CAA の配布 - PDF 無料ダウンロード

CHAPTER 10 この章ではクライアントマシンに Clean Access Agent(CAA) を配布するために Clean Access Manager(CAM) および Clean Access Server(CAS) の配布インストールおよび自動アップグレードのオプションをイネーブルにして設定する方法について説明します概要 (p.10-2) デフォルトログインページの追加 (p.10-3) CAA の使用要求 (p.10-4) ネットワークアクセスのイネーブル化 (L3 または L2)(p.10-7) Agent の配布およびインストールの設定 (p.10-12) CAA 自動アップグレードの設定 (p.10-28) CAM への Agent の手動アップロード (p.10-35) Agent のダウングレード (p.10-36) 10-1

概要概要 CAA には Windows クライアントに対してローカルマシンエージェントベースの脆弱性評価および完全修復を行う機能がありますユーザは CAA( 読み取り専用クライアントソフトウェア ) をダウンロードおよびインストールしてホストのレジストリプロセスアプリケーションおよびサービスをチェックすることができます CAA を使用すると AV( アンチウイルス ) や AS ( アンチスパイウェア ) の定義を更新したり CAM にアップロードされたファイルを配布したりユーザがファイルをダウンロードしてシステムを修復できるように Web サイトへのリンクを配布したり情報や手順を配布することができます CAA の脆弱性評価を CAM に設定するには規則およびチェック基準 ( 任意 ) に基づいて要件を作成してからユーザロールまたはクライアント OS に適用します ( 注 ) 概要については CAA の評価プロセス (p.9-4) を参照してください L3 配置のユーザ Cisco NAC アプライアンスはマルチホップ L3( レイヤ 3) 配置および CAA からの Virtual Private Network(VPN; バーチャルプライベートネットワーク ) コンセントレータ /L3 アクセスをサポートしますこの機能を使用するとクライアントが CAS から (L2 上で近接するのではなく )L3 上で 1 ホップ以上離れるようにネットワークが設定されている場合にクライアントは CAS を検出できます CAS で L3 サポートをイネーブルにしマルチホップ L3 環境でまたは Cisco VPN コンセントレータの背後で Agent に対する有効な Discovery Host が存在することを確認する必要があります配布 CAA セットアップインストールファイルは CAM ソフトウェアに組み込まれていてすべての CAS に自動的に配布されます初期インストールのために Agent をクライアントに配布するには General Setup > Agent Login タブでユーザロールおよびオペレーティングシステムに CAA を使用するように要求する必要がありますその後クライアントが CAA を要求すると CAS は Agent セットアップファイルを配布します CAS の Agent のバージョンが期限切れの場合 CAS は CAM から使用可能な最新バージョンを取得してからクライアントに配布します自動アップグレード CAM で Agent 自動アップグレードを設定するとユーザはログイン時に入手可能な最新バージョンの Agent に自動的にアップグレードすることができますインストールユーザが Agent を最初にインストールするときに必要なユーザの相互作用のレベルを設定できますアウトオブバンドユーザアウトオブバンドユーザが CAA を使用できるのは認証および証明書のためにインバンドにとどまっている場合に限られるため Agent 設定はインバンドユーザとアウトオブバンドユーザで同じです 10-2

デフォルトログインページの追加規則およびチェック基準設定済みのシスコのチェック基準および規則およびユーザ設定のカスタムチェック基準および規則を使用して CAA は稼働しているアプリケーションまたはサービスの有無レジストリキーの有無またはレジストリキーの値を調べることができますシスコの設定済み規則は Critical Windows OS ホットフィックスをサポートしています CAA アップデートシスコは CAM Web コンソールの Updates ページで複数のアップデートを時間ごとに追跡して提供していますまた最新バージョンの Clean Access Agent Upgrade Patches を入手可能になった時点で提供しています詳細はアップデートの取得 (p.9-11) を参照してください CAA の設定手順を設定するために必要な基本手順は次のとおりですステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 デフォルトログインページの追加 (p.10-3) ネットワークアクセスのイネーブル化 (L3 または L2)(p.10-7) Agent の配布およびインストールの設定 (p.10-12) CAA 自動アップグレードの設定 (p.10-28) CAA の使用要求 (p.10-4) CAA 要件の作成 (p.11-3) ( 注 ) Agent 要件のスキャンと復旧を設定する方法の詳細については第 11 章 CAA 要件の設定に進みますデフォルトログインページの追加 Web ログインユーザと CAA ユーザが認証プロバイダーリストを取得するにはログインページを追加してシステムに格納しユーザが CAA を介して認証できるようにする必要がありますデフォルトユーザログインページを迅速に追加する手順についてはデフォルトログインページの追加 (p.5-4) を参照してください ( 注 ) L3 OOB 配置についてはログインページの Web クライアントのイネーブル化 (p.5-6) も参照してください 10-3

CAA の使用要求 CAA の使用要求 CAA の使用要求はユーザロールおよび OS ごとに設定する必要があります特定のロールに Agent が必要な場合このロールに属するユーザが Web ログインを使用して最初に認証を受けると CAA ダウンロードページに転送されます ( 図 10-2) このユーザは Agent インストールファイルをダウンロードして実行するように要求されますこのユーザがインストールを終了すると Agent を使用してネットワークにログインするように要求されます 1. Device Management > Clean Access > General Setup> Agent Login に移動します ( 図 10-1) 2. CAA を使用するようにユーザに要求する User Role を選択します 3. ドロップダウンメニューから選択できる項目から Operating System を選択します ( 注 ) Download Clean Access Agent Web ページを適切にユーザにプッシュするために所定のロールに合わせて OS が正しく設定されていることを確認してください 4. Require use of Clean Access Agent のチェックボックスをクリックします 5. デフォルトメッセージを残すか Clean Access Agent Download Page Message (or URL) テキストフィールドに独自の HTML メッセージを入力することができます 6. Update をクリックします図 10-1 General Setup 10-4

CAA の使用要求 ( 注 ) General Setup ページの設定の詳細については General Setup の概要 (p.9-18) を参照してください Web ログインページで初めてログインする CAA ユーザには Clean Access Agent Download ページが表示されます ( 図 10-2 を参照 ) 図 10-2 Clean Access Agent Download ページ Agent ユーザに対する制限付きネットワークアクセスの設定管理者はマシンに権限がなかったりゲストアクセスによりユーザが CAA を自分でダウンロードおよびインストールできない場合に備えてユーザに制限付きネットワークアクセスを設定できますこの拡張機能はオリジナルロールで Agent を使用する必要がある場合でもゲストまたは企業環境内のパートナーがネットワークにアクセスできるよう支援することを目的としています制限付きネットワークアクセスのオプションは Require use of the Clean Access Agent チェックボックスがイネーブルのときにだけ設定できますこのオプションを使用すると表示されるボタンとテキストだけでなくユーザが割り当てられるユーザロールを設定できますユーザが最初の Web ログインを実行し Agent のダウンロードにリダイレクトされると Device Management > Clean Access > General Setup Agent Login で [Allow restricted network access in case user cannot use Clean Access Agent] オプションがイネーブルの場合にページ ( 図 10-2) の [Download Clean Access Agent] ボタンの下に [Restricted Network Access] テキストとボタンが表示されます ( Allow restricted network access in case user cannot use Clean Access Agent [p.9-20] を参照 ) ユーザが CAA をダウンロードできない場合 [Get Restricted Network Access] ボタンをクリックして割り当てられたロールで許可されたアクセス権を同じブラウザページから取得できます 10-5

