Cisco Context Directory Agent, Release 1.0 インストレーション/コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: Context Directory Agent の操作
Context Directory Agent の操作
Cisco Context Directory Agent(CDA)は、自己署名証明書を使用して HTTPS をサポートする Web ベース アプリケーションです。
Cisco CDA ユーザ インターフェイスの概要
サポートされるブラウザ
次のブラウザが Cisco CDA でサポートされています。
|
|
|
|---|---|
Microsoft Internet Explorer バージョン 8、9(互換モード)、Firefox バージョン 9 および 11 |
|
Cisco CDA へのログイン
Web ブラウザを開き、Web インターフェイスを介して Cisco CDA に接続できます。
Cisco CDA にログインするには、次の手順を実行します。
ステップ 1
Web ブラウザに Cisco CDA マシンの URL(https://<ip_address/hostname>/cda)を入力します。
ステップ 2 ユーザ名とパスワードを Cisco CDA ログイン ページ(図 3-1)に入力し、[Login] をクリックします。
ステップ 3 初めてのログイン時に Cisco CDA ダッシュボードが表示されます(図 3-2)。
Cisco CDA ダッシュボード
Cisco CDA ダッシュボードには、Active Directory サーバ、コンシューマ デバイス、Syslog サーバ、および管理者を迅速に作成、編集、または削除するためのダッシュレットが用意されています。
また、ダッシュレットには既存の Active Directory サーバ、コンシューマ デバイス、および Syslog サーバのリストがあります。さらに、ダッシュボードには、Active Directory の基本設定、登録済みデバイスのページ、およびログ レベル設定へのリンクもあります。図 3-2 を参照してください。
Cisco CDA ユーザ インターフェイスの操作
• 「管理者」
• 「ライブ ログ」
コンシューマ デバイス
コンシューマ デバイスは Cisco CDA から最新の IP-to-user-identity マッピングをアクティブに取得(およびパッシブに受信)します。ネットワーク デバイスの追加、編集、削除を行うことができます。Cisco CDA は、このテーブルの IP アドレス範囲が重ならないことを検証します。
コンシューマ デバイスの追加と編集
ダッシュレットのコンシューマ デバイス エントリは、実際の ASA および WSA ファイアウォール デバイスと同義ではありません。代わりに、それぞれのコンシューマ デバイス エントリは、RADIUS を介して Cisco CDA と通信するための論理的なルールで、IP アドレス(マスクが 32 の場合)またはアドレス範囲(マスクが 0 ~ 31 の場合)を許可します。
コンシューマ デバイス エントリをテーブルまたはダッシュレットに作成しても、実際にはデバイスとの通信が開始されることはありません。ルールが作成されるだけです。Cisco CDA は、この場合は RADIUS サーバとして動作するため、デバイスとのカンバセーションを開始しません。Cisco CDA との RADIUS カンバセーションを開始するのは実際のコンシューマ デバイスです。最初にコンシューマ デバイスの IP アドレスまたは IP 範囲を Cisco CDA で追加し、次に CLI または管理 GUI を使用して Cisco CDA と接続するようにデバイス自体を設定します。
コンシューマ デバイスを追加または編集するには、次の手順を実行します。
ステップ 1 [Identity Consumers] ダッシュレットで [Add] をクリックするか、デバイスの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Consumer Devices] リンクをダッシュボードでクリックすることもできます。
[Consumer Device Configuration] ダイアログボックスが表示されます(図 3-4)。
図 3-3 [Identity Consumers] ダッシュレット
図 3-4 [Consumer Device Configuration] ダイアログボックス
• [IP Address]:コンシューマ デバイス(デバイスの範囲)の IP アドレス(サブネット)。
• [Mask (range)]:0 ~ 32 の数字。これは CIDR 表記のコンシューマ デバイスの IP 範囲を表します。
• [Shared Secret]:コンシューマ デバイスが Cisco CDA デバイスとの通信に使用するパスフレーズ。ここに入力する共有秘密は、その IP アドレスを持つデバイス(または IP 範囲の複数のデバイスそれぞれ)に設定されたものと同じにしてください。このルールによって Cisco CDA へのアクセスが試行されます。
ステップ 3 共有秘密をプレーン テキストで表示する場合には、[Show Secret] チェックボックスをオンにします。
新しいネットワーク デバイスが [Identity Consumers] ダッシュレットに一覧表示されます。
コンシューマ デバイスの削除
コンシューマ デバイスを削除するには、次の手順を実行します。
