況で Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を使用して Cisco ISE アプライアンスの起動を試みると、エラーが発生する場合があります。
– exec 行設定を含む Cisco ISE アプライアンスへのシリアル コンソール接続に関連付けられているターミナル サーバがある(no exec 行設定を使用していない場合)。
– Cisco ISE アプライアンスへのキーボードおよびビデオ モニタ(KVM)接続がある(これはリモート KVM または VMware vSphere クライアント コンソール接続のいずれかになります)。
– Cisco ISE アプライアンスへのシリアル コンソール接続がある。
(注) Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を使用して Cisco ISE アプライアンスを起動する場合、「no exec」設定を使用するシリアル コンソール行のターミナル サーバ設定を指定することにより、これらの接続関連の問題を回避することができます。これにより、KVM 接続とシリアル コンソール接続の両方を使用できます。
Cisco ISE アプライアンスの管理者パスワードのリセット
ステップ 1 Cisco ISE アプライアンスの電源がオンになっていることを確認します。
ステップ 2 アプライアンスの CD/DVD ドライブに Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を挿入します。
コンソールに次のメッセージが表示されます(これは Cisco ISE 3355 の例です)。
Welcome to Cisco Identity Services Engine - ISE 3355
To boot from hard disk press <Enter>
[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)
[2] Cisco Identity Services Engine Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
Please enter boot option and press <Enter>.
ステップ 3 管理者パスワードをリセットするには、システム プロンプトで、アプライアンスへのキーボードおよびビデオ モニタ接続を使用している場合は、 3 と入力し、ローカル シリアル コンソール ポート接続を使用している場合は 4 と入力します。
ステップ 4 表 6-1 にリストされている説明に従って、パラメータを入力します。
|
|
|
|---|---|
Enter number of admin for password recovery:2
DB パスワードをリセットするコマンドおよびその他の CLI コマンドについては、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.0.4 』を参照してください。
管理者のロックアウトによるパスワードの無効化
管理者ユーザ ID に対して誤ったパスワードを十分な回数入力すると、管理者パスワードが無効になる場合があります。最小およびデフォルトの回数は 5 です。Cisco ISE のユーザ インターフェイスによりシステムから「ロックアウト」され、その管理者 ID に関連付けられたパスワードをリセットする機会を得るまでその管理者 ID の資格情報が一時停止されます。
(注) 次のコマンドにより、管理者ユーザ インターフェイス パスワードをリセットします。指定された管理者 ID の CLI パスワードへの影響はありません。
管理者 ID のロックアウト後、パスワードをリセットするには、次の手順を実行します。
ステップ 1 ダイレクト コンソール CLI にアクセスし、次のコマンドを入力します。
ステップ 2 この管理者 ID に使用した前の 2 つのパスワードと異なる新しいパスワードを指定します。
管理者パスワードが正常にリセットされると、Cisco ISE で資格情報がすぐにアクティブになり新しいパスワードでログインできます。システムをリブートする必要はありません。
application reset-passwd ise コマンドの使用の詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.0.4 』を参照してください。
Cisco ISE 3300 シリーズ アプライアンスの IP アドレスの変更
Cisco ISE 3300 シリーズ アプライアンスの IP アドレスを変更するには、次の手順を実行します。
ステップ 1 Cisco ISE CLI にログインします。
ip address <new_ip_address> <new_subnet_mask>
(注) Cisco ISE アプライアンスの IP アドレスを変更する場合は、no ip address コマンドを使用しないでください。
(注) Cisco ISE アプライアンスの IP アドレスを変更した後、すべての Cisco ISE サービスを再起動する必要はありません。
Cisco ISE 3300 シリーズ アプライアンスのイメージ再適用
Cisco ISE 3300 シリーズ アプライアンスのイメージ再適用、または以前に Cisco Secure ACS リリース 5.1 インストールで使用したイメージ再適用が必要な場合があります。たとえば、Cisco Secure ACS データを Cisco ISE に移行し、アプライアンスで再使用することを計画している場合です。
Cisco ISE 3300 シリーズ アプライアンスのイメージ再適用を行うには、次の手順を実行します。
ステップ 1 Cisco Secure ACS アプライアンスの電源がオンになっている場合は、アプライアンスの電源をオフにします。
ステップ 2 Cisco Secure ACS アプライアンスの電源をオンにします。
ステップ 3 F1 を押して、BIOS セットアップ モードにします。
ステップ 4 矢印キーを使用して [日付と時刻(Date and Time)] に移動し、Enter を押します。
ステップ 5 アプライアンスの時刻を UTC/GMT 時間帯に設定します。
(注) すべての Cisco ISE ノードを UTC 時間帯に設定することを推奨します。この時間帯設定により、展開におけるさまざまなノードからのレポートおよびログが、タイムスタンプで常に同期されるようになります。
ステップ 6 Esc を押して、メイン BIOS メニューを終了します。
ステップ 7 Esc を押して、BIOS セットアップ モードを終了します。
ステップ 8 「Cisco ISE 3300 シリーズ アプライアンスを設定する前に」で説明されている手順を実行します。
ステップ 9 「セットアップ プログラムのパラメータについて」で説明されている手順を実行します。
ステップ 10 アプライアンスの CD/DVD ドライブに Cisco Identity Services Engine ISE VM Appliance (ISE Software Version 1.1.0.xxx) DVD を挿入します。
コンソールが表示されます(これは Cisco ISE 3315 の例です)。
Welcome to Cisco Identity Services Engine - ISE 3315
To boot from hard disk press <Enter>
[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)
[2] Cisco Identity Services Engine Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
Please enter boot option and press <Enter>.