CAA の使用要求以下の点に注意してくださいブルーのシェーディングで表示される In-Band Online Users リストに制限付きネットワークアクセスユーザが表示されますたとえばユーザが Agent をインストールできず OOB 配置で [Restricted Access] ボタンをクリックするとそのユーザが In-Band Online Users リストに表示され CAS が OOB を実行している場合でも認証 VLAN に留まりますこの場合管理者は制限付きロールに ACL を設定してそのロールのユーザのアクセスを制御できます制限付きネットワークアクセスユーザはポスチャ評価要件を満たしていないので Certified List には表示されません Agent ユーザ用の Network Policy ページ (AUP) の設定ここでは CAA ユーザ用の Network Policy ページ ( または Acceptable Usage Policy [AUP]) へのユーザアクセスを設定する方法について説明しますログインし要件の評価が完了すると [Accept] ダイアログ ( 図 11-71) と Network Usage Terms & Conditions リンクが表示されますネットワークにアクセスするユーザはこのリンク先の Web ページの内容を承諾する必要がありますこのリンクを使用するとネットワークの適切な使用法に関するポリシーまたは情報ページが表示されますこのページは外部の Web サーバに置くこともまた CAM 自体に置くことも可能です Network Policy リンクの設定手順 1. Device Management > Clean Access > General Setup に移動します ( 図 10-1 を参照 ) 2. User Role Operating System および Require use of Clean Access Agent が設定されていることを確認します 3. Show Network Policy to Clean Access Agent users [Network Policy Link:] をクリックします CAA に Network Usage Policy Web ページへのリンクが表示されますネットワークにアクセスする CAA ユーザはこのリンクの内容を承諾する必要があります 4. このページを CAM でホスティングする場合は Administration > User Pages > File Upload を使用してページ ( helppage.htm など) をアップロードする必要があります詳細はリソースファイルのアップロード (p.5-13) を参照してください外部 Web サーバでページをホスティングする場合は次のステップに進みます 5. Network Policy Link フィールドに次のようにネットワークポリシーページの URL を入力します - 外部ホスティングページにリンクする場合は次のフォーマットで URL を入力します http://mysite.com/helppages - CAM にアップロードしたページ ( helppage.htm など ) を指定する場合は次のように URL を入力します http://<cas_ip_address>/auth/helppage.htm 6. Temporary ロールにトラフィックポリシーを追加してユーザがこのページに HTTP 経由でアクセスできるようにします詳細はデフォルトロールのトラフィックポリシーの追加 (p.8-29) を参照してください Agent ユーザに Network Policy ダイアログを表示する方法については図 11-71 を参照してください CAA プロセスのどの部分で Network Policy ダイアログが表示されるかについては CAA の評価プロセス (p.9-4) を参照してください CAA Temporary ロールの設定 Agent Temporary ロールのトラフィックポリシーおよびセッションタイムアウトの設定の詳細については CAA Temporary ロールの設定 (p.8-21) を参照してください 10-6

ネットワークアクセスのイネーブル化 (L3 または L2) ネットワークアクセスのイネーブル化 (L3 または L2) Cisco NAC アプライアンスはデフォルトで CAS から L2 上で近接するインバンド CAA ユーザをサポートします VPN/L3 配置の場合は Web ログインに対してまたは CAS から L3 上で複数ホップ離れている CAA ユーザに対して L3 サポートをイネーブルにする必要があります Agent ユーザがホームベース無線ルータまたは NAT( ネットワークアドレス変換 ) デバイスを使用してネットワークに接続できないように L2/L3 アクセスを制限することもできます CAS では次のネットワークアクセスオプションを設定できます Enable L3 support このオプションがイネーブルの場合 CAS はすべてのホップのユーザを許可しますマルチホップ L3 インバンド配置の場合この設定は CAS レベルで Web ログインユーザと CAA ユーザに対する CAS の L3 検出をイネーブル / ディセーブルにします設定されると CAS はルーティングテーブルを使用してパケットを送信するように強制されます Enable L3 strict mode to block NAT devices with Clean Access Agent このオプションがオンの場合 ([Enable L3 support] とともに ) CAS はユーザパケットの送信元 IP アドレスを CAA が送信した IP アドレスに照らし合わせユーザと CAS 間の NAT 装置を使用するすべての L3 Agent ユーザをブロックします Enable L2 strict mode to block L3 devices with Clean Access Agent このオプションがイネーブルの場合 CAS はユーザパケットの送信元 MAC アドレスを CAA が送信した MAC アドレスに照らし合わせ CAS から複数ホップ離れたすべての L3 Agent ユーザをブロックしますユーザがネットワークにアクセスするには CAS とユーザのクライアントマシンの間にあるルータをすべて取り外す必要がありますすべてのオプションをオフのまま変更しない ( デフォルト設定 ) CAS は L2 モードで動作しすべてのクライアントが 1 ホップ離れていると想定します CAS は CAS とクライアントの間にルータが配置されているかどうかを区別できませんルータの MAC アドレスはログインする最初のユーザおよび以降のユーザのマシンとして使用できます MAC アドレスは認識されないためルータを介して送受信を行う実際のクライアントマシンではチェックが実行されません ( 注 ) L2 配置のみを使用している場合 Enable L3 support オプションがオンになっていないことを確認してください L3 および L2 strict オプションは同時に使用できません一方のオプションをイネーブルにすると別のオプションがディセーブルになります L3 または L2 strict モードをイネーブルまたはディセーブルにするには必ず CAS の Update および Reboot を実行する必要があります Update を実行すると次に再起動するまで Web コンソールでは変更された設定が維持されます Reboot を実行すると CAS 内のプロセスが起動します L2/L3 strict モードの詳細については Cisco NAC Appliance - Clean Access Server Installation and Administration Guide Release 4.1(1) を参照してください Agent は L2 検出のために Agent が稼働しているマシン上にあるすべてのアダプタのすべてのデフォルトゲートウェイに検出パケットを送信します CAS がデフォルトゲートウェイ ( 実 IP/NAT ゲートウェイ ) としてまたはデフォルトゲートウェイの前のブリッジ ( 仮想ゲートウェイ ) として配置されている場合 CAS は応答します 10-7

ネットワークアクセスのイネーブル化 (L3 または L2) CAS が L2 検出に応答しない場合 Agent は L3 検出を実行します (L3 検出がイネーブルな場合 ) Agent は Discovery Host(CAS の信頼できる方の側にある IP アドレス ) にパケット送信を試みますこの IP アドレスは Installation ページの Discovery Host フィールドで設定されます通常のデフォルト設定は CAM の IP アドレスです CAA を CAS/CAM から取得して Discovery Host が正しく設定され DP 8096 ユニキャストが実行されるようにします CAS が存在する場合にこれらのパケットが CAS に到達すると CAS はパケットを代行受信して Agent に応答します ( 注 ) タスクバーメニューから CAA を右クリックして Properties を選択するとクライアントの Discovery Host を確認できます ( 図 11-57 を参照 ) ( 注 ) CAS を検出するために CAA は UDP ポート 8905(L2 ユーザ ) および UDP ポート 8906(L3 ユーザ ) で SWISS( 独自の CAS Agent 通信プロトコル ) パケットを送信します CAS は UDP ポート 8905 および 8906 を傍受しデフォルトによりポート 8905 でトラフィックを受け入れます L3 サポートがイネーブルでない場合 CAS は UDP ポート 8906 でトラフィックをドロップします Agent は 5 秒ごとに SWISS 検出を実行しますここでは次の項目について説明します L3 配置サポートのイネーブル化 (p.10-8)(vpn/l3 配置の場合は必須 ) L3 配置サポートのイネーブル化ここでは L3 配置 (L3 インバンド L3 インバンド /VPN L3 アウトオブバンド ) のサポートをイネーブルにする方法について説明します CAA によるすべての使用可能なアダプタの IP/MAC の送信 CAA の VPN/L3 アクセス L3 サポートのイネーブル化 L3 機能のディセーブル化 ( 注 ) Certified List には既知の L2 MAC アドレスに基づいて認証および証明されたユーザが表示されるのでリモートの VPN/ マルチホップ L3 ユーザに関する情報は Certified List には表示されません認証されたリモート VPN/ マルチホップ L3 ユーザを確認するには In-Band Online Users List を参照してください VPN/ マルチホップ L3 ユーザの User MAC フィールドには 00:00:00:00:00:00 と表示されます CAA によるすべての使用可能なアダプタの IP/MAC の送信 CAA はすべての配置による CAS にクライアントのすべてのネットワークアダプタの MAC アドレスを自動送信しますこの Agent 機能は次の内容を実現する場合に役立ちます MAC ベース装置の認証 ( デバイスおよびサブネットのグローバルフィルタリング [p.3-8] を参照 ) CAA ユーザの MAC アドレスに許可のデバイスフィルタが設定されている場合 CAS は UDP 検出応答で Agent に通知し Agent はユーザログインを要求せずに装置の認証とポスチャ評価を許可します 10-8

