Nortel Secure Network Access Switch 4050 設定 CLIの使用 ATTENTION PDF のハイパーリンクをクリックすると、該当するページが表示されます。 必要に応じてその ページをスクロールすると、参照する項目が表示できます。 NN47230100JA(320818CJA) ド キ ュ メ ン ト ス テ ー タ ス : Standard ド キ ュ メ ン ト バ ー ジ ョ ン : 02.01 発行日: 2007年12月 Copyright © 2007, Nortel Networks All Rights Reserved. 本書に記載されている内容は、予告なく変更する場合があります。本書に記述されている表現、設定、技術情報、およ び推奨事項は正確で信頼できるものですが、明示的にも暗黙的にも、結果を保証するものではありません。本書 に記載されている製品の使用に関する責任は、すべて使用者に負っていただきます。 本書に記述されている情 報の著作権は、ノーテルが保有します。 本書に記載されているソフトウェアは、ライセンス契約に基づいて提供され、ソフトウェア契約での規定以外に使用する ことはできません。software license agreementは本書に記載されています。 商標 Nortel、Nortel Networks、Nortelのロゴ、GlobemarkはNortel Networksの商標です。 その他の製品またはサービスは、それぞれの所有者の商標または登録商標です。 名前の後にあるアスタリスクは、商標登録されている項目であることを示しています。 Restricted rights legend Use, duplication, or disclosure by the United States Government is subject to restrictions as set forth in subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause at DFARS 252.2277013. Notwithstanding any other license agreement that may pertain to, or accompany the delivery of, this computer software, the rights of the United States Government regarding its use, reproduction, and disclosure are as set forth in the Commercial Computer SoftwareRestricted Rights clause at FAR 52.22719. 輸出 本製品、ソフトウェアおよび関連技術は、米国の輸出規制の対象であり、その他の国の輸出入規制の対象になること があります。購入者はこれらすべての法律および規制に厳格に従わなければなりません。ライセンスの輸出または 再輸出には、米国国務省の許可が必要になります。 ご注意(Statement of conditions) 内部の設計、動作機能、信頼性を改善するために、本書に記載されている製品を予告なく変更することがあります。 ノーテルは、本書に記載されている製品、回路レイアウトの利用や適用によって発生するいかなる問題についても 責任を一切負いません。 Portions of the code in this software product may be Copyright © 1988, Regents of the University of California.All rights reserved.Redistribution and use in source and binary forms of such portions are permitted, provided that the above copyright notice and this paragraph are duplicated in all such forms and that any documentation, advertising materials, and other materials related to such distribution and use acknowledge that such portions of the software were developed by the University of California, Berkeley.The name of the University may not be used to endorse or promote products derived from such portions of the software without specific prior written permission. SUCH PORTIONS OF THE SOFTWARE ARE PROVIDED "AS IS" AND WITHOUT ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. さらに、本書に記載されているプログラムや情報は、使用および情報開示の制限を規定している取決め(サード パー ティによる特定の制限および通告への参照を含む場合があります)を遵守する場合にのみ使用が許可されます。 ライセンス 本製品には、OpenSSL Projectが開発した、OpenSSL Toolkitで使用するためのソフトウェアが含まれています (http://www.openssl.org)。 本製品には、Eric Young([email protected])によって作成された暗号ソフトウェアが含まれています。 本製品には、Tim Hudson([email protected])によって作成されたソフトウェアが含まれています。 本製品には、Apache Software Foundation(http://www.apache.org)によって開発されたソフトウェアが含まれています。 TunnelGuardのコードの一部には、The Legion of the Bouncy Castleからライセンスされたソフトウェアが含まれます。 詳細は、「付録 H ライセンス情報」(439 ページ)を参照してください。 Nortel Networks Inc. software license agreement This Software License Agreement ("License Agreement") is between you, the enduser ("Customer") and Nortel Networks Corporation and its subsidiaries and affiliates ("Nortel Networks").PLEASE READ THE FOLLOWING CAREFULLY.YOU MUST ACCEPT THESE LICENSE TERMS IN ORDER TO DOWNLOAD AND/OR USE THE SOFTWARE.USE OF THE SOFTWARE CONSTITUTES YOUR ACCEPTANCE OF THIS LICENSE AGREEMENT.If you do not accept these terms and conditions, return the Software, unused and in the original shipping container, within 30 days of purchase to obtain a credit for the full purchase price. "Software" is owned or licensed by Nortel Networks, its parent or one of its subsidiaries or affiliates, and is copyrighted and licensed, not sold.Software consists of machinereadable instructions, its components, data, audiovisual content (such as images, text, recordings or pictures) and related licensed materials including all whole or partial copies.Nortel Networks grants you a license to use the Software only in the country where you acquired the Software.You obtain no rights other than those granted to you under this License Agreement.You are responsible for the selection of the Software and for the installation of, use of, and results obtained from the Software. 1. Licensed Use of Software. Nortel Networks grants Customer a nonexclusive license to use a copy of the Software on only one machine at any one time or to the extent of the activation or authorized usage level, whichever is applicable. To the extent Software is furnished for use with designated hardware or Customer furnished equipment ("CFE"), Customer is granted a nonexclusive license to use Software only on such hardware or CFE, as applicable.Software contains trade secrets and Customer agrees to treat Software as confidential information using the same care and discretion Customer uses with its own similar information that it does not wish to disclose, publish or disseminate.Customer will ensure that anyone who uses the Software does so only in compliance with the terms of this Agreement.Customer shall not a) use, copy, modify, transfer or distribute the Software except as expressly authorized; b) reverse assemble, reverse compile, reverse engineer or otherwise translate the Software; c) create derivative works or modifications unless expressly authorized; or d) sublicense, rent or lease the Software.Licensors of intellectual property to Nortel Networks are beneficiaries of this provision.Upon termination or breach of the license by Customer or in the event designated hardware or CFE is no longer in use, Customer will promptly return the Software to Nortel Networks or certify its destruction. Nortel Networks may audit by remote polling or other reasonable means to determine Customer’s Software activation or usage levels.If suppliers of third party software included in Software require Nortel Networks to include additional or different terms, Customer agrees to abide by such terms provided by Nortel Networks with respect to such third party software. 2. Warranty. Except as may be otherwise expressly agreed to in writing between Nortel Networks and Customer, Software is provided "AS IS" without any warranties (conditions) of any kind.NORTEL NETWORKS DISCLAIMS ALL WARRANTIES (CONDITIONS) FOR THE SOFTWARE, EITHER EXPRESS OR IMPLIED, INCLUDING, BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE AND ANY WARRANTY OF NONINFRINGEMENT.Nortel Networks is not obligated to provide support of any kind for the Software.Some jurisdictions do not allow exclusion of implied warranties, and, in such event, the above exclusions may not apply. 3. Limitation of Remedies. IN NO EVENT SHALL NORTEL NETWORKS OR ITS AGENTS OR SUPPLIERS BE LIABLE FOR ANY OF THE FOLLOWING: a) DAMAGES BASED ON ANY THIRD PARTY CLAIM; b) LOSS OF, OR DAMAGE TO, CUSTOMER’S RECORDS, FILES OR DATA; OR c) DIRECT, INDIRECT, SPECIAL, INCIDENTAL, PUNITIVE, OR CONSEQUENTIAL DAMAGES (INCLUDING LOST PROFITS OR SAVINGS), WHETHER IN CONTRACT, TORT OR OTHERWISE (INCLUDING NEGLIGENCE) ARISING OUT OF YOUR USE OF THE SOFTWARE, EVEN IF NORTEL NETWORKS, ITS AGENTS OR SUPPLIERS HAVE BEEN ADVISED OF THEIR POSSIBILITY.The foregoing limitations of remedies also apply to any developer and/or supplier of the Software.Such developer and/or supplier is an intended beneficiary of this Section.Some jurisdictions do not allow these limitations or exclusions and, in such event, they may not apply. 4. General 1. If Customer is the United States Government, the following paragraph shall apply: All Nortel Networks Software available under this License Agreement is commercial computer software and commercial computer software documentation and, in the event Software is licensed for or on behalf of the United States Government, the respective rights to the software and software documentation are governed by Nortel Networks standard commercial license in accordance with U.S. Federal Regulations at 48 C.F.R. Sections 12.212 (for nonDoD entities) and 48 C.F.R. 227.7202 (for DoD entities). 2. Customer may terminate the license at any time.Nortel Networks may terminate the license if Customer fails to comply with the terms and conditions of this license.In either event, upon termination, Customer must either return the Software to Nortel Networks or certify its destruction. 3. Customer is responsible for payment of any taxes, including personal property taxes, resulting from Customer’s use of the Software.Customer agrees to comply with all applicable laws including all applicable export and import laws and regulations. 4. Neither party may bring an action, regardless of form, more than two years after the cause of the action arose. 5. The terms and conditions of this License Agreement form the complete and exclusive agreement between Customer and Nortel Networks. 6. This License Agreement is governed by the laws of the country in which Customer acquires the Software.If the Software is acquired in the United States, then this License Agreement is governed by the laws of the state of New York. 本書 『Nortel Secure Network Access Switch 4050 設定 CLIの使用』 日本語版は、ご利用者のために 『Nortel Secure Network Access Switch 4050 Configuration Using CLI (Part No. NN47230100 (320818C) Rev 02.01, 16 July 2007)』(英語)を 翻訳したもので、英文の本文に代わるものではありません。あくまでも英語版がオリジナルで あり、日本語版と英語版との間に相違があった場合は英語版の文言が優先されます。 7 目次 はじめに 15 開始する前に 16 関連マニュアル 16 マニュアル 16 オンライン 17 技術サポート 17 第1章 概要 19 Nortel SNAソリューション 20 Nortel SNAソリューションの構成要素 20 サポート対象のユーザー 21 ソフトウェア ライセンス ファイルでの追加ユーザーのサポート 21 Nortel SNAS 4050の役割 22 Nortel SNAS 4050クラスタ 28 インタフェースの設定 29 Nortel SNASの設定と管理のためのツール 30 Nortel SNAS 4050の設定のロードマップ 31 第2章 初期セットアップ 35 事前作業 35 IPアドレスについて 36 初期セットアップ 37 単一Nortel SNAS 4050デバイスまたはクラスタ内の最初のデバイスのセッ トアップ 37 Nortel SNAS 4050デバイスのクラスタへの追加 43 次の手順 46 設定の適用と保存 47 第3章 ネットワーク アクセス デバイスの管理 事前作業 49 ネットワーク アクセス デバイスの管理 50 ドメイン コマンドのロードマップ 50 ネットワーク アクセス デバイスの追加 51 ネットワーク アクセス デバイスの削除 55 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 49 8 目次 ネットワーク アクセス デバイスの設定 55 VLANのマッピング 57 SSHキーの管理 59 スイッチのヘルスの監視 64 ネットワーク アクセス デバイスとの通信の制御 65 第4章 ドメインの設定 67 ドメインの設定 67 ドメイン コマンドのロードマップ 68 ドメインの作成 70 ドメインの削除 75 ドメイン パラメータの設定 75 TunnelGuardチェックの設定 77 SSLサーバーの設定 81 HTTPリダイレクトの設定 93 ブラウザを使用して行う管理の設定 94 ブラウザを使用して行う管理の設定 - SSLを使用する場合 94 高度な設定 95 RADIUSアカウンティングの設定 96 ローカルDHCPサービスの設定 100 第5章 グループおよびプロファイルの設定 109 概要 109 グループ 110 リンクセット 110 TunnelGuard SRSルール 111 拡張プロファイル 111 事前作業 112 グループと拡張プロファイルの設定 113 グループとプロファイル コマンドのロードマップ 113 グループの設定 114 クライアント フィルタの設定 120 拡張プロファイルの設定 122 グループまたはプロファイルへのリンクセットのマッピング 124 デフォルト グループの作成 126 第6章 認証の設定 概要 127 事前作業 128 認証の設定 130 認証コマンドのロードマップ 130 認証方式の設定 132 高度な設定 133 RADIUS認証の設定 134 LDAP認証の設定 140 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 127 目次 9 ローカル データベースの認証の設定 153 認証フォールバックの順序の指定 161 第7章 システム ユーザーとグループの管理 163 ユーザー権限とグループ メンバシップ 163 システム ユーザーとグループの管理 164 システム ユーザー管理コマンドのロードマップ 165 ユーザー アカウントとパスワードの管理 165 ユーザー設定の管理 167 ユーザー グループの管理 168 CLIの設定例 169 第8章 ポータルとユーザー ログオンのカスタマイズ 179 概要 179 キャプティブ ポータルと除外リスト 180 ポータルの表示 182 リンクセットとリンク 185 マクロ 186 内部サイトへの自動リダイレクション 187 リダイレクションURLとリンクの例 187 エンド ユーザーのスキルに応じた管理 188 自動JREアップロード 188 Windowsドメインのログオン スクリプト 189 ポータルとログオンのカスタマイズ 189 ポータルとログオンを設定するためのコマンドのロードマップ 189 キャプティブ ポータルの設定 190 除外リストの設定 191 ポータルの言語の変更 192 ポータルの表示の設定 195 ポータルの色の変更 199 カスタム コンテンツの設定 200 リンクセットの設定 201 リンクの設定 203 第9章 システム設定 クラスタの設定 208 システム コマンドのロードマップ 208 システム設定 211 Nortel SNAS 4050ホストの設定 213 ホスト インタフェースの設定 216 スタティック ルートの設定 218 ホストのポートの設定 219 インタフェース ポートの管理 220 アクセス リストの設定 221 日付と時刻の設定 222 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 207 10 目次 DNSサーバーの設定 224 RSAサーバーの設定 227 syslogサーバーの設定 227 管理機能の設定 229 TunnelGuard SRS管理の有効化 231 Nortel SNAS 4050ホストSSHキーの設定 232 RADIUS監査の設定 234 システム ユーザーの認証の設定 238 第10章 証明書の管理 241 概要 241 キーと証明書の形式 242 証明書の作成 243 証明書とキーのインストール 243 証明書とキーの保存またはエクスポート 244 証明書の更新 244 秘密キーと証明書の管理 245 証明書の管理コマンドのロードマップ 245 証明書とキーの管理と表示 246 CSRの生成と提出 249 Nortel SNAS 4050への証明書の追加 253 Nortel SNAS 4050への秘密キーの追加 255 Nortel SNAS 4050への証明書とキーのインポート 256 証明書とキーの表示または保存 258 Nortel SNAS 4050からの証明書とキーのエクスポート 260 テスト証明書の生成 262 第11章 SNMPの設定 265 SNMPの設定 266 SNMPコマンドのロードマップ 266 SNMP管理の設定 267 SNMP v2 MIBの設定 268 SNMPコミュニティの設定 268 SNMPv3ユーザーの設定 269 SNMPの通知対象の設定 272 SNMPイベントの設定 273 第12章 システム情報およびパフォーマンス統計情報の表示 システム情報とパフォーマンス統計情報の表示 279 情報と統計情報コマンドのロードマップ 279 システム情報の表示 280 アラーム イベントの表示 285 ログ ファイルの表示 286 AAA統計情報の表示 287 すべての統計情報の表示 289 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 279 目次 第13章 システムの保守と管理 11 291 システムの管理と保守 292 保守とブートのコマンドのロードマップ 292 保守の実行 293 設定のバックアップまたは復元 296 Nortel SNAS 4050デバイスの管理 298 Nortel SNAS 4050デバイス用のソフトウェアの管理 299 第14章 ソフトウェアのアップグレードまたは再インストール 303 Nortel SNAS 4050のアップグレード 303 マイナー/メジャー リリース アップグレードの実行 304 ソフトウェア アップグレード パッケージのアクティブ化 306 ソフトウェアの再インストール 308 事前作業 308 外部ファイルサーバーからのソフトウェアの再インストール 309 CDからのソフトウェアの再インストール 310 第15章 コマンド ライン インタフェースによるアクセス方法 311 Nortel SNAS 4050への接続 312 コンソール接続の確立 312 Telnet接続の確立 313 SSHを使用した接続の確立 314 Nortel SNAS 4050クラスタへのアクセス 315 CLIのMainメニューとセットアップ 316 コマンド ラインの履歴と編集 317 アイドル タイムアウト 317 第16章 設定例 319 シナリオ 319 手順 321 ネットワークDNSサーバーの設定 321 ネットワークDHCPサーバーの設定 322 ネットワーク コア ルーターの設定 326 Ethernet Routing Switch 8300の設定 326 Ethernet Routing Switch 5510の設定 328 Nortel SNAS 4050の設定 330 第17章 トラブルシューティング トラブルシューティングのヒント 335 TelnetまたはSSHを使用して、Nortel SNAS 4050に接続できない 335 Nortel SNAS 4050をクラスタに追加できない 337 MIPに接続できない 338 Nortel SNAS 4050が応答しない 338 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 335 12 目次 ユーザー パスワードを紛失した 339 ユーザーがNortel SNAS 4050ドメインへの接続に失敗する 340 トレース ツール 340 システム診断 341 インストール済みの証明書 341 ネットワークの診断 342 アクティブなアラームとイベント ログ ファイル 343 エラー ログ ファイル 343 付録 A CLIリファレンス 345 CLIの使用法 345 グローバル コマンド 346 コマンド ラインの履歴と編集 348 CLIのショートカット 349 コマンドでのスラッシュとスペースの使用 351 IPアドレスとネットワーク マスクの形式 351 変数 352 CLI Mainメニュー 353 CLIコマンド リファレンス 353 Informationメニュー 354 Statisticsメニュー 355 Configurationメニュー 356 Bootメニュー 380 Maintenanceメニュー 380 付録 B syslogメッセージ 383 メッセージ タイプ別のsyslogメッセージ 383 オペレーティング システム(OS)のメッセージ 383 システム制御処理メッセージ 385 トラフィック処理サブシステム メッセージ 388 起動メッセージ 393 AAAサブシステム メッセージ 393 NSNASサブシステム メッセージ 395 アルファベット順のsyslogメッセージ 397 付録 C サポート対象のMIB 409 サポート対象のMIB 409 サポート対象のトラップ 413 付録 D サポート対象の暗号 付録 E 加 ユーザー プリファレンス属性のActive Directoryへの追 417 すべての管理ツールのインストール(Windows 2000 Server) 417 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 415 目次 13 スキーマ管理dllの登録(Windows Server 2003) 417 Active Directory Schema Snapinの追加(Windows 2000 Server/Windows Server 2003) 418 [Console]ウィンドウのショートカットの作成 420 スキーマへの書込み操作の許可(Windows 2000 Server) 421 新しい属性の作成(Windows 2000 Server/Windows Server 2003) 421 新しいクラスの作成 422 nortelSSLOffloadクラスへのisdUserPrefs属性の追加 423 ユーザー クラスへのnortelSSLOffloadクラスの追加 424 付録 F IP Phoneを自動設定するためのDHCPの設定 427 IP Phone自動設定機能の設定 428 DHCPオプションの作成 428 コール サーバー情報とVLAN情報の設定 431 IP Phoneのセットアップ 434 付録 G Nortel SNAS 4050ポータルを起動するためのWindowsド メインのログオン スクリプトの使用方法 435 ログオン スクリプトの設定 435 ログオン スクリプトの作成 436 スクリプトのバッチ ファイルとしての作成 436 スクリプトのVBScriptファイルとしての作成 437 ログオン スクリプトの割当て 437 付録 H ライセンス情報 439 OpenSSL License issues 439 Original SSLeay License 440 GNU General Public License 441 Apache Software License, Version 1.1 445 Bouncy Castle license 445 索引 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 447 14 目次 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 15 はじめに Nortel* Secure Network Access(Nortel SNA)は、クライアントレス ソリューショ ンであり、ネットワークの内部や外部から社内ネットワークにシームレスでセ キュアにアクセスできるようにします。