CHAPTER 9 Cisco SNS-3415 および Cisco SNS-3495 を 使 用 した Secure Access Control System のインストールと 設 定 この 章 では Cisco SNS-3415 または Cisco SNS-3495 と ACS 5.5 サーバのインストールおよび 初 期 設 定 の 方 法 について 説 明 します この 章 の 内 容 は 次 のとおりです Cisco SNS-3415/3495 アプライアンスへの ACS のインストール (P.9-1) Cisco Secure ACS 5.5 ISO イメージのダウンロード (P.9-2) (P.9-2) 管 理 者 パスワードのリセット (P.9-10) Cisco SNS-3415/3495 アプライアンスのイメージの 再 作 成 (P.9-11) Cisco SNS-3415/3495 アプライアンスへの ACS のインス トール Cisco SNS-3415 または Cisco SNS-3495 アプライアンスには ACS 5.5 ソフトウェアがあらかじめイ ンストールされています ここでは インストール プロセスの 概 要 と ACS をインストールする 前 に 実 行 する 必 要 がある 作 業 について 説 明 します ACS 5.5 のインストールを 開 始 する 前 に 次 の 作 業 を 実 行 する 必 要 があります 1. 箱 を 開 けて 内 容 を 確 認 します 第 7 章 サーバの 開 梱 と 点 検 を 参 照 してください 2. 第 6 章 Cisco SNS 3415 および Cisco SNS 3495 ハードウェア アプライアンスの 導 入 を 読 みま す 3. 第 7 章 Cisco SNS 3415 および Cisco SNS 3495 ハードウェア アプライアンスの 設 置 の 準 備 に ある 一 般 的 な 注 意 事 項 と 安 全 に 関 する 警 告 を 読 みます 4. アプライアンスをラックに 取 り 付 けます 第 7 章 サーバの 設 置 準 備 を 参 照 してください 5. Cisco SNS-3415 または Cisco SNS-3495 をネットワークとアプライアンス コンソールに 接 続 しま す 第 8 章 ケーブルの 接 続 を 参 照 してください 6. Cisco SNS-3415 または Cisco SNS-3495 アプライアンスの 電 源 をオンにします 第 8 章 Cisco SNS-3415/3495 アプライアンスの 接 続 と 電 源 投 入 を 参 照 してください 7. ネットワークとアプライアンス コンソールに 対 して Cisco SNS-3415 または Cisco SNS-3495 ア プライアンスの 電 源 をオンにします 第 8 章 ケーブルの 接 続 を 参 照 してください 9-1
Cisco Secure ACS 5.5 ISO イメージのダウンロード 8. CLI プロンプトで setup コマンドを 実 行 し ACS サーバの 初 期 設 定 を 行 います セットアップ プ ログラムの 実 行 (P.9-6)を 参 照 してください アプライアンス コンソールまたは CIMC を 使 用 し て 設 定 を 行 うことができます Cisco SNS-3415 または Cisco SNS-3495 アプライアンスを 設 定 するには Cisco UCS Server Configuration Utility, Release 3.0 User Guide を 使 用 できます Cisco SNS-3415 または Cisco SNS-3495 アプライアンスの 詳 細 については Cisco UCS C-Series Rack Server guides も 参 照 でき ます Cisco Secure ACS 5.5 ISO イメージのダウンロード Cisco.com から Cisco Secure ACS 5.5 ISO イメージをダウンロードできます http://www.cisco.com/go/acs にアクセスします このリンクにアクセスするには 有 効 な Cisco.com ログイン クレデンシャルを 所 有 している 必 要 があります [Download Software] をクリックします Cisco.com ページに Cisco Secure ACS リリース 5.5 ソフトウェア イメージが 表 示 されます インス トールおよび 初 期 設 定 が 完 了 したら すべての Cisco ACS サービスのテストを 実 行 できます ( 注 ) ACS 5.x ソフトウェア イメージを Cisco.com からダウンロードできるのは 以 前 のバージョンの ACS 5.x ソフトウェアについて 有 効 な Software Application Support(SAS) 契 約 を 結 んでいる 場 合 だけで す 以 前 のバージョンで 有 効 な SAS 契 約 を 結 んでいない 場 合 は Cisco.com のソフトウェア イメージ を 特 定 のカスタマー アカウントに 公 開 するには 販 売 エンジニア(SE) アカウント マネージャ (AM) またはシスコ パートナーにお 問 い 合 わせください Cisco Secure ACS 5.5 ISO イメージをダウンロードしたら 次 のいずれかのオプションを 使 用 して ア プライアンスに Cisco Secure ACS 5.5 