ネットワークアクセスのイネーブル化 (L3 または L2) L3 配置 ( ログインページの Web クライアントのイネーブル化 [p.5-6] を参照 ) Agent は CAS 設定に関係なくログイン要求時に常にクライアントの MAC/IP アドレスペアを送信しますその後 CAS が読み取る内容と廃棄する内容を判別します CAS が L3 配置に対応している場合 CAS は UDP 検出およびログイン要求時に Agent の MAC/IP アドレスを取得します CAS が L2 strict モードに設定されている場合必要ないので CAS はすべての IP アドレスを廃棄します ( L2 および L3 strict モードのイネーブル化 (CAA のみ ) [p.10-11] も参照 ) L3 OOB の詳細については Cisco NAC Appliance - Cisco Clean Access Server Installation and Administration Guide の Configuring Layer 3 Out-of Band (L3 OOB) を参照してください CAA の VPN/L3 アクセス CAM CAS および CAA はマルチホップ L3 配置をサポートします Agent は以下の処理を実行します 1. クライアントネットワーク上で CAS(L2 配置 ) を検索します検索されない場合は 2. CAM に検出パケットを送信して CAS を検出しようとしますこれにより CAS が複数ホップ分離れている場合 ( マルチホップ配置 ) でも検出パケットは CAS を通過するため CAS はこれらのパケットを代行受信して Agent に応答しますクライアントが L3 上で 1 ホップ以上離れている場合にクライアントが CAS を検出するにはクライアントが Web ログイン後に Download Clean Access Agent ページを通してあるいは自動アップグレードを通して CAS から Agent を最初にダウンロードする必要がありますいずれの方法でも Agent は Discovery Host( デフォルトでは CAM) の IP アドレスを取得してトラフィックを L3 ネットワーク経由で CAM/CAS に送信することができますこの方法でインストールされた Agent は L3/VPN コンセントレータ配置でも正規の L2 配置でも使用できます CAS からの直接ダウンロード以外の方法を使用して Agent を取得してクライアントにインストールしても必要な Discovery 情報は Agent に提供されずインストールされたこれらの Agent はマルチホップ L3 配置で稼働できません VPN/L3 アクセスをサポートするには次の作業が必要です 1. L3 サポートのイネーブル化 (p.10-10) のオプションをオンにして Device Management > CCA Servers > Manage [CAS_IP] > Network > IP で CAS の Update および Reboot を実行します 2. Device Management > Clean Access > Clean Access Agent > Installation で有効な Discovery Host を指定します ( デフォルトでは CAM の信頼できる IP アドレスに設定されています ) 3. クライアントは最初に次の 2 つの方法のいずれかで CAS から Agent をダウンロードする必要があります - Download Clean Access Agent Web ページ (Web ログインを使用 ) - 4.1.1.0 以上の Agent への自動アップグレード 4. Single Sign-On(SSO) がサポートされるのは Cisco NAC アプライアンスと Cisco VPN コンセントレータが統合されている場合のみです ( 注 ) VPN 接続上にとどまっている間に Agent をアンインストールしても接続は終了しません VPN コンセントレータ SSO 配置の場合に Agent を CAS からダウンロードしないでほかの方法でダウンロードすると Agent は CAM の実行時 IP 情報を取得できないためポップアップが自動表示されずクライアントはスキャンされません 3.5.0 以前のバージョンの Agent がすでにインストールされている場合または Agent が CAS 以外の方法でインストールされている場合は Web ログインを実行して CAS から直接 Agent セットアップファイルをダウンロードし Agent を再インストールして L3 機能を取得する必要があります 10-9

ネットワークアクセスのイネーブル化 (L3 または L2) L3 サポートのイネーブル化ここでは CAS 上で Web ログインまたは CAA ユーザに対する L3 サポートをイネーブルにする方法を示します 1. Device Management > CCA Servers > List of Servers に移動して CAS の Manage ボタンをクリックします CAS の管理ページが表示されます 2. Network タブをクリックしますデフォルトで IP フォームが表示されます図 10-3 CAS Network タブ 3. Clean Access Server Type には CAM に CAS を追加したときに選択されたサーバタイプが表示されます 4. Enable L3 support のチェックボックスをクリックします 5. Trusted Interface および Untrusted Interface 設定はインストール中に指定された設定パラメータまたはユーザ設定の設定値と一致する必要があります 6. Update をクリックします 7. Reboot をクリックします 8. CAA ユーザの場合は Device Management > Clean Access > Clean Access Agent > Installation の Discovery Host フィールドが正しいことを確認します ( 注 ) L3 のイネーブル化 / ディセーブル化機能はデフォルトでディセーブルですこの設定変更を有効にするには Update および Reboot をクリックする必要があります CAA を VPN トンネルモードで機能させるには L3 をイネーブルにする必要があります 10-10

ネットワークアクセスのイネーブル化 (L3 または L2) L3 機能のディセーブル化管理者は CAS レベルで L3 機能をイネーブルまたはディセーブルにすることができます ( 図 10-3 を参照 ) アップグレードまたは新規インストールを実行した場合 L3 機能はデフォルトでディセーブルです L3 機能をイネーブルにするには CAS を更新してリブートする必要があります L3 機能をディセーブルにする手順 (CAS レベル ): CAS の L3 検出を CAS レベルでディセーブルにする手順は次のとおりです 1. Device Management > CCA Servers > Manage [CAS_IP] > Network > IP に移動して Enable L3 support のチェックボックスをディセーブル( オフ ) にします 2. Update をクリックします 3. Reboot をクリックします L2 および L3 strict モードのイネーブル化 (CAA のみ ) 管理者は任意で L2 または L3 strict モードを使用して CAS への CAA クライアント接続を制限できます CAS では次のネットワークアクセスオプションを設定できます Enable L3 support このオプションがイネーブルの場合 CAS はすべてのホップのユーザを許可しますマルチホップ L3 インバンド配置の場合この設定は CAS レベルで Web ログインユーザと CAA ユーザに対する CAS の L3 検出をイネーブル / ディセーブルにします設定されると CAS はルーティングテーブルを使用してパケットを送信するように強制されます Enable L3 strict mode to block NAT devices with Clean Access Agent このオプションがオンの場合 ([Enable L3 support] とともに ) CAS はユーザパケットの送信元 IP アドレスを CAA が送信した IP アドレスに照らし合わせユーザと CAS 間の NAT 装置を使用するすべての L3 Agent ユーザをブロックします Enable L2 strict mode to block L3 devices with Clean Access Agent このオプションがイネーブルの場合 CAS はユーザパケットの送信元 MAC アドレスを CAA が送信した MAC アドレスに照らし合わせ CAS から複数ホップ離れたすべての L3 Agent ユーザをブロックしますユーザがネットワークにアクセスするには CAS とユーザのクライアントマシンの間にあるルータをすべて取り外す必要がありますすべてのオプションをオフのまま変更しない ( デフォルト設定 ) CAS は L2 モードで動作しすべてのクライアントが 1 ホップ離れていると想定します CAS は CAS とクライアントの間にルータが配置されているかどうかを区別できませんルータの MAC アドレスはログインする最初のユーザおよび以降のユーザのマシンとして使用できます MAC アドレスは認識されないためルータを介して送受信を行う実際のクライアントマシンではチェックが実行されません ( 注 ) L2 配置のみを使用している場合 Enable L3 support オプションがオンになっていないことを確認してください L3 および L2 strict オプションは同時に使用できません一方のオプションをイネーブルにすると別のオプションがディセーブルになります L3 または L2 strict モードをイネーブルまたはディセーブルにするには必ず CAS の Update および Reboot を実行する必要があります Update を実行すると次に再起動するまで Web コンソールでは変更された設定が維持されます Reboot を実行すると CAS 内のプロセスが起動します L2/L3 strict モードの詳細については Cisco NAC Appliance - Clean Access Server Installation and Administration Guide Release 4.1(1) を参照してください 10-11

Agent の配布およびインストールの設定 Agent の配布およびインストールの設定各ソフトウェアリリースの CAM ソフトウェアには CAA の最新のセットアップバージョンが自動的に組み込まれています CAS をインストールした場合および Web Clean Access Updates または手動アップロードを通して CAM が新バージョンの Agent を入手した場合 CAM は Agent セットアップインストールファイルを各 CAS に自動的に配布しますユーザが CAA セットアップファイルをダウンロードしたりインストールしたりできるようにするには CAA の使用要求 (p.10-4) を参照してください新しい Agent ユーザが Web ログインを介して最初にログインすると CAA ダウンロードページが表示されます自動アップグレードがイネーブルである場合新しい Agent バージョンが入手可能になると既存の Agent ユーザはログイン時にアップグレードするように要求されますここでは次の項目について説明します Distribution ページ (p.10-12) Installation ページ (p.10-14) CAA スタブインストーラ (p.10-16) CAA MSI インストーラ (p.10-17) Mac OS/CAS 通信の SSL 要件 (p.10-20) Distribution ページ Distribution ページ ( 図 10-4) には次の設定オプションがあります図 10-4 Distribution ページ 10-12