Nortel SNAソリューションは、複数の ハードウェア デバイスとソフトウェア コンポーネントを組み合わせて、以下の 機能を提供します。 • ネットワーク リソースをアクセス ゾーン(認可、修復、フルアクセス)に分割 • TunnelGuardによるデバイス完全性チェックを継続的に実行 • ダイナミックIPクライアントとスタティックIPクライアントの両方をサポート Nortel Secure Network Access Switch 4050(Nortel SNAS 4050)は、Nortel SNA ソリューションの動作を制御します。 このユーザーガイドでは、Nortel Secure Network Access Switch Software Release 1.6.1のNortel SNAS 4050を使用してNortel SNAソリューションを実装す る手順について説明します。本書では、以下のトピックについて説明します。 • Nortel SNAソリューションでのNortel SNAS 4050の役割についての概要 • 初期セットアップ • 認証、許可、アカウンティング(AAA)機能の設定 • システム ユーザーの管理 • ポータルのカスタマイズ • ソフトウェアのアップグレード • ログと監視機能 • インストールと動作時のトラブルシューティング 本書では、コマンド ライン インタフェース(CLI)を使用して、各種の機能を初 期化やカスタマイズする手順を説明します。Nortel SNAS 4050 CLIの基本的 な構造と操作については、「付録 A CLIリファレンス」(345 ページ)を参照し てください。このリファレンス ガイドでは、CLIコマンドの機能とシンタックスが説 明されているセクションへのリンクが用意されています。CLIにアクセスする方 法については、「第15章 コマンド ライン インタフェースによるアクセス方法」 (311 ページ)を参照してください。 BBIは、オンラインの対話型モードで動作するグラフィカル ユーザー インタ フェース(GUI)です。 BBIを使用すると、1つのアプリケーションで複数台のデ バイス(たとえば、Nortel SNAS 4050)を管理することができます。 BBIを使用 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 16 はじめに してNortel SNAS 4050を設定・管理する方法については、『Nortel Secure Network Access Switch 4050 – Configuration – Browser Based Interface (NN47230500)』を参照してください。 開始する前に このガイドは、以下の知識と経験があるネットワーク管理者を対象としています。 • ネットワーク、Ethernetブリッジング、およびIPルーティングの基本的な知識 • ネットワークの概念と用語についての十分な知識 • ウィンドウ システムまたはGUIの使用経験 • ネットワーク トポロジの基本的な知識 このガイドを使用して新しいスイッチの設置作業を行う場合は、事前に、次の 手順を完了しておく必要があります。 ステップ 操作 1 スイッチを設置します。 設置手順については、『Nortel Secure Network Access Switch 4050 Installation Guide(NN47230300)』を参照してください。 2 スイッチをネットワークに接続します。 詳細については、「第15章 コマンド ライン インタフェースによるア クセス方法」(311 ページ)を参照してください。 ― 終わり ― Nortel SNAS 4050ソフトウェアの最新版を実行していることを確認します。 Nortel SNAS 4050をアップグレードする方法については、「第14章 ソフトウェ アのアップグレードまたは再インストール」(303 ページ)を参照してください。 関連マニュアル ここでは、本書に関連がある情報ソースを紹介します。 マニュアル Nortel SNAソリューションについての情報は、以下のマニュアルを参照し てください。 • Nortel Secure Network Access Solution Guide(NN47230200) • Nortel Secure Network Access Switch 4050 Installation Guide (NN47230300) • Nortel Secure Network Access Switch 4050 User Guide for the CLI(NN47230100) • Installing and Using the Security & Routing Element Manager (SREM)(NN47230301) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks はじめに 17 • Release Notes for Nortel Ethernet Routing Switch 5500 Series, Software Release 5.0.1 • Release Notes for the Ethernet Routing Switch 8300, Software Release 2.2.8 • Release Notes for the Nortel Secure Network Access Solution, Software Release 1.6.1(NN47230400) • Release Notes for Enterprise Switch Manager (ESM), Software Release 5.2(209960H) • Using Enterprise Switch Manager Release 5.1(208963F) • Nortel Secure Network Access Switch 4050 – Configuration – Browser Based Interface (NN47230500) オンライン ノーテルのオンラインの技術マニュアルにアクセスするには、次のノーテルの Webサイトにアクセスしてください。 http://www.nortel.com/support 最新版の技術マニュアルをダウンロードすることができます。ドキュメント にアクセスするには、カテゴリでブラウズするか、製品名または製品番号 で検索します。 技術マニュアルおよびリリース ノートを選択して、インターネットから無償で 直接印刷することができます。Adobe* Reader*を使用してマニュアルまたは リリース ノートを開き、必要な部分を見つけて標準的なプリンタで印刷しま す。 Adobe Readerは、Adobe Systemsのサイトhttp://www.adobe.com から無 料でダウンロードできます。 技術サポート 日本国内における保守および技術サポートにつきましては、弊社営業担当ま でお問い合わせください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 18 はじめに Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 19 第1章 概要 以下の表に、Nortel Secure Network Access Solutionリリース1.6.1の機能と、 本書内の関連セクションへのリンクを示します。 Nortel SNASリリース1.6.1の 詳細については、『Release Notes for Nortel Secure Network Access Solution Release 1.6.1(NN47230400)』(旧320850)を参照してください。 表 1 NSNAの機能 機能 セクション パフォーマンスとスケーラビリティの拡 張:10,000同時ユーザー 該当なし ハブのサポート 「ローカルDHCPサービスの設定」(100 ページ)、 「Hub DHCPサブネット タイプ」(104 ページ) Nortel Ethernet Switch(325 / 425 / 450 / 470および2500シリーズの各モデル) とNortel Ethernet Routing Switch(4500 シリーズ、5500シリーズ、8300、および 8600の各モデル)のサポート 「ローカルDHCPサービスの設定」(100 ページ)、 「Hub DHCPサブネット タイプ」(104 ページ) WLAN Controllerのサポート 「ローカルDHCPサービスの設定」(100 ページ)、 「Hub DHCPサブネット タイプ」(104 ページ) TunnelGuardのRunOnce Agentと NonContinuous Agent 「グループの設定」(114 ページ)、「ローカルMAC データベースの管理」(158 ページ) MAC OSX、Linux OS、および非対話 型デバイスのサポート 「グループの設定」(114 ページ) MACアドレス ポリシー サービス 「グループの設定」(114 ページ)、「ローカルMAC データベースの管理」(158 ページ) 柔軟な配備:フィルタのみ、または VLANとフィルタ 「Nortel SNASのエンフォースメント タイプ」(23 ページ)、「グループの設定」(114 ページ) 備考: Switch to Nortel SNAS 4050 Communication Protocol(SSCP)をサ ポートするスイッチは、本書ではNSNAネットワーク アクセス デバ イスと呼びます。NSNAネットワーク アクセス デバイスは、通常は Ethernet Routing Switch 5500シリーズとEthernet Routing Switch 8300です。 リリース1.6.1の機能をサポートしているのは、Ethernet Routing Switch 5500シリーズ リリース5.0.2以降のみです。 本章では、以下のトピックについて説明します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 20 第1章 概要 トピック 「Nortel SNAソリューション」(20 ページ) 「Nortel SNAソリューションの構成要素」(20 ページ) 「サポート対象のユーザー」(21 ページ) 「Nortel SNAS 4050の役割」(22 ページ) 「Nortel SNAS 4050クラスタ」(28 ページ) 「インタフェースの設定」(29 ページ) 「Nortel SNASの設定と管理のためのツール」(30 ページ) 「Nortel SNAS 4050の設定のロードマップ」(31 ページ) Nortel SNAソリューション Nortel Secure Network Accessソリューション(Nortel SNAS)は、エンドポイント の脆弱性からネットワークを完全にセキュアにするための保護フレームワーク です。 Nortel SNAソリューションでは、エンドポイントのセキュリティ問題に取り 組み、ポリシー コンプライアンスを強制します。Nortel SNASは、デバイス、 ユーザーのアイデンティティ、およびセッション コンテキストのセキュリティ レベ ルに基づいた、信頼できる役割ベースのアクセス権だけを有効にすることに よって、エンドポイントのセキュリティを実現します。Nortel SNASは、たとえば、 SarbanesOxley法やCOBITのようなポリシー コンプライアンスを強制し、ユー ザーのネットワーク アクセスを許可する前に、ウィルス対策アプリケーションや ソフトウェア パッチを確実にインストールします。 セキュリティに準拠したシステムを使用して、情報へのセキュアなアクセスを可 能にするテクノロジを提供することが、ノーテルにとっての成果となります。 ユーザーにとっての成功の尺度は、従業員の生産性が向上し、ネットワーク オペレーションのコストが下がることです。ノーテルのソリューションは、成功に 必要なネットワーク インテリジェンスをユーザーに提供します。 Nortel SNAソリューションの構成要素 Nortel SNAソリューションの重要な構成デバイスを以下に示します。 • Nortel Secure Network Access Switch 4050(Nortel SNAS 4050):ポリシー デシジョン ポイントの役割を果たします。 • ネットワーク アクセス デバイス:ポリシー エンフォースメント ポイントの 役割を果たします。 — Ethernet Routing Switch 8300 — Ethernet Routing Switch 4500、5510、5520、5530 備考: NSNA Release 1.6.1は、現在のところ、ポリシー エンフォース メント ポイントとしてのEthernet Routing Switch 8300はサポー トしていません。 • DHCPサーバーとDNSサーバー 以下のデバイスは、Nortel SNAソリューションのオプションの追加構成要 素です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 21 • Remediationサーバー • LDAPサービスやRADIUSサービスなどの社内認証サービス 各Nortel SNAS 4050デバイスは、最大5台のネットワーク アクセス デバイスを サポートすることができます。 サポート対象のユーザー Nortel SNASは、次のようなユーザーをサポートします。 • 以下のオペレーティング システムを使用しているPC — Windows 2000 SP4 — Windows XP SP2 — Linux — MAC OS — Vista Nortel SNAS 4050は、以下のブラウザをサポートします。 — Internet Explorerバージョン6.0以降 — Netscape Navigatorバージョン7.3以降 — Mozilla Firefoxバージョン1.0.6以降 すべてのブラウザのJava Runtime Environment(JRE) — JRE 1.6.0_04以降 • VoIP Phone — Nortel IP Phone 2002 — Nortel IP Phone 2004 — Nortel IP Phone 2007 IP Phoneが異なるコール サーバーで動作するのに必要な最低限のファー ムウェア バージョンについては、『Release Notes for the Nortel Secure Network Access Solution, Software Release 1.6.1(NN47230400)』 を参照してください。 ネットワーク アクセス デバイス上の各Nortel SNAS対応のポートは、1台のPC (タグなしトラフィック)と1台のIP Phone(タグ付きトラフィック)をサポートすること ができます。Softphoneのトラフィックは、PCトラフィック(タグなし)と同じです。 備考: IP PhoneとPCの両方がある場合、PCはIP Phoneの3ポート スイッ チを経由して接続する必要があります。 ソフトウェア ライセンス ファイルでの追加ユーザーのサポート Nortel SNAS 4050の標準的な実装では、最大で200の認証ユーザー セッショ ンをサポートすることができます。Nortel SNAS 4050スイッチにユーザーを追加 するには、Nortel SNAソフトウェア ライセンス ファイルを購入する必要がありま す。ソフトウェア ライセンス ファイルには、ソフトウェア ライセンス キーが含ま れており、追加ユーザーを有効にするためにNortel SNAS 4050スイッチに Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 22 第1章 概要 これを入力する必要があります。このファイルでは、100、250、500、1000の ユーザーを追加することができます。 備考: 認証済みのIP Phoneは、ライセンス ユーザーとしてカウントされ ます。 ソフトウェア ライセンス キーは一意のキーで、スイッチのMACアドレスに基づ いています。ソフトウェア ライセンス ファイルを購入する前に、アップグレー ドしようとするNortel Secure Network Access SwitchのMACアドレスを記録し てください。コマンド ライン インタフェースでMACアドレスを調べるには、 /info/local コマンドを使用します。 ソフトウェア ライセンス ファイルを入手するには、ノーテルに連絡してNortel SNA Software License Certificateを発注してください。この証明書に書かれて いる手順に従って、ソフトウェア ライセンス ファイルを取得してください。 ノーテルからソフトウェア ライセンス ファイルを取得したら、CLIまたはSREMを 使用して、すべてのライセンス キーをスイッチにコピーする必要があります。ラ イセンス キーをコピーする際には、 BEGIN LICENSE 行から END LICENSE 行まで が含まれていることを確認してください。 CLIを使用してライセンス キーをコピーするには、次のコマンドを使用します。 /cfg/sys/host <host ID> license <key> ライセンス キーをコピーする際のCLIインタフェースの表示例を、次に示します。 >> Main# cfg/sys/host Enter Host number: 1 >> iSD host 1# license Paste the license, press Enter to create a new line, and then type "..." (without the quotation marks) to terminate. > BEGIN LICENSE > U4GsdGVkX36AJpnd8KL4iImtRzBvZy+iANDzxog22+vq6Qx4aawSl4FVQo > lXYlsNNFJpYW/vl3osvNPXhzcLV2E9hNHlqirkzc5aLDJ+2xYpK/BRDrMZ > 86OQvdBMyer53xgq8Kk/5BvoFcQYvEC/yWrFyrmZr4XPtAr3qmuZ8UxLqJ > 0x7PUrp6tVI= > END LICENSE > ... License loaded 詳細については、「Nortel SNAS 4050ホストの設定」(213 ページ)を参照し てください。 SREMを使用してライセンス キーをコピーするには、[Install New License]画面 ([System > Hosts > host > Install New License])を使用します。 詳細に ついては、『Nortel Secure Network Access Switch 4050 User Guide for the SREM(NN47230101)』を参照してください。 BBIを使用してライセンス内容を表示するには、クラスターのメニューから [Cluster > Hosts > License]を選択します。 詳細については、『Nortel Secure Network Access Switch 4050 – Configuration – Browser Based Interface (NN47230500)』を参照してください。 Nortel SNAS 4050の役割 Nortel SNAS 4050は、ネットワークに接続されているデバイスにエンドポイント コンプライアンスを強制することで、ネットワークを保護します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 23 Nortel SNAS 4050は、デバイスに完全なネットワーク アクセス権を許可する前 に、ユーザーの資格情報とホストの完全性を、定義済みの社内ポリシー基 準と比較します。 ネットワーク アクセス デバイスとの緊密な連携によって、 Nortel SNAS 4050は以下の機能を提供できます。 • ユーザーを検疫VLANへ動的に誘導する • ユーザーに完全な、または制限付きのネットワーク アクセス権を動的 に許可する • デバイス接続に適用されるファイアウォール ルールをポート単位に動的 に適用する Nortel SNASは、デバイスにネットワーク アクセスを許可した後は、デバイスの ヘルス ステータスを絶えず監視して、コンプライアンスが継続していることを確 認します。デバイスがコンプライアンスから逸脱すると、Nortel SNASはそのデ バイスを状況に応じて検疫VLAN、または修復VLANに移動します。 Nortel SNAS 4050の機能 Nortel SNAS 4050には、以下のような機能があります。 • Webサーバー ポータルとして機能し、ユーザーからクライアントレス モード で認証とホスト完全性のチェックの要求を受け付けます。ホスト完全性 チェックで問題があった場合は、エンドポイントのクライアントに修復の 指示とガイドラインを送信します。 • バックエンド認証サーバーと交信して、認可済みのユーザーとアクセス レ ベルを識別します。 • ポリシー サーバーとして機能し、ホスト完全性を確認するTunnelGuardアプ レットと交信します。 • ネットワーク アクセス デバイスに対して、クライアントを適切なエンフォー スメント ゾーンへ移動するように指示します。 • Nortel SNAS 4050がキャプティブ ポータルとして機能する場合は、Red VLAN内のDNSプロキシになります。 • セッション管理を行います。 • クライアントとスイッチのヘルスを監視します。 • ログと監査機能を実行します。 • IPmigプロトコルによる高可用性(HA:High Availability)を提供します。 Nortel SNASのエンフォースメント タイプ Nortel SNAでは、ネットワークへのアクセスを制限するために、いくつかのエン フォースメント タイプが用意されています。 • VLANs and filtersは、VLANとフィルタを組み合わせてエンフォースメン トを行います。これは、SSCP(SwitchSNAS Communication Protocol)をサ ポートしているNSNAネットワーク アクセス デバイスで使用できます。 • Filters onlyは、フィルタのみを使用してエンフォースメントを行います。 NSNAネットワーク アクセス デバイスで使用できます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 24 第1章 概要 • NSNAネットワーク アクセス デバイスとしては、Nortel Ethernet Switch(325、 425、450、470、2500シリーズの各モデル)やEthernet Routing Switch(4500 シリーズ、5500シリーズ、8300、および8600の各モデル)のほか、サード パーティ製のスイッチも利用できます。 VLANs and filters VLANs and filtersエンフォースメントでは、以下の4つのレイヤ2 VLANまた はレイヤ3 VLANが設定されます。 • Red:極端に制限されたアクセスです。デフォルトのフィルタを使用した場 合、ユーザーが通信できるのは、Nortel SNAS 4050とWindowsドメイン コン トローラ ネットワークのみになります。各ネットワーク アクセス デバイスに は、1つのRed VLANがあります。 • Yellow:クライアントPCのホスト完全性に問題があった場合に修復を行う ための制限付きアクセスです。 ネットワークに設定されているフィルタと TunnelGuardのルールに応じて、クライアントはYellow VLANに属している Remediationサーバーに誘導されることがあります。各ネットワーク アクセス デバイスは、最大5つのYellow VLANを持つことができます。各ユーザー グループが関連付けられるのは、1つのYellow VLANのみです。 • Green:ユーザーのアクセス権に応じてフル アクセスできます。各ネットワー ク アクセス デバイスは、最大5つのGreen VLANを持つことができます。 • VoIP:VoIPトラフィックを自動アクセスします。ネットワーク アクセス デバイ スは、VoIPコールをNortel SNAS 4050の認可や認証プロセスへは送り込ま ず、VoIP VLANに送り込みます。 クライアントがネットワークへの接続を試みると、ネットワーク アクセス デバイス はそのクライアントをRed VLANに位置付けます。Nortel SNAS 4050は、そのク ライアントを認証します。 デフォルトでは、Nortel SNAS 4050はTunnelGuardア プレットをダウンロードし、クライアントのホスト完全性をチェックします。完全 性のチェックで問題があれば、Nortel SNAS 4050は、関連付けられたフィル タを使用して、ネットワーク アクセス デバイスに対してクライアントをYellow VLANに移動するように指示します。完全性のチェックで問題がなければ、 Nortel SNAS 4050は、関連付けられたフィルタを使用して、ネットワーク アク セス デバイスに対してクライアントをGreen VLANに移動するように指示しま す。ネットワーク アクセス デバイスは、ポート メンバシップを変更した場合 に、フィルタを適用します。 VoIPフィルタが設定済みのVoIP VLANへのIP電話トラフィックを許可する のは、VoIP通信の場合だけです。 デフォルトのフィルタは、サービス品質(QoS)や特定のワークステーション のブート プロセスとネットワーク通信などのネットワーク要件に応じて変更 することができます。 ネットワーク アクセス デバイスにVLANやフィルタを設定する方法につ いては、『Release Notes for Nortel Ethernet Routing Switch 5500 Series, Software Release 5.0.1』または『Release Notes for the Ethernet Routing Switch 8300, Software Release 2.2.8』を参照してください。 Nortel SNAS 4050にVLANs and filtersエンフォースメントを設定する方法に ついては、「グループの設定」(114 ページ)のenftypeを参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 25 Filters only Filters onlyエンフォースメントでは、2つのVLAN(Red VLANとVoIP VLAN) が使用されます。クライアント コンピュータは、認証が完了していない段階 ではRed VLANに位置付けられます。 認証に成功すると、TunnelGuardの完 全性チェックを使用して、修復が必要かどうかが判定されます。クライアント に適切なネットワーク リソースを割り当てるためにフィルタが使われますが、 クライアントはそのステータスとは無関係に同じVLANに留まり続けます。こ れは、クライアントがフィルタを適用されて別のVLANへ誘導されるVLANs and filtersの場合とは対照的です。Filters onlyでは、IP電話はVLANs and filtersでの場合と同様に処理されます。 Filters onlyの場合は、2つのVLAN(RedとVoIP)のみを設定すればよいた め、VLANs and filtersに比べてネットワーク設定が少なくて済みます。ただ し、VLANs and filtersが備えている2階層の保護機能はありません。 Nortel SNAS 4050にFilters onlyエンフォースメントを設定する方法について は、「グループの設定」(114 ページ)のenftypeを参照してください。 Filters onlyを設定すると、Nortel SNAS 4050ではDNSを使用する回数が増加します が、フィルタDHCPサブネット タイプを使用することで、DNSを使用する回数を VLANs and filtersの場合と同程度に保つことができます。詳細については、 「ローカルDHCPサービスの設定」(100 ページ)を参照してください。 DHCP hub subnet DHCP hub subnetエンフォースメントを使用すると、Nortel SNAS 4050で多 種類のノーテル イーサネット スイッチとサード パーティ製のネットワーク ア クセス デバイスをサポートできるようになります。DHCP hub subnetエン フォースメントでは、VLANs and filtersエンフォースメントやFilters onlyエン フォースメントとは異なり、ネットワーク アクセス デバイスでのSSCPのサポー トを必要としません。 DHCP hub subnet設定は、Nortel SNAS 4050が提供するDHCPサービスの 重要な構成要素です。 詳細については、「ローカルDHCPサービスの設定」 (100 ページ)を参照してください。 グループとプロファイル ユーザーはグループに編成されます。グループのメンバシップは、以下 の判断を行うときに使用されます。 • ユーザー アクセス権 グループ内では、TunnelGuardのチェック結果に応じて、拡張プロファイ ルでアクセス権をさらに詳しく定義できます。 • 許可されるセッションの数 • 適用されるTunnelGuard SRSルール • ユーザー認証後のポータル ページの画面設定 Nortel SNAS 4050にグループや拡張プロファイルを設定する方法について は、「第5章 グループおよびプロファイルの設定」(109 ページ)を参照し てください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 26 第1章 概要 認証方式 Nortel SNAS 4050ドメイン内では、複数の認証方式を設定することができ ます。Nortel Secure Network Access Switch Software Release 1.6.1は、以下 の認証方式をサポートしています。 • 外部データベース — RADIUS(Remote Authentication DialIn User Service) — LDAP(Lightweight Directory Access Protocol) Nortel SNAS 4050は、外部のRADIUSサーバーやLDAPサーバーに照会 して、ユーザーを認証します。これにより、イントラネット内の既存の認証 データベースを使用することが可能になります。Nortel SNAS 4050は、クエ リにユーザー名とパスワードを含め、それに対して、1つまたは複数のアク セス グループの名前を返すことを要求します。RADIUSとLDAPのアク セス グループ属性の名前は、設定可能です。 • ローカル認証データベース — ポータル認証:Nortel SNAS 4050は、そのポータル データベース内 に最大1,000のユーザー認証エントリを保管ことができます。データ ベース内の各エントリでは、ユーザー名、パスワード、関連アクセス グループを定義します。 ローカル認証方式は、外部の認証データベースが存在しない場合、 テストを行う場合、短時間での導入が必要な場合、または外部デー タベース クエリのフォールバックとして使用します。また、外部サー バーが認証サービスを行っていても許可グループのリストを返すよ うには設定できない場合にも、ローカル データベースを許可のみ の目的で使用できます。 — MAC認証:エンドポイント デバイスのMAC(media access control)アド レスを認証目的に使用することができます。Nortel SNAS 4050では、 10,000以上のMACアドレスを格納し、2,000以上の同時MACセッショ ンをサポートすることができます。データベース内の各エントリでは、 MACアドレス、IPタイプ、グループ名を指定します。オプションで、 ユーザー名、デバイスのIPアドレス、コメントとデバイスの接続先のス イッチのIPアドレス、ユニット、ポートを指定することもできます。 ローカル認証データベースは、Nortel SNAS 4050上で手作業でエントリを 追加して作成することができます。また、TFTP/FTP/SCP/SFTPサーバーか らデータベースをインポートして作成することもできます。 Nortel SNAS 4050に認証を設定する方法については、「第6章 認証の設定」 (127 ページ)を参照してください。 Nortel SNAS 4050がネットワーク アクセスを制御する方法については、 『Nortel Secure Network Access Solution Guide(NN47230200)』を参 照してください。 