ソフトウェアをインストールおよび 設 定 できます Cisco Integrated Management Interface(CIMC)を 設 定 し CIMC を 使 用 して ネットワークを 介 してリモートから Cisco Secure ACS 5.5 をインストールします CIMC の 設 定 (P.8-5) CIMC を 使 用 したリモートからの Cisco SNS-3415/3495 アプライアンスへの ACS 5.5 のインス トール (P.9-3) および セットアップ プログラムの 実 行 (P.9-6)を 参 照 してください ブート 可 能 な USB ドライブを 作 成 し USB ドライブを 使 用 して Cisco Secure ACS 5.5 をインス トールします ブート 可 能 な USB ドライブの 作 成 (P.9-5) USB ドライブを 使 用 した Cisco SNS-3415/3495 アプライアンスへの ACS 5.5 のインストール (P.9-4) および セットアップ プ ログラムの 実 行 (P.9-6)を 参 照 してください 9-2
CIMC を 使 用 したリモートからの Cisco SNS-3415/3495 アプライアンス への ACS 5.5 のインストール アプライアンスの CIMC を 設 定 したら Cisco SNS-3415 または Cisco SNS-3495 アプライアンスの 管 理 に 使 用 できます CIMC を 通 じて Cisco SNS-3415 または Cisco SNS-3495 アプライアンスで BIOS 設 定 を 含 むすべての 操 作 を 実 行 できます サーバ 管 理 用 の CIMC に 接 続 します NIC モードの 設 定 で 選 択 したポートを 使 用 して LAN からサー バにイーサネット ケーブルを 接 続 します Active-active および Active-passive の NIC 冗 長 化 設 定 で は 2 つのポートに 接 続 する 必 要 があります ブラウザと CIMC の IP アドレスを 使 用 して CIMC セットアップ ユーティリティにログインします IP アドレスは 設 定 した CIMC に 基 づいています(スタティック アドレスまたは DHCP サーバによっ て 割 り 当 てられたアドレス) ( 注 ) サーバのデフォルトのユーザ 名 は admin デフォルト パスワードは password です ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 ステップ 9 0 ログインに CIMC クレデンシャルを 使 用 します [Launch KVM Console] をクリックします [Virtual Media] タブをクリックします [Add Image] をクリックして クライアント ブラウザを 実 行 しているシステムから ACS 5.5 ISO を 選 択 します 作 成 した 仮 想 CD/DVD ドライブに 対 して [Mapped] チェックボックスをオンにします [KVM] タブをクリックします [Macros > Ctrl-Alt-Del] を 選 択 して ISO イメージを 使 用 して Cisco SNS-3415 または Cisco SNS-3495 アプライアンスを 起 動 します F6 キーを 押 して [Boot] メニューを 起 動 します 次 のような 画 面 が 表 示 されます 1 マッピングした CD/DVD を 選 択 して Enter キーを 押 します 次 のメッセージが 表 示 されます 9-3
2 3 4 Welcome to the Cisco Secure ACS 5.5 Recovery To boot from hard disk press <Enter> Available boot options: [1] Cisco Secure ACS Installation (Keyboard/Monitor) [2] Cisco Secure ACS Installation (Serial Console) [3] Recover administrator password (Keyboard/Monitor [4] Recover administrator password (Serial Console) <Enter> Boot existing OS from hard disk. Enter boot option and press <Enter> boot: ログイン プロンプトで 1 を 入 力 して Enter キーを 押 します セットアップ モードでネットワーク 設 定 パラメータを 入 力 すると アプライアンスが 自 動 的 に 再 起 動 し シェル プロンプト モードに 戻 ります シェル プロンプト モードを 終 了 します アプライアンスが 起 動 します 5 インストール プロセスの 確 認 (P.5-5)に 進 みます USB ドライブを 使 用 した Cisco SNS-3415/3495 アプライアンスへの ACS 5.5 のインストール USB ドライブを 使 用 して Cisco SNS-3415 または Cisco SNS-3495 アプライアンスに ACS 5.5 をイン ストールするには 次 の 手 順 を 実 行 します はじめる 前 に ブート 可 能 な USB ドライブを 作 成 する 必 要 があります ブート 可 