Agent の配布およびインストールの設定 Clean Access Agent Temporary Role Agent の一時的ロールの名前が表示されます ( デフォルトは Temporary ) Role Name を変更する手順についてはロールの変更 (p.6-14) を参照してください ( 注 ) CAA を VPN トンネルモードで機能させるには CAS で Enable L3 support オプションをオンにする必要があります (Device Management > Clean Access Servers > Manage [CAS_IP] > Network > IP) 詳細については L3 配置サポートのイネーブル化 (p.10-8) を参照してください Current Clean Access Agent Setup Version CAM にインストールしたソフトウェアリリースに付属の完全な Agent セットアップインストールファイルのバージョンクライアントへの Agent の初期インストールには Agent セットアップファイルが必要です Agent セットアップファイルは Updates を実行しても配布されません Agent セットアップおよび Agent パッチ ( アップグレード ) ファイル (p.10-30) を参照してください Current Clean Access Agent Patch Version インストール済みの CAA が自身をアップグレードするためにダウンロードする Agent パッチアップグレードファイルのバージョンアップグレードバージョンには CAM が Updates ページからダウンロードした内容が反映されます CAA の使用要求 (p.10-4) を参照してください Current Clean Access Agent is a mandatory upgrade このオプションをオンにして Update をクリックした場合ユーザがログインするときにユーザは最新バージョンの Agent へのアップグレードを促すプロンプトを受け入れるように強制されますオフのままの場合 ( オプションアップグレード ) ユーザは最新の Agent バージョンへのアップグレードを促されますがアップグレードを延期して引き続き既存の Agent でログインすることができます CAM での必須自動アップグレードのディセーブル化 (p.10-28) を参照してください ( 注 ) 新しい CAM/CAS インストールではデフォルトで Device Management > Clean Access > Clean Access Agent > Distribution の Current Clean Access Agent Patch is a mandatory upgrade オプションが自動的に設定されます CAM/CAS をアップグレードすると現在の設定 ( イネーブルまたはディセーブル ) がアップグレード後のシステムに継承されます Do not offer current Clean Access Agent Patch to users for upgrade このオプションをオンにして Update をクリックした場合 CAM から Agent アップデートを入手できる場合もすべての Agent ユーザにアップグレード通知 ( 必須またはオプション ) が表示されませんこのオプションをオンにすると実質的に Agent パッチアップグレードはユーザに配信されなくなります Allow 4.1.0.x Agents to log in このオプションをオンにすると強化されたセキュリティや 4.1.1.x Agent へのアップグレードを必要とせずに 4.1.0.1 または 4.1.0.2 Agent を使用してユーザがログインできるようになります Clean Access Agent Setup/Patch to Upload Browse ボタンを使用して Agent セットアップインストレールファイル (setup.tar.gz) または Agent パッチアップグレードファイル (upgrade.tar.gz) をこのフィールドに手動でアップロードします ( 注 ) CAM は Agent セットアップファイルとアップグレードファイルのタイプをファイル名で区別するため常にダウンロード時と同じファイル名を使用する必要がありますたとえば CCAAgentSetup-4.1.1.0.tar.gz または CCAAgentUpgrade-4.1.1.0.tar.gz のようになります詳細は CAM への Agent の手動アップロード (p.10-35) を参照してください 10-13

Agent の配布およびインストールの設定 Version 手動アップロードの場合はダウンロード時の CAA と同じバージョン番号を使用します Installation ページ Cisco Clean Access には Agent インストール制御機能がありますこれを使用すると管理者は最初に Agent がインストールされるときに必要なユーザの相互作用のレベルを判別できますインストールオプションは Agent の直接のインストール ( ユーザがクライアントマシンに直接インストールする ) とスタブインストール (Agent インストーラがスタブインストーラで起動する ) の両方に適用されます ( 注 ) インストール後 [Clean Access Agent] と [Uninstall Clean Access Agent] ショートカットがデスクトップに表示されますインストールオプションの設定手順 : 1. CAA の使用要求 (p.10-4) の説明に従って Agent の使用が必要であることを確認します 2. Device Management > Clean Access > Clean Access Agent > Installation に移動します図 10-5 CAA の Installation ページ Discovery Host このフィールドは独自の暗号化された UDP ベースプロトコルを CAM に送信して L3 配置内の CAS を検出する場合に CAA が使用しますこのフィールドには CAM の IP アドレス ( または DNS ホスト名 ) が自動的に読み込まれます通常デフォルト IP アドレスは変更する必要がありませんただし CAM の IP アドレスが CAS を介してルーティングされない場合は Discovery Host に CAS を介してクライアントマシンから到達可能な任意の IP アドレスまたはホスト名を設定できます 10-14

Agent の配布およびインストールの設定 ( 注 ) CAM は常に CAS の信頼できる側のルーテッドインターフェイス上に存在する必要があるのでデフォルトで Discovery Host は CAM の IP に設定されていますこれは CAM の IP に到達するために信頼できない側のクライアントトラフィックが CAS を通過する必要があることを意味しますクライアントが Discovery Host IP に接続を試みる場合 CAS はトラフィックを代行受信してログインプロセスを開始します ACL で CAM を保護するために最良の方法がとられクライアントトラフィックが実際に CAM に到達すべきでないことが想定されますさらにセキュリティを高めるために (L3 が正しく配置された後 ) Discovery Host を CAM IP ではなく信頼できる側の IP に変更できます 3. デフォルトで Installation Options が Windows でイネーブルにされています 4. ユーザがマシンで直接インストーラを起動した場合は次の Direct Installation Options: からいずれかを選択します - User Interface: - No UI CCAAgent_Setup.exe の File Download ダイアログでユーザが Open をクリック ( または保存および実行 ) するとユーザ入力が必要なくなります [Preparing to Install] ダイアログが短期間表示され Agent が自動的にダウンロードおよびインストールされます Reduced UI ユーザが Open をクリックして CCAAgent_Setup.exe ファイルを実行 ( または保存および実行 ) すると [Preparing to Install] および InstallShield Wizard [Installing Cisco Clean Access Agent] 画面が表示されますがユーザ入力フィールド ([Next] ボタンなど ) はディセーブルで Agent が自動的に抽出およびインストールされます Full UI( デフォルト ) ユーザが Open をクリックまたは CCAAgent_Setup.exe ファイルを保存および実行すると通常のインストールダイアログが表示されます Destination Folder ディレクトリ画面を含む Cisco CAA の InstallShield Wizard が表示されますユーザは各ペインで Next Install および Finish ボタンをクリックしてインストールを完了します Run Agent After Installation: Yes( デフォルト ) Agent のインストール後 Agent Login 画面がポップアップします No Agent のインストール後 Agent Login 画面は表示されませんユーザはデスクトップの Clean Access Agent ショートカットをダブルクリックして Agent を開始してタスクバーに表示する必要があります Agent は Control Panel > Add/Remove Programs > Cisco Clean Access Agent でインストールを確認できます Agent が開始すると Pop Up Login Window がタスクバーメニューでイネーブルの場合に Login 画面がポップアップします 5. CCA Agent スタブでインストーラが起動した場合は次の Stub Installation Options: からいずれかを選択します - User Interface: - No UI インストーラを抽出するダイアログだけが表示されます Reduced UI ほとんどのインストールダイアログが表示されますがユーザはターゲットロケーションを選択することはできません Full UI( デフォルト ) すべてのインストールダイアログが表示されユーザはターゲットロケーションを選択することができますペインをクリックしてインストールを完了する必要があります Run Agent After Installation: Yes( デフォルト ) Agent のインストール後 Agent Login 画面がポップアップします No Agent のインストール後に Agent Login 画面が表示されず Agent ユーザはデスクトップショートカットをダブルクリックして Agent を開始する必要があります 6. Update をクリックして設定値を保存します 7. CCAA MSI Stub このボタンをクリックして Microsoft Installer 形式で CAA のスタブインストーラをダウンロードします詳細は CAA スタブインストーラ (p.10-16) を参照してください 10-15

Agent の配布およびインストールの設定 8. CCAA EXE Stub このボタンをクリックして一般的な実行ファイル形式で CAA のスタブインストーラをダウンロードします詳細は CAA スタブインストーラ (p.10-16) を参照してください CAA スタブインストーラ Cisco NAC Appliance はスタブのインストール後マシンの管理者権限を持たないユーザが CAA をインストールまたはアップデートできるスタブインストーラを用意しています Agent インストーラのインストーラプロキシも強化されておりターゲットの実行ファイルのデジタル署名をチェックしてデジタル署名が信頼できる場合にだけインストールを実行します Agent Setup Installation プログラムが開始すると次の内容を実行します 1. インストーラを展開します 2. ユーザの現在の権限をチェックします 3. ユーザに admin 権限がある場合はインストーラが起動します 4. ユーザが admin ユーザでない場合 a. スタブが実行されているかどうか ( またはインストールされているが実行されていないかどうか ) を確認します b. スタブが実行されていない場合は Agent の実際のインストーラが展開されず Agent がインストールされません c. スタブが実行されている場合ユーザのローカル Temp ディレクトリでインストーラを起動するという要求がスタブに送信されます (CCA は実際のインストーラが展開された正確なロケーションを認識します ) スタブインストーラは管理者によって配布される必要があり CAA の Installation ページの CCAA MSI Stub(Microsoft Installer 形式 ) または CCAA EXE Stub( 一般的な実行可能な形式 ) の管理者のダウンロードボタンを使用して CAM からダウンロードまたは取得できます表 10-1 で CAA の正規のインストールとスタブインストールの違いについて説明します表 10-1 インストール Agent 対 Agent スタブ CAA インストール / アップグレードに admin/power ユーザ権限が必要になります実行するためのすべての権限通常ユーザに権限がある場合は CCA Weblogin(https) 経由でユーザに権限がない場合は企業の Systems Management Server(SMS) 経由でインストールされます CAA スタブ CCA Agent Stub は Agent 構成の代替手段となります SMS 経由ですべてのユーザにスタブを配布しますユーザは Weblogin から CCA Agent をインストールします (admin 権限は不要 ) ユーザは CAS から CCA Agent をアップグレードします (admin 権限は不要 ) Stub Agent は admin 権限を使用して SMS 経由でインストールされます Stub Agent は最初の Agent のインストールで使用できます Stub は定期的な Agent アップデートを実行するのに使用できます 10-16