TunnelGuardホスト完全性チェック TunnelGuardアプリケーションは、ユーザーがあらかじめ指定した、クライアント のパーソナル ファイアウォールに必要なコンポーネント(実行可能プログラム、 DLL、設定ファイルなど)がクライアントPC上にインストールされ、アクティブに なっているのを確認することによって、クライアントのホスト完全性をチェックし ます。ユーザーは、ソフトウェア要件セット(SRS)のルールを設定し、ルールを Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 27 ユーザー グループにマッピングすることによって、必要なコンポーネント エン ティティとエンジニアリング ルールを指定します。 クライアントが認証されると、Nortel SNAS 4050はTunnelGuardをアプレット としてクライアントPCにダウンロードします。 TunnelGuardアプレットは、認 証されたユーザーが属しているグループに対応するSRSルールを取り出 し、TunnelGuardが適切なホスト完全性チェックを実行できるようにします。 TunnelGuardアプレットは、ホスト完全性チェックの結果をNortel SNAS 4050に レポートします。 必要なコンポーネントがクライアント マシンに揃っていれば、TunnelGuardは SRSルールのチェックに成功したことをレポートします。その結果、Nortel SNAS 4050は、ネットワーク アクセス デバイスに対して、ユーザー グループ のアクセス権に応じてイントラネットのリソースへのアクセスを許可するように 指示します。 Nortel SNAS 4050は、TunnelGuardアプレットがDHCPリクエス トを再発行して、クライアントのネットワーク アクセス デバイスのDHCPリー スを更新するようにも要求します。 必要なコンポーネントがクライアント マシンに揃っていない場合は、TunnelGuard はSRSルールのチェックに失敗したことをレポートします。ユーザーはホスト完 全性チェックに失敗した場合の動作を設定します。セッションを終了するか、 Nortel SNASがネットワーク アクセス デバイスに対して、修復を目的としたネッ トワークへの制限付きアクセスをクライアントに許可するように指示できます。 TunnelGuardアプレットは、クライアント セッションが続いている間、ホスト完全 性チェックを定期的に繰り返します。チェックが失敗した場合は、ユーザーが 設定済みの動作に応じて、クライアントを強制退去させるか、または検疫にま わします。チェック間隔は設定可能です。 TunnelGuardのホスト完全性チェックの設定方法については、「TunnelGuard チェックの設定」(77 ページ)を参照してください。 SRSルールの設定方法に ついては、『Nortel Secure Network Access Switch 4050 User Guide for the SREM(NN47230101)』にあるTunnelGuard SRS Builderについての情報 を参照してください。SRSルールをグループにマッピングする方法について は、「グループの設定」(114 ページ)を参照してください。 通信チャネル Nortel SNAS 4050とNortel SNAソリューションの重要な構成要素との間の通信 は、セキュアで、暗号化されています。「表 2 Nortel SNASネットワーク内の通 信チャネル」(27 ページ)に、ネットワーク内の通信チャネルを示します。 表 2 Nortel SNASネットワーク内の通信チャネル 通信 通信プロトコル Nortel SNAS 4050とエッジ スイッチ 間 SSH クラスタ内のNortel SNAS 4050デ バイス間 TCPとUDP Nortel SNAS 4050とクライアントPC (TunnelGuardアプレット)間 SSL/TLS Nortel SNAS 4050とSREM間 SSH エッジ スイッチからEPMへ SNMPv3 Inform Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 28 第1章 概要 通信 通信プロトコル EPMからエッジ スイッチへ Telnet over SSH 許可されたエンドポイントからDHCP へ UDP リモートPCとNortel SNAS 4050デバイス間の管理通信には、Telnetまたは SSHが使用されます。 SSHについて Secure Shell(SSH)プロトコルは、Nortel SNAS 4050とネットワーク アクセス デ バイス間、およびNortel SNAS 4050デバイスとリモート管理PC間で、Telnetを使 用しないセキュアで暗号化された通信を可能にします。 SSHでは、パスワード認証か公開キー認証のいずれかが使用されます。公開 キー認証では、公開キーと秘密キーという一対のSSHホスト キーによるSSH クライアントのサーバー認証メカニズムによって、「man in the middle」アタッ クを防ぎます。SSHクライアントは、公開キーを管理して、異なるSSHサー バー ホストを認証します。 Nortel SNASネットワーク内のSSHクライアントは、未知のサーバー ホストから 送られてくる新しいキーを盲目的に受け入れることはしません。キーが既知の ホストとマッチしていなければ、接続を拒否します。 Nortel SNAS 4050は、3種類のSSHホスト キーをサポートします。 • RSA1 • RSA • DSA SSHプロトコル バージョン1では、必ずRSA1キーが使用されます。SSHプロ トコル バージョン2では、RSAキーかDSAキーのいずれかが使用されます。 Nortel SNAソリューションの管理通信では、Nortel SNAS 4050はSSHサーバー として動作する(ユーザーがSSHクライアントでCLIに接続している場合)こと も、SSHクライアントとして動作する(Nortel SNAS 4050がSCPプロトコルまた はSFTPプロトコルを使用してファイルまたはデータの転送を開始した場合) こともあります。 Nortel SNAS 4050とネットワーク アクセス デバイス間の通信用のSSHキーを管 理する方法については、「SSHキーの管理」(59 ページ)を参照してください。 Nortel SNAS 4050の管理通信用のSSHキーを管理する方法については、 「Nortel SNAS 4050ホストSSHキーの設定」(232 ページ)を参照してください。 Nortel SNAS 4050クラスタ クラスタは、同じ設定パラメータを共有するNortel SNAS 4050デバイスのグ ループです。 Nortel Secure Network Access Switch Software Release 1.6.1は、 クラスタ内の4つのNortel SNAS 4050デバイス(ノード)をサポートします。 ネット ワークでは、複数のクラスタを使用できます。 クラスタリングには、以下の利点があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 29 • 管理容易性:クラスタは単一のシームレスなユニットです。設定変更はす べてのメンバに対して自動的に適用されます。 • スケーラビリティ:クラスタ内のNortel SNAS 4050ノードは、リソースを大 量に使用するような動作での負荷を共有します。 クラスタは、ネットワー ク アクセス デバイスの制御をNortel SNAS 4050ノード間に分散し、セッ ション ログオンの処理を分散します。その結果、クラスタ内のNortel SNAS 4050デバイスは、より多くのスイッチを制御でき、より多くのユーザー セッ ションを処理できるようになります。 • 耐障害性:1つのNortel SNAS 4050デバイスが故障しても、その故障はク ラスタ内の他のノードの1つで検出され、そのノードが故障したデバイス で行っていたスイッチの制御とセッションの処理を引き継ぎます。実行 中のNortel SNAS 4050が1つでも残っている限り、セッションが失われ ることはありません。 クラスタ内のデバイスは、ネットワークのどの位置にでも配置できます。また、 互いに物理的に接続されている必要もありません。クラスタ内のすべての Nortel SNAS 4050デバイスは、同一サブネットに属している必要があります。ク ラスタは、2番目のノードを初期セットアップするときにそのセットアップが加 入オペレーションであることを指定するとともに、そのノードへ既存の管理IP アドレス(MIP)を関連付けることで、作成します。 Nortel SNAS 4050のIPアドレスについての詳細は、「IPアドレスについて」 (36 ページ)を参照してください。クラスタへノードを追加する方法について は、「Nortel SNAS 4050デバイスのクラスタへの追加」(43 ページ)を参照し てください。 インタフェースの設定 Nortel SNAS 4050は、2種類のトラフィック、つまりクライアント トラフィックと管 理トラフィックの両方とインタフェースをとる必要があります。 クライアント側と のインタフェースは、クライアント上のTunnelGuardアプレットとポータル間の トラフィックを処理します。管理側とのインタフェースは、Nortel SNAS 4050 管理トラフィックを処理します。これは、Nortel SNAS 4050を内部リソースへ 接続する際のトラフィックや、管理ステーションからNortel SNAS 4050を設定 する際に発生するトラフィックです。 Nortel SNAS 4050は、1アーム構成として知られる構成をサポートします。以下 のセクションでは、この構成タイプについて説明します。 1アーム構成 1アーム構成では、Nortel SNAS 4050のインタフェースは1つのみで、それがク ライアント ポータル インタフェースと管理トラフィック インタフェースの2つの 役割を果たします。 「図1 1アーム構成」(30 ページ)に、1アーム構成を示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 30 第1章 概要 図1 1アーム構成 Nortel SNASの設定と管理のためのツール 以下のデバイスとネットワーク用管理ツールを使用して、Nortel SNAS 4050を 設定し、Nortel SNAソリューションを管理することができます。 • コマンド ライン インタフェース(CLI) Nortel SNAS 4050の初期セットアップと、Nortel SNAS 4050とネットワー ク アクセス デバイス間、およびNortel SNAS 4050とGUI管理ツール間の SSH(Secure Shell)接続のセットアップには、CLIを使用する必要があり ます。その後のNortel SNAS 4050の設定や管理では、引き続きCLIを使 用することも、GUIを使用することも可能です。 このガイドの設定の章では、Nortel SNAS 4050を設定するための具体的 なCLIコマンドについて説明します。CLIの使用法についての一般的な 説明は、「第15章 コマンド ライン インタフェースによるアクセス方法」 (311 ページ)にあります。 • Security & Routing Element Manager(SREM) SREMは、Nortel SNAS 4050の設定と管理に使用できるGUIアプリケー ションです。 SREMを使用したNortel SNAS 4050の設定方法については、『Nortel Secure Network Access Switch 4050 User Guide for the SREM (NN47230101)』を参照してください。SREMのインストールと使用法に ついては、『Installing and Using the Security & Routing Element Manager (SREM)(NN47230301)』を参照してください。 • Browser Based Interface(BBI) BBIは、Nortel SNAS 4050の設定と管理に使用できるWebブラウザ ア プリケーションです。 BBIを使用してNortel SNAS 4050を設定する方法については、『Nortel Secure Network Access Switch 4050 – Configuration – Browser Based Interface (NN47230500)』を参照してください。 • Enterprise Policy Manager (EPM)リリース4.2 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 31 Enterprise Policy Manager(EPM)は、セキュリティ ポリシーとサービス品質 を提供するためのアプリケーションです。 EPMを使用すると、Nortel SNAS のネットワーク アクセス デバイスにフィルタを設定できます。EPM 4.2では、 Nortel SNASの機能を有効にする前の、Red、Yellow、Green VLANフィル タの事前設定をサポートします。Nortel SNAS 4050とEPMソフトウェアの将 来のリリースでは、デバイス上でNortel SNASが有効になっていても、セキュ リティ フィルタやサービス品質フィルタの追加や変更が可能になります。 EPMのインストールと使用法については、『Installing Nortel Enterprise Policy Manager(318389)』を参照してください。 • 簡易ネットワーク管理プロトコル(SNMP)エージェント Nortel SNAS 4050にSNMPを設定する方法については、「第11章 SNMP の設定」(265 ページ)を参照してください。 Nortel SNAS 4050の設定のロードマップ 以下の作業リストは、Nortel SNAS 4050とNortel SNAソリューションの設定に必 要な手順の概要を示しています。 ステップ 操作 1 ネットワークDNSサーバーに、Nortel SNAS 4050ドメインのフォワー ド ルックアップ ゾーンを作成します。 設定例については、「第16章 設定例」(319 ページ)を参照して ください。 2 ネットワークDHCPサーバーを設定します。 設定例については、「第16章 設定例」(319 ページ)を参照して ください。 各VLANに対して、次の操作を行います。 a. DHCPスコープを作成します。 b. そのスコープに、IPアドレスの範囲とサブネット マスクを指 定します。 c. 以下のDHCPオプションを設定します。 • デフォルト ゲートウェイを指定します。 • そのスコープのエンドポイントで使用するDNSサーバー を指定します。 • 必要に応じてDHCPを設定し、IP PhoneがそのVLAN設定 データを自動的にDHCPサーバーから学習できるようにし ます。 詳細については、「付録 F IP Phoneを自動設定する ためのDHCPの設定」(427 ページ)を参照してください。 備考: Red VLANについては、DNSサーバーのアドレスとし てNortel SNAS 4050のポータル仮想IPアドレス(pVIP) の1つを設定します。 エンドポイントがRed VLAN内にある間はDNSサー バーの機能が制限されますが、Nortel SNAS 4050自体 がDNSサーバーの役割を果たします。エンドポイントが Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 32 第1章 概要 他のVLANに属している場合は、DNSリクエストは社 内DNSサーバーに転送されます。 DNSサーバーは、キャプティブ ポータルが機能するよ うに設定しておく必要があります。 3 ネットワーク コア ルーターを以下の手順で設定します。 a. Red、Yellow、Green、VoIP、およびNortel SNAS 4050管理 VLANを作成します。 b. エッジ スイッチがレイヤ2モードで動作している場合は、 アップリンク ポートで802.1qのタグ付けを有効にして、 アップリンク ポートが複数のVLANに参加できるように してから、そのポートを該当するVLANに追加します。 備考: アップリンク ポートは、すべてのVLANに参加する 必要があります。 c. 各VLANに対してIPアドレスを設定します。 これらのIPインタフェースは、DHCP Relayが使用するデフォル トのゲートウェイになります。 d. エッジ スイッチがレイヤ2モードで動作している場合は、Red、 Yellow、Green、VoIP VLAN用にDHCPリレー エージェントを 設定します。 ルーター上で該当するshowコマンドを使用し、DHCPリレーが アクティブになっていて各VLANの正しいスコープへ到達で きるようになっていることを確認します。 これらの一般的な設定手順の詳細については、お客様のネット ワークで使用しているルーターの種類に対応したマニュアルを 参照してください。 4 ネットワーク アクセス デバイスの設定 a. コア ルーターの背後にあるすべてのネットワークへのスタティッ ク ルートを設定します。 b. 必要に応じて、スイッチの管理VLANを設定します。 c. スイッチ上でSSHを設定して有効にします。 d. Nortel SNAS 4050ポータル仮想IPアドレス(pVIP)/サブネッ トを設定します。 e. 必要に応じて、ポートのタグ付けを設定します。 レイヤ2スイッチの場合は、アップリンク ポートをタグ付きにし て、複数のVLANに参加できるようにする必要があります。 f. ポート ベースVLANを作成します。 これらのVLANは、ステップiとステップjで、VoIP、Red、Yellow、 Green VLANとして設定されます。 g. スイッチがレイヤ3モードで使用されている場合は、DHCPリレー とIPルーティングを設定します。 h. オプション。Red、Yellow、Green、VoIPフィルタを設定します。 Red、Yellow、Green VLANを設定すると、フィルタは定義済み のデフォルトとして自動的に設定されます(ステップj)。特定の システム セットアップで、デフォルトのフィルタを変更する必要 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第1章 概要 5 6 7 8 9 10 11 12 13 14 33 がある場合にのみ手動でフィルタを設定します。Nortel SNAS を有効にした後で、フィルタを変更することができます。 i. VoIP VLANを設定します。 j. Red、Yellow、Green VLANを設定し、それぞれに適用され るフィルタを関連付けます。 k. Nortel SNASポートを設定します。 スイッチ ポートを、アップリンクまたはダイナミックのいずれかに 設定します。アップリンク ポートとして設定した場合は、Nortel SNASのVLANをこのポートに関連付けます。クライアントはダ イナミック ポートに接続されます。Nortel SNASポート(ダイ ナミックとアップリンク)は、Nortel SNASをグローバルに有効 にした後で、設定できます。 l. Nortel SNASをグローバルに有効にします。 Ethernet Routing Switch 5510、5520、5530をNortel SNASネットワー ク内に設定する方法については、『Release Notes for Nortel Ethernet Routing Switch 5500 Series, Software Release 5.0.1』を参照してください。 Ethernet Routing Switch 8300をNortel SNASネットワーク内に設定す る方法については、『Release Notes for the Ethernet Routing Switch 8300, Software Release 2.2.8』を参照してください。 Nortel SNASを設定するときに使用するコマンドの例を、「第16章 設定例」(319 ページ)に示します。 Nortel SNAS 4050で初期セットアップを行います(「初期セットアッ プ」(37 ページ)を参照)。初期セットアップでは、クイック セット アップ ウィザードを使用することを推奨します。このウィザードを 使用すると、ポータルが完全に機能するように、基本設定を作成 し、設定することができます。 SSHとSRS Adminを有効にして、SREMとの通信を可能にします (「管理機能の設定」(229 ページ)を参照)。 Nortel SNAS 4050とネットワーク アクセス デバイス間の通信用の SSHキーを生成してアクティブにします(「SSHキーの管理」(59 ページ)を参照)。 デフォルト tunnelguard グループ用のSoftware Requirement Set (SRS)ルールを指定します(「グループの設定」(114 ページ)を 参照)。 ネットワーク アクセス デバイスを追加して、SSHキーをエクスポートし ます(「ネットワーク アクセス デバイスの追加」(51 ページ)を参照)。 VLANのマッピングを指定します(「VLANのマッピング」(57 ペー ジ)を参照)。 /maint/chkcfg コマンドを使用して、Nortel SNASの接続をテストし ます(「保守の実行」(293 ページ)を参照)。 グループを設定します(「第5章 グループおよびプロファイルの 設定」(109 ページ)を参照)。 クライアント フィルタを設定します(「クライアント フィルタの設定」 (120 ページ)を参照)。 拡張プロファイルを設定します(「拡張プロファイルの設定」(122 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 34 第1章 概要 15 認証メカニズムを指定します(「第6章 認証の設定」(127 ペー ジ)を参照)。 16 システム ユーザーを設定します(「第7章 システム ユーザーとグ ループの管理」(163 ページ)を参照)。 17 エンド ユーザーのスキルに応じた設定を行います(「第8章 ポータ ルとユーザー ログオンのカスタマイズ」(179 ページ)を参照)。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 35 第2章 初期セットアップ 本章では、以下のトピックについて説明します。 トピック 「事前作業」(35 ページ) 「IPアドレスについて」(36 ページ) 「初期セットアップ」(37 ページ) 「単一Nortel SNAS 4050デバイスまたはクラスタ内の最初のデバイスの セットアップ」(37 ページ) 「Nortel SNAS 4050デバイスのクラスタへの追加」(43 ページ) 「次の手順」(46 ページ) 「設定の適用と保存」(47 ページ) 事前作業 Nortel SNAS 4050をセットアップする前に、以下の作業を完了する必要があ ります。 ステップ 操作 1 ネットワークの計画を作成します。 詳細については、『Nortel Secure Network Access Solution Guide(NN47230200)』を 参照してください。 Nortel SNAS 4050を設定するには、以下の情報が必要です。 • IPアドレス — Nortel SNAS 4050管理IPアドレス(MIP)、ポータル仮想IP アドレス(pVIP)、Real IPアドレス(RIP) — デフォルト ゲートウェイ — DNSサーバー — NTPサーバー(必要に応じて) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 36 第2章 初期セットアップ — 外部認証サーバー(必要に応じて) — ネットワーク アクセス デバイス — Remediationサーバー(必要に応じて) Nortel SNAS 4050 MIP、pVIP、RIPの詳細については、「IPアド レスについて」(36 ページ)を参照してください。 • VLAN ID — Nortel SNAS管理VLAN — Red VLAN — Yellow VLAN — Green VLAN — VoIP VLAN • 設定するグループとプロファイル 2 「Nortel SNAS 4050の設定のロードマップ」(31 ページ)のステップ 1~4に従って、ネットワークのDNSサーバー、DHCPサーバー、コ ア ルーターおよびネットワーク アクセス デバイスを設定します。 3 Nortel SNAS 4050デバイスを設置します。 詳細については、 『Nortel Secure Network Access Switch 4050 Installation Guide(NN47230300)』を参照してください。 4 Nortel SNAS 4050へのコンソール接続を確立します(「コンソール 接続の確立」(312 ページ)を参照)。 ― 終わり ― IPアドレスについて 管理IPアドレス 管理IPアドレス(MIP)は、ネットワーク内でNortel SNAS 4050を識別するため のIPアドレスです。マルチNortel SNAS 4050ソリューションでは、MIPはクラス タ内のNortel SNAS 4050デバイスのいずれか1つのIPエイリアスになってい て、クラスタの識別に使用されます。MIPは、常にマスタNortel SNAS 4050 デバイス上にあります。現在MIPを持っているマスタNortel SNAS 4050が故 障すると、MIPは機能しているマスタNortel SNAS 4050に自動的に移行しま す。 Nortel SNASまたはNortel SNASクラスタをリモートから設定するには、 Telnet(CLIの場合)またはSSH(CLI、SREM、またはBBIの場合)を使用し て、MIPに接続する必要があります。 ポータル仮想IPアドレス ポータル仮想IPアドレス(pVIP)は、Nortel SNAS 4050デバイスのWebポー タル サーバーに割り当てられたアドレスです。pVIPは、クライアントがNortel SNASネットワークにアクセスするために接続するアドレスです。クライアントが Red VLAN内にあり、Nortel SNAS 4050がDNSサーバーの役割を果たして いるときは、pVIPはそのDNSサーバーのIPアドレスになります。Nortel SNAS 4050デバイスには複数のpVIPを割り当てることができますが、各Nortel SNAS Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 37 4050デバイスには1つのpVIPのみを割り当てることを推奨します。Nortel SNAS 4050をキャプティブ ポータルとして設定すると、負荷分散ログオン リクエス トでpVIPが使用されます。 Real IPアドレス Real IPアドレス(RIP)は、ネットワーク接続用のNortel SNAS 4050デバイスのホ ストIPアドレスです。RIPは、クラスタ内のNortel SNAS 4050デバイス間の通信 で使用されるIPアドレスです。RIPは、ネットワーク内で一意で、MIPと同じサ ブネット内にある必要があります。 備考1:Nortel SNAS 4050デバイスはRIPに接続してリモートから設定する こともできますが、リモート設定では必ずMIPを使用することを推 奨します。MIPに接続すると、クラスタ内のすべてのNortel SNAS 4050デバイスにアクセスできるようになります。Nortel SNAS 4050 デバイスの1つがダウンしていてRIPに到達できない場合でも、 MIPは常に有効です。 備考2:IPアドレス(MIP、VIP、RIP、またはゲートウェイ)を変更した場合 は、変更を有効にするためにNortel SNAS 4050をリブートする 必要があります。 初期セットアップ 初期セットアップは、Nortel SNAS 4050にはじめて電源を投入してログオンし たときに自動的に起動するガイド付きの手順です。初期セットアップを実行す るには、コンソール接続を使用する必要があります。 • スタンドアロンのNortel SNAS 4050、またはクラスタ内の最初のNortel SNAS 4050の場合は、「単一Nortel SNAS 4050デバイスまたはクラスタ内 の最初のデバイスのセットアップ」(37 ページ)を参照してください。 • Nortel SNAS 4050をクラスタに追加する方法については、「Nortel SNAS 4050デバイスのクラスタへの追加」(43 ページ)を参照してください。 単一Nortel SNAS 4050デバイスまたはクラスタ内の最初のデバイスのセッ トアップ ステップ 操作 1 以下のユーザー名とパスワードを使用して、ログオンします。 login : admin password : admin Setupメニューが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 38 第2章 初期セットアップ Alteon iSD NSNAS Hardware platform: 4050 Software version: x.x [Setup Menu] join Join an existing cluster new Initialize host as a new installation boot Boot menu info Information menu exit Exit [global command, always available] >> Setup# 2 新しいインストールのオプションを選択します。 >> Setup# new Setup will guide you through the initial configuration. 3 管理インタフェースのポート番号を指定します。このポートは Interface 1に割り当てられます。 Enter port number for the management interface [14]: <port> 1アーム構成の場合は、すべてのネットワーク接続で使用するポー トを指定します。Interface 1は、管理トラフィック(Nortel SNAS 4050 の管理とイントラネット リソースへの接続)とクライアント ポータル ト ラフィック(クライアント上のTunnelGuardアプレットとポータルとの間 のトラフィック)の両方で使用されるからです。 4 このデバイスのRIPを指定します。このIPアドレスはInterface 1に 割り当てられます。 Enter IP address for this machine (on management interface): <IPaddr> RIPは、ネットワーク内で一意で、MIPと同じサブネット内にある 必要があります。 5 Interface 1のRIP用のネットワーク マスクを指定します。 Enter network mask [255.255.255.0]: <mask> 6 コア ルーターが入力パケットにVLANタグIDを付加する場合は、使 用するVLANタグIDを指定します。 Enter VLAN tag id (or zero for no VLAN) [0]: VLANタグIDを指定しなかった場合(デフォルト値0を受け入れ た場合)は、トラフィックにVLANタグは付加されません。レイヤ2 設定のネットワーク アクセス デバイスを設定する場合は、Nortel SNAS 4050とネットワーク アクセス デバイスとの間のトラフィックの ためにアップリンク ポートをNortel SNAS 4050管理VLANに追加 するのを忘れないでください。 7 デフォルトのゲートウェイIPアドレスを指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 39 Enter default gateway IP address (or blank to skip): <IPaddr> デフォルト ゲートウェイは、他のインタフェースを指定しなかった場 合に使用される、コア ルーター上のインタフェースのIPアドレス です。デフォルト ゲートウェイIPアドレスは、RIPと同じネットワー ク アドレス範囲内にある必要があります。 ステップ10に進みます。 8 クライアント ポータル トラフィックのためのインタフェースを設定し ます(Interface 2)。 a. クライアント ポータル インタフェースにポート番号を指定しま す。このポートはInterface 2に割り当てられます。ポート番号に は、管理インタフェース(Interface 1)のポート番号とは異なる番 号を指定する必要があります。 b. Interface 2のRIPを指定します。 c. Interface 2のRIP用のネットワーク マスクを指定します。 d. コア ルーターが入力パケットにVLANタグIDを付加する場合 は、使用するVLANタグIDを指定します。 e. Interface 2のデフォルトのゲートウェイIPアドレスを指定します。 デフォルト ゲートウェイは、他のインタフェースを指定しなかっ た場合に使用される、コア ルーター上のインタフェースのIPア ドレスです。Interface 2のデフォルト ゲートウェイIPアドレスは、 Interface 2のRIPと同じサブネット内にある必要があります。 