ステップ 1 [Identity Consumers] ダッシュレットで、リスト内の削除するデバイスの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
コンシューマ デバイスのフィルタリング
次の基準に基づいてコンシューマ デバイスをフィルタリングできます。
コンシューマ デバイス リストをフィルタリングするには、次の手順を実行します。
ステップ 1 [Identity Consumers] ダッシュレットでフィルタ 
アイコンをクリックします。
Active Directory サーバ
Active Directory は組織 ID およびその情報を管理します。Cisco CDA は、Active Directory(またはドメイン コントローラ)と相互動作し、MS WMI プロトコルを使用して IP-to-user-identity マッピング情報を取得します。Active Directory サーバの追加、編集、削除を行うことができます。Active Directory ドメイン コントローラのバックアップ マシンを追加する必要もあります。
• 「Active Directory サーバの追加と編集」
Active Directory サーバの追加と編集
Cisco CDA との正常な接続のために、「Cisco CDA との正常な接続のための Active Directory の要件」で説明するすべての要件が満たされていることを確認します。
Active Directory サーバを追加または編集するには、次の手順を実行します。
ステップ 1 [Active Directory Servers] ダッシュレットで [Add] をクリックするか、サーバの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Active Directory Server] リンクをダッシュボードでクリックすることもできます。
[Active Directory Server Configuration] ダイアログボックスが表示されます(図 3-5)。
図 3-5 [Active Directory Server Configuration] ダイアログボックス
– [Display Name]:Active Directory サーバの表示名。
– [Domain FQDN]:Active Directory サーバのドメイン完全修飾ドメイン名(FQDN)。
– [Host FQDN]:Active Directory サーバのホスト FQDN。
– [User name]:Cisco CDA が Active Directory サーバとの通信に使用するユーザ名。
– [Password]:Cisco CDA が Active Directory サーバとの通信に使用するパスワード。これは、上記で指定したユーザ名に対応するパスワードにしてください。
このアカウントは、「Cisco CDA との正常な接続のための Active Directory の要件」で説明する必要な権限が付与されている必要があります。
新しい Active Directory サーバが [Active Directory Servers] ダッシュレットに一覧表示されます。
ドメイン コントローラ上で実行されるグループ ポリシーが [Send NTLMv2 response only.Refuse LM & NTLM] に設定されている場合は、図 3-6 を参照し、NTLMv2 を使用してドメイン コントローラに接続する必要があります。CDA を正常にドメイン コントローラに接続するには、 Active Directory の基本設定で [Use NTLMv2] チェックボックスをオンにする必要があります。
ドメイン コントローラに適用されるグループ ポリシーの内容を確認するには、次の手順を実行します。
ステップ 1 [Start] > [Administrative Tools] > [Group Policy Management] を選択します。
ステップ 2 [Default Domain Controllers Policy] を選択し、右クリックして、[Edit] を選択します。
ステップ 3 [Security Settings] > [Local Policies] > [Security Options] を選択します。
[Local Security Settings] タブにグループ ポリシーが表示されます。
• 「Cisco CDA との正常な接続のための Active Directory の要件」
• 「接続要件」
Active Directory サーバの削除
Active Directory サーバを削除するには、次の手順を実行します。
ステップ 1 [Active Directory Servers] ダッシュレットで、リスト内の削除する Active Directory サーバの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
• 「Active Directory サーバの追加と編集」
Active Directory サーバのフィルタリング
ドメイン FQDN に基づいて Active Directory サーバをフィルタリングできます。
Active Directory サーバ リストをフィルタリングするには、次の手順を実行します。
ステップ 1 [Active Directory Servers] ダッシュレットでフィルタ アイコンをクリックします。
Active Directory の基本設定