Agent の配布およびインストールの設定 CAA MSI インストーラ次のいずれかの MSI(Microsoft Installer 形式 ) インストーラを取得および実行してクライアントマシンに CAA をインストールできます Cisco Software Download サイト (http://www.cisco.com/cgi-bin/tablebuild.pl/cca-agent) から CAA MSI ファイル CCAAgent.msi を取得してクライアントマシンに直接 CAA をインストールできます Installation ページ (p.10-14) の説明に従って CAA の Installation ページの CCAA MSI Stub ダウンロードボタンを使用し CAM から CAA Stub インストーラをダウンロードして管理権限を持たないユーザがクライアントマシンで CAA をインストールおよびアップデートできるようにします MSI を使用した CAA の直接インストール CAA MSI インストーラを取得したらインストレーションウィザードに従ったり標準的な CAA インストールダイアログに使う必要なくクライアントマシンに Cisco CAA を短時間で直接インストールできます Microsoft MSI インストーラユーティリティを使用してもクライアントマシンに CAA がインストールされたら自動起動できます MSI インストーラを使用してクライアントマシンに Cisco CAA をインストールする手順は次のとおりですステップ 1 CCAAgent.msi CAA MSI ファイルの最新バージョンを取得および保存していることを確認しますステップ 2 クライアントマシンに CAA をインストールする場合に MSI インストーラに渡すオプションパラメータのリストを参照するにはコマンドプロンプトを開くか Start > Run をクリックして msiexec を入力します図 10-6 msiexec Options ウィンドウ 10-17

Agent の配布およびインストールの設定ステップ 3 CAA をインストールする場合に使用するクライアントマシンの設定とオプションのパラメータに基づいてクライアントマシンに CAA をインストールする場合に使用する msiexec コマンドラインを作成します例 :msiexec /package C:\temp\CCAAgent.msi /qn SERVERURL=http:/10.10.1.4/ このコマンドラインの例は CAA の実行ファイル CCAAgent.exe をクライアントマシンの C:\temp\ ディレクトリにサイレントにインストールし ( つまりインストールプロセス中はユーザに入力を要求しません ) Agent を起動し Windows Registry の Discovery Host 値を http://10.10.1.5 に設定します ( 注 ) CAA が次のインストールを自動起動しないようにするには LAUNCHCCA=0 パラメータを msiexec コマンドラインに必ず含めるようにします msiexec ユーティリティのデフォルト設定は LAUNCHCCA=1 ですこれはインストール後に CAA を自動起動します ( 例 :msiexec /package C:\temp\CCAAgent.msi /qn LAUNCHCCA=0 SERVERURL=http: /10.10.1.4/) ステップ 4 コマンドプロンプトを開くか Start > Run をクリックして msiexec コマンドラインを入力して CAA をインストールします図 10-7 コマンドプロンプトへの msiexec の入力 CAA がクライアントマシンにインストールされ LAUNCHCCA=0 パラメータを使用して設定している場合を除いてバックグラウンドで自動起動します MSI を使用した CAA スタブのインストールユーザがクライアントマシンに直接 CAA をインストールできない場合 MSI を使用して CAA Stub インストーラをダウンロードしマシンの管理者権限を持たないユーザが CAA を自動的にインストールし起動できるようにします MSI インストーラを使用してクライアントマシンに Cisco CAA Stub をインストールする手順は次のとおりですステップ 1 Installation ページ (p.10-14) の説明に従って CCAAgentMSIStub.zip の MSI Stub インストーラのローカルコピーを設定ダウンロードおよび保存します 10-18

Agent の配布およびインストールの設定ステップ 2 CCAAgentStub.msi ファイルを展開し Stub インストーラをユーザに配布できるロケーションに保存しますステップ 3 ( たとえば E メールの添付ファイルまたは共通のネットワークアーカイブからのダウンロードとして )MSI インストーラの起動方法と一緒に CCAAgentStub.msi ファイルをユーザに配布します Full UI User Interface オプションで MSI Stub インストーラを設定した場合はインストールプロセス中に CAA 実行ファイルをクライアントマシンにインストールする場所に関する追加の手順を指定します CAA MSI インストールの確認 Windows Taskbar にアイコンが表示されたら CAA が起動されたことを確認できます ( 図 10-8 を参照 ) 図 10-8 Windows Taskbar の CAA アイコンインストールが完了したらクライアントマシンのレジストリエントリを確認できます ( 図 10-9 を参照 ) 図 10-9 クライアントマシンの Windows レジストリ 10-19

Agent の配布およびインストールの設定 Mac OS/CAS 通信の SSL 要件 Mac OS CAA が CAS と通信を行うには Agent と CAS 間の SSL 通信が特定の要件を満たしている必要があります CAS には次のいずれかが含まれている必要があります有効な CA 署名付き証明書 ( 信頼できる認証局から ) 次のセクションで説明する要件を満たす一時的な証明書 Mac OS Agent への SSL 接続に対する CAS の一時的な証明書の要件 CAS に対して一時的な証明書を使用する場合は次の内容が所定の場所にあることを確認してくださいステップ 1 ステップ 2 CAS/CAM は Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名 ) を証明書の [subject] DN として使用する必要があります ( つまり CAS/CAM コンソールの [Full Domain Name or IP]) IP アドレスは許可されていませんこれには CAS の証明書の再生成が必要になる場合があります ( 詳細については Cisco NAC Appliance - Clean Access Server Installation and Administration Guide Release 4.1(1) の Manage CAS SSL Certificates を参照 ) Mac OS マシンでは一時的な証明書の署名に使用されるルート証明書が Keychain Access アプリケーションの X509 Anchors にインストールされている必要がありますインストールするにはマシンで実行されている Mac OS バージョンのいずれかの手順セットを使用してください Mac OS 10.2.x のルート証明書のインストール Mac OS 10.3.x のルート証明書のインストール Mac OS 10.4.x のルート証明書のインストールステップ 3 Mac OS マシンは DNS 経由で FQDN 名を正しく解決できる必要がありますこれには 2 つの方法があります a. Mac マシンが使用している DNS サーバにエントリを追加するまたは b. テストマシンに対して次の内容を実行します 1. Mac OS X でのルートユーザのイネーブル化 (p.10-24) の説明に従ってルートアカウントをイネーブルにします 2. sudo vi /etc/hosts を実行して Mac マシンの /etc/hosts ファイルを編集して新しいドメイン検索エントリを追加します注意 CAS/CAM はフルドメイン名を使用するため証明書で IP アドレスを使用できません代わりにドメイン名を使用する必要があります注意マシンの日時が証明書で有効であることを確認します現在の日時が証明書の範囲から外れると Agent が作動しません 10-20

Agent の配布およびインストールの設定 Mac OS 10.2.x のルート証明書のインストール Mac OS X 10.2 を実行している Mac にルートまたは CA 証明書をインポートするには次の手順を行います ( 注 ) 次の手順を実行するにはコンピュータの管理者権限が必要ですステップ 1 ステップ 2 クライアントマシン ( またはデスクトップ ) にルート証明書をダウンロードします詳細は CAS からのルート証明書の取得 (p.10-25) を参照してください証明書が Privacy Enhanced Mail(PEM) 形式であることを確認します ( 注 ) 証明書が PEM 形式でない場合 Office フォルダの Microsoft Certificate Manager を使用して形式を変更します証明書をインポートしてから PEM 形式を使用して証明書を保存しますステップ 3 ステップ 4 ステップ 5 ステップ 6 Dock の Finder アイコンをクリックします Go メニューから Applications を選択します Utilities フォルダを開きます Terminal プログラムをダブルクリックします次のコマンドを入力してから各行の最後で Enter キーを押します cert_filename を証明書の実際のファイル名に置き換えます cd ~/Desktop cp /System/Library/Keychains/X509Anchors ~/Library/Keychains certtool i cert_filename k=x509anchors sudo cp ~/Library/Keychains/X509Anchors /System/Library/Keychains ステップ 7 最後の Terminal コマンドで Enter を押したら管理パスワードを入力する必要があります図 10-10 にこれらの手順を示します図 10-10 Mac OS 10.2 へのルート証明書のインストール 10-21