能 な USB ドライブの 作 成 (P.9-5) を 参 照 してください ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 Cisco SNS-3415 または Cisco SNS-3495 アプライアンスの 電 源 をオンにします Cisco Secure ACS ISO イメージを 持 つブート 可 能 な USB ドライブを USB ポートに 差 し 込 みます ACS を 再 起 動 して BIOS モードに 進 みます BIOS モードでは USB からのブートを 選 択 します BIOS モードを 終 了 して [Save] をクリックします 再 び ACS を 再 起 動 し USB から 起 動 します ここで USB ドライブを 使 用 して Cisco SNS-3415 または Cisco SNS-3495 のイメージの 再 作 成 を 続 けます 次 のメッセージが 表 示 されます Welcome to the Cisco Secure ACS 5.5 Recovery To boot from hard disk press <Enter> Available boot options: [1] Cisco Secure ACS Installation (Keyboard/Monitor) [2] Cisco Secure ACS Installation (Serial Console) [3] Reset administrator password (Keyboard/Monitor 9-4
[4] Reset administrator password (Serial Console) <Remove USB key and reboot to boot existing Hard Disk> Please enter boot option and press <Enter> boot: ステップ 8 ステップ 9 0 ログイン プロンプトで 1 を 入 力 して Enter キーを 押 します セットアップ モードでネットワーク 設 定 パラメータを 入 力 すると アプライアンスが 自 動 的 に 再 起 動 し シェル プロンプト モードに 戻 ります シェル プロンプト モードを 終 了 します アプライアンスが 起 動 します 1 インストール プロセスの 確 認 (P.5-5)に 進 みます ブート 可 能 な USB ドライブの 作 成 Cisco Secure ACS 5.5 ISO イメージには Documentation\USB-Bootable-Scripts ディレクトリがあり ます このディレクトリには Cisco Secure Access Control System 5.5 をインストールするためにブー ト 可 能 な USB を 作 成 するための Readme ファイルとスクリプトがあります はじめる 前 に Documentation\USB-Bootable-Scripts ディレクトリの Readme を 読 んでおく 必 要 があります 次 の 内 容 が 必 要 になります RHEL-5 または RHEL-6 Linux マシン CentOS 5.x または CentOS 6.x PC または MAC を 使 用 する 場 合 は Linux VM をインストールしていることを 確 認 してください 4 GB の USB ドライブ iso-to-usb.sh スクリプト ローカル Linux マシンのドライブへのアクセス 権 限 が 必 要 です ステップ 3 USB ポートに USB ドライブを 差 し 込 みます Linux マシンのディレクトリに iso-to-usb.sh スクリプトと Cisco Secure ACS 5.5 ISO イメージをコ ピーします 次 のコマンドを 入 力 します iso-to-usb.sh source_iso usb_device たとえば #./iso-to-usb.sh ACS_v5.5.0.46.0a.iso/dev/sdc では iso-to-usb.sh はスクリプトの 名 前 で ACS_v5.5.0.46.0a.iso は ISO イメージの 名 前 で /dev/sdc は USB デバイスです 次 の 成 功 したことを 示 すメッセージが 表 示 されます *** W A R N I N G *** THIS SCRIPT WILL DELETE ALL EXISTING CONTENT ON YOUR USB DRIVE: /dev/sdb/ ARE YOU SURE YOU WANT TO CONTINUE?[Y/N]: y Deleting partition table on USB drive: /dev/sdb... Creating new partition table on USB drive: /dev/sdb... Formatting BOOT partition: /dev/sdb1 as VFAT... Formatting DATA partition: /dev/sdb2 as EXT2... Copying syslinux files to USB partition: /dev/sdb1... 9-5