Enter port number for the traffic interface [14]: <port> Enter IP address for this machine (on traffic interface): <IPaddr> Enter network mask [255.255.255.0]: <mask> Enter VLAN tag id (or zero for no VLAN) [0]: Enter default gateway IP address (on the traffic interface): <IPaddr> 9 このデバイスまたはクラスタのMIPを指定します。 Enter the Management IP (MIP) address: <IPaddr> Making sure the MIP does not exist...ok Trying to contact gateway...ok MIPはネットワーク内で一意で、Interface 1のRIPやデフォ ルト ゲートウェイと同じサブネット内にある必要があります。 備考: iSD(Nortel SNAS 4050デバイス)がゲートウェイにア クセスできないというエラー メッセージが表示された 場合は、コア ルーターの設定を確認してください。設 定のテストが成功するまでは、初期セットアップを先 に進めないでください。 10 タイム ゾーンを指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 40 第2章 初期セットアップ Enter a timezone or ’select’ [select]: <timezone> タイム ゾーンがわからない場合は、 <CR> を押して選択メニューに アクセスする必要があります。 Select a continent or ocean: <Continent or ocean by number> Select a country: <Country by number> Select a region: <Region by number, if applicable> Selected timezone: <Suggested timezone, based on your selections> 11 時刻を設定します。 Enter the current date (YYYYMMDD) [20050502]: Enter the current time (HH:MM:SS) [19:14:52]: 12 必要に応じて、NTPサーバーを指定します。 Enter NTP server address (or blank to skip): <IPaddr> 備考: この時点でNTPサーバーにアクセスできなくても、こ の項目は、初期セットアップの終了後に設定するこ とができます。「日付と時刻の設定」(222 ページ)を 参照してください。 13 必要に応じて、DNSサーバーを指定します。 Enter DNS server address (or blank to skip): <IPaddr> 14 Nortel SNAS 4050デバイス間でのセキュア管理と保守通信用の SSHホスト キーを生成します。 Generate new SSH host keys (yes/no) [yes]: This may take a few seconds...ok この時点でSSHホスト キーを生成しない場合は、後でシステムの 設定時に生成します(「Nortel SNAS 4050ホストSSHキーの設定」 (232 ページ)を参照)。 初期セットアップが終わったら、Nortel SNAS 4050とネットワーク アクセス デバイスの通信用にSSHキーを生成します(「SSHキー の管理」(59 ページ)を参照)。 15 必要に応じて、adminユーザーのパスワードを変更します。 Enter a password for the "admin" user: Reenter to confirm: adminユーザーに定義したパスワードを忘れないようにしてくださ い。Nortel SNAS 4050(またはNortel SNAS 4050クラスタ)に設定 目的でログインする場合は、adminユーザーの正しいパスワー ドを入力する必要があります。 16 Nortel SNAS 4050のクイック セットアップ ウィザードを実行します。 これで、完全に機能するポータルを有効にするのに必要なすべて Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 41 の設定を作成できました。この設定は、後で変更することができま す(「第4章 ドメインの設定」(67 ページ)を参照)。 ウィザードで作成されるデフォルトの設定の詳細については、「ク イック セットアップ ウィザードで作成された設定」(42 ページ)を 参照してください。 a. クイック セットアップ ウィザードを起動します。 Run NSNAS quick setup wizard [yes]: yes Creating default networks under /cfg/domain 1/aaa/ network b. Nortel SNAS 4050デバイスのpVIPを指定します。 Enter NSNAS Portal Virtual IP address(pvip): <IPaddr> c. Nortel SNAS 4050ドメインの名前を指定します。 Enter NSNAS Domain name: <name> d. クライアントの便宜のために、DNS検索リストに追加するドメイン 名を指定します。ドメイン名がDNS検索リストにあると、クライア ントはNortel SNAS 4050ポータルのアドレス フィールドのドメイ ン名に省略形式を使用することができます。 Enter comma separated DNS search list (eg company.com,intranet.company.com): たとえば、DNS検索リストにcompany.comを追加しておくと、ポー タル ページで nsnas.company.com に接続する際に、クライアン トでは nsnas とのみ入力すればよくなります。 e. HTTPからHTTPSへのリダイレクションを有効にする場合は、リ ダイレクト サーバーを作成します。 Create http to https redirect server [no]: f. SRSルール チェックが失敗したときに実行するアクションを指 定します。 次のオプションを指定できます。 • restricted :セッションは継続されますが、アクセスはグ ループのアクセス ルールで指定されている権限に応じて 制限付きになります。 • teardown :SSLセッションは終了します。 デフォルトは restricted です。 Use restricted (teardown/restricted) action for TunnelGuard failure? [yes]: g. デフォルトのユーザーとグループを作成します。 ウィザードでは、デフォルト グループ(tunnelguard)内にデフォ ルト ユーザー( tg )を作成します。これを後で使うことができま す。 またウィザードは、ユーザーがTunnelGuardチェックに合格 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 42 第2章 初期セットアップ ( tg_passed )したとき、または合格しなかった( tg_failed )とき に適用される、デフォルトのクライアント フィルタ、プロファイル、 リンクセットも作成します。ウィザードは、それぞれのプロファイ ルに関連付けるVLAN IDの入力を求めてきます。 TunnelGuardチェックに失敗した場合に実行されるアクション は、ステップfでの選択で決まります。 Create default tunnel guard user [no]: yes Using ’restricted’ action for TunnelGuard failure. User name: tg User password: tg Creating client filter ’tg_passed’. Creating client filter ’tg_failed’. Creating linkset ’tg_passed’. Creating linkset ’tg_failed’. Creating group ’tunnelguard’ with secure access. Creating extended profile, full access when tg_passed Enter green vlan id [110]: <VID> Creating extended profile, remediation access when tg_failed Enter yellow vlan id [120]: <VID> Creating user ’tg’ in group ’tunnelguard’. Initializing system......ok Setup successful. Relogin to configure. ― 終わり ― クイック セットアップ ウィザードで作成された設定 クイック セットアップ ウィザードは、以下の基本的なNortel SNAS 4050の 設定を作成します。 ステップ 操作 1 Nortel SNAS 4050ドメイン(Domain1)。Nortel SNAS 4050ドメイン は、Nortel SNAS 4050に関連付けられるすべてのスイッチ、認証 サーバー、Remediationサーバーを含んでいます。 2 仮想SSLサーバー。仮想SSLサーバーにポータルIPアドレス (pVIP)を割り当てます。クライアントがポータルにアクセスするに は、pVIPに接続する必要があります。 3 テスト証明書がインストールされ、Nortel SNAS 4050ポータル にマッピングされます。 4 認証方式をローカル データベースに設定します。 5 1つのテスト ユーザーを設定します。 クイック セットアップ ウィザー ドで、ユーザー名とパスワードを入力するように指示されます(例で は、ユーザー名とパスワードの両方にtgを設定しています)。 テスト ユーザーは、グループtunnelguardに属しています。 このグループ には、2つのプロファイルtg_passedとtg_failedがあります。 各プロ ファイルは、クライアント フィルタとリンクセットに関連付けられて Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 43 います。 これらのプロファイルによって、ユーザーが割り当てられ るVLANが決まります。「表 3 拡張プロファイルの詳細情報」(43 ページ)に、作成した拡張プロファイルを示します。 表 3 拡張プロファイルの詳細情報 イン デッ クス クライアント フィ ルタ名 VLAN ID リンクセット名 1 tg_failed yellow tg_failed 2 tg_passed green tg_passed 6 DNS検索リストには、クイック セットアップ ウィザードの求めに応じ て指定したドメイン名が追加されています。これは、ポータルの各 種のアドレス フィールドに、クライアントで短縮形の名前を入力でき ることを意味します(たとえば、検索リストに example.com を追加して いた場合は、 inside.example.com の代わりに inside )。 7 httpからhttpsへのリダイレクションを有効にするオプションを選択し た場合は、Nortel SNAS 4050ポータルでSSL接続が必要になるの で、httpに対するリクエストをhttpsにリダイレクトするためのhttpタイ プの追加のサーバーを作成します。 ― 終わり ― Nortel SNAS 4050デバイスのクラスタへの追加 最初のNortel SNAS 4050をクラスタにインストール(「単一Nortel SNAS 4050デ バイスまたはクラスタ内の最初のデバイスのセットアップ」(37 ページ)を参照) した後で、2番目のNortel SNAS 4050セットアップで同じMIPを使用するように 設定することによって、Nortel SNAS 4050をクラスタに追加することができます。 Nortel SNAS 4050を既存のクラスタに加入させる場合、2番目のNortel SNAS 4050は大部分の設定情報をクラスタ内の既存のNortel SNAS 4050デバイスか ら取得します。セットアップで指定する設定情報は、最小限で済みます。 クラスタ、デバイス、およびインタフェースの設定は、 /cfg/sys/[host <host ID> /interface] コマンドを使用して後で変更することができます。 事前作業 既存のNortel SNAS 4050デバイスにログオンして、ソフトウェアのバージョンと システム設定をチェックします。/boot/software/curコマンドを使用して、現在 インストールされているソフトウェア バージョンを調べることができます(詳細 は、「Nortel SNAS 4050デバイス用のソフトウェアの管理」(299 ページ)を参 照)。 /cfg/sys/accesslist/list コマンドを入力して、現在のアクセス リストを 表示します(詳細は、「アクセス リストの設定」(221 ページ)を参照)。 以下の要件が満たされていない限り、デバイスを加入させるオペレーションを 先に進めないでください。 • 新しいNortel SNAS 4050デバイスに割り当てるIPアドレスが、Nortel SNAS のネットワーク要件を満たしていることを確認します。詳細については、「IP アドレスについて」(36 ページ)と「インタフェースの設定」(29 ページ)を 参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 44 第2章 初期セットアップ • 必要に応じて、アクセス リストが更新されていること。 アクセス リストは、TelnetとSSHを使用してNortel SNAS 4050デバイスに アクセスすることが許可されているホストのIPアドレスのシステム全体の リストです。 既存のNortel SNAS 4050で /info/sys コマンドを実行してもアクセス リスト に設定されているアイテムがまったく表示されない場合は、アクションをと る必要はありません。ただし、新しいNortel SNAS 4050をクラスタに加入 させる前にアクセス リストが空でない場合は、アクセス リストにクラスタの MIP、Interface 1上の既存のNortel SNAS 4050 RIP、およびInterface 1上の 新しいNortel SNAS 4050 RIPを追加する必要があります。これは加入オ ペレーションを行う前に実行する必要があります。さもないと、デバイス は相互に通信できなくなります。 アクセス リストにエントリを追加する方法については、「アクセス リストの設 定」(221 ページ)を参照してください。 • 既存のNortel SNAS 4050と新しいNortel SNAS 4050で、同じバージョンの ソフトウェアを使用する必要があります。バージョンが異なる場合は、使用 するバージョンを決定した後で、次の操作のいずれかを行います。 — 新しいNSNASのバージョンを変更するには、必要なソフトウェア イメー ジをダウンロードして、ソフトウェアを再インストールします(「ソフトウェ アの再インストール」(308 ページ)を参照)。 — 既存のNSNASのバージョンを変更するには、必要なソフトウェア イメー ジをダウンロードして、既存のクラスタのソフトウェアをアップグレードし ます(「Nortel SNAS 4050のアップグレード」(303 ページ)を参照)。 備考: 常に最新のソフトウェア バージョンを使用することを推奨します。 クラスタへの加入 ステップ 操作 1 以下のユーザー名とパスワードを使用して、ログオンします。 login : admin password : admin Setupメニューが表示されます。 Alteon iSD NSNAS Hardware platform: 4050 Software version: x.x [Setup Menu] join Join an existing cluster new Initialize host as a new installation boot Boot menu info Information menu exit Exit [global command, always available] >> Setup# 2 既存のクラスタに加入するためのオプションを選択します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 45 >> Setup# join Setup will guide you through the initial configuration. 3 管理インタフェースのポート番号を指定します。このポートは Interface 1に割り当てられます。 Enter port number for the management interface [14]: <port> 1アーム構成では、すべてのネットワーク接続で使用するポー トを指定します。Interface 1は、管理トラフィック(Nortel SNAS 4050の管理とイントラネット リソースへの接続)とクライアント ポータル トラフィック(クライアント上のTunnelGuardアプレットと ポータルとの間のトラフィック)の両方で使用されるからです。 備考: 完全性のために、クラスタ内のすべてのNortel SNAS 4050デバイスの管理インタフェース ポートに、同じポー ト番号を指定することを推奨します。 4 このデバイスのRIPを指定します。このIPアドレスはInterface 1に 割り当てられます。 Enter IP address for this machine (on management interface): <IPaddr> RIPは、ネットワーク内で一意で、MIPと同じサブネット内にある 必要があります。 5 Interface 1のRIP用のネットワーク マスクを指定します。 Enter network mask [255.255.255.0]: <mask> 6 コア ルーターが入力パケットにVLANタグIDを付加する場合は、使 用するVLANタグIDを指定します。 Enter VLAN tag id (or zero for no VLAN) [0]: 7 クライアント ポータル トラフィックのためのインタフェースを設定し ます(Interface 2)。 a. クライアント ポータル インタフェースにポート番号を指定しま す。このポートはInterface 2に割り当てられます。ポート番号に は、管理インタフェース(Interface 1)のポート番号とは異なる番 号を指定する必要があります。 b. Interface 2のRIPを指定します。 c. Interface 2のRIP用のネットワーク マスクを指定します。 d. コア ルーターが入力パケットにVLANタグIDを付加する場合 は、使用するVLANタグIDを指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 46 第2章 初期セットアップ Enter port number for the traffic interface [14]: <port> Enter IP address for this machine (on traffic interface): <IPaddr> Enter network mask [255.255.255.0]: <mask> Enter VLAN tag id (or zero for no VLAN) [0]: 8 既存のクラスタのMIPを指定します。 The system is initialized by connecting to the management server on an existing iSD, which must be operational and initialized. Enter the Management IP (MIP) address: <IPaddr> 9 Interface 2のデフォルトのゲートウェイIPアドレスを指定します。デ フォルト ゲートウェイは、他のインタフェースを指定しなかった場合 に使用される、コア ルーター上のインタフェースのIPアドレスです。 Interface 2のデフォルト ゲートウェイIPアドレスは、Interface 2のRIP と同じサブネット内にある必要があります。 Enter default gateway IP address (on the traffic interface): <IPaddr> 10 既存のクラスタに設定されている、正しいadminユーザー パス ワードを指定します。 Enter the existing admin user password: <password> 11 セットアップ ユーティリティが処理を終了するまで待ちます。処理が 終了すると、 Setup successful が表示されます。 新しいNortel SNAS 4050はその他の必要な情報をすべてクラス タ内の既存のNortel SNAS 4050から取得します。しばらくすると、 login プロンプトが表示されます。 Setup successful. login: ― 終わり ― 次の手順 ステップ 操作 1 Nortel SNAS 4050に対するSREM接続を有効にするには、次の 操作を行います。 a. /cfg/sys/adm/ssh on コマンドを使用して、Nortel SNAS 4050 へのSSHアクセスを有効にします(詳細は、「管理機能の設 定」(229 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第2章 初期セットアップ 47 b. /cfg/sys/adm/srsadmin ena コマンドを使用して、TunnelGuard SRS管理を有効にします(詳細は、「TunnelGuard SRS管理の有 効化」(231 ページ)を参照)。 備考: セキュリティを強化するために、Nortel SNAS 4050への アクセスを、アクセス リストに指定されたマシンのみに 制限することができます。そのようにするには、アクセス リストにSREMのIPアドレスを追加する必要があります。 アクセス リストを使用してTelnetとSSHによるアクセスを 制御する方法の詳細については、「アクセス リストの設 定」(221 ページ)を参照してください。 この時点で、CLI、SREM、BBIのいずれを使用しても、Nortel SNAS 4050を設定できるようになります。 2 Telnetを使ってリモート管理を有効にするには、 /cfg/sys/adm/telnet on コマンドを使用して、Nortel SNAS 4050 へのTelnetアクセスを有効にします(詳細は、「管理機能の設定」 (229 ページ)を参照)。 3 Nortel SNAS 4050からネットワークの他のデバイスへの接続を完了 するには、次の操作を行います。 a. Nortel SNAS 4050とネットワーク アクセス デバイスの間の通 信用のSSHキーを生成してアクティブにします(「SSHキーの 管理」(59 ページ)を参照)。 b. tunnelguardグループ用のSRSルールを指定します(「グループ の設定」(114 ページ)を参照)。 c. ネットワーク アクセス デバイスを追加します(「ネットワーク アク セス デバイスの追加」(51 ページ)を参照)。 d. VLANマッピングを指定します(「VLANのマッピング」(57 ペー ジ)を参照)。 e. 初期セットアップでクイック セットアップ ウィザードを使用しな かった場合は、以下の設定を行います。 • ドメインを作成します(「ドメインの作成」(70 ページ)を参 照)。 • 少なくとも1つのグループを作成します。 • TunnelGuardチェックが成功した場合と失敗した場合に使 用するVLANを指定します(「拡張プロファイルの設定」 (122 ページ)を参照)。 4 設定を保存します(「設定の適用と保存」(47 ページ)を参照)。 ― 終わり ― 設定の適用と保存 設定変更を永続的にし、バックアップ設定ファイルを作成するには、コマンドを 明示的に使用する必要があります。 一連の設定手順の後でそのような操作をしていなかった場合は、 apply コマ ンドを使用して変更を確定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 48 第2章 初期セットアップ 画面に設定情報を表示して、テキスト ファイルでコピー アンド ペーストを行う には、次のコマンドを使用します。 /cfg/dump 設定情報をTFTP、FTP、SCP、またはSFTPサーバーに保存するには、次のコ マンドを使用します。 /cfg/ptcfg 詳細については、「設定のバックアップまたは復元」(296 ページ)を参照し てください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 49 第3章 ネットワーク アクセス デバイ スの管理 本章では、以下のトピックについて説明します。 トピック 「事前作業」(49 ページ) 「ネットワーク アクセス デバイスの管理」(50 ページ) 「ドメイン コマンドのロードマップ」(50 ページ) 「ネットワーク アクセス デバイスの追加」(51 ページ) 「ネットワーク アクセス デバイスの削除」(55 ページ) 「ネットワーク アクセス デバイスの設定」(55 ページ) 「VLANのマッピング」(57 ページ) 「SSHキーの管理」(59 ページ) 「スイッチのヘルスの監視」(64 ページ) 「ネットワーク アクセス デバイスとの通信の制御」(65 ページ) 事前作業 Trusted Computing Group(TCG)の用語では、Nortel SNAソリューション機能の エッジ スイッチをポリシー エンフォースメント ポイントと呼びます。このガイドで は、Nortel SNASネットワーク用に設定したエッジ スイッチを、ネットワーク アク セス デバイスと呼ぶことにします。 Nortel SNAソリューションでは、以下のエッジ スイッチがネットワーク アクセス デバイスとして機能します。 • Ethernet Routing Switch 8300 • Ethernet Routing Switch 5510、5520、5530 エッジ スイッチをNortel SNAS 4050ドメインのネットワーク アクセス デバイスと して設定する前に、以下の操作を完了する必要があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 50 第3章 ネットワーク アクセス デバイスの管理 • 必要に応じて、ドメインを作成します。 初期セットアップでクイック セット アップ ウィザードを実行した場合は、Domain 1はすでに作成されていま す。ドメインの作成方法については、「第4章 ドメインの設定」(67 ページ) を参照してください。 • Nortel SNAS用にエッジ スイッチを設定します(「Nortel SNAS 4050の設定 のロードマップ」(31 ページ)のステップ4を参照)。Nortel SNASにエッジ ス イッチを設定する方法については、『Release Notes for the Ethernet Routing Switch 8300, Software Release 2.2.8』または『Release Notes for Nortel Ethernet Routing Switch 5500 Series, Software Release 5.0.1』を参照してください。 Nortel SNAS 4050とネットワーク アクセス デバイスとの間でセキュアな通信 を行うためには、両者がそれぞれ相手のSSH公開キーを認識している必要 があります。ネットワーク アクセス デバイスをNortel SNAS 4050ドメインに追 加してから、必要なキーを交換する必要があります(「SSHキーの管理」(59 ページ)を参照)。 各ネットワーク アクセス デバイスについて、以下の情報が必要です。 • スイッチのIPアドレス • Red、Yellow、Green VLANのVLAN名とVLAN ID • Nortel SNAS通信で使うTCPポート • Ethernet Routing Switch 8300スイッチの場合は、有効なrwaユーザー名 ネットワーク アクセス デバイスの管理 /cfg/domain #/switch #/ena コマンドを使用してNortel SNAS 4050上の スイッチを有効にすると、Nortel SNAS 4050はネットワーク アクセス デバイ スとの通信をただちに開始します。 スイッチを有効にすると、Nortel SNAS 4050ドメイン内ではネットワーク アクセ ス デバイスのマッピングを設定できなくなります。ネットワーク アクセス デバイ スをドメインに追加すると、デフォルトではそのデバイスが無効になります。設 定を完了するまでは、ネットワーク アクセス デバイスを有効にしないでくだ さい。既存のネットワーク アクセス デバイスのVLANマッピングを再設定す るには、まず、 /cfg/domain #/switch #/dis コマンドを使用して、そのデバ イスを無効にする必要があります。 ドメイン コマンドのロードマップ 以下のロードマップでは、Nortel SNASの配備に使用するネットワーク アクセ ス デバイスを設定するためのCLIコマンドを示します。 この一覧表をクイック リファレンスとして使用するか、このマニュアルのエントリをクリックして、詳し い説明を参照してください。 コマンド パラメータ /cfg/domain #/switch <switch ID> /cfg/domain #/switch #/delete /cfg/domain #/switch <switch ID> name <name> type ERS8300|ERS5500 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 51 パラメータ コマンド ip <IPaddr> port <port> rvid <VLAN ID> reset ena dis delete add <name> <VLAN ID> /cfg/domain #/vlan del <index> list /cfg/domain #/switch #/vlan add <name> <VLAN ID> del <index> list /cfg/domain #/sshkey generate show export /cfg/domain #/switch #/sshkey import add del show export user <user> /cfg/domain #/switch #/hlthchk interval <interval> deadcnt <count> sqint <interval> /cfg/domain #/switch #/dis /cfg/domain #/switch #/ena ネットワーク アクセス デバイスの追加 ネットワーク アクセス デバイスを設定に追加するには、次の2つの方法があり ます。ドメイン設定に追加する各スイッチに対して、以下の手順を繰り返す 必要があります。 • 「スイッチのクイック セットアップ ウィザードの使用法」(51 ページ) • 「手動によるスイッチの追加」(53 ページ) スイッチのクイック セットアップ ウィザードの使用法 スイッチのクイック セットアップ ウィザードを使用して、ネットワーク アクセス デバ イスをNortel SNAS 4050ドメインに追加するには、次のコマンドを使用します。 /cfg/domain 1/quick Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 52 第3章 ネットワーク アクセス デバイスの管理 スイッチのクイック セットアップ ウィザードで作成したすべての設定は、後で 変更することができます(「ネットワーク アクセス デバイスの設定」(55 ペー ジ)を参照)。 ステップ 操作 1 スイッチのクイック セットアップ ウィザードを起動します。 >> Main# cfg/domain 1/quick 2 スイッチのタイプを指定します。 有効なオプションは以下のとおり です。 • ERS8300 (Ethernet Routing Switch 8300の場合) • ERS5500 または ERS55 (Ethernet Routing Switch 5510、5520、 5530の場合) デ フ ォ ル ト は ERS8300 で す 。 備考: 入力の大文字と小文字は区別されます。 Enter the type of the switch (ERS8300/ERS5500/ERS4500) [ERS8300]: 3 ネットワーク アクセス デバイスのIPアドレスを指定します。 IP address of Switch: <IPaddr> 4 Nortel SNAS 4050とネットワーク アクセス デバイスとの間の通信用 のTCPポートを指定します。 デフォルトはポート5000です。 NSNA communication port[5000]: 5 スイッチのSSHフィンガプリントは、スイッチが到達可能な場合は自 動的に収集されます。