ステップ 11 コンソール プロンプトで、キーボードとビデオ モニタを使用している場合は 1 と入力し、シリアル コンソール ポートを使用している場合は 2 と入力して、Enter を押します。
イメージの再適用プロセスにより、既存の Cisco ADE-OS とソフトウェアバージョンがアンインストールされ、最新の Cisco ADE-OS と Cisco ISE ソフトウェア バージョンがインストールされます。
インストールおよび設定プロセスの詳細については、「Cisco ISE 3300 シリーズ アプライアンスを設定する前に」および「セットアップ プログラムのパラメータについて」を参照してください。
Cisco Secure ACS リリース 5.1/5.2 データから Cisco ISE リリース 1.0 アプライアンスへの移行の詳細については、『 Cisco Identity Services Engine Migration Guide for Cisco Secure ACS 5.1 and 5.2, Release 1.0.4 』を参照してください。
Cisco ISE システムの設定
Cisco ISE の Web ベースのユーザ インターフェイス メニューを使用して、Cisco ISE システムをニーズに合わせて設定できます。認証ポリシー、許可、ポリシーの設定、およびすべての機能、メニュー、およびオプションの使用の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1 』を参照してください。
Cisco ISE の操作および監視やレポートなどのその他の管理機能の詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1 』を参照してください。
本リリースの最新情報については、『 Release Notes for Cisco Identity Service Engine, Release 1.1 』を参照してください。
Cisco ISE でのシステム診断レポートのイネーブル化
初めて Cisco ISE をインストールまたはアプライアンスのイメージ再適用を行った後、Cisco ISE CLI を使用してシステム レベルの診断レポートをイネーブルにすることができます(システム診断でのレポートを行うロギング機能は、デフォルトでは Cisco ISE でイネーブルになりません)。
システム診断レポートをイネーブルにするには、次のことを実行します。
ステップ 1 デフォルトの管理者ユーザ ID およびパスワードを使用して Cisco ISE CLI コンソールにログインします。
Cisco ISE UI([管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング カテゴリ(Logging Categories)] > [システム診断(System Diagnostics)])からシステム診断設定を指定できます。
新しい Cisco ISE ソフトウェアのインストール
各 Cisco ISE 3300 シリーズ アプライアンスには Cisco ISE ソフトウェアが事前インストールされています。事前インストールされている Cisco ISE ADE-OS および Cisco ISE ソフトウェアを新しいバージョンにアップグレードすること、既存のシステム設定情報を必ず保持することを推奨します。アプライアンス上で Cisco ISE の新しいインストールを実行すると、復元が必要な設定データの量によって、(展開された Cisco ISE ノードにつき)10 分から 60 分またはそれ以上がかかることがあります。
(注) 新しいソフトウェア インストールが完了したら、このインストール プロセスの前に、Cisco ISE へのアクセスに使用していたアクティブ ブラウザのキャッシュをクリアします。
Cisco 3300 シリーズ アプライアンスと新しい Cisco ISE リリース 1.0 ソフトウェアのインストールの詳細については、『 Release Notes for Cisco Identity Service Engine, Release 1.1 』の「Installing Cisco ISE Software」を参照してください。
フィードバック