Agent の配布およびインストールの設定 ( 注 ) 10.2 certtool は ~/Library/Keychains ディレクトリに存在しないキーチェーンに証明書をインポートできませんここで説明されている方法は X509Anchors を ~/Library/Keychains にコピーしそこで certoool i を実行し結果として生じる X509Anchors を ( ルートとして )/System/Library/Keychains/ にコピーし戻すことでこの問題を解決しています Mac OS 10.2.x にルート証明書をインポートするための詳細については次の内容も参照してください http://support.microsoft.com/default.aspx?scid=kb;en-us;887413 および http://lists.apple.com/archives/apple-cdsa/2004/jul/msg00021.html Mac OS 10.3.x のルート証明書のインストール Mac OS X 10.3 を実行している Mac にルートまたは CA 証明書をインポートするには次の手順を行います ( 注 ) 次の手順を実行するにはコンピュータの管理者権限が必要ですステップ 1 クライアントマシン ( またはデスクトップ ) にルート証明書をダウンロードします詳細は CAS からのルート証明書の取得 (p.10-25) を参照してくださいステップ 2 ルート証明書をダブルクリックして Add Certificates ダイアログを起動します ( 図 10-11) 図 10-11 Mac OS 10.3 へのルート証明書の追加ステップ 3 ステップ 4 Keychain ドロップダウンメニューから X509 Anchors を選択します OK をクリックしますステップ 5 ルート証明書が X509 Anchors のキーチェーンに追加されました ( 図 10-12) 10-22

Agent の配布およびインストールの設定図 10-12 Mac OS 10.3.x に追加されたルート証明書 Mac OS 10.4.x のルート証明書のインストール ( 注 ) 次の手順を実行するにはコンピュータの管理者権限が必要ですステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 クライアントマシン ( またはデスクトップ ) にルート証明書をダウンロードします詳細は CAS からのルート証明書の取得 (p.10-25) を参照してください Dock の Finder アイコンをクリックします Go メニューから Applications を選択します Utilities フォルダを開きます Keychain Access アプリケーションを起動しますルート証明書を Keychain Access アプリケーションにドラッグします Add Certificates ダイアログボックスで X509 Anchors をクリックしてから OK をクリックしますステップ 8 ルート証明書が追加されました ( 図 10-13) 10-23

Agent の配布およびインストールの設定図 10-13 Mac OS 10.4.x に追加されたルート証明書 Mac OS X でのルートユーザのイネーブル化 ( 注 ) ユーザがマシンの管理者であることを確認しますこれ以降の手順を実行するには管理者権限を持つアカウントへのアクセス権が必要ですステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 Dock の Finder アイコンをクリックします Go メニューから Applications を選択します Utilities フォルダを開きます NetInfo Manager ユーティリティを開きます NetInfo Manager ウィンドウのロックをクリックするか Security > Authenticate に進みます管理者アカウントの username と password を入力して OK をクリックしますステップ 7 Mac OS X 10.2 以降の場合 Security メニューから Enable Root User を選択します ( 図 10-14) 図 10-14 Enable Root User 10-24

Agent の配布およびインストールの設定ステップ 8 ステップ 9 ルートのパスワードを入力してルートアカウントをイネーブルにしますルートパスワードを設定していないとパスワードがブランクであることを示す [NetInfo Error] が表示されたアラートボックスが現れる場合があります OK をクリックします使用するルートパスワードを入力してから Set をクリックしますステップ 10 確認のためにパスワードを再入力して Verify をクリックしますステップ 11 ルートユーザがイネーブルになりましたステップ 12 再びロックをクリックして誤って変更されないようにします ( 注 ) 詳細については http://docs.info.apple.com/article.html?artnum=106290#one を参照してください Mac OS Agent の詳細については Mac OS X Agent のダイアログ ( 認証のみ ) (p.11-67) も参照してください CAS からのルート証明書の取得 Internet Explorer では CAS 証明書のエクスポートが可能なためここでは Windows システムからルート証明書を取得する方法について説明しますその後管理者は E メールの添付ファイル FTP または USB ストレージデバイス経由で Mac に証明書を転送できます一時的な証明書が Windows システムにまだインストールされていない場合図 10-15 に一時的な証明書を初めてダウンロードする場合の手順を示します 1. IE ブラウザを開きアドレスを入力しますブラウザは Web ログイン用の認証ページにリダイレクトされます 2. 証明書がインストールされていないのでブラウザから Security Alert ダイアログがポップアップします Security Alert ダイアログの View Certificate ボタンをクリックします 3. ポップアップする Certificate ウィンドウの Details タブをクリックします 4. Details タブの Copy to File ボタンをクリックします 5. Certificate Export Wizard でフォーマットオプションを DER encoded binary x.509 (.CER) のままにし Next をクリックして Windows システムに証明書を保存します 6. Mac マシンに証明書を転送します 10-25

Agent の配布およびインストールの設定図 10-15 証明書のダウンロードオプション 1 ブラウザに一時的な証明書がすでにインストールされている場合図 10-16 にシステムに証明書がすでにインストールされている場合のダウンロード手順を示します 1. IE ブラウザを開きます 2. Tools > Internet Options の順番に進みます Content タブをクリックしてから Certificates ボタンをクリックします 3. Certificates ウィンドウの Intermediate Root Certificate Authorities タブをクリックします 4. www.perfigo.com で発行された証明書を強調表示して Export ボタンをクリックします 5. Windows マシンのロケーションを選択して証明書を保存します 6. Mac マシンに証明書を転送します 10-26

Agent の配布およびインストールの設定図 10-16 証明書のダウンロードオプション 2 10-27

CAA 自動アップグレードの設定 CAA 自動アップグレードの設定ここでは次の項目について説明します CAM での Agent 自動アップグレードのイネーブル化 (p.10-28) ユーザに対する Agent アップグレードのディセーブル化 (p.10-28) CAM での必須自動アップグレードのディセーブル化 (p.10-28) 自動アップグレードのユーザ操作 (p.10-29) Agent のアンインストール (p.10-29) Agent セットアップおよび Agent パッチ ( アップグレード ) ファイル (p.10-30) 自動アップグレードの互換性 (p.10-31) 3.5.0 以前の Agent からのアップグレード (p.10-32) CAM での Agent 自動アップグレードのイネーブル化 CAA 自動アップグレードをイネーブルにするには次の処理を実行する必要があります 1. リリース 4.1(0) 以上の CAM および CAS を稼働させ 3.5.1 以上のバージョンの CAA をクライアントにインストールします ( 自動アップグレードのユーザ操作 [p.10-29] を参照 ) 2. ロールおよびクライアント OS に対して CAA を使用するように要求します ( CAA の使用要求 [p.10-4] を参照 ) 3. 最新バージョンの Agent Upgrade パッチを取得します必須または任意の両方の自動アップグレードでより新しいバージョンの Agent パッチを Updates を介して CAM にダウンロードする必要がありますそうしないと新しい Agent にアップグレードするように要求するプロンプトが表示されません ( CAA の使用要求 [p.10-4] を参照 ) ユーザに対する Agent アップグレードのディセーブル化 Agent パッチアップグレードのユーザへの通知および配布をディセーブルにする手順は次のとおりです 1. Device Management > Clean Access > Clean Access Agent > Distribution に移動します ( 図 10-4 を参照 ) 2. Do not offer current Clean Access Agent Patch to users for upgrade のチェックボックスをクリックします 3. Update をクリックします CAM での必須自動アップグレードのディセーブル化 CAM/CAS を新規にインストールするとデフォルトで必須自動アップグレードが自動的にイネーブルになります CAM/CAS をアップグレードすると現在の設定 ( イネーブルまたはディセーブル ) がアップグレード後のシステムに継承されますすべてのユーザに対して必須 Agent 自動アップグレードをディセーブルにする手順は次のとおりです 1. Device Management > Clean Access > Clean Access Agent > Distribution に移動します ( 図 10-4) 2. Current Clean Access Agent Patch is a mandatory upgrade のオプションをオフにします 3. Update をクリックします 10-28

CAA 自動アップグレードの設定 ( 注 ) 最新の AV/AS 製品サポートを実現するために Current Clean Access Agent Patch is a mandatory upgrade オプションを設定することを推奨します自動アップグレードのユーザ操作自動アップグレードがイネーブル化されていて新しいパッチアップグレードバージョンの Agent を CAM に入手できる場合ユーザは次のように操作します新規ユーザは最初のワンタイム Web ログイン後に Agent の入手可能な最新のセットアップバージョンをダウンロードしてインストールします既存のユーザは Agent の最新のパッチバージョンに自動アップグレードするようにログイン時に要求されます ( ユーザに対するアップグレード通知がイネーブルの場合 ) ユーザが OK をクリックするか ( 必須アップグレード ) または Yes をクリックすると ( 任意アップグレード ) クライアントは新しい Agent バージョンのインストールを自動的に開始しますログイン時に自動アップグレードするようにアウトオブバンドユーザに要求するためにはアウトオブバンドユーザが認証 VLAN( 仮想 LAN) 上になければなりません General Setup ページの設定が異なっている場合を除きインバンドユーザは Windows ドメインをログオフするかまたはマシンをシャットダウンしても CAA にログインしたままです詳細は Logoff Clean Access Agent users from network on their machine logoff or shutdown (for Windows & In-Band only) (p.9-20) を参照してください詳細については自動アップグレードの互換性 (p.10-31) も参照してください Agent のアンインストールここでは次の方法について説明します Windows CAA のアンインストール (p.10-29) Mac OS CAA のアンインストール (p.10-30) Windows CAA のアンインストール Agent は Windows クライアントの C:\Program Files\Cisco Systems\Clean Access Agent\ にインストールされます次の方法で CAA をアンインストールできます Uninstall Clean Access Agent デスクトップアイコンのダブルクリック Start Menu > Programs > Cisco Systems > Cisco Clean Access > Uninstall Clean Access Agent または Start Menu > Control Panel > Add or Remove Programs > Cisco Clean Access Agent ( 注 ) CAM の Agent のバージョンを変更するには CAM への Agent の手動アップロード (p.10-35) を参照してください 10-29