フィンガプリントが正しく検出されている場 合は、ステップ7に進みます。 フィンガプリントが正しく検出されていない場合は、エラー メッセージが表示され、SSHキーの入力が求められます。 Trying to retrieve fingerprint...failed. Error: "Failed to retrieve host key" Do you want to add ssh key? (yes/no) [no]: 次のいずれかを行います。 a. スイッチからダウンロードした公開キーを貼り付ける場合は、 Yes を入力します。 ステップ6に進みます。 b. この時点ではSSH公開キーを追加せず、設定へのスイッチの 追加を継続する場合は、[Enter]を押して、デフォルト値(no )を 受け入れます。スイッチの追加が完了してから、スイッチのSSH 公開キーを追加またはインポートします(「Nortel SNAS通信用 のSSHキーの管理」(62 ページ)を参照)。 ステップ7に進みます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 6 53 スイッチの公開キーを追加するには、次の操作を行います。 a. SSHキーの追加を求めるプロンプトに対して、Yesを入力します。 b. プロンプトが表示されたら、テキスト ファイルからキーを貼り付 け、[Enter]を押します。 c. 省略記号(...)を入力して、キーの終了を伝えます。 d. 作業を続けるには、ステップ7に進みます。 Do you want to add ssh key?(yes/no) [no]: yes Paste the key, press Enter to create a new line, and then type "..."(without the quotation marks) to terminate. > 47.80.18.98 sshdss AAAAB3NzaC1kc3MAAABRAJfEJJvYic9yOrejtZ88prdWdRWBF 8Qkm9iJz3I6t6O1nzymt1Z1DVMXxCSb2InPcjq3o7WfPKa3Vn UNUgTpESrFlH7ooK+Zys8iEUbmJ3kpAAAAFQCUE/74fr6ACax JpMcz0TlWwahdzwAAAFEAgPWVrk0VOOXQmfLhutwaTrxltIDk JzOEIXPfAIEpvDsvnlNkFE/i2vVdq/GTKmAghfN3BYjRIQT0P AwUKOS5gkyfLG9I5rKqJ/hFWJThR4YAAABQI9yJG5Q7q+2Pnk +tx1Kd44nCD6/9j7L4RIkIEnrDbgsVxvMcsNdI+HLnN+vmBR5 wd+vrW5Bq/ToMvPspwI+WbV8TjycWeC7nk/Tg++X53hc= > ... 7 ネットワーク アクセス デバイスに設定済みの、Red VLAN用の VLAN IDを指定します。 ドメイン内のネットワーク アクセス デバ イスは、共通のRed VLANを共有することも、個別のRed VLAN を持つこともできます。 Red vlan id of Switch: <VLAN ID> 8 ウィザードがネットワーク アクセス デバイスを追加するのを待ってか ら、 Apply を入力して、変更をアクティブにします。システムは、ネッ トワーク アクセス デバイスに、利用可能なスイッチIDの中から最 小のIDを割り当てます。 スイッチは、はじめて設定に追加された段階では無効になってい ます。システムの設定を完了するまでは、スイッチは有効にしな いでください。 詳細については、「ネットワーク アクセス デバイス の設定」(55 ページ)を参照してください。 Creating Switch 1 Use apply to activate the new Switch. >> Domain 1# ― 終わり ― 手動によるスイッチの追加 手動でネットワーク アクセス デバイスを追加して設定するには、次のコマン ドを使用します。 /cfg/domain #/switch <switch ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 54 第3章 ネットワーク アクセス デバイスの管理 switch IDは1~255の範囲の整数で、Nortel SNAS 4050ドメイン内のネット ワーク アクセス デバイスを一意に識別するIDです。 ネットワーク アクセス デバイスをはじめて追加するときには、以下の情報を入 力するように求められます。 • スイッチ名:Nortel SNAS 4050上のスイッチを識別する文字列です。 文字 列の最大長は、255文字です。 スイッチ名を定義したら、スイッチ名かス イッチIDを使用して、Switchメニューにアクセスします。 • スイッチのタイプ:有効なオプションは、 ERS8300 と ERS5500 です。入力の 大文字と小文字は区別されます。 • スイッチのIPアドレス • NSNA通信ポート:Nortel SNAS 4050とネットワーク アクセス デバイスとの 間の通信用のTCPポートを指定します。 デフォルトはポート5000です。 • Red VLAN ID:スイッチに設定済みのRed VLAN用のVLAN IDを指定 します。 • ユーザー名:スイッチのrwaユーザーのユーザー名です(Ethernet Routing Switch 8300の場合にのみ必要)。 スイッチのSSHフィンガプリントは、スイッチが到達可能な場合は自動的に収 集されます。フィンガプリントが正しく検出されていない場合は、エラー メッ セージ( Error: Failed to retrieve host key )が表示されます。スイッチ の追加が完了したら、スイッチのSSH公開キーを追加またはインポートする必 要があります(「Nortel SNAS通信用のSSHキーの管理」(62 ページ)を参照)。 Switchメニューが表示されます。 「図2 手動でのスイッチの追加」(55 ページ)に、 /cfg/domain #/switch コ マンドの出力例と、Switchメニューのコマンドを示します。Switchメニュー のコマンドの詳細については、「ネットワーク アクセス デバイスの設定」(55 ページ)で説明します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 55 図2 手動でのスイッチの追加 ネットワーク アクセス デバイスの削除 ドメイン設定からネットワーク アクセス デバイスを削除するには、最初にスイッ チを無効にしてから、それを削除します。次のコマンドを使用します。 /cfg/domain #/switch #/dis /cfg/domain #/switch #/delete disable コマンドと delete コマンドを実行すると、そのスイッチに接続していた すべてのクライアントがログアウトされます。 delete コマンドは、現在のスイッチをNortel SNAS 4050クラスタの制御か ら切り離します。 ネットワーク アクセス デバイスの設定 ネットワーク アクセス デバイスをNortel SNAS 4050ドメインにはじめて追加する ときには、デフォルトではスイッチが無効になります。スイッチの設定を完了する までは、スイッチを有効にしないでください。特に、VLANをマッピング(「VLAN のマッピング」(57 ページ)を参照)して、必要なSSHキーを交換する(「SSH キーの管理」(59 ページ)を参照)までは、スイッチは有効にしないでください。 既存のネットワーク アクセス デバイスのVLANマッピングの再設定または VLANの削除を行うには、最初に /cfg/domain #/switch #/dis コマンドを使 用して、そのデバイスを無効にする必要があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 56 第3章 ネットワーク アクセス デバイスの管理 備考: Nortel SNASネットワーク内でネットワーク アクセス デバイスをアク ティブにするには、設定を完了した後でそのデバイスを有効にし ておく必要があることを忘れないでください。 Nortel SNAS 4050ドメイン内でネットワーク アクセス デバイスを設定するには、 次のコマンドを使用します。 /cfg/domain #/switch <switch ID> switch ID は、設定対象のスイッチのIDまたは名前です。 Switchメニューが表示されます。 このSwitchメニューには、以下のオプションがあります。 /cfg/domain #/switch <switch ID> 後に続くパラメータ name <name> スイッチに名前を付けるか、またはスイッチ の名前を変更します。 スイッチ名を定義し たら、スイッチ名またはスイッチIDを使用し てSwitchメニューにアクセスします。 • name は、ドメイン内で一意の文字列に する必要があります。 スイッチ名の文字 列の最大長は、255文字です。 type ERS8300|ERS5500 ネットワーク アクセス デバイスのタイプを 指定します。 有効なオプションは、以下の とおりです。 • ERS8300 :Ethernet Routing Switch 8300 • ERS5500:Ethernet Routing Switch 5510、 5520、5530 デフォルトは ERS8300 です。 ip <IPaddr> スイッチのIPアドレスを指定します。 port <port> Nortel SNAS通信で使用するTCPポートを 指定します。 デフォルトはポート5000です。 hlthchk Healthcheckメニューにアクセスして、 Nortel SNAS 4050によるスイッチのヘルス 監視を設定します(「スイッチのヘルスの監 視」(64 ページ)を参照)。 vlan Switch Vlanメニューにアクセスして、スイッ チに設定されているGreen VLANとYellow VLANをマッピングします(「VLANのマッピ ング」(57 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 57 /cfg/domain #/switch <switch ID> 後に続くパラメータ rvid <VLAN ID> ネットワーク アクセス デバイスのRed VLAN を識別します。 • VLAN ID は、スイッチに設定済みのRed VLANのIDです。 sshkey SSH Keyメニューにアクセスして、スイッチ とNortel SNAS 4050との間の公開キーの交 換を管理します(「Nortel SNAS通信用の SSHキーの管理」(62 ページ)を参照)。 reset スイッチにあるすべてのNortel SNAS対応 ポートをリセットします。ポートに接続されて いたクライアントは、Red VLANに移されま す。 ena ネットワーク アクセス デバイスを有効にしま す。スイッチを有効にすると、Nortel SNAS 4050はスイッチとの通信とNortel SNASクラ イアントの制御をただちに開始します。 dis Nortel SNASを操作するために、スイッチを 無効にします。 delete スイッチをNortel SNAS 4050のドメイン設 定から削除します。 VLANのマッピング ネットワーク アクセス デバイス上には、VLANが設定されています。スイッチを 追加するときには、各ネットワーク アクセス デバイスにRed VLANを指定します (「ネットワーク アクセス デバイスの追加」(51 ページ)を参照)。スイッチの追 加が終わったら、Nortel SNAS 4050に対してYellow VLANまたはGreen VLAN を判断して指定する必要があります。 VLANのマッピングは、次の2つの方法で行うことができます。 • ドメイン内のすべてのスイッチを対象にする( /cfg/domain #/vlan/add コ マンドを使用します) • スイッチごとに行う( /cfg/domain #/switch #/vlan/add コマンドを使用 します) VLANのマッピングはドメイン単位に行うことを推奨します。この方法では、同 じVLAN IDを使用するスイッチを後で追加したときに、自動的にそのVLAN マッピングが採用されます。 ドメイン単位でVLANをマッピングしておけば、特定のネットワーク アクセス デ バイスのマッピングをスイッチ レベルのvlanコマンドを使用して変更することが できます。スイッチ レベルの設定は、ドメイン設定を上書きします。 Nortel SNAS 4050ドメイン内のすべてのネットワーク アクセス デバイスの VLANマッピングを管理するには、最初にドメイン内のすべてのスイッチを 無効にし、その後、次のコマンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 58 第3章 ネットワーク アクセス デバイスの管理 /cfg/domain #/vlan 特定のネットワーク アクセス デバイスのVLANマッピングを管理するには、最 初にドメイン内のスイッチを無効にし、その後、次のコマンドを使用します。 /cfg/domain #/switch #/vlan Nortel SNAS 4050は、ドメインとスイッチの個別のマッピングを管理します。 VLANをドメイン レベルの vlan コマンドを使用して追加した場合は、以後そ のマッピングの管理を、ドメイン レベルのコマンドを使用して行う必要があ ります。同様に、VLANをスイッチ レベルの vlan コマンドを使用して追加し た場合は、以後そのマッピングの管理を、スイッチ レベルのコマンドを使 用して行う必要があります。 Domain vlanメニューまたはSwitch vlanメニューが表示されます。 Domain vlanメニューまたはSwitch vlanメニューには、以下のオプション があります。 /cfg/domain #[/switch #]/vlan 後に続くパラメータ add <name> <VLAN ID> 指定したVLANを、ドメインまたはスイッ チのVLANマッピングに追加します。必 要なパラメータをコマンドで指定しなかっ た場合、その入力が求められます。 • name は、スイッチに設定されている VLANの名前です。 • VLAN ID は、スイッチに設定されてい るVLANのIDです。 VLANエントリを追加すると、システムに よってインデックス番号が自動的に割り 当てられます。Domain vlanメニューか らコマンドを実行している場合には、イン デックス番号はドメイン マッピング内の 新しいエントリの位置を示しています。 Switch vlanメニューからコマンドを実 行している場合、インデックス番号はス イッチのマッピング内の新しいエントリの 位置を示しています。 このコマンドを、ネットワーク アクセス デ バイスに設定されている各Green VLAN と各Yellow VLANについて繰り返しま す。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 59 /cfg/domain #[/switch #]/vlan 後に続くパラメータ 指定したVLANエントリを該当するVLAN マッピングから削除します。 del <index> • indexは、VLANマッピングの作成時 にVLANマッピングに自動的に割り 当てられたインデックス番号を示す 整数です。 残りのエントリのインデックス番号は、削 除の結果に応じて調整されます。 マッピング内のすべてのVLANエント リのインデックス番号を表示するには、 /cfg/domain #[/switch #]/vlan/list コマンドを使用します。 マッピング内のすべてのVLANエントリ のインデックス番号、名前、VLAN ID を表示します。 list SSHキーの管理 Nortel SNAS 4050ドメインで制御されるNortel SNAS 4050とネットワーク アク セス デバイスは、その後のSSH通信で相互に認証を行うことができるよう に、公開キーを交換します。 Nortel SNAS 4050とネットワーク アクセス デバイスの間のセキュアな通信を有 効にするには、次の操作を行います。 ステップ 操作 1 必要に応じて、Nortel SNAS 4050ドメイン用の公開キーを生成し ます(「ドメイン用のSSHキーの生成」(60 ページ)を参照)。変更 をただちに適用します。 ドメインを手動で作成していた場合は、SSHキーは自動的に生成さ れています(「手動によるドメインの作成」(70 ページ)を参照)。 備考: Nortel SNAS 4050ドメイン内のSSHキーは、クラスタ内 のすべてのNortel SNAS 4050ホストで初期セットアップ 中に生成されたSSHキーと同じではありません(「第2章 初期セットアップ」(35 ページ)のステップ15を参照)。 2 Nortel SNAS 4050の公開キーを、各ネットワーク アクセス デバイス にエクスポートします。 • Ethernet Routing Switch 8300に対しては、次の操作を行い ます。 /cfg/domain #/switch #/sshkey/export コマンドを使用して、 スイッチにキーを直接エクスポートします(「Nortel SNAS通信用 のSSHキーの管理」(62 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 60 第3章 ネットワーク アクセス デバイスの管理 • Ethernet Routing Switch 5510、5520、5530に対しては、次の 操作を行います。 /cfg/domain #/sshkey/export コマンドを使用して、キーを TFTPサーバーにアップロードし、スイッチから手動で検索でき るようにします(「ドメイン用のSSHキーの生成」(60 ページ)を 参照)。キーをサーバーからスイッチにダウンロードする方法 については、『Release Notes for Nortel Ethernet Routing Switch 5500 Series, Software Release 5.0.1』を参照して ください。 キーを再生成した場合は、必ずそのキーを各ネットワーク アク セス デバイスにエクスポートし直す必要があります。 備考: ネットワーク アクセス デバイスを有効にした後で キーをエクスポートした場合は、変更をアクティブ にするために、スイッチを無効にしてから再度有効 にする必要があります。 3 各ネットワーク アクセス デバイスについて、必要に応じて公開キー をNortel SNAS 4050ドメインにインポートします(「Nortel SNAS通信 用のSSHキーの管理」(62 ページ)を参照)。 • Ethernet Routing Switch 8300の場合は、キーは次の2通りの方 法で検索することができます。 — /cfg/domain #/switch #/sshkey/import コマンドを使 用して、ネットワーク アクセス デバイスからキーを直接イ ンポートします。 — /cfg/domain #/switch #/sshkey/add コマンドを使用し て、キーに貼り付けます。 • Ethernet Routing Switch 5510、5520、5530に対しては、次の 操作を行います。 — /cfg/domain #/switch #/sshkey/import コマンドを使 用して、ネットワーク アクセス デバイスからキーを直接イ ンポートします。 ネットワーク アクセス デバイスをドメイン設定に追加したときに接続 可能だった場合、SSHキーは自動的に検索されています。 ネットワーク アクセス デバイスが接続できなかった場合は、新しい 公開キーが生成されます。スイッチが新しい公開キーを生成したと きは、必ずインポートし直す必要があります(「ネットワーク アクセス デバイス SSHキーの再インポート」(63 ページ)を参照)。 備考: 通常は、SSHコマンドを実行した直後に、必ず Apply を 実行して、変更をただちに適用します。 ― 終わり ― ドメイン用のSSHキーの生成 ドメイン用のSSH公開キーの生成、表示、エクスポートを行うには、次のコ マンドを使用します。 /cfg/domain #/sshkey Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 61 NSNAS SSH keyメニューが表示されます。 NSNAS SSH keyメニューには、以下のオプションがあります。 /cfg/domain #/sshkey 後に続くパラメータ generate ドメイン用のSSH公開キーを生成します。Nortel SNAS 4050ドメインでは、一時点で1つのキー のみが有効です。すでにキーがある場合は、 置き換えるかどうかの確認を求められます。 Applyを入力すると、変更がただちに適用され、 キーが作成されます。 show ドメイン用に生成されたSSH公開キーを表示 します。 export Nortel SNAS 4050ドメインの公開キーをファイル 交換サーバーにエクスポートします。 以下の情 報の入力を求めるプロンプトが表示されます。 • protocol:選択肢は、 tftp|ftp|scp|sftp です。 デフォルトは tftp です。 備考: TFTPを使用して、Ethernet Routing Switch 5500シリーズ ス イッチへのエクスポートを行い ます。Ethernet Routing Switch 5500シリーズ スイッチは、これ 以外のプロトコルはサポートし ていません。 • サーバーのホスト名またはIPアドレス • エクスポートするキーのファイル名(ファイ ルタイプは.pub) • FTP、SCP、SFTPの場合は、ファイル交換 サーバーにアクセスするためのユーザー 名とパスワード キーをEthernet Routing Switch 8300に直接エ クスポートするには、 /cfg/domain #/switch #/sshkey/exportコマンドを使用します(「Nortel SNAS通信用のSSHキーの管理」(62 ページ) を参照)。 「図3 ドメイン用のSSHキーの生成」(62 ページ)に、/cfg/domain #/sshkeyコ マンドの出力例を示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 62 第3章 ネットワーク アクセス デバイスの管理 図3 ドメイン用のSSHキーの生成 Nortel SNAS通信用のSSHキーの管理 ネットワーク アクセス デバイスの公開キーを検索して、その公開キーをドメイン にエクスポートするには、次のコマンドを使います。 /cfg/domain #/switch #/sshkey SSH Keyメニューが表示されます。 SSH Keyメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 63 /cfg/domain #/switch #/sshkey 後に続くパラメータ import ネットワーク アクセス デバイスが到達可能 な場合は、そこからSSH公開キーを検索 します。 add Ethernet Routing Switch 8300ネットワーク ア クセス デバイスからダウンロードしたキー ファイルの内容を貼り付けることができます。 プロンプトが表示されたら、キーを貼り付 け、[Enter]を押します。省略記号(...)を入 力して、キーの終了を伝えます。 del ドメイン内のネットワーク アクセス デバイス 用のSSH公開キーを削除します。 show ネットワーク アクセス デバイスのSSH公開 キーとフィンガプリントを表示します。 export Nortel SNAS 4050ドメイン用のSSH公開 キーを、ネットワーク アクセス デバイスに エクスポートします。 備考: このコマンドは、キーをEthernet Routing Switch 5500シリーズ スイッ チにエクスポートするのには使用 できません。このコマンドではなく、 /cfg/domain#1/sshkey/export コマ ンドを使用して、キーをファイル交 換サーバーにアップロードします。 user <user> ネットワーク アクセス デバイスのユーザー 名を指定します(Ethernet Routing Switch 8300の場合にのみ必要)。 • user は、スイッチを管理する(rwa)ユー ザーのユーザー名です。 ネットワーク アクセス デバイス SSHキーの再インポート ネットワーク アクセス デバイスが新しいSSH公開キーを生成するたびに、その 新しいキーをNortel SNAS 4050ドメインにインポートする必要があります。 ステップ 1 操作 /cfg/domain #/switch #/sshkey/del コマンドを使用して、元の キーを削除します。 2 Apply を入力して、変更をただちに適用します。 3 /cfg/domain #/switch #/sshkey/import コマンドを使用して、新 しいキーをインポートします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 64 第3章 ネットワーク アクセス デバイスの管理 4 Apply を入力して、変更をただちに適用します。 ― 終わり ― このコマンドの詳細については、「Nortel SNAS通信用のSSHキーの管理」(62 ページ)を参照してください。 スイッチのヘルスの監視 Nortel SNAS 4050は、常時、ネットワーク アクセス デバイスのヘルスを監視して います。ヘルス チェック デーモンは、ハートビート メカニズムとしてクエリと応答 を指定された間隔でスイッチに送ります。アクティビティ(ハートビート)を検出で きなかった場合、デーモンは指定されている回数(デッド カウント)だけヘルス チェックを試みます。それでもハートビートを検出できなかった場合は、ネット ワーク アクセス デバイスは、さらに一定の間隔(statusquo間隔)を置いてから、 すべてのクライアントをRed VLANに移します。接続が再確立した場合、Nortel SNAS 4050はネットワーク アクセス デバイスとのセッションを同期させます。 ヘルス チェックの間隔、デッド カウント、statusquo間隔は、設定可能です。 Nortel SNAS 4050のヘルス チェックの間隔とデッド カウントやstatusquoモー ドを設定するには、次のコマンドを使用します。 /cfg/domain #/switch #/hlthchk HealthCheckメニューが表示されます。 HealthCheckメニューには、以下のオプションがあります。 /cfg/domain #/switch #/hlthchk 後に続くパラメータ interval <interval> スイッチのアクティビティをチェックする時 間間隔を指定します。 • interval は、秒( s )、分( m )、または時 間( h )を単位とする時間間隔を示す整 数です。有効な範囲は、60s(1m)~ 64800s(18h)です。デフォルトは1m(1 分)です。 deadcnt <count> ハートビートが検出できなかった場合に、 Nortel SNAS 4050がスイッチのアクティビ ティ チェックを繰り返す回数を指定します。 • count には、リトライの回数を1~65535 の範囲の整数で指定します。デフォル トは、3です。 指定した回数のリトライを行ってもハート ビートが検出できなかった場合は、Nortel SNAS 4050はstatusquoモードに入ります。 sqint <interval> statusquoモードが続く時間間隔を設定し ます。この時間が経過すると、ネットワーク Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第3章 ネットワーク アクセス デバイスの管理 65 /cfg/domain #/switch #/hlthchk 後に続くパラメータ アクセス デバイスはすべてのクライアントを Red VLANに移します。 • intervalは、秒(s)、分(m)、または時間 ( h )を単位とする時間間隔を示す整数 です。有効な範囲は、0~64800s(18h) です。デフォルトは1m(1分)です。 ネットワーク アクセス デバイスとの通信の制御 Nortel SNAS 4050とネットワーク アクセス デバイス間の通信を停止するには、 次のコマンドを使用します。 /cfg/domain #/switch #/dis Apply を入力すると、変更がただちに適用されます。 備考: スイッチがNortel SNASネットワークで使用できない状態になって いる場合は、スイッチを単に無効にするだけでなく、Nortel SNAS 4050ドメインから削除することを推奨します。 Nortel SNAS 4050とネットワーク アクセス デバイス間の通信を再開するには、 次のコマンドを使用します。 /cfg/domain #/switch #/ena Apply を入力すると、変更がただちに適用されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 66 第3章 ネットワーク アクセス デバイスの管理 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 67 第4章 ドメインの設定 本章では、以下のトピックについて説明します。 トピック 「ドメインの設定」(67 ページ) 「ドメイン コマンドのロードマップ」(68 ページ) 「ドメインの作成」(70 ページ) 「ドメインの削除」(75 ページ) 「ドメイン パラメータの設定」(75 ページ) 「TunnelGuardチェックの設定」(77 ページ) 「SSLサーバーの設定」(81 ページ) 「HTTPリダイレクトの設定」(93 ページ) 「高度な設定」(95 ページ) 「RADIUSアカウンティングの設定」(96 ページ) 「ローカルDHCPサービスの設定」(100 ページ) Nortel SNAS 4050ドメインには、Nortel SNAS 4050クラスタに関連付けられた すべてのスイッチ、認証サーバー、Remediationサーバーが含まれています。 初期セットアップでクイック セットアップ ウィザードを実行した場合は、Domain 1がすでに作成されています。クイック セットアップ ウィザードを使用しなかっ た場合は、少なくとも1つのドメインを作成する必要があります。ドメインの作成 方法については、「ドメインの作成」(70 ページ)を参照してください。 ドメインを削除するには、「ドメインの削除」(75 ページ)を参照してください。 備考: Nortel Secure Network Access Switch Software Release 1.6.1を使 用している場合は、Nortel SNAソリューションに複数のドメイン を作成することはできません。 ドメインの設定 ドメインを設定するには、次のコマンドを使用してDomainメニューにアク セスします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 68 第4章 ドメインの設定 /cfg/domain Domainメニューを使用すると、以下の設定と管理を行うことができます。 • 名前やポータルIPアドレス(pVIP)などのドメイン パラメータ(「ドメイン パラ メータの設定」(75 ページ)を参照) • 認証、許可、アカウンティング(AAA)機能 — 認証については、「第6章 認証の設定」(127 ページ)を参照してく ださい。 — 許可については、「第5章 グループおよびプロファイルの設定」 (109 ページ)と「TunnelGuardチェックの設定」(77 ページ)を参照 してください。 — アカウンティングについては、「RADIUSアカウンティングの設定」 (96 ページ)を参照してください。 • ドメイン ポータルで使用されるSSLサーバー(「SSLサーバーの設定」 (81 ページ)を参照) — SSL traceコマンド — SSLの設定 — syslogメッセージのトラフィック ログ • ポータルの設定(「第8章 ポータルとユーザー ログオンのカスタマイ ズ」(179 ページ)を参照) — キャプティブ ポータル — ポータルの画面 — リンクセット • ネットワーク アクセス デバイス(「第3章 ネットワーク アクセス デバイスの 管理」(49 ページ)を参照) • Nortel SNAS VLAN(「第3章 ネットワーク アクセス デバイスの管理」 (49 ページ)を参照) • ドメイン用のSSHキー(「SSHキーの管理」(59 ページ)を参照) • HTTPリダイレクトの設定(「HTTPリダイレクトの設定」(93 ページ)を参照) • バックエンド インタフェースやログのオプションなどの高度な設定(「高度 な設定」(95 ページ)を参照) ドメイン コマンドのロードマップ 以下のロードマップには、Nortel SNASの配備でドメインを設定するのに使用 するCLIコマンドを示します。 この一覧表をクイック リファレンスとして使用する か、このマニュアルのエントリをクリックして、詳しい説明を参照してください。 