Active Directory の基本設定を変更して、Cisco CDA が Active Directory サーバと対話する方法を設定できます。
Active Directory の基本設定を行うには、次の手順を実行します。
ステップ 1 [Active Directory General Settings] リンクをダッシュボードでクリックします。
[Active Directory General Settings] ダイアログボックスが表示されます。
• [AD Monitoring]:DC マシンのアップ/ダウン ステータスの連続モニタリング間の時間間隔。
• [History]:設定されている DC マシンのセキュリティ ログの読み取りを開始してから何分間行うかを指定します。たとえば、この 10 分間の履歴が必要なら、 10 と入力します。
• [User Logon Expiration Period]:ここに指定した時間が経過すると、ログイン ユーザはログアウトとマーク付けされます。
• [Use NTLMv2]:このチェックボックスをオンにして、NTLMv2 プロトコルを使用します。これにより、Active Directory ドメイン コントローラに接続したときに、CAD が NTLMv2 認証プロトコルを使用するようになります。デフォルトで、このチェックボックスは、Cisco CDA、パッチ 1 のインストール後にオンになりません。
Cisco CDA との正常な接続のために、「Cisco CDA との正常な接続のための Active Directory の要件」で説明するすべての要件が満たされていることを確認します。
ドメイン コントローラ上で実行されるグループ ポリシーが [Send NTLMv2 response only.Refuse LM & NTLM] に設定されている場合は、図 3-6 を参照し、正常にドメイン コントローラに接続するために NTLMv2 を使用してドメイン コントローラに接続する必要があります。
Syslog サーバ
Cisco CDA は、管理とトラブルシューティングに関する情報が含まれているログを 1 つ以上の Syslog サーバに転送できます。これらのログの内容は、Cisco CDA マシンでローカルに使用可能なカスタマー ログと同じです。Syslog サーバの追加、編集、削除を行うことができます。
Syslog サーバの追加と編集
Syslog サーバを追加または編集するには、次の手順を実行します。
ステップ 1 [Syslog Servers] ダッシュレットで [Add] をクリックするか、サーバの隣にあるチェックボックスをオンにして編集のために [Edit] をクリックします。あるいは、[Add Syslog Servers] リンクをダッシュボードでクリックすることもできます。
[Syslog Server Configuration] ダイアログボックスが表示されます(図 3-5)。
図 3-7 [Syslog Server Configuration] ダイアログボックス
• [Display Name]:Syslog サーバの表示名。
• [IP Address]:Syslog サーバの IP アドレス。
新しい Syslog サーバが [Syslog Servers] ダッシュレットに一覧表示されます。
Syslog サーバの削除
ステップ 1 [Syslog Servers] ダッシュレットで、リスト内の削除する Syslog サーバの隣にあるチェックボックスをオンにして、[Delete] をクリックします。
Syslog サーバのフィルタリング
次の基準に基づいて Syslog サーバをフィルタリングできます。
Syslog サーバ リストをフィルタリングするには、次の手順を実行します。
ステップ 1 [Syslog Servers] ダッシュレットでフィルタ アイコンをクリックします。
ログ レベル設定
ログ レベル設定は、Syslog サーバに送信されたログおよび Cisco CDA マシンに保存されているログに使用されるグローバル設定で、設定内容はライブ ログの下でユーザ インターフェイスにより表示できます。
グローバルなログ レベル設定を行うには、次の手順を実行します。
ステップ 1 [Log Level Settings] リンクをダッシュボードでクリックします。
[Global Log Level Settings] ダイアログボックスが表示されます。
ステップ 2 [Log Level] ドロップダウン リストでログ レベルを選択します。Cisco CDA には次のログ レベルがあります。
IP-to-User-Identity マッピング
Cisco CDA では、現在キャッシュされているすべての IP-to-user-identity マッピングが一覧表示され、管理者はそのマッピングのリフレッシュ、フィルタリング、および削除を行うことができます。図 3-8 は、IP-to-user-identity マッピング ページを示しています。
図 3-8 IP-to-User-Identity マッピング ページ
IP-to-User-Identity マッピングの一覧表示
IP-to-user-identity マッピングを一覧表示するには、[Mappings] > [IP to Identity] を選択します。
IP-to-User-Identity マッピング ページのリフレッシュ
このページはデフォルトでは 10 秒ごとに自動的にリフレッシュされます。リフレッシュ レートは次のいずれかに変更できます。
IP-to-User-Identity マッピング ページのフィルタリング
クイック フィルタ オプションまたは拡張フィルタ オプションを使用して、IP-to-user-identity マッピング レコードをフィルタリングできます。