CAA 自動アップグレードの設定 Mac OS CAA のアンインストール Mac OS X の CAA をアンインストールするには 2 つの手順があります 1. ゴミ箱に CAA アプリケーションをドラッグします Agent アプリケーションは /Library/Application Support/Cisco Systems/CCAAgent.app にあります 2. ゴミ箱に CAA インストレーションレシートをドラッグしますレシートは /Library/Receipts/CCAAgent.pkg にありますこれらの 2 つの手順が完了するとアプリケーションのすべての痕跡を完全に削除したのでインストーラを次に実行するときにインストーラのボタンには [UPGRADE] ではなく [INSTALL] が表示されます Agent セットアップおよび Agent パッチ ( アップグレード ) ファイル CAA の自動アップグレードでは Agent セットアップバージョンと Agent パッチ ( アップグレード ) バージョンのクライアントインストールファイルが区別されますこれらのファイルは異なる条件で使用される同じ Agent の 2 つのインストーラに対応しています Agent セットアップインストーラ古いバージョンの Agent がまだインストールされていないクライアントでのフレッシュインストールに使用しますユーザは最初のワンタイム Web ログイン後に Download Clean Access Agent ページから Agent セットアップファイルをダウンロードします Agent アップグレード ( またはパッチ ) インストーラインストール済みの古いバージョンの CAA が自動アップグレードのためにダウンロードしますユーザはログイン後におよびマシンのリブート後に (General Setup ページで設定されている場合のオプション ) Agent アップグレードファイルをダウンロードするように要求されます Agent インストールファイルの CAM へのロード Agent セットアップまたはアップグレードファイルは次に示すように CAM に格納されますこれらのファイルのいずれかが CAM に格納されている場合ファイルは CAS にパブリッシュされてからクライアントまたはユーザに配布されます Agent セットアップ Agent セットアップファイルは CAM ソフトウェアリリースに付属の完全な Agent セットアップインストールファイルですインターネットによる更新では配布されません有効なインストール方法は次のとおりです 1. CAM CD インストール 2. CAM ソフトウェアアップグレード 3. Web コンソールを介した CCAAgentSetup-4.1.1.0.tar.gz ファイル ( または Clean Access Mac OSX Agent の CCAAgentMac OSX-4.1.1.0.tar.gz) の CAM への手動アップロード 4. 詳細については CAM への Agent の手動アップロード (p.10-35) を参照してください Agent パッチ ( アップグレード ) Agent パッチファイルは既存の Agent によってダウンロードおよびインストールされたアップグレードファイルです有効なインストール方法は次のとおりです 1. CAM CD インストール 2. CAM ソフトウェアアップグレード 3. インターネットからの Clean Access Updates(Device Management > Clean Access > Updates) 10-30

CAA 自動アップグレードの設定 4. Web コンソールを介した CCAAgentUpgrade-4.1.1.0.tar.gz ファイルの CAM への手動アップロード詳細については CAM への Agent の手動アップロード (p.10-35) を参照してください注意 CAM は Agent セットアップファイルとアップグレードファイルのタイプをファイル名で区別するためダウンロードでは常に同じファイル名を使用する必要がありますたとえば CCAAgentSetup-4.10.1.0.tar.gz または CCAAgentUpgrade-4.10.1.0.tar.gz のようになります自動アップグレードの互換性最新バージョンの CAA セットアップインストールファイルおよびパッチ ( アップグレード ) インストールファイルは各 Cisco NAC Appliance ソフトウェアリリースの CAM ソフトウェアに自動的に組み込まれますすべてのバージョンの CAA は同じバージョンのサーバ製品と基本的な互換性を維持するように設計されています次の例を参考にしてください 4.1.1.0 Agent は 4.1(1) CAS/CAM と連携します 4.1.0.0 Agent は 4.1(0) CAS/CAM と連携します 4.0.0.0 Agent は 4.0(0) CAS/CAM と連携します基本的な互換性があるため Agent はログインログアウト設定済み要件の検索脆弱性レポートなどの基本機能を実行できますバージョン設定メジャーとマイナーのアップグレードを区別するために CAA のバージョンが次のように 4 桁で表示されています Agent バージョン 4.1.1.0 は Cisco NAC Appliance バージョン 4.1(1) にバンドルされています Agent( たとえば 4.1.1.x) へのマイナーアップグレードは通常 Agent 互換性または AV/AS 製品サポートに対する拡張機能を反映します Cisco NAC Appliance リリース ( たとえば 4.1.1.0) にバンドルされた新しい Agent バージョンの場合新しい Agent が組み込まれ Agent( たとえば 4.1.0.2) の以前のマイナーアップグレードより優先されますすべての 4.1.1.x Agent は任意の 4.1(1) CAS と基本的な下位互換性を保つように設計されています各バージョンの CAA に更新すると追加機能が追加導入されますシスコのアップデート CAA がクライアントにインストールされている場合 Agent アップグレードが入手可能になると Agent はアップグレードを自動検出し CAS からダウンロードしてユーザ確認後にクライアント上で自動アップグレードをします管理者は Agent 自動アップグレードをユーザに対して必須にするか任意にするかを設定できます Clean Access Agent Distribution ページには Agent アップデートが CAM で入手可能になった場合のアップグレード通知を禁止する Do not offer current Clean Access Agent Patch to users for upgrade オプションがありますこのオプションをイネーブルにすると新しい Agent が CAM にダウンロードされた場合に Agent パッチアップグレードがユーザに配布されなくなります 10-31

CAA 自動アップグレードの設定 ( 注 ) 4.1.1.x Agent を自動ダウンロードしてクライアントに配布できるのは 4.1(1) CAS のみです 4.1(1) にアップグレードするカスタマーはすべてのクライアントを 4.1.1.x Agent にアップグレードする必要もあります自動アップグレードは通常 3.5.1+ Agent から最新の 4.1.1.x Agent に直接行う場合にサポートされています Agent はメジャーリリース間ではサポートされていません 4.1.1.x Agents を以前のリリース ( たとえば 4.1(0)/4.0(x)/3.6(x)) でまたは逆の場合でも使用しないでくださいただし旧版の Agent(3.5.1+) から 4.1.1.x へのアップグレードはサポートされています 3.5.1 より前の Agent のユーザの場合は 3.5.0 以前の Agent からのアップグレード (p.10-32) を参照してくださいバージョンアップグレードの制約事項の詳細については Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(1) の Agent Upgrade Compatibility Matrix を参照してください 3.5.0 以前の Agent からのアップグレードバージョン 3.5.0 以前の CAA は自動アップグレード機能をサポートしていませんこの場合古いバージョンの CAA から 4.1.1.0 以上へのユーザアップグレードを有効にするには次のいずれかの方法を使用します CD インストールセットアップ実行可能ファイル (.exe) を CD からユーザに配布します ( 注 ) ユーザに VPN/L3 アクセスを許可する場合は配布する Agent セットアップインストールファイルが CAS から直接ダウンロードされていてクライアントが VPN/L3 機能に必要な CAM IP 情報を取得できることを確認してください Web ログイン /CAA のダウンロード Web ログインを実行するようにすべてのユーザに通知します Web ログインを使用すると目的のユーザロールおよびクライアント OS で Agent を使用するように要求された場合ユーザは CAA ダウンロードページにリダイレクトされます最新の 4.1.1.0+ セットアップ実行可能ファイルを配布する File Distribution 要件の作成この方法については以下で説明します File Distribution 要件による Agent アップグレード次の手順では自動アップグレードをサポートしないバージョン (3.5.0 以前のバージョンなど ) が稼働している場合に CAA をアップグレードする方法を示しますまたロール内のユーザがネットワークにログオンする前に必要なソフトウェアをダウンロードおよびインストールするためのソフトウェアパッケージ要件を作成する方法も示しますこの場合必要なパッケージは新しいバージョンの Agent に対応した Agent セットアップインストールファイルですユーザがファイルをダウンロードし実行可能ファイルをダブルクリックすると Agent インストーラ (3.5.1+) は古い Agent がインストールされているかどうかを自動的に検出し古いバージョンを削除して代わりに新しいバージョンをインストールしますまたアップグレード中にクライアントで稼働していた古いバージョンのアプリケーションもシャットダウンしますこの処理が終わるとユーザは新しいバージョンの Agent を使用してログオンするように要求されます 10-32