ステップ 4 Copying ISO file to USB partition: /dev/sdb2... DONE! USB ドライブを 外 します ( 注 ) iso-to-usb.sh コマンドを 実 行 した 後 USB ドライブは 非 Linux オペレーティング システムが 使 用 でき るすべての 領 域 を 認 識 しない 形 式 でパーティション 化 されます Windows または MAC オペレーティ ング システムとの 一 般 的 な 使 用 に 対 して USB ドライブを 再 パーティション 化 するには このディレク トリでコマンドの repurpose-usb.sh ユーティリティを 実 行 する 必 要 があります このユーティリティ は 再 パーティション 化 され 一 般 的 な 使 用 に 対 して USB キーを 再 フォーマットします セットアップ プログラムの 実 行 ここでは ACS サーバをインストールするためのセットアップ プロセスについて 説 明 します セットアップ プログラムでは 必 要 なパラメータの 入 力 を 求 める 対 話 型 のコマンドライン インター フェイス(CLI)が 起 動 されます 管 理 者 は コンソールまたはダム 端 末 とセットアップ プログラムを 使 用 して ACS 5.5 サーバの 初 期 ネットワークを 設 定 し 初 期 管 理 者 資 格 情 報 を 設 定 します セットアップ プロセスは 一 度 だけ 実 行 す る 設 定 作 業 です ACS サーバをインストールするには 次 の 手 順 を 実 行 します アプライアンスの 電 源 をオンにします 次 のセットアップ プロンプトが 表 示 されます Please type setup to configure the appliance localhost login: ログイン プロンプトで setup と 入 力 し Enter を 押 します コンソールにパラメータのセットが 表 示 されます 表 9-1 の 説 明 に 従 ってパラメータを 入 力 します ( 注 ) セットアップ プロセスは 最 後 のセットアップ 値 を 入 力 する 前 に Ctrl を 押 した 状 態 で C を 押 すこと によりいつでも 中 断 できます 9-6
表 9-1 ネットワーク 設 定 パラメータ プロンプト デフォルト 条 件 説 明 Host Name localhost 最 初 の 文 字 は ASCII 文 字 でなければなり ません ホスト 名 を 入 力 します 長 さは 3 ~ 15 文 字 である 必 要 がありま す 有 効 な 文 字 は 英 数 字 (A ~ Z a ~ z 0 ~ 9)とハイフン(-)で 最 初 の 文 字 はアルファベットでなければなりません ( 注 ) AD ID ストアを 使 用 し 同 じ 名 前 プレフィックスで 複 数 の ACS イ ンスタンスを 設 定 する 場 合 は ホ スト 名 として 最 大 15 文 字 を 使 用 して AD 機 能 が 影 響 を 受 けないよ うにします IPV4 IP Address なし ネットワーク 固 有 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレスでなければなりません IPv4 Netmask なし ネットワーク 固 有 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレスでなければなりません IPv4 Gateway なし ネットワーク 固 有 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレスでなければなりません Domain Name なし ネットワーク 固 有 IP アドレスは 入 力 できません IP アドレスを 入 力 します 有 効 なネットマスクを 入 力 し ます 有 効 なデフォルト ゲートウェ イを 入 力 します ドメイン 名 を 入 力 します 有 効 な 文 字 は ASCII 文 字 数 値 ハイ フン(-) およびピリオド(.)です 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレスでなければなりません 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレスでなければなりません IPv4 Primary Name Server Address Add/ another nameserver なし ネットワーク 固 有 有 効 なネーム サーバ アドレ スを 入 力 します なし ネットワーク 固 有 複 数 のネーム サーバを 設 定 す るには Y と 入 力 します ( 注 ) ACS CLI から 最 大 3 つのネーム サーバを 設 定 できます NTP Server time.nist.gov 0.0.0.0 ~ 255.255.255.255 の 範 囲 の 有 効 な IPv4 アドレス またはドメイン ネーム サーバにする 必 要 があります ( 注 ) ACS CLI から 最 大 3 つの NTP サーバを 設 定 できます Timezone UTC 有 効 なローカル タイム ゾーンでなければ なりません 有 効 なドメイン ネーム サー バまたは IPv4 アドレスを 入 力 します 有 効 なタイム ゾーンを 入 力 し ます SSH Service なし ネットワーク 固 有 なし SSH サービスを 有 効 にするに は Y と 入 力 します 9-7