ステップ 1 [Mapping] > [IP to Identity] を選択します。
[Mapping of IP Addresses to Identities] ページが表示されます。このページには、IP-to-user-identity マッピング レコードが一覧表示されます。
ステップ 2 [Show] ドロップダウン リストをクリックしてフィルタ オプションを一覧表示します。
ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[Manage Preset Filters] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。
(注) IP-to-user-identity マッピング リストに戻るには、[Show] ドロップダウン リストから [All] を選択します。フィルタリングなしですべてのマッピングが表示されます。
クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。
クイック フィルタでは、[Mapping of IP Addresses to Identities] ページの各属性に基づいて IP-to-user-identity マッピングがフィルタリングされます。
フィルタリングするには、いずれかのフィールド内部をクリックし、テキスト ボックスに検索基準を入力します。ページがリフレッシュされて、結果が [Mapping of IP Addresses to Identities] ページに表示されます。フィールドをクリアすると、[Mapping of IP Addresses to Identities] ページにすべてのマッピングのリストが表示されます。
拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。
拡張フィルタでは、より複雑な変数を使用して IP-to-user-identity マッピングをフィルタリングできます。フィールド説明に一致する値に基づいてマッピングをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、マッピングは各属性とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値の照合を行い、1 つの拡張フィルタ内でそれらのフィルタのいずれか 1 つまたは全部を使用してマッピングをフィルタリングできます。
ステップ 1 ドロップダウン リストから属性を選択します。次のレコード属性で IP-to-user-identity マッピング レコードをフィルタリングできます。
ステップ 2 ドロップダウン リストから演算子を選択します。
ステップ 4 ファイルタを追加するには [Add Row](プラス [+] 符号)ボタンをクリックし、フィルタを削除するには [Remove Row](マイナス [-] 符号)ボタンをクリックします。
ステップ 5 各フィルタの値に一致させるには [All] をクリックし、いずれか 1 つのフィルタの値に一致させるには [Any] をクリックします。
ステップ 6 [Go] をクリックしてフィルタリングを開始します。
ステップ 7 [Save] アイコンをクリックしてフィルタを保存します。
[Save a Preset Filter] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[Save] をクリックします。作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、[Cancel] をクリックします。
IP-to-User-Identity マッピングの削除
マッピングを選択して削除することも、あるいはすべてのマッピング レコードをクリアすることもできます。これらの操作は両方とも本質的に非同期であるため、[Identity to IP] マッピング ページに変更が反映されるには、ある程度時間がかかります。
ステップ 1 [Mappings] > [IP to Identity] を選択します。
ステップ 2 削除するマッピングの隣にあるチェックボックスをオンにします。
マッピング フィルタ
[Mapping Filters] を使用すると、Cisco CDA によってモニタされないように特定のユーザまたは IP アドレスをブロックできます。
フィルタを作成し、ユーザ名と IP アドレスの一方または両方を指定できます。Cisco CDA は指定されたユーザ名と IP アドレスの一方または両方によるマッピングの更新を無視し、これらの更新からはマッピング データを収集しません。フィルタリングされたユーザ、IP アドレスのデータは Cisco CDA によってキャッシュされません。したがって、[IP-to-Identity] マッピング ページに一覧表示されることも、コンシューマ デバイスに配布されることもありません。
ステップ 1 [Mappings] > [Filters] を選択します。
[Mapping Filters Configuration] ダイアログボックスが表示されます。
• [Username]:ブロックする必要のあるデバイスのユーザ名。
• [IP Address]:ブロックする必要のあるデバイスの IP アドレス。
• [Apply on existing mappings]:このチェックボックスは、フィルタを既存の IP-to-user-identity マッピング レコードに適用する場合にオンにします。