CAA 自動アップグレードの設定 ( 注 ) ロールに関する要件を設定する場合は古いバージョンの Agent で新しい Agent の新機能がサポートされないことに注意してください ( つまり Agent アップグレード要件を作成する場合は該当する要件のみをロールに適用し古い Agent でサポートされない追加要件は適用しないでください ) 自動アップグレードの互換性 (p.10-31) も参照してください ( 注 ) この手順 ( クライアントの要件 ) では.exe ファイルがアップロードされますステップ 1 http://www.cisco.com/kobayashi/sw-center/ciscosecure/cleanaccess.shtml にある CAA ダウンロードページにログインし最新の CAA インストールファイル (CCAAgentSetup-4.1.x.y.tar.gz など ) をマシン上のアクセス可能な場所にダウンロードします ( ファイル名の x.y を適用可能なバージョン番号で置き換えます ) ( 注 ) Agent インストールファイルを配布してもクライアントは VPN/L3 機能に必要な CAM IP 情報を取得できません Agent から VPN/L3 へのアクセスをイネーブルにするには Agent インストールファイルを CAS から直接取得する必要がありますステップ 2 ファイルを展開します ( ファイル名の.x をそれぞれ変更します ) > tar xzvf CCAAgentSetup-4.1.x.y.tar.gz ステップ 3 CCAA フォルダに CCAAgent_Setup.exe ファイルが格納されますステップ 4 CAM Web 管理コンソールで Device Management > Clean Access > Clean Access Agent > Rules > New Check に移動しますクライアントのレジストリ (HKLM\SOFTWARE\Cisco\Clean Access Agent\) 内に 4.1.x.(y-1) よりあとのバージョン ( 値名 : バージョンおよび値データタイプ : バージョン ) を検索するレジストリチェック ( タイプ : レジストリ値 ) を作成しますたとえば 4.1.1.1 を配布する場合は 4.1.1.0 よりあとのバージョンを検索するようにレジストリチェックを設定しますチェック / 規則に対応するクライアント OS を選択して Automatically create rule based on this check オプションをオンにし Add Check をクリックしますステップ 5 Device Management > Clean Access > Clean Access Agent > Requirements > New Requirement に移動します File Distribution 要件を作成し CCAA フォルダを参照して File to Upload フィールド内の展開済み CCAAgent_Setup.exe ファイルをアップロードしますクライアント OS を選択し要件名およびユーザに対する説明を入力して Add Requirement をクリックします ( 説明の例は次のようになります You are running version 3.5.0 or below of the Clean Access Agent.Please upgrade to the latest version by clicking the Download button.save the CCAAgent_Setup.exe file to your computer, then double-click this file to start the installation.follow the prompts to install the Agent.) ステップ 6 Device Management > Clean Access > Clean Access Agent > Requirements > Requirement-Rules で Agent アップグレード要件およびオペレーティングシステムを選択しレジストリチェック規則に対応するチェックボックスをクリックして Update をクリックします 10-33

CAA 自動アップグレードの設定ステップ 7 Device Management > Clean Access > Clean Access Agent > Requirements > Role-Requirements で Agent アップグレード要件を選択しユーザロールに対応付けますステップ 8 ステップ 9 トラフィックポリシーを Temporary ユーザロールに追加して CAM の IP アドレスにのみ HTTP アクセスを許可しますこのようにするとクライアントはセットアップ実行可能ファイルをダウンロードできるようになりますユーザとしてテストしますすべてが適切に設定されている場合は 4.1.x.y CAA を使用してダウンロードインストールおよびログインできます ( 注 ) SmartEnforcer 3.2.x はサポートされていません現在 SmartEnforcer 3.2.x が稼働している場合に Agent を 4.1(x) CAM/CAS と併用するには 4.1.0.0 以上の Agent をインストールする必要があります 10-34

CAM への Agent の手動アップロード CAM への Agent の手動アップロード CAM/CAS のソフトウェアアップグレードまたは新規インストールを実行する場合 CAA のインストールファイルまたはパッチアップグレードファイルは CAM ソフトウェアに自動的に組み込まれるためアップロードする必要がありませんただし場合によっては Agent セットアップインストールファイル (setup.tar.gz) または Agent パッチアップグレードファイル (upgrade.tar.gz) を CAM に直接手動でアップロードすることができますたとえば Agent を再インストールする必要がある場合や新規ユーザに配布された Agent のバージョンをダウンロードする場合などです ( 詳細については Agent のダウングレード (p.10-36) を参照してください ) この機能を使用すると管理者は配布用の古いセットアップファイルまたはパッチアップグレードファイルを元のバージョンに戻すことができます ( 注 ) 同じ Distribution ページのインターフェイス制御を使用して Agent セットアップインストールファイルまたは Agent パッチアップグレードファイルを手動でアップロードできます CAM は Agent セットアップファイルとアップグレードファイルのタイプをファイル名で区別するためダウンロードでは常に同じファイル名を使用する必要がありますたとえば CCAAgentSetup-4.1.x.y.tar.gz または CCAAgentUpgrade-4.1.1.0.tar.gz のようになります ( 注 ) ファイルを手動でアップロードすると CAM は Agent セットアップファイルまたは Agent アップグレードファイルを接続先の CAS に自動的にパブリッシュしますパブリッシュ中にバージョンチェックは行われないため Agent セットアップをダウングレードしたり置き換えることができます CAM/CAS および Agent のバージョン互換性の詳細については Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(x) の Agent Upgrade Compatibility Matrix を参照してください次の手順では CAM. に Agent セットアップファイルまたはパッチファイルを手動でアップロードする方法を示します注意 Agent セットアップファイルまたはパッチファイルは tar.gz ファイルとして ( 展開しないで )CAM にアップロードする必要がありますアップロード前に.exe ファイルを抽出しないでくださいステップ 1 ステップ 2 ステップ 3 Cisco Secure Software にログインし (http://www.cisco.com/kobayashi/sw-center/ciscosecure/cleanaccess.shtml) Cisco Clean Access Agent ダウンロードページを開いて CCAAgentSetup-4.1.x.y.tar.gz ファイルまたは CCAAgentUpgrade-4.1.x.y.tar.gz ファイルをマシン上のアクセス可能な場所にダウンロードします ( ファイル名の.x.y は使用可能なバージョン番号で置き換えます ) Device Management > Clean Access > Clean Access Agent > Distribution に移動します ( Distribution ページ [p.10-12] を参照 ) Clean Access Agent Setup/Patch to Upload フィールドで Browse をクリックし CAA セットアップファイルまたはパッチファイルが格納されたフォルダに移動します 10-35

Agent のダウングレードステップ 4 ステップ 5 ステップ 6.tar.gz ファイルを選択し Open をクリックしますテキストフィールドにファイルの名前が表示されます Version フィールドにアップロードする Agent のバージョンを入力します (4.1.1.0 など ) 入力した Version は.tar.gz ファイルのバージョンと完全に一致する必要があります Upload をクリックします Agent のダウングレード CAM の CAA のバージョンを手動でダウングレードする手順は次のとおりです詳細は CAM への Agent の手動アップロード (p.10-35) を参照してくださいステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 Device Management > Clean Access > Clean Access Agent > Distribution で [Current Clean Access Agent Patch is a mandatory upgrade] チェックボックスをオフにして Update をクリックします Device Management > Clean Access > Updates で [Check for CCA Agent upgrade patches] チェックボックスをオフにして Update をクリックします Cisco Secure Software Web サイト (http://www.cisco.com/kobayashi/sw-center/ciscosecure/cleanaccess.shtml) の該当する Cisco Clean Access フォルダからユーザに配布する以前のバージョンの Agent の CCAAgentSetup-4.1.x.y.tar.gz および CCAAgentUpgrade-4.1.x.y.tar.gz ファイルをダウンロードします Device Management > CCA Servers > List of Servers の [Connected] ステータスにすべての CAS が表示されていることを確認します Device Management > Clean Access > Clean Access Agent > Distribution で Setup.tar.gz ファイルを参照およびアップロードしてから Upgrade.tar.gz ファイルを CAM にアップロードします Upload をクリックする前に必ず Version Field に Agent の正しいバージョン ( たとえば 4.1.1.0) を入力するようにしますファイルは自動的に CAS にパブリッシュされますさらにダウングレードされた 4.1.x.y CAA に新しい Link Distribution 要件を設定できます配布するダウングレードされたバージョン ( たとえば 4.1.1.0) に Agent バージョンが一致するかどうかを確認するレジストリチェックを設定します一致しない場合は URL(https://<CAS_IP_or_name>/auth/perfigo_dm_enforce.jsp) にユーザがダイレクトされる必要がありますまた代わりにエンドユーザに手順を提供する Local Check 要件を作成して Agent( たとえば 4.1.x.y) をアンインストールし weblogin を再度実行してダウングレードされた Agent( たとえば 4.1.1.0) をダウンロードできます 10-36