コマンド パラメータ /cfg/domain <domain ID> /cfg/quick Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 コマンド パラメータ /cfg/domain #/del /cfg/domain <domain ID> name <name> pvips <IPaddr> /cfg/domain #/aaa/tg recheck <interval> heartbeat <interval> hbretrycnt <count> hbretrycnt <count> action teardown | restricted list details on|off loglevel fatal | error | warning | info | debug /cfg/domain #/aaa/tg/quick cfg/domain nsnas235local/aaa/tg/desktopagent Usage: desktopagent <on|off|auto> /cfg/domain #/server port <port> interface <interface ID> dnsname <name> /cfg/domain #/server/trace ssldump tcpdump ping <host> dnslookup <host> traceroute <host> /cfg/domain #/server/ssl cert <certificate index> cachesize <sessions> cachettl <ttl> cacerts <certificate index> cachain <certificate index list> protocol ssl2 | ssl3 | ssl23 | tls1 ciphers <cipher list> ena dis /cfg/domain #/server/adv/traflog sysloghost <IPaddr> udpport <port> protocol ssl2 | ssl3 | ssl23 | tls1 priority debug | info | notice facility auth | authpriv | daemon | local07 ena dis Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 69 70 第4章 ドメインの設定 コマンド パラメータ /cfg/domain #/httpredir port <port> redir on | off interface <interface ID> /cfg/domain #/adv log /cfg/domain #/aaa/radacct ena dis /cfg/domain #/aaa/radacct/servers list del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> /cfg/domain #/aaa/radacct/vpnattribu vendorid vendortype ドメインの作成 ドメインは、次の2つの方法で作成することができます。 • 「手動によるドメインの作成」(70 ページ) • 「CLIでのNortel SNAS 4050ドメイン クイック セットアップ ウィザードの使 用法」(71 ページ) 手動によるドメインの作成 ドメインを手動で作成して設定するには、次のコマンドを使用します。 /cfg/domain <domain ID> domain ID は1~256の範囲の整数で、Nortel SNAS 4050クラスタ内のドメ インを一意に識別します。 ドメインをはじめて作成するときには、以下のパラメータを入力するように 求められます。 • ドメイン名:Nortel SNAS 4050上のドメインを識別する文字列です。覚えや すい名前にします。 ドメイン名の文字列の最大長は、255文字です。 • ポータル仮想IPアドレス(pVIP):Nortel SNAS 4050ポータルのIPアドレス です。ドメインには、複数のpVIPを設定することができます。複数のpVIPを 指定するには、カンマで区切ります。pVIPは、クライアントが認証とホスト 完全性チェックのために接続するアドレスです。 詳細については、「IPアド レスについて」(36 ページ)を参照してください。 Domainメニューが表示されます。 「図4 ドメインの作成」(71 ページ)に、/cfg/domain <domain ID>コマンドの出 力例と、Domainメニューのコマンドを示します。Domainメニューのコマンドの 詳細については、「ドメイン パラメータの設定」(75 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 71 図4 ドメインの作成 CLIでのNortel SNAS 4050ドメイン クイック セットアップ ウィザードの使用法 Nortel SNASクイック セットアップ ウィザードを使用して、ドメインを作成する には、次のコマンドを使用します。 /cfg/quick NSNASクイック セットアップ ウィザードは、初期セットアップで使用するクイック セットアップ ウィザードに似ています。 どちらのクイック セットアップ ウィザードでも、証明書とテスト ユーザーの作成 で選択するオプションに応じて、デフォルトの設定が作成されます(「クイック セットアップ ウィザードで作成された設定」(42 ページ)を参照)。 ドメイン クイック セットアップ ウィザードで作成したすべての設定は、後で変更 することができます(「ドメイン パラメータの設定」(75 ページ)を参照)。 ステップ 操作 1 ドメイン クイック セットアップ ウィザードを起動します。 >> Main# cfg/quick 2 Nortel SNAS 4050ドメインのpVIPを指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 72 第4章 ドメインの設定 後でpVIPを追加設定することができます(「ドメイン パラメータ の設定」(75 ページ)を参照)。 IP address of domain portal: <IPaddr> 3 Nortel SNAS 4050ドメインの名前を、覚えやすい名前で指定します。 Name of the domain: <name> 4 ポータルWebサーバーがSSL通信をリッスンするポートを指定しま す。HTTPS通信でのデフォルトは、ポート443です。 Listen port of domain portal [443]: 5 ポータル サーバーで使用される証明書を指定します。 Use existing certificate (no/1) [no]: システムに証明書が存在する場合は、証明書番号も入力しま す。次のいずれかを行います。 a. 証明書ファイルの内容をテキスト エディタで貼り付けて新しい 証明書を作成する場合は、[Enter]を押してデフォルト値( no ) を受け入れます。 ステップ6に進みます。 b. 新しい証明書を作成する場合は、[Enter]を押してデフォルト 値( no )を受け入れます。 ステップ7に進みます。 c. 既存の証明書を使用する場合は、該当する証明書番号を入力 します。 ステップ8に進みます。 /info/certs コマンドを使用すると、すべての設定済みの証明 書について主な属性を表示することができます。証明書番号は Certificate Menuの行に表示されます(たとえば、 Certificate Menu 1: )。 証明書とキーについての詳細は、「第10章 証明書の管理」(241 ページ)に説明してあります。 6 新しい証明書を作成するには、以下の操作を行います。 a. テスト証明書作成のプロンプトに対して、 No を入力します。 b. 入力のプロンプトが表示されたら、テキスト ファイルから証明書 とキーを貼り付け、[Enter]を押します。 c. 省略記号(...)を入力して、証明書の終了を伝えます。 d. 作業を続けるには、ステップ8に進みます。 Use existing certificate (no/1) [no]: Create a test certificate?(yes/no): no Enter server certificate. Paste the certificate and key, press Enter to create a new line, and then type "..."(without the quotation marks) to terminate. > 7 テスト証明書を作成するには、次の操作を行います。 a. テスト証明書作成のプロンプトに対して、 Yes を入力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 73 b. 入力のプロンプトが表示されたら、必要な証明書情報を入 力します。 詳細については、「CSRの生成と提出」(249 ペー ジ)を参照してください。 c. 作業を続けるには、ステップ8に進みます。 Use existing certificate (no/1) [no]: Create a test certificate? (yes/no): yes The combined length of the following parameters may not exceed 225 bytes. Country Name (2 letter code): State or Province Name (full name): Locality Name (eg, city): Organization Name (eg, company): Organizational Unit Name (eg, section): Common Name (eg, your name or your server’s hostname): Email Address: Subject alternative name (blank or comma separated list of URI:<uri>, DNS:<fqdn>, IP:<ipaddress>, email:<emailaddress>): Valid for days [365]: Key size (512/1024/2048/4096) [1024]: 8 SSLサーバーでチェーン証明書を使用するかどうかを指定します。 Do you require chain certificates (yes/no) [no]: 9 HTTPからHTTPSへのリダイレクションを有効にするには、リダイ レクト サーバーを作成します。 Do you want an http to https redirect server (yes/no) [no]: 10 ネットワーク アクセス デバイスをドメインに追加するかどうかを指 定します。 Do you want to configure a switch? (yes/no) [no]: ネットワーク アクセス デバイスを追加する場合は、 yes を入力してク イック スイッチ ウィザードを起動します。 ステップ11に進みます。 ネットワーク アクセス デバイスを追加しない場合は、[Enter]を押し てデフォルト値( no )を受け入れます。 ステップ12に進みます。 11 ネットワーク アクセス デバイスを追加する場合、プロンプトが表示 されたときに必要な情報を入力します。 詳細については、「ス イッチのクイック セットアップ ウィザードの使用法」(51 ページ)を 参照してください。 Do you want to configure a switch?(yes/no) [no]: yes Enter the type of the switch (ERS8300/ERS5500) [ERS8300]: IP address of Switch: NSNA communication port[5000]: Red vlan id of Switch: Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 74 第4章 ドメインの設定 作業を続けるには、ステップ12に進みます。 12 SRSルール チェックが失敗したときに実行するアクションを指定し ます。 次のオプションを指定することができます。 • restricted :セッションは継続されますが、アクセスはグルー プのアクセス ルールで指定されている権限に応じて制限付き になります。 • teardown :SSLセッションは終了します。 デフォルトは restricted です。 In the event that the TunnelGuard checks fails on a client, the session can be teardown, or left in restricted mode with limited access. Which action do you want to use for Health Agent check failure? (teardown/restricted) [restricted]: 13 デフォルトの tunnelguard グループにローカルなテスト ユーザー ( tg )を作成するかどうかを指定します。 Do you want to create a tunnelguard test user? (yes/no) [yes]: テスト ユーザーを作成する場合は、[Enter]を押してデフォル ト値( yes )を受け入れます。 ウィザードによって、デフォルトの tunnelguard グループに、パスワード tg を持つ、テスト ユーザー tg が作成されます。 テスト ユーザーを作成しない場合には、 no を入力します。 14 ウィザードがドメインの作成を完了するのを待ってから、 Apply を 入力して変更を有効にします。 ウィザードは、次のようなデフォルトのVLAN IDを割り当てます。 • Green VLAN = VLAN ID 110 • Yellow VLAN = VLAN ID 120 VLANマッピングは、ネットワーク アクセス デバイスを追加または変 更する際に、変更できます(「ネットワーク アクセス デバイスの設 定」(55 ページ)を参照)。ネットワーク アクセス デバイスをドメイン に追加したときは、Red VLANを指定します。 ウィザードで作成したコンポーネントは、前の手順で行った選択 に依存しています。たとえば、出力例には以下のオプションが表 示されています。 • 既存の証明書(Certificate 1)が使われている • ネットワーク アクセス デバイスは追加されていない • テスト ユーザーが作成されている ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 75 Creating Domain 2 Creating Client Filter 1 Name: tg_passed Creating Client Filter 2 Name: tg_failed Creating Linkset 1 Name: tg_passed This Linkset just prints the TG result Creating Linkset 2 Name: tg_failed This Linkset just prints the TG result Creating Group 1 Name: tunnelguard Creating Extended Profile 1 Giving full access when tg passed Creating "green" vlan with id 110 Creating Access rule 1 Giving remediation access when tg failed Creating Extended Profile 2 Creating "yellow" vlan with id 120 Creating Access rule 1 Using no SRS rule Creating Authentication 1 Adding user ’tg’ with password ’tg’ Using certificate 1 Use apply to activate the new domain. >> Configuration# ドメインの削除 ドメインを削除するには、次のコマンドを使用します。 /cfg/domain #/del このコマンドを実行すると、システム設定から現在のドメインが削除されます。 ドメインに設定されていた、ポータル、グループ、認証サービス、リンクセッ ト、およびネットワーク アクセス デバイスのメニューとサブメニュー内のすべ ての設定が削除されます。 ドメイン パラメータの設定 ドメインを設定するには、次のコマンドを使用します。 /cfg/domain <domain ID> domain ID は1~256の範囲の整数で、Nortel SNAS 4050クラスタ内のドメ インを一意に識別します。 Domainメニューが表示されます。 Domainメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 76 第4章 ドメインの設定 ドメイン パラメータの設定 /cfg/domain <domain ID> 後に続くパラメータ name<name> ドメインに名前を付けるか、ドメインの名前 を変更します。 • name は、ドメイン内で一意の文字列に する必要があります。 ドメイン名の文字 列の最大長は、255文字です。 名前は覚えやすくするためのもので、他の 目的で使われることはありません。 pvips <IPaddr> ドメインのpVIPを設定します。pVIPは、クラ イアントがNortel SNASネットワークにアクセ スするためのポータル アドレスです。 詳 細については、「IPアドレスについて」(36 ページ)を参照してください。 ドメインには、複数のpVIPを設定することが できます。ポータルに複数のIPアドレスを 設定する場合は、IPアドレスのエントリをカ ンマで区切ります。 aaa AAAメニューにアクセスして、認証、許可、 アカウンティングの機能を設定します。 • 認証については、「第6章 認証の設 定」(127 ページ)を参照してください。 • 許可については、「第5章 グループ およびプロファイルの設定」(109 ペー ジ)と「TunnelGuardチェックの設定」(77 ページ)を参照してください。 • アカウンティングについては、「RADIUS アカウンティングの設定」(96 ページ)を 参照してください。 server Serverメニューにアクセスして、ポータル SSLサーバーを設定します(「SSLサーバー の設定」(81 ページ)を参照)。 portal Portalメニューにアクセスして、クライアント のWebブラウザに表示されるポータル ペー ジをカスタマイズします(「第8章 ポータル とユーザー ログオンのカスタマイズ」(179 ページ)を参照)。 linkset Linksetメニューにアクセスして、ポータル Homeタブに表示されるリンクセットを設定 します(「リンクセットの設定」(201 ページ) を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 77 /cfg/domain <domain ID> 後に続くパラメータ switch Switchメニューにアクセスして、Nortel SNAS 4050ドメインで制御されるネットワー ク アクセス デバイスを設定します(「ネット ワーク アクセス デバイスの管理」(50 ペー ジ)を参照)。 vlan Domain vlanメニューにアクセスして、 Nortel SNAS 4050ドメイン上のVLANマッ ピングを管理します(「VLANのマッピング」 (57 ページ)を参照)。 sshkey NSNAS SSH keyメニューにアクセスして、 Nortel SNAS 4050ドメイン用のSSH公開 キーを生成して表示します(「ドメイン用の SSHキーの生成」(60 ページ)を参照)。 dnscapt DNS captureメニューにアクセスして、 Nortel SNAS 4050ドメイン ポータルをキャ プティブ ポータルとして設定し、除外リスト (Exclude List)を設定します(「キャプティブ ポータルの設定」(190 ページ)を参照)。 httpredir HTTP Redirメニューにアクセスして、HTTP からHTTPSへのリダイレクションを設定し ます(「HTTPリダイレクトの設定」(93 ペー ジ)を参照)。 quick クイック セットアップ ウィザードを起動し て、ネットワーク アクセス デバイスをNortel SNAS 4050ドメインに追加します(「スイッチ のクイック セットアップ ウィザードの使用法」 (51 ページ)を参照)。 adv Advancedメニューにアクセスして、Nortel SNAS 4050ドメインのバックエンド インタ フェースを設定し、syslogメッセージのログ 設定を指定します(「高度な設定」(95 ペー ジ)を参照)。 del 現在のドメインと、そのメニューとサブメ ニュー内のすべての設定を、システム設 定から削除します。 TunnelGuardチェックの設定 認証済みのクライアントにネットワーク アクセスを許可する前に、TunnelGuard アプリケーションは、クライアントのパーソナル ファイアウォールに必要なコン ポーネント(実行可能プログラム、DLL、設定ファイルなど)がクライアントPC上 にインストールされて、アクティブになっているのを確認することによって、 クライアントのホスト完全性をチェックします。 Nortel SNAソリューションでの TunnelGuardチェックの機能については、「TunnelGuardホスト完全性チェッ ク」(26 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 78 第4章 ドメインの設定 初期セットアップまたはドメインの作成でクイック セットアップ ウィザードを実 行した場合は、TunnelGuardチェックの設定にはデフォルトが設定され、また チェック結果の対応にはユーザーが選択したアクション(teardownまたは restricted)が設定されています。 /cfg/domain #/aaa/tg/quickコマンドを使用 すると、任意の時点でクイック セットアップ ウィザードのTunnelGuard設定手順 に戻ることができます(「CLIでのTunnelGuardクイック セットアップ ウィザー ドの使用法」(81 ページ)を参照)。 TunnelGuardのホスト完全性チェックとチェック結果を設定するには、次のコ マンドを使用します。 /cfg/domain #/aaa/tg TGメニューが表示されます。 TGメニューには以下のオプションがあります。 TunnelGuardの設定 /cfg/domain #/aaa/tg 後に続くパラメータ quick TunnelGuardクイック セットアップ ウィザー ドを起動して、TunnelGuardチェックのデ フォルト設定とチェック結果の設定を行 います(詳細は、「CLIでのTunnelGuardク イック セットアップ ウィザードの使用法」 (81 ページ)を参照)。 recheck <interval> クライアント マシン上のTunnelGuardアプ レットが行うSRSルールの再チェックの時 間間隔を設定します。 • interval は、秒( s )、分( m )、時間 (h)、または日(d)を単位とする時間間 隔を示す整数です。有効な範囲は、 60s(1m)~86400s(1d)です。デフォ ルトは15m(15分)です。 再チェックに失敗すると、Nortel SNAS 4050は action コマンドで指定され たアクションを実行します( action teardown|restricted を参照)。 heartbeat <interval> クライアントのアクティビティをチェックす る時間間隔を指定します。 • interval は、秒( s )、分( m )、時間 (h)、または日(d)を単位とする時間間 隔を示す整数です。有効な範囲は、 60s(1m)~86400s(1d)です。デフォ ルトは1m(1分)です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 79 /cfg/domain #/aaa/tg 後に続くパラメータ hbretrycnt <count> ハートビートが検出できなかった場合に、 Nortel SNAS 4050がクライアントのアクティ ビティ チェックを繰り返す回数を指定し ます。 • count には、リトライの回数を1~65535 の範囲の整数で指定します。デフォ ルトは、3です。 指定された回数のリトライを行っても(イン アクティビティ時間間隔が経過した場合も) ハートビートが検出できなかった場合は、 Nortel SNAS 4050はデフォルトの動作とし てセッションを終了させます( /cfg/domain #/aaa/tg/statusquo を参照)。 statusquo on|off Nortel SNAS 4050ドメインが、statusquo モードで動作するかどうかを指定します。 statusquoモードには、インアクティビティ 時間間隔( heartbeat x hbretrycnt )が 経過しても、クライアント アクティビティが検 出できなかった場合の動作を定義します。 次のオプションを指定することができます。 • on :クライアント セッションは無期限に 継続します。 • off:Nortel SNAS 4050はただちにセッ ションを終了させます。 デフォルトは、 off です。 action teardown|restricted クライアントがTunnelGuard SRSルールの チェックに失敗したときに実行されるアク ションを指定します。 次のオプションを指 定することができます。 • restricted :セッションは継続されま すが、アクセスはグループのアクセス ルールで指定されている権限に応じ て制限付きになります。 • teardown :SSLセッションは終了しま す。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 80 第4章 ドメインの設定 /cfg/domain #/aaa/tg 後に続くパラメータ list ドメインに設定されているSRSルールを 表示します。 SRSルールの作成方法については、 『Nortel Secure Network Access Switch 4050 User Guide for the SREM (NN47230101)』にあるTunnelGuard SRS Rule Builderについての説明を参照 してください。 TunnelGuardアプレットでは、グループが 異なれば異なるSRSルールを適用するこ とができます。 TunnelGuardで使用される SRSルールの設定方法については、「グ ループの設定」(114 ページ)を参照してく ださい。 details on|off ポータル ページに障害の詳細情報を表 示するかどうかを指定します。 有効なオプションは、以下のとおりです。 • on :詳細情報を表示します。 • off :詳細情報は表示しません。 デフォルトは、 off です。 on に設定すると、クライアントがポータル ページにあるTGのアイコンをクリックしたと きに、SRSルールのチェックに失敗した要 素についての詳細情報が表示されます。 loglevel fatal|error|warning| info|debug TunnelGuardアプレットのデバッグ情報の ログ レベルを設定します。 次のオプション を指定することができます。 • fatal :致命的なエラーのみを表示し ます。 • error:すべてのエラーを表示します。 • warning :エラー状態にはなっていな い状態についての警告情報を表示 します。 • info :プロセスについての概略情報を 表示します。 • debug :すべてのプロセスについての 詳細情報を表示します。 デフォルトは info です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 81 /cfg/domain #/aaa/tg 後に続くパラメータ この情報は、クライアントのJava Console ウィンドウに表示されます。 この情報を利 用して、TunnelGuard SRSルールのエラー を追跡することができます。 CLIでのTunnelGuardクイック セットアップ ウィザードの使用法 TunnelGuardクイック セットアップ ウィザードを使用して、SRSルールを設定す るには、次のコマンドを使用します。 /cfg/domain #/aaa/tg/quick TunnelGuardクイック セットアップ ウィザードは、Nortel SNAS 4050ドメイン ク イック セットアップ ウィザードの最後の数手順と似ています。ウィザードは、以 下の情報の入力を求めてきます。 • TunnelGuardチェックに失敗したときに実行するアクション(ステップ12 を参照) • テスト ユーザーを作成するかどうか(ステップ13を参照) TunnelGuardクイック セットアップ ウィザードでは、デフォルトのSRSルール ( srsruletest )が作成されます。このルールでは、クライアント マシン上の テキスト ファイル( C:\tunnelguard\tg.txt )の有無をチェックします。 「図5 TunnelGuardクイック セットアップ ウィザード」(81 ページ)に、 TunnelGuardクイック セットアップ ウィザードの出力例を示します。 図5 TunnelGuardクイック セットアップ ウィザード SSLサーバーの設定 ドメインに設定されるポータル サーバーに割り当てられるサーバー番号 は、Server 1001です。 ドメイン内で使われるポータル サーバーを設定するには、次のコマンドを 使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 82 第4章 ドメインの設定 /cfg/domain #/server Server 1001メニューが表示されます。 Server 1001メニューには、以下のオプションがあります。 SSLサーバーの設定 /cfg/domain #/server 後に続くパラメータ port <port> ポータル サーバーがHTTPS通信をリッスンす るポートを指定します。 • port には、TCPポート番号を1~65535の 範囲の整数で指定します。デフォルトは、 443です。 interface <interface ID> サーバーで使用されるバックエンド インタ フェースを指定します。 • interface ID は、インタフェース番号を示 す整数です。デフォルトは、0です。 dnsname <name> ポータルIPアドレスにDNS名を割り当てます。 • nameは、pVIPの完全修飾ドメイン名(FQDN) です(たとえば、nsnas.example.com)。 通常、DNS名は、社内DNSサーバーがポータ ルIPアドレスを逆ルックアップできない場合に のみ指定する必要があります。 DNS名を指定してから[Enter]を押すと、シス テムはシステム設定に含まれるDNSサーバー ( /cfg/sys/dns を参照)について、以下の項 目をチェックします。 • FQDNがDNSに登録されていること • 解決されたIPアドレスがpVIPに対応して いること trace Traceメニューにアクセスして、クライアントと ポータル サーバー間のSSLとTCPのトラフィッ クを取得して解析します。 詳細については、 「SSLトラフィックのトレース」(83 ページ)を参 照してください。 ssl SSL Settingsメニューにアクセスして、ポータ ル サーバーのSSL設定を行います(「SSLの設 定」(86 ページ)を参照)。 adv Advance settingsメニューにアクセスして、 syslogサーバーのトラフィック ログ設定を行い ます(「トラフィック ログの設定」(91 ページ) を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 83 SSLトラフィックのトレース 接続を確認して、クライアントとポータル サーバー間のSSLとTCPのトラフィック についての情報を取得するには、次のコマンドを使用します。 /cfg/domain #/server/trace Traceメニューが表示されます。 Traceメニューには、以下のオプションがあります。 SSLトラフィックのトレース /cfg/domain #/server/trace 後に続くパラメータ ssldump クライアントとポータル サーバーとの間を流 れるSSLトラフィックのダンプを作成します。 以下の情報の入力が求められます。 • ssldump flags と ssldump filter : UNIXのSSLDUMPで使用できるフラ グとフィルタの式の詳細については、 http://www.tcpdump.org/tcpdump_man. html を参照してください。 • output mode 出力モード(output mode)のオプションは、 以下のとおりです。 • interactive:取得した情報は復号化さ れて画面に表示されます。SSLDUMP は、ブラウザより後に起動した場合 はトラフィックを復号化できません。 SSLDUMPは、初期SSLハンドシェーク の段階で起動しておく必要があります。 • tftp|ftp|sftp :ダンプ ファイルは、指 定したファイル交換サーバーに、指定 した宛先ファイル名で保存されます。 必要な情報の入力を求めるプロンプ トが表示されます。ファイル交換サー バーを、ホスト名またはIPアドレスのい ずれかで指定することができます。 TFTPの場合は、送信されるファイルの 個数は、取得された情報の量で異なり ます。ファイル名には、CLIによって、 1から始まって追加ファイルごとに1つ ずつ増加するシーケンス番号が付加 されます。 ftp と sftp の場合は、ファイル交換サー バーで有効なユーザー名とパスワード の入力が求められます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 84 第4章 ドメインの設定 /cfg/domain #/server/trace 後に続くパラメータ デフォルトの出力モードは、 interactive です。 tcpdump クライアントと仮想SSLサーバーとの間を流 れるTCPトラフィックのダンプを作成します。 以下の情報の入力が求められます。 • tcpdump flags と tcpdump filter : UNIXのTCPDUMPで利用できるフラ グとフィルタの式の詳細については、 http://www.tcpdump.org/tcpdump_man. html を参照してください。 • output mode 出力モード(output mode)のオプションは、 以下のとおりです。 • interactive :取得した情報が画面に 表示されます。 • tftp|ftp|sftp :ダンプ ファイルは、指 定したファイル交換サーバーに、指定 した宛先ファイル名で保存されます。 必要な情報の入力が求められます。 ファイル交換サーバーを、ホスト名また はIPアドレスのいずれかで指定するこ とができます。 TFTPの場合は、送信されるファイルの 個数は、取得された情報の量で異なり ます。ファイル名には、CLIによって、 1から始まって追加ファイルごとに1つ ずつ増加するシーケンス番号が付加 されます。 ftp と sftp の場合は、ファイル交換サー バーで有効なユーザー名とパスワード の入力が求められます。 保存されたTCPトラフィックのダンプ ファイ ルは、リモート マシンでTCPDUMPまたは Etherealアプリケーションを使用して読み 取ることができます。 デフォルトの出力モードは、 interactive です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 85 /cfg/domain #/server/trace 後に続くパラメータ ping <host> ネットワークにまたがるステーション間接続 を確認します。 • hostは、ターゲット ステーションのホスト 名またはIPアドレスです。 バックエンド インタフェースが現在のNortel SNAS 4050ドメインにマッピングされてい る場合は、チェックはバックエンド インタ フェースを通じて行われます。バックエンド インタフェースをドメインにマッピングする には、 /cfg/domain #/adv/interface コマ ンドを使用します(「高度な設定」(95 ペー ジ)を参照)。 ホスト名を使用するには、DNSパラメータを 設定する必要があります(「DNSサーバー の設定」(224 ページ)を参照)。 dnslookup <host> 指定したホスト名を持つマシンのIPアドレス を検出します。または指定したIPアドレスを 持つマシンのホスト名を検出します。 • host は、マシンのホスト名またはIPアド レスです。 バックエンド インタフェースが現在のNortel SNAS 4050ドメインにマッピングされてい る場合は、チェックはバックエンド インタ フェースを通じて行われます。バックエンド インタフェースをドメインにマッピングする には、 /cfg/domain #/adv/interface コマ ンドを使用します(「高度な設定」(95 ペー ジ)を参照)。 traceroute <host> ネットワークにまたがるステーション間接続 で使用されたルートを識別します。 • hostは、ターゲット ステーションのホスト 名またはIPアドレスです。 バックエンド インタフェースが現在のNortel SNAS 4050ドメインにマッピングされている 場合には、チェックはバックエンド インタ フェースを通じて行われます。バックエンド インタフェースをドメインにマッピングする には、 /cfg/domain #/adv/interface コマ ンドを使用します(「高度な設定」(95 ペー ジ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 86 第4章 ドメインの設定 /cfg/domain #/server/trace 後に続くパラメータ ホスト名を使用するには、DNSパラメータを 設定する必要があります(「DNSサーバー の設定」(224 ページ)を参照)。 SSLの設定 ポータル サーバーにSSL固有の設定を行うには、次のコマンドを使用します。 /cfg/domain #/server/ssl SSL Settingsメニューが表示されます。 SSL Settingsメニューには、以下のオプションがあります。 SSLの設定 /cfg/domain #/server/ssl 後に続くパラメータ cert <certificate index> ポータル サーバーで使用されるサーバー 証明書を指定します。サーバーで使用され るサーバー証明書は、一時点で1つのみ指 定することができます。 • certificate index は、証明書の作成 時に、システムによって証明書に自動 的に割り当てられたインデックス番号 を示す整数です。 利用可能な証明書についての基本的な情 報を表示するには、 /info/certs コマンドを 使用します。新しい証明書を追加する方法 については、「証明書とキーのインストール」 (243 ページ)を参照してください。 cachesize <sessions> SSLキャッシュのサイズを設定します。 • sessions は、キャッシュされるセッション の個数を示す10000以下の整数です。 デフォルトは、4000です。 キャッシュ ミスが多い場合は、 cachesize の値を増やして、パフォーマンスを向上さ せます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 87 /cfg/domain #/server/ssl 後に続くパラメータ cachettl <ttl> SSLキャッシュ内のアイテムのTTL(Time to Live)の最大値を指定します。TTLが期限 切れになると、アイテムは破棄されます。 • ttl は、秒( s )、分( m )、時間( h )、また は日(d)を単位とするTTL値を示す整 数です。 測定単位を指定しなかった場 合は、秒が指定されたものとみなされま す。デフォルトは5m(5分)です。 cacerts <certificate index> クライアント認証で使用できるCA証明書を 指定します。 Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされて いません。 cachain <certificate index list> サーバー証明書のCA証明書チェーンを 指定します。 • certificate index list は、チェーン 内の証明書に割り当てられた証明書イ ンデックス番号の、カンマで区切られた リストです。チェーンには、サーバー証 明書の発行CA証明書からルートCA証 明書までが並びます。 このコマンドは、サーバー証明書チェーンを 明示的に構築します。チェーンとサーバー 証明書は、ブラウザに送信されます。 指定したチェーン証明書をすべてクリアす るには、証明書番号の入力を求められたと きに、[Enter]を入力します。リストのクリアの 確認を求められたら、 yes を入力します。 備考: SSLサーバーがチェーン証明書を 使用できるのは、プロトコル バー ジョンにssl3またはssl23が設定され ている場合のみです( /cfg/domain #/server/ssl/protocol を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 88 第4章 ドメインの設定 /cfg/domain #/server/ssl 後に続くパラメータ protocol ssl2|ssl3|ssl23|tls1 クライアントとのSSLセッションを確立すると きに使用されるプロトコルを指定します。 有 効なオプションは、以下のとおりです。 • ssl2 :SSL 2.0のみを受け入れます。 • ssl3:SSL 3.0とTLS 1.0を受け入れます。 • ssl23 :SSL 2.0、SSL 3.0、TLS 1.0を受 け入れます。 • tls1 :TLS 1.0のみを受け入れます。 デフォルト値は、 ssl3 です。 verify none|optional| required SSLセッションを確立するときに使用される クライアント認証レベルを指定します。 有効 なオプションは、以下のとおりです。 • none :クライアント証明書は不要です。 • optional :クライアント証明書が要求さ れますが、クライアントが提示する必要 はありません。 • required :クライアント証明書が必要で す。 デフォルト値は、 none です。 Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされて いません。 ciphers <cipher list> 暗号優先度リストを指定します。 • cipher list は、コロンで区切られた暗 号文字列で構成された式です。デフォ ルトの暗号リストは、ALL@STRENGTHです。 暗号の詳細については、「付録 D サポー ト対象の暗号」(415 ページ)を参照してく ださい。 ena ポータル サーバーでSSLを有効にします。 SSLはデフォルトで有効になっています。 dis ポータル サーバーでSSLを無効にします。 SSLは、デフォルトでは有効になっていま す。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 89 SSL接続の設定 SNASとバックエンド サーバーとの間でSSL接続に使用するSSLプロトコル、優 先暗号リスト、およびクライアント認証を設定するときは、SSL Connect Settings メニューを使用します。 SSL Connect Settingsメニューには、以下のオプションがあります。 表 4 SSL接続の設定 cfg/vpn/server/adv/sslconnect 後に続くパラメータ protocol 「SSLが有効になっているバックエ ンド サーバーとの間でSSLセッショ ンを確立するときに、仮想SSLサー バー側から提案する」プロトコルを 指定します。 次のオプションを指定 することができます。 • ssl2:SSL 2.0だけを使用するよ うに提案します。 • ssl3:SSL 3.0またはTLS 1.0を使 用するように提案します。 • ssl23:SSL 2.0、SSL 3.0、または TLS 1.0を使用するように提案 します。 • tls1:TLS 1.0だけを使用するよ うに提案します。 • デフォルトのプロトコル値はssl3 です。 cert <client certificate by index number> バックエンド サーバーのSSLソフト ウェアが「クライアント証明書を要求 する」ように設定されている場合は、 選択された仮想SSLサーバーから そのバックエンド サーバーに対し てクライアント証明書を示すことに なりますが、このパラメータで、その ときに指定するクライアント証明書 を指定します。 SNASとバックエンド サーバーとの間のSSL接続では、 クライアントがすでに分かっている ので、クライアント認証を使用する のが普通です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 90 第4章 ドメインの設定 cfg/vpn/server/adv/sslconnect 後に続くパラメータ ciphers <cipher list format> 「優先的に使用する暗号のリスト」を 指定します。 この情報はバックエン ド サーバーに送られます。デフォ ルトの暗号リストは、SNASとバック エンド サーバーとの間でより軽い 暗号化アルゴリズムを使用するよう になっています。 SNASとバックエ ンド サーバーはどちらも物理的に セキュアなファイアウォールの背後 にあるのが普通であるため、この ネットワーク セグメントでより軽い暗 号化アルゴリズムを使用しても、全 体的なセキュリティが損なわれるこ とはありません。 優先的に使用するデフォルトの暗 号リストを変更する場合は、そこに 指定されている暗号がバックエンド サーバーの優先暗号リストにもあ ることを確認してください。ないと、 SSL接続は拒否されます。 verify SSL Connect Verify Settingsメニュー を表示します。 SSL接続の検証の設定 「バックエンド サーバーの認証に使用する、証明書の検証レベル」を設定す る場合は、SSL Connect Verify Settingsメニューを使用します。 また、このメ ニューは、この用途以外に、バックエンド サーバーの共通名の指定や、バック エンド サーバーの認証に使用するCA証明書の設定にも使用します。 SSL Connect Verifyメニューには、以下のコマンド オプションがあります。 表 5 SSL接続の検証の設定 cfg/vpn/server/adv/sslconnect/verify 後に続くパラメータ verify none|require 「バックエンド サーバーとの間で SSL接続を確立するときに使用する 認証レベル」を指定します。 • none:サーバー証明書は必要 ありません。 • require:サーバーは、選択した 仮想SSLサーバーがセッション を確立できるようにするために、 有効な証明書を提示する必要 があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 91 cfg/vpn/server/adv/sslconnect/verify 後に続くパラメータ • デフォルトはnoneです。 commonname <common name of backend web server> バックエンド サーバーのサーバー 証明書で使用されている共通名を 指定します。 SSLセッションを確立 するためには、指定した共通名が、 「バックエンド サーバーの使用する 証明書にある共通名」と同じものに なっている必要があります。 cacerts CA certificate by index number バックエンド サーバーの認証に使 用できるCA証明書を指定します。 すべての証明書について基本的な 情報を表示する場合は、/info/certs コマンドを使用します。 トラフィック ログの設定 ポータル サーバーが処理するすべてのHTTPリクエストについて、syslog サーバーがUDP(User Datagram Protocol)のsyslogメッセージを受信するよう に設定することができます。 以下の理由で、この機能を通常は有効にしないことを推奨します。 • syslogメッセージのトラフィック ログ は、大量のネットワーク トラフィック を引き起こす。 • トラフィックのログは、クラスタ内の各Nortel SNAS 4050デバイスの余分な CPU負荷の原因になる。 • 一般に、syslogサーバーでは、ログ メッセージのようなトラフィック タイプが 想定されていない。したがって、syslogサーバーがNortel SNAS 4050デバイ スのクラスタで生成されるsyslogメッセージの量に対処できないことがある。 syslogメッセージのトラフィック ログは、法律や規制で、そのデバイスを終端と するSSLトラフィックのログが要請されている場合にのみ有効にします。また、 デバッグ目的で一時的に有効にすることもあります。 生成される量が多量なため、syslogはバックエンド サーバーにセットアップす ることを推奨します(可能な場合)。 Nortel SNAS 4050デバイスでは次のようなsyslogメッセージが生成されます。 Mar 8 14:14:33 192.168.128.24 <ISDSSL>: 192.168.128.189 TLSv1/SSLv3 DESCBC3SHA "GET / HTTP/1.0". ポータル サーバーが処理するすべてのHTTPリクエストについて、syslog サーバーがUDPのsyslogメッセージを受信するように設定するには、次のコ マンドを使用します。 /cfg/domain #/server/adv/traflog Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 92 第4章 ドメインの設定 Traffic Log Settingsメニューが表示されます。 Traffic Log Settingsメニューには、以下のオプションがあります。 /cfg/domain #/server/adv/traflog 後に続くパラメータ sysloghost <IPaddr> syslogサーバーのIPアドレスを指定します。 udpport <port> syslogサーバーのUDPポート番号を指定しま す。 • port には、UDPポート番号を1~65534の 範囲の整数で指定します。デフォルトは、 514です。 protocol ssl2|ssl3|ssl23|tls1 クライアントとのSSLセッションを確立するときに 使用されるプロトコルを指定します。 有効なオ プションは、以下のとおりです。 • ssl2 :SSL 2.0のみを受け入れます。 • ssl3 :SSL 3.0とTLS 1.0を受け入れます。 • ssl23 :SSL 2.0、SSL 3.0、TLS 1.0を受け入 れます。 • tls1 :TLS 1.0のみを受け入れます。 デフォルト値は、 ssl3 です。 priority debug|info| notice 送信されるsyslogメッセージのプライオリティ レ ベルを指定します。 有効なオプションは、以 下のとおりです。 • debug :デバッグ目的で役に立つ情報のみ • info :情報メッセージ • notice :エラー状態にはなっていないが特 別に注意が必要な状態についての情報 デフォルト値は、 info です。 facility auth|authpriv|daemon |local07 syslogメッセージのファシリティ パラメータを設 定します。ファシリティ パラメータでは、メッセー ジのログを行うプログラムのタイプを指定しま す。この指定を行うと、設定ファイルには異な るファシリティの異なるメッセージ処理を指定 することができます。 デフォルト値は、 local4 です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 93 /cfg/domain #/server/adv/traflog 後に続くパラメータ ena 指定したsyslogサーバーで、syslogメッセージ のトラフィック ログを有効にします。 syslogメッセージのトラフィック ログは、デフォ ルトでは無効になっています。 dis syslogメッセージのトラフィック ログを無効に します。 syslogメッセージのトラフィック ログは、デフォ ルトでは無効になっています。 HTTPリダイレクトの設定 Nortel SNAS 4050ドメインで、HTTPリクエストをHTTPSサーバーに自動的にリ ダイレクトするように設定することができます。たとえば、 http://nsnas.com へのクライアント リクエストが、 https://nsnas.com に自動的にリダイレクトさ れるようになります。 HTTPリクエストを、ドメイン用に指定したHTTPSサーバーに自動的にリダイレ クトするようにドメインを設定するには、次のコマンドを使用します。 /cfg/domain #/httpredir Http Redirメニューが表示されます。 Http Redirメニューには、以下のオプションがあります。 HTTPリダイレクトの設定 /cfg/domain #/httpredir 後に続くパラメータ port <port> ポータル サーバーがHTTP通信をリッス ンするポートを指定します。 • port は、TCPポート番号を示す整数 です。デフォルトは、80です。 備考: デフォルト値を受け入れずに異 なるポートを指定した場合は、そ れに応じて、ネットワーク アクセス デバイスのRedフィルタとYellow フィルタを変更する必要がありま す。変更しないと、クライアントPC がポータルに到達してユーザー 認証を受けることができなくなり ます。 redir on|off HTTPリクエストをHTTPSサーバーにリダ イレクトするかどうかを指定します。 • on:HTTPリダイレクトを有効にします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 94 第4章 ドメインの設定 /cfg/domain #/httpredir 後に続くパラメータ • off :HTTPリダイレクトを無効にしま す。 デフォルトは、 off です。 ブラウザを使用して行う管理の設定 ブラウザを使用したVPNゲートウェイの設定を有効/無効にする場合は、HTTP メニューを使用します。 ブラウザベース インタフェース(BBI)へアクセスす るためには、Webブラウザの中で、SNASクラスタに割り当てられている管 理IPアドレスを入力します。 HTTPメニューには、以下のオプションがあります。 表 6 ブラウザを使用して行う管理の設定 cfg/sys/adm/http/ 後に続くパラメータ port BBIを使用してブラウザベースのSNAS設定を行う ときのポート番号を設定します。 ena 「ブラウザベースのSNAS設定に使用するHTTP サーバー」を有効にします。 dis 「ブラウザベースのSNAS設定に使用するHTTP サーバー」を無効にします。 ブラウザを使用して行う管理の設定 - SSLを使用する場合 「ブラウザからセキュアなSSLトンネルを通して行うVPNゲートウェイの設定」を 有効/無効にする場合は、HTTPSメニューを使用します。 ブラウザベース イン タフェース(BBI)へアクセスするためには、Webブラウザの中で、SNASクラスタ に割り当てられている管理IPアドレスを入力します。 HTTPSメニューには、以下のオプションがあります。 表 7 ブラウザを使用して行う管理の設定 - SSLを使用する場合 cfg/sys/adm/https 後に続くパラメータ port 「SSLを使用してBBIからブラウザベースのSNAS設 定を行うときのポート番号」を設定します。 ena 「SSLを使用したブラウザベースのSNAS設定に使 用するHTTPSサーバー」を有効にします。 dis 「SSLを使用したブラウザベースのSNAS設定に使 用するHTTPSサーバー」を無効にします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 95 高度な設定 Nortel SNAS 4050ドメインでは、以下の高度な設定を行うことができます。 • バックエンド インタフェース • ログ オプション バックエンド インタフェースのドメインへのマッピング、およびログ オプション の設定を行うには、次のコマンドを使用します。 /cfg/domain #/adv Advancedメニューが表示されます。 Advancedメニューには、以下のオプションがあります。 高度な設定 /cfg/domain #/adv 後に続くパラメータ interface <interface ID> ドメインのバックエンド インタフェースとして 使用する、以前に作成したインタフェース を指定します。 • interface IDは、インタフェース番号を 示す整数です。デフォルトは、0です。 インタフェースを設定するには、 /cfg/sys/host #/interface コマンドを使 用します(「ホスト インタフェースの設定」 (216 ページ)を参照)。 log リクエストとログのオペレーションのタイプを 指定します。カンマで区切ったログ タイプ の入力が求められます。 有効なオプション は、以下のとおりです。 • all :すべてのオプションをログ • login :ポータルのログインとログアウ トをログ • http :ポータルから発行されたHTTPリ クエストをログ • portal :FTPファイル サーバーやSMB ファイル サーバーへのアクセスなどの、 非HTTPポータル オペレーションをログ • reject :拒否されたリクエストをログ デフォルトは、 login です。 各タイプのログは、独自のsyslogメッセージ のセットを生成します。syslogメッセージに は、日付、時刻、リクエストのタイプ、ユー Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 96 第4章 ドメインの設定 /cfg/domain #/adv 後に続くパラメータ ザー、送信元IPアドレス、リクエストの宛先 が記録されます。 RADIUSアカウンティングの設定 Nortel SNAS 4050は、RADIUSアカウンティング サーバーの管理オペレーショ ンとユーザー セッションの開始と終了のメッセージのログをサポートするよう に設定することができます。 RADIUSアカウンティングが有効になっていると、Nortel SNAS 4050は、Nortel SNAS 4050ドメインへの認証に合格した各ユーザーについてのアカウンティン グ リクエスト開始パケットを、アカウンティング サーバーに対して送信します。 開始パケットには、以下の情報が含まれています。 • クライアントのユーザー名 • Nortel SNAS 4050デバイスのReal IPアドレス(RIP) • セッションID ユーザー セッションが終了すると、Nortel SNAS 4050はアカウンティング リ クエストをアカウンティング サーバーに送信します。終了パケットには以下 の情報が含まれています。 • セッションID • セッション時間 • 終了の理由 RFC 2866の勧告に従って、RADIUSサーバーを設定します。 アカウンティングを有効にすると、いくつかのNortel SNAS 4050固有の属性が RADIUSサーバーに対して送信されます(「Nortel SNAS 4050固有の属性の 設定」(98 ページ)を参照)。これらの属性は、RADIUSのカスタム プラグイ ンと連携して、Nortel SNAS 4050のアクティビティをさらに詳細に監視するた めに使用されます。 外部RADIUSアカウンティング サーバーを設定に追加したときに、サーバーに インデックス番号が自動的に割り当てられます。Nortel SNAS 4050でのアカウ ンティングは、利用できるサーバーのうち、最も小さいインデックス番号を持つ サーバーを使用して行われます。インデックス番号を再割当てすることによっ て、アカウンティング サーバーを制御することができます(「RADIUSアカウン ティング サーバーの管理」(97 ページ)を参照)。 Nortel SNAS 4050がRADIUSアカウンティングをサポートするように設定する には、次のコマンドを使用します。 /cfg/domain #/aaa/radacct Radius Accountingメニューが表示されます。 Radius Accountingメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 97 RADIUSアカウンティングの設定 /cfg/domain #/aaa/radacct 後に続くパラメータ servers Radius Accounting Serversメニューに アクセスして、外部RADIUSアカウンティン グ サーバーを設定します(「RADIUSアカ ウンティング サーバーの管理」(97 ペー ジ)を参照)。 domainattr Domain Attributeメニューにアクセスし て、Nortel SNAS 4050固有の属性がアカウ ンティング サーバーに送信されるようにし ます(「Nortel SNAS 4050固有の属性の設 定」(98 ページ)を参照)。 ena RADIUSアカウンティングを有効にします。 デフォルトでは無効になっています。 dis RADIUSアカウンティングを無効にします。 デフォルトでは無効になっています。 RADIUSアカウンティング サーバーの管理 Nortel SNAS 4050で外部RADIUSアカウンティング サーバーを使用するよ うに設定するには、次のコマンドを使用します。 /cfg/domain #/aaa/radacct/servers Radius Accounting Serversメニューが表示されます。 Radius Accounting Serversメニューには、以下のオプションがあります。 RADIUSアカウンティング サーバーの管理 /cfg/domain #/aaa/radacct/servers 後に続くパラメータ list 現在RADIUSアカウンティング サーバーに 設定されているIPアドレスを、インデックス 番号ごとに表示します。 del <index number> 指定したRADIUSアカウンティング サー バーを現在の設定から削除します。 残りの エントリのインデックス番号は、それに応じ て、調整されます。 設定されているすべてのRADIUSアカウン ティング サーバーのインデックス番号を表 示するには、 list コマンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 98 第4章 ドメインの設定 /cfg/domain #/aaa/radacct/servers 後に続くパラメータ add <IPaddr> <port> <shared secret> RADIUSアカウンティング サーバーを設定 に追加します。 以下の情報の入力を求め るプロンプトが表示されます。 • IPaddr :アカウンティング サーバーの IPアドレス • port :RADIUSアカウンティングに使用 されるTCPポート番号。デフォルトは、 1813です。 • shared secret :Nortel SNAS 4050をア カウンティング サーバーで認証すると きに使用するパスワード システムによって、次に利用可能なインデッ クス番号がサーバーに割り当てられます。 insert <index number> <IPaddr> 設定内のRADIUSアカウンティング サー バーのリストの特定の位置に、サーバー を挿入します。 • index number:サーバーに割り当てるイ ンデックス番号 • IPaddr :追加するアカウンティング サー バーのIPアドレス 指定するインデックス番号は、現在使用さ れているインデックス番号です。 それに応 じて、そのインデックス番号以上のインデッ クス番号を持っていた既存のサーバーのイ ンデックス番号は、1つずつ増やされます。 move <index number> <new index number> 設定内のRADIUSアカウンティング サー バーのリスト内でサーバーを上下に移動さ せます。 • index number :移動させたいサーバー の元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて、調整されます。 Nortel SNAS 4050固有の属性の設定 RADIUSアカウンティング サーバーは、VendorIdとVendorType属性を組み 合わせて、アカウンティング情報のソースを特定するのに使用します。属性 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 99 は、ログイン ユーザーのアカウンティング情報とともに、RADIUSアカウン ティング サーバーに送信されます。 Nortel SNAS 4050ドメインでは、ベンダ固有のコードをVendorIdとVendorType 属性に割り当てることができます。それよって、RADIUSアカウンティング サーバーは各Nortel SNAS 4050ドメインごとに個別のアカウンティング情報 を提供することが可能になります。 各ベンダは固有のディクショナリを持っています。 属性に指定するVendorId は、RADIUSサーバーが属性値を検索するために使用するディクショナリを特 定します。VendorTypeは、ディクショナリ ファイル内の当該のエントリのイン デックス番号を表わします。 