表 9-1 ネットワーク 設 定 パラメータ ( 続 き) プロンプト デフォルト 条 件 説 明 Username admin 最 初 の 管 理 ユーザの 名 前 です デフォル トを 受 け 入 れるか 新 しいユーザ 名 を 入 力 します ユーザ 名 は 3 ~ 8 文 字 の 英 数 字 (A ~ Z a ~ z 0 ~ 9)でなくてはなりません ユーザ 名 を 入 力 します Admin Password なし デフォルトのパスワードはありません パスワードを 入 力 します パスワードは 最 低 6 文 字 で 小 文 字 大 文 字 数 字 がそれぞれ 1 つ 以 上 含 まれて いる 必 要 があります また 次 の 点 に 注 意 してください 初 期 設 定 で 設 定 したアカウントの ユーザとパスワードの 情 報 は 大 切 に 保 管 してください これらの 資 格 情 報 を 使 用 すると ACS ハードウェア CLI アプリ ケーションを 管 理 者 として 完 全 に 制 御 できるため 忘 れないようにして 保 護 します 管 理 者 の 資 格 情 報 をなくした 場 合 は ACS 5.5 のインストール CD を 使 用 してパスワードをリセットできます パスワードを 入 力 します コンソールで 次 のパラメータを 入 力 するよう 求 められます localhost login: setup Enter hostname[]: acs-server-1 Enter IP address[]: a.b.c.d Enter IP default netmask[]: 255.255.255.255 Enter IP default gateway[]: a.b.c.d Enter default DNS domain[]: mycompany.com Enter primary nameserver[]: a.b.c.d Add secondary nameserver?y/n : n Add primary NTP server [time.nist.gov]: a.b.c.d Add secondary NTP server?y/n : n Enter system timezone[utc]: Enable SSH service Y/N [N] : y Enter username [admin]: admin Enter password: Enter password again: Pinging the gateway... Pinging the primary nameserver... Do not use `Ctrl-C' from this point on... 9-8
Appliance is configured Installing applications... Installing acs... Generating configuration... Rebooting... が 完 了 すると システムは 自 動 的 に 再 起 動 します この 時 点 で セットアップ プロセスで 設 定 した CLI ユーザ 名 とパスワードを 使 用 して ACS にログイン できるようになります ( 注 ) このユーザ 名 とパスワードを 使 用 して ACS にログインできるのは CLI を 通 じてだけです ( 注 ) ACS 5.5 の 初 期 設 定 では サーバに IPv4 IP アドレスを 設 定 する 必 要 があります 初 期 設 定 の 完 了 後 で ないと サーバの IPv6 IP アドレスを 設 定 できません ( 注 ) ACS 5.5 は IPv4 と IPv6 のデュアル スタック ネットワーキングをサポートし 純 粋 な IPv6 ネット ワークをサポートしていません インストール プロセスの 確 認 インストール プロセスが 正 しく 完 了 したことを 確 認 するには 次 の 手 順 を 実 行 します ステップ 3 システムが 再 起 動 したら ログイン プロンプトでセットアップ 時 に 設 定 したユーザ 名 を 入 力 し Enter を 押 します パスワード プロンプトで セットアップ 時 に 設 定 したパスワードを 入 力 し Enter を 押 します アプリケーションが 適 切 にインストールされていることを 確 認 するために show application コマン ドを 入 力 し Enter を 押 します コンソールに 次 のメッセージが 表 示 されます <name> <Description> acs Cisco Secure Access Control System 5.5 ステップ 4 システム プロンプトでインストールされているリリースと ACS のバージョンを 確 認 するため show application version acs コマンドを 入 力 して Enter を 押 します コンソールに 次 のメッセージが 表 示 されます Cisco ACS VERSION INFORMATION ----------------------------- Version : 5.5.0.46 Internal Build ID : B.221 9-9