登録済みデバイス
[Registered Devices] ページには、特定の IP アドレス(登録にオンデマンド)またはマッピング データベース全体(登録にフル ダウンロード)に対するマッピングの更新を受信するように予約されている、CDA に接続されたコンシューマ デバイスのリストが表示されます。
一部のコンシューマ デバイスは更新登録されず、必要に応じて CDA と通信した場合でも、このページに表示されないことに注意してください。このようなデバイスでは、これは問題とはなりません。こうしたデバイスの例に Cisco WSA があります。
すべての登録済みデバイスを表示するには、ホーム ページで [Registered Devices] タブをクリックします。
[status] フィールドは、デバイスが Cisco CDA と「同期」(緑)または「非同期」(赤)のいずれであるかを示します。他のフィールドには、デバイス設定時に指定された情報が表示されます。
管理者
Cisco CDA ユーザ インターフェイスにアクセスする管理権限またはユーザ権限を持つ Cisco CDA 管理者を追加できます。
ユーザ権限のみを持つ管理者は、[System] メニューを除いたすべての Cisco CDA GUI 画面および機能にアクセスできます。
ユーザ権限と管理権限の両方を持つ管理者は、[System] メニューを含むすべての Cisco CDA GUI 画面および機能にアクセスできます。
管理者の追加と編集
ステップ 1 [System] > [Administrators] を選択します。
• [Add] をクリックして、新しいデバイスを追加します。
• リスト内の既存管理者の隣にあるチェックボックスをオンにして、[Edit] をクリックします。
ステップ 4 [Save] をクリックして、追加または編集した管理者を保存します。
管理者の削除
[System] > [Administrators]
を選択します。
ステップ 2 リスト内の削除する管理者の隣にあるチェックボックスをオンにして、[Delete] をクリックします。
パスワード ポリシー
セキュリティ向上のために管理者アカウントにパスワード ポリシーを作成できます。ここで定義するポリシーは、Cisco CDA において管理権限を持つすべてのアカウントに適用されます。
ステップ 1 [System] > [Password Policy] を選択します。
• 新しいパスワードに含めなければならない次の属性をオンまたはオフにします。
• 新しいパスワードに含めてはならない次の属性をオンまたはオフにします。
– [Three or more consecutive characters]:このチェックボックスは、連続する 3 文字以上の使用を制限する場合にオンにします。
– [Username (or reversed)]:このチェックボックスは、管理者ユーザ名またはその文字の逆順での使用を制限する場合にオンにします。
– ["Cisco" (or reversed)]:このチェックボックスは、単語「cisco」またはその文字の逆順での使用を制限する場合にオンにします。
– [Custom word (or Reversed)]:定義した単語またはその文字の逆順での使用を制限します。
• [Minimum Length]:(必須)パスワードの最小長(文字数)を指定します。デフォルトは 4 文字です。
• [Maximum Length]:(必須)パスワードの最大長(文字数)を指定します。デフォルトは 99 文字です。
ステップ 3 [Save] をクリックしてポリシーを保存します。
セッションのタイムアウト
Cisco CDA においても、その GUI セッションが非アクティブで引き続き接続したままでいることが可能な時間の長さを決定できます。分単位の時間を指定することができ、その時間が経過すると Cisco CDA は管理者をログアウトします。セッションのタイムアウト後、管理者は、Cisco CDA ユーザ インターフェイスにアクセスするには再びログインする必要があります。
セッションのタイムアウトを設定するには、次の手順を実行します。
ステップ 1 [System] > [Session Timeout] を選択します。
ステップ 2 セッションのタイムアウト値を分単位で入力します。
ライブ ログ
Cisco CDA ライブ ログには、CDA の動作を診断、トラブルシューティング、監査するメカニズムが用意されています。ライブ ログは、システムの監査とトラブルシューティングに必要なすべての情報を収集します。ライブ ログは、db/reports.db ファイルと設定済みの Syslog サーバに保存されます。ライブ ログ GUI には、CDA によって生成された最新メッセージが最大で 10,000 件表示されます。
Cisco CDA ライブ ログには次のメッセージが一覧表示されます。
Cisco CDA ライブ ログ メッセージには次の情報が含まれます。
次に示すのは、Cisco CDA でサポートされるログ レベルとそのステータス記号です。
ライブ ログのフィルタリング
次のログ属性でライブ ログをフィルタリングできます。次のログ属性があります。
ライブ ログをフィルタリングするには、次の手順を実行します。
ステップ 1 [Live Logs] ページでフィルタ アイコンをクリックします。
ステップ 2 テキスト ボックスにフィルタ基準を入力します。
[Live Logs] ページのリフレッシュ
このページはデフォルでは 10 秒ごとに自動的にリフレッシュされます。リフレッシュ レートは次のいずれかに変更できます。
フィードバック