管 理 者 パスワードのリセット ( 注 ) このリリースの 別 のバージョンでは [Version] と [Internal Build ID] が 変 更 されている 場 合 がありま す ステップ 5 ACS プロセスのステータスを 確 認 するために システム プロンプトで show application status acs と 入 力 し Enter を 押 します コンソールに 次 のメッセージが 表 示 されます ACS role: PRIMARY Process 'database' Process 'management' Process 'runtime' Process 'ntpd' Process 'view-database' Process 'view-jobmanager' Process 'view-alertmanager' Process 'view-collector' Process 'view-logprocessor' ( 注 ) 最 新 の ACS パッチを 入 手 し ACS を 最 新 に 保 つには http://software.cisco.com/download/navigator.html?i=rt を 参 照 してください 管 理 者 パスワードのリセット 管 理 者 パスワードを 失 ったためにシステムにログインできない 場 合 は ACS 5.5 Recovery DVD を 使 用 して 管 理 者 パスワードをリセットできます ( 注 ) ブート 可 能 な USB ドライブと CIMC を 使 用 して 管 理 者 のパスワードをリセットすることも できます 管 理 者 パスワードをリセットするには 次 の 手 順 を 実 行 します アプライアンスの 電 源 をオンにします ACS 5.5 Recovery DVD を 挿 入 します コンソールに 次 のメッセージが 表 示 されます Welcome to Cisco Secure ACS 5.5 Recovery To boot from hard disk press <Enter> Available boot options: [1] Cisco Secure ACS 5.5 Installation (Keyboard/Monitor) [2] Cisco Secure ACS 5.5 Installation (Serial Console) [3] Reset Administrator Password (Keyboard/Monitor) [4] Reset Administrator Password (Serial Console) 9-10
Cisco SNS-3415/3495 アプライアンスのイメージの 再 作 成 ステップ 3 <Enter> Boot from hard disk Please enter boot option and press <Enter>. boot: 管 理 者 パスワードをリセットするには システム プロンプトで キーボードとビデオ モニタを 使 用 し ている 場 合 は 3 と 入 力 し シリアル コンソール ポートを 使 用 している 場 合 は 4 と 入 力 します コンソールにパラメータのセットが 表 示 されます 表 9-2 の 説 明 に 従 ってパラメータを 入 力 します 表 9-2 パスワード リセット パラメータ パラメータ Admin username Password Verify password Save change & Reboot 説 明 パスワードをリセットする 管 理 者 の 番 号 を 入 力 します 管 理 者 の 新 しいパスワードを 入 力 します 再 度 パスワードを 入 力 します 保 存 するには Y と 入 力 します コンソールに 次 のメッセージが 表 示 されます Admin username: [1]:admin [2]:admin2 [3]:admin3 Enter number of admin for password recovery:1 Password: Verify password: Save change&reeboot?[y/n]: Cisco SNS-3415/3495 アプライアンスのイメージの 再 作 成 CIMC またはブート 可 能 な USB ドライブを 使 用 して ACS 5.5 使 用 の Cisco SNS-3415 または Cisco SNS-3495 アプライアンスのイメージを 再 作 成 できます Cisco SNS-3415 または Cisco SNS-3495 アプライアンスのイメージを 再 作 成 するには 次 の 手 順 を 実 行 します CIMC を 使 用 してイメージを 再 作 成 します CIMC を 使 用 したリモートからの Cisco SNS-3415/3495 アプライアンスへの ACS 5.5 のインストール (P.9-3)を 参 照 してください ブート 可 能 な USB ドライブを 使 用 して イメージを 再 作 成 します USB ドライブを 使 用 した Cisco SNS-3415/3495 アプライアンスへの ACS 5.5 のインストール (P.9-4)を 参 照 してくださ い 9-11
法 令 準 拠 第 9 章 法 令 準 拠 法 令 準 拠 および 安 全 性 に 関 する 情 報 については Regulatory Compliance and Safety Information for Cisco Secure Access Control System を 参 照 してください このドキュメントは オンラインの Cisco.com から 入 手 できます http://www.cisco.com/en/us/docs/net_mgmt/cisco_secure_access_control_system/5.4/regulatory/ compliance/csacsrcsi.html 9-12