Internet Assigned Numbers Authority(IANA)は、VendorId属性に割り当て可 能なSMI Network Management Private Enterprise Codesの割当てを行っていま す(http://www.iana.org/assignments/enterprisenumbers を参照)。 RFC 2866に、VendorType属性の使用法の解説があります。 外部RADIUSアカウンティング サーバーで使用されるベンダ固有属性につい ての情報は、RADIUSシステムの管理者に問い合わせてください。 RADIUSサーバーのログでアカウンティング エントリを見つけるための簡単な 方法は、以下のとおりです。 ステップ 操作 1 RADIUSサーバーのディクショナリに、内容を説明する文字列を定 義します(たとえば、 NSNASPortalID )。 2 この文字列をVendorType値にマッピングします。 ― 終わり ― Nortel SNAS 4050ドメインを特定するためにベンダ固有の属性を設定する には、次のコマンドを使用します。 /cfg/domain #/aaa/radacct/domainattr Domain Attributeメニューが表示されます。 Domain Attributeメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 100 第4章 ドメインの設定 Nortel SNAS 4050固有の属性の指定 /cfg/domain #/aaa/radacct/domainattr 後に続くパラメータ vendorid RADIUSアカウンティング サーバーでNortel SNAS 4050ドメインからのアカウンティング 情報を特定するために使用するベンダ固 有の属性に対応します。 デフォルトのVendorIdは、1872(Alteon) です。 vendortype RADIUSアカウンティング サーバーでNortel SNAS 4050ドメインからのアカウンティング 情報を特定するためにVendorIdとともに使 用するVendorTypeの値に対応します。 デフォルトのVendorTypeの値は3です。 ローカルDHCPサービスの設定 Nortel SNAS 4050には、以下の機能を持つDHCPサービスを設定すること ができます。 • Nortel Ethernet Switch(325 / 425 / 450 / 470および2500シリーズの 各モデル)、Ethernet Routing Switch(4500シリーズ、5500シリーズ、 8300、8600の各モデル)、およびサード パーティ製スイッチなどの 非NSNAネットワーク アクセス デバイスのサポートと、1つのポート上 に複数のデバイス(ポートにハブを接続した場合など)のサポート。 DHCPサブネット タイプ:hub • Nortel SNAS 4050から社内DNSサーバーへのDNSサーバー リ ダイレクト。Filters onlyエンフォースメントを使用している場合 は、Nortel SNAS 4050のパフォーマンスが向上します。 Filters onlyエンフォースメントの詳細については、「Nortel SNASの エンフォースメント タイプ」(23 ページ)を参照してください。 DHCPサブネット タイプ:filter • Nortel SNASネットワーク アーキテクチャのコンテキストで、RFC 2131 (DHCPリレー メッセージのサーバー間ユニキャスト メッセージ)を サポートする標準DHCPサーバー。 Nortel SNASネットワーク アー キテクチャの詳細については、『Nortel Secure Network Access Solution Guide, NN47230200』(旧320817)を参照してください。 DHCPサブネット タイプ:standard DHCPサービスを設定するには、次のコマンドを使用します。 /cfg/domain 1/dhcp DHCPメニューが表示されます。 DHCPメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 101 表 8 ローカルDHCPサービスの設定 /cfg/domain 1/dhcp 後に続くパラメータ subnet <number> <type> <name> <address> <netmask> DHCPサブネットを定義するための一連のプロンプトが 表示されます。 • number は、システムでサブネットを識別するために使 用される1~256の一意の数字です。 この場合のプ ロンプトは、 Enter DHCP subnet number (1256): です。 • type は、DHCPサービスを定義するNortel SNAS 用語です。 この場合のプロンプトは、 Select one of hub, filter and standard: です。 各タイプの用途については、この表の前の説明を 参照してください。 — hub :SSCPをサポートしていないネットワーク アク セス デバイスのサポートと、単一ポート上の複数 のデバイスのサポートを行います。 — filter :ネットワーク アクセス ポイントがNSNA ネットワーク アクセス ポイントで、Filters onlyエ ンフォースメントが設定されている場合に、クライ アントを社内DNSサーバーにリダイレクトするメカ ニズムを提供します。 — standard:DHCPリレー メッセージについてのRFC 2131に準拠した標準DHCPサービスを行います。 各タイプには、関連付けられた設定オプションのセッ トがあります。そのようなオプションの詳細は、「標準 DHCPサブネット タイプ」(107 ページ)、「filter DHCP サブネット タイプ」(106 ページ)、「Hub DHCPサブ ネット タイプ」(104 ページ)を参照してください。 • name は、サブネットに付ける名前です。 この場合のプ ロンプトは、 Set the subnet name: です。 • address は、サブネット アドレスです。 この場合のプロ ンプトは、 Enter subnet network address: です。 • netmaskは、サブネット マスクです。 この場合のプロン プトは、 Enter subnet network mask: です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 102 第4章 ドメインの設定 /cfg/domain 1/dhcp 後に続くパラメータ stdopts 標準のDHCPオプションを選択し、設定値を入力する ように求められます。 少なくとも、Option 3(Default Router)、Option 6(Domain Name Server)、Option 15(Domain Name)、Option 51 (Lease Time)は設定する必要があります。Option 51 (Lease Time)の設定では、リースの間隔を秒単位で指 定します。 このDHCPメニューのレベルで設定する値は、DHCPの すべてのサブネットとタイプにグローバルに適用されま す。特定のDHCP設定用に、グローバル値を変更するこ ともできます。「DHCP Settingsメニュー」(102 ページ) を参照してください。 vendopts <number> <name> <value> <del> RFC 2132のベンダ オプションを指定するための一連のプ ロンプトが表示されます。 • number は、システムでベンダ オプションを識別する ために使用される1~254の一意の数字です。 この 場合のプロンプトは、 Enter vendor options number (1254): です。 • name は、このベンダ オプション セットに付ける名前 です。 この場合のプロンプトは、 Set the vendor option name: です。 • type は、 ip 、 ip_list 、 u8 、 u16 、 u32 、 string 、 bool のいずれかです。 • value は、RFC2132に従って type に割り当てることが できる値です。 • del は、ベンダ オプションを削除します。 このDHCPメニューのレベルで設定する値は、DHCPの すべてのサブネットとタイプにグローバルに適用されま す。特定のDHCP設定用に、グローバル値を変更するこ ともできます。「DHCP Settingsメニュー」(102 ページ) を参照してください。 quick DHCPクイック セットアップ ウィザードを起動します。オプ ションは、DHCPタイプとともに、「標準DHCPサブネット タ イプ」(107 ページ)、「filter DHCPサブネット タイプ」(106 ページ)、「Hub DHCPサブネット タイプ」(104 ページ) で説明します。 DHCP Settingsメニュー IPアドレスの範囲を必要とするオプションを選択したときには、必ずDHCP Settingsメニューが表示されます。これは、次のような設定のときに発生します。 • 標準DHCPサブネット タイプの settings Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 103 • filter DHCPサブネット タイプの known と unknown の範囲 • Hub DHCPサブネット タイプの red 、 yellow 、 green の範囲 DHCPの設定メニューには、以下のオプションがあります。 表 9 DHCP Settingsメニュー ranges <list> <del> <add> <insert> <move> IPアドレスの範囲の下限IPアドレスと上限IPアドレスを定 義します。複数の範囲を設定することができます。 • list は、現在の範囲を表示します。出力の形式は、 #: IP address : IP address です。 # は、範囲のイ ンデックスを表わす整数です。インデックスは、範囲 の削除、挿入、移動を行う場合に必要になります。 • del # は、インデックス番号が # の範囲を削除します。 • add IPaddressLower IPaddressUpper は、 IPaddressLower と IPaddressUpper で下限と上限が定 義される範囲を新たに追加します。 • insert # IPaddressLower IPaddressUpper は、新し い範囲をインデックス番号が # の範囲の上に挿入し ます。たとえば、 # が3の場合、新しい範囲にはイン デックス番号3が割り当てられ、インデックス番号が 3であった範囲には、インデックス番号4が割り当て られます。新しい範囲の下限と上限は、それぞれ、 IPaddressLower と IPaddressUpper で定義します。 • move #A #B は、範囲 #A のインデックス番号を #B に変 更し、 #B のインデックス番号を #A に変更します。つま り、範囲が範囲リスト内で入れ替わります。 stdopts 標準のDHCPオプションを選択し、設定値を入力する ように求められます。 /cfg/domain 1/dhcp メニューから stdopts コマンドを使用 してDHCPの標準オプションを設定していた場合は、その ときの値がここに埋め込まれます。ここで値を変更しても、 新しい値はここで定義する範囲でのみ使用されます。 vendopts <number> <name> <value> <del> RFC 2132のベンダ オプションを指定するための一連のプ ロンプトが表示されます。 /cfg/domain 1/dhcp メニューから vendopts コマンドを使 用してベンダ オプションを設定していた場合は、そのとき の値がここに埋め込まれます。ここで値を変更しても、新 しい値はここで定義する範囲でのみ使用されます。 • number は、システムでベンダ オプションを識別する ために使用される1~254の一意の数字です。 この 場合のプロンプトは、 Enter vendor options number (1254): です。 • name は、このベンダ オプション セットに付ける名前 です。 この場合のプロンプトは、 Set the vendor option name: です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 104 第4章 ドメインの設定 • type は、 ip 、 ip_list 、 u8 、 u16 、 u32 、 string 、 bool のいずれかです。 • value は、RFC2132に従って type に割り当てることが できる値です。 • del は、ベンダ オプションを削除します。 Hub DHCPサブネット タイプ Hub DHCPサブネット タイプは、非NSNAネットワーク アクセス デバイスや単一 ポート上の複数のデバイス(ハブ)をサポートするのに使用されます。 ここで は、読者が「ローカルDHCPサービスの設定」(100 ページ)について十分理解 していることを前提にしています。 エンド ツー エンドの設定プロセスは、以下の手順で構成されます。 • NSNA設定に組み込まれているネットワーク アクセス ポイントのすべての ポートを含むVLANの作成 • Nortel SNAS 4050上のVLAN内に、Red、Yellow、Greenのエンフォースメ ント ゾーンを定義する3つのIPアドレス範囲を設定 • 以下の機能を持つネットワーク アクセス ポイントに、Red範囲用のフィ ルタを定義 — すべてのDNSリクエストをNortel SNAS 4050に接続 — HTTP、HTTPS、ICMP、DHCPのトラフィックに、Nortel SNAS 4050のサ ブネットへのアクセスのみを許可 • アップストリーム ルーターにYellowとGreenのアドレス範囲用のアクセス 制御リストやフィルタを作成して、接続リクエストを適切なネットワーク リソースに接続 • Nortel SNAS 4050へのサービスを行うルーターが、DHCPリクエストをNortel SNAS 4050管理IPアドレス(MIP)にリレーするように設定。すなわち、RFC 2131のサーバー間ユニキャスト メッセージをサポートするように設定 • VoIP VLANを設定(「Nortel SNASのエンフォースメント タイプ」(23 ペー ジ)を参照) • Nortel SNAS 4050グループが認証要件を満たすように設定(詳細は、「グ ループの設定」(114 ページ)を参照) Hub DHCPサブネット タイプのメニューには、以下のオプションがあります。 表 10 Hub DHCPサブネット タイプ type 現在のDHCPサブネット タイプを表示し、タイプの変更ま たは再入力を求めるプロンプトを表示します。 hub を入力します。 name サブネットの現在の名前を表示し、名前の変更または再 入力を求めるプロンプトを表示します。 名前を入力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 105 address サブネットの現在のネットワーク アドレスを表示し、アドレ スの変更または再入力を求めるプロンプトを表示します。 netmask サブネットの現在のネットワーク マスクを表示し、ネット ワーク マスクの変更または再入力を求めるプロンプト を表示します。 phone ネットワークに接続されている各種のIP電話に対してシ グネチャを指定します。サポートされる電話の種類とそ のシグネチャは、以下のとおりです。 • Nortel i2001 — Norteli200 • Nortel i2002 — Norteli200 • Nortel i2004 — Norteli200 • Nortel i2007 — Norteli200 relaygreen Nortel SNAS 4050がクライアントをGreenエンフォースメン ト ゾーンに再割当てすると、クライアントは、Nortel SNAS 4050が管理するGreenゾーンに接続されます。あるいは、 クライアントを外部DHCPサーバー(通常は、社内サー バー)に接続することもできます。 クライアントを外部DHCPサーバーに接続するには、ここ でサーバーのIPアドレスを入力し、 green ゾーンの設定 は行わないようにします。 vlan VLANの名前を入力します。 red Redエンフォースメント ゾーン用のIPアドレスの範囲と オプションを設定します。 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 Redエンフォースメント ゾーン用のIPアドレスの範囲を入 力します。 DNSアドレス(オプション6)には、Nortel SNAS 4050のpVIPを入力します。リース時間(オプション51)に は短い値を設定することを推奨します。 yellow Yellowエンフォースメント ゾーンを定義します。 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 Yellowエンフォースメント ゾーン用のIPアドレスの範囲 を入力します。DNSアドレス(オプション6)には、社内 RemediationサーバーのIPアドレスを入力します。 green Greenエンフォースメント ゾーンを定義します。 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 Greenエンフォースメント ゾーン用のIPアドレスの範囲を 入力します。DNSアドレス(オプション6)には、社内DHCP サーバーのIPアドレスを入力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 106 第4章 ドメインの設定 ena サブネットを有効にします。 dis サブネットを無効にします。 del サブネットを削除します。 filter DHCPサブネット タイプ filter DHCPサブネット タイプは、ネットワーク アクセス ポイントがNSNAネット ワーク アクセス デバイスで、Filter onlyエンフォースメントが使われている場 合に、クライアントを社内DNSサーバーにリダイレクトするメカニズムを提供しま す。 このセッションでは、読者は「ローカルDHCPサービスの設定」(100 ペー ジ)について十分理解していることを前提にします。 背景:Nortel SNAS 4050は、クライアントをRedエンフォースメント ゾーンか ら移動させてもよいと判断した場合には、TunnelGuardに対して、ipconfig release/renewを実行してクライアントのIPアドレスを変更するように指示します。 TunnelGuardのアクションがこの指示を受け付けない状況が何通りかあります (詳細は、「グループの設定」(114 ページ)を参照)。 このような状況では、 クライアントのIPアドレスはDHCPサーバーから取得した初期アドレスのまま となり、そのクライアントのDNSサーバーの役割はNortel SNAS 4050が継続 します。 その結果、すべてのDNS解決は、Nortel SNAS 4050によって行わ れます。 filter DHCPサブネット タイプを使うと、DNSサービスがNortel SNAS 4050から社内DNSサーバーにリダイレクトされるので、ネットワーク パフォーマ ンスを最適化することができます。 filter DHCPサブネット タイプのメニューには、次のオプションがあります。 表 11 filter DHCPサブネット タイプ type 現在のDHCPサブネット タイプを表示し、タイプの変更ま たは再入力を求めるプロンプトを表示します。 filter を入力します。 name サブネットの現在の名前を表示し、名前の変更または再 入力を求めるプロンプトを表示します。 名前を入力します。 address サブネットの現在のネットワーク アドレスを表示し、アドレ スの変更または再入力を求めるプロンプトを表示します。 ネットワーク環境と整合したアドレスを入力します。 netmask サブネットの現在のネットワーク マスクを表示し、ネット ワーク マスクの変更または再入力を求めるプロンプト を表示します。 ネットワーク環境と整合したネットワーク マスクを入力し ます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第4章 ドメインの設定 known 107 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 クライアントのステータスは、認証と完全性チェック(行う場 合)に合格すると、「unknown」から「known」に変わります。 stdopts がネットワーク ドメイン名サーバーを指すよう に設定します。 unknown 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 接続を開始した時点では、クライアントに「unknown」ス テータスが自動的に割り当てられます。これは、filter DHCPサブネット タイプ用のRedエンフォースメント ゾー ンです。 設定は不要です。 ena サブネットを有効にします。 dis サブネットを無効にします。 del サブネットを削除します。 標準DHCPサブネット タイプ 標準DHCPサブネット タイプは、サーバー間ユニキャスト メッセージ用の RFC 2131に準拠したDHCPサービスを行います。 ここでは、読者が「ローカ ルDHCPサービスの設定」(100 ページ)について十分理解していることを 前提にしています。 標準DHCPサブネット タイプのメニューには、以下のオプションがあります。 表 12 標準DHCPサブネット タイプ type 現在のDHCPサブネット タイプを表示し、タイプの変更ま たは再入力を求めるプロンプトを表示します。 name サブネットの現在の名前を表示し、名前の変更または再 入力を求めるプロンプトを表示します。 address サブネットの現在のネットワーク アドレスを表示し、アドレ スの変更または再入力を求めるプロンプトを表示します。 netmask サブネットの現在のネットワーク マスクを表示し、ネット ワーク マスクの変更または再入力を求めるプロンプト を表示します。 settings 「DHCP Settingsメニュー」(102 ページ)を参照してくだ さい。 ena サブネットを有効にします。 dis サブネットを無効にします。 del サブネットを削除します。 ローカルDHCPリースの管理 DHCPリースを管理するために、以下のコマンドが用意されています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 108 第4章 ドメインの設定 表 13 ローカルDHCPリースの管理 /info/dhcp/ list <list> <del> <stats> list を使用すると、現在のDHCPリースのリストが表示さ れます。下記を参照してください。 del を使用すると、現在のDHCPリースが削除されます。 下記を参照してください。 stats を使用すると、すべてのリースについての情報が 表示されます。表形式の表示には、以下のカラムがあり ます。 Dom(ドメイン)、Snet(サブネット番号)、Type(Standard (標準)、Filter(フィルタ)、Hub(ハブ))、Network(サブ ネット アドレス)、Total(リースの総数)、各ゾーン(Red、 Green、Yellow、Unknown、Known)のリースの総数です。 /info/dhcp/ list/ <addr> <subnet> <all> addr にIPアドレスまたはMACアドレスを指定すると、その アドレスのDHCPリースのリストが表示されます。 subnet にサブネット アドレスとマスクを指定すると、そのサ ブネットのDHCPリースのリストが表示されます。 all を使用すると、すべてのDHCPリースのリストが表示さ れます。 /info/dhcp/ del/ <addr> <subnet> <all> addr にIPアドレスまたはMACアドレスを指定すると、その アドレスのDHCPリースが削除されます。 subnet にサブネット アドレスとマスクを指定すると、そのサ ブネットのDHCPリースが削除されます。 all を使うと、すべてのDHCPリースが削除されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 109 第5章 グループおよびプロファイル の設定 本章では、以下のトピックについて説明します。 トピック 「概要」(109 ページ) 「グループ」(110 ページ) 「リンクセット」(110 ページ) 「TunnelGuard SRSルール」(111 ページ) 「拡張プロファイル」(111 ページ) 「事前作業」(112 ページ) 「グループと拡張プロファイルの設定」(113 ページ) 「グループとプロファイル コマンドのロードマップ」(113 ページ) 「グループの設定」(114 ページ) 「クライアント フィルタの設定」(120 ページ) 「拡張プロファイルの設定」(122 ページ) 「グループまたはプロファイルへのリンクセットのマッピング」(124 ペー ジ) 「デフォルト グループの作成」(126 ページ) 概要 このセクションは、以下のトピックで構成されています。 • 「グループ」(110 ページ) • 「リンクセット」(110 ページ) • 「TunnelGuard SRSルール」(111 ページ) • 「拡張プロファイル」(111 ページ) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 110 第5章 グループおよびプロファイルの設定 Nortel SNAソリューションのグループと拡張プロファイルの詳細について は、『Nortel Secure Network Access Solution Guide(NN47230200)』 を参照してください。 グループ Nortel SNAS 4050は、グループのメンバシップに基づいて、ユーザーにVLAN へのアクセスを許可するかどうかを判断します。 ユーザーがNortel SNAS 4050ドメインにログオンすると、認証方式がその ユーザーの資格情報に関連付けられているグループ名を返します。Nortel SNAS 4050は、ユーザーをNortel SNAS 4050で定義されているグループ にマッピングします。Nortel SNAS 4050ドメインでは、最大1023のグループ を定義することができます。 各グループのデータには、以下の設定可能なパラメータが含まれています。 リンクセット • • TunnelGuard SRSルール 拡張プロファイル • ユーザーの認証が終わると、Nortel SNAS 4050は、ドメインで定義されている グループが、認証データベースから返されたグループ名と一致しているか チェックします。ユーザー ログイン セッションの間、Nortel SNAS 4050はユー ザーに一致したグループのレコードを維持します。 Nortel SNAS 4050は、一致したグループを識別すると、グループ データを 次のようにユーザーに適用します。 • リンクセット:ユーザーがメンバとなっているグループに設定されているす べてのリンクセットを、ユーザーのポータル ページに表示します(「リン クセット」(110 ページ)を参照)。 • TunnelGuard SRSルール:TunnelGuardホスト完全性チェックでは、グルー プに割り当てられているSRSルールに指定されている基準を使用します。 • 拡張プロファイル:Nortel SNAS 4050は、グループをチェックして、適用 可能な拡張プロファイルがあるかどうかを調べます(「拡張プロファイ ル」(111 ページ)を参照)。 グループの作成方法については、「グループの設定」(114 ページ)を参 照してください。 デフォルト グループ グループを、制限されたアクセス権を持つデフォルト グループとして設定する ことができます。認証データベースから返されたグループ名が、Nortel SNAS 4050で定義されたどのグループとも一致しない場合は、Nortel SNAS 4050は ユーザーを自動的にデフォルト グループにマッピングします。 デフォルト グループを作成する方法については、「デフォルト グループの作 成」(126 ページ)を参照してください。 リンクセット リンクセットは、ポータル ページに表示されるリンクのセットです。ユーザーはこ のリンクセットを使用して、内部と外部のWebサイト、サーバー、アプリケーショ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 111 ンに簡単にアクセスすることができます。 ユーザーが認証されると、ユーザー のポータル ページには、ユーザーが属するグループに関連付けられたすべ てのリンクセットが表示されます。 ユーザーのポータル ページには、ユーザー の拡張プロファイルに関連付けられたすべてのリンクセットも表示されます。 リンクセットをグループまたは拡張プロファイルにマッピングするときは、プロ ファイルで指定されているアクセス ルールが、リンクセットで定義されているリ ンクと矛盾しないように注意してください。 リンクセットを作成して設定する方法については、「リンクセットの設定」(201 ページ)を参照してください。 リンクセットをグループにマッピングする方法については、「グループまたはプ ロファイルへのリンクセットのマッピング」(124 ページ)を参照してください。 TunnelGuard SRSルール グループに指定されるSRSルールは、オペレーティング システムその他のソフ トウェアの基準のセットであり、TunnelGuardアプレットが実行するホスト完全性 チェックを構成します。SRSルールは、他のルールを合成して作成することが できますが、各グループに設定できるのは、1つのSRSのみです。グループ が異なれば、異なるSRSルールを設定できます。 SRSルールの設定方法については、『Nortel Secure Network Access Switch 4050 User Guide for the SREM(NN47230101)』のTunnelGuard SRS Builderについての説明を参照してください。SRSルールは、CLIでは作 成できません。 初期セットアップでクイック セットアップ ウィザードを使用していた場合は、 SRSルールに失敗したときのアクションを指定しています。 /cfg/domain 1/aaa/tg/quick コマンドを使用すると、任意の時点でウィザードに戻ること ができます。 SRSルールのチェック結果を変更したい場合は、 /cfg/domain 1/aaa/tg/action コマンドを使用します(詳細は、「TunnelGuardチェックの設 定」(77 ページ)を参照)。 拡張プロファイル SRSルール チェックの合格または失敗は、グループ レベルで用意されている 唯一の認証制御です。これは基本プロファイルです。Nortel SNAS 4050ソフト ウェアの将来のリリースでは、拡張プロファイルに、ユーザー接続の特定の特 性に基づいた、さらにきめの細かい認証制御が用意されます。各グループ に、最大63の拡張プロファイルを定義することができます。 Nortel Secure Network Access Switch Software Release 1.6.1の拡張プロファイ ルのデータには、以下の設定可能なパラメータが含まれています。 • リンクセット • ユーザーがアクセスを許可されているVLAN 各拡張プロファイルは、クライアント フィルタを1対1の関係で参照します。 Nortel Secure Network Access Switch Software Release 1.6.1では、ユーザーの セキュリティ ステータスを確立するために、TunnelGuardのチェック結果をクライ アント フィルタの基準として設定することができます。 拡張プロファイルのデータがユーザーに適用されるかどうかは、拡張プロファ イルの中で参照されているクライアント フィルタによって決まります。 ユーザー が認証され、TunnelGuardのホスト完全性チェックが完了すると、Nortel SNAS Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 112 第5章 グループおよびプロファイルの設定 4050は、クライアント フィルタの条件とユーザーのセキュリティ ステータスが一 致しているものを見つけるために、グループの拡張プロファイルをプロファイル IDの順番にチェックします。一致したものが見つかると、Nortel SNAS 4050は その拡張プロファイルをユーザーに適用します。基本プロファイルで定義され たデータ(たとえば、リンクセット)が、拡張プロファイルのデータに追加されま す。Nortel SNAS 4050は、拡張プロファイルに一致するものを見つけられな かった場合は、基本プロファイルデータを適用します。 クライアント フィルタを設定する方法については、「クライアント フィルタの設 定」(120 ページ)を参照してください。 拡張プロファイルを設定する方法については、「拡張プロファイルの設定」 (122 ページ)を参照してください。 事前作業 Nortel SNAS 4050に、グループ、クライアント フィルタ、および拡張プロファイ ルを設定する前に、以下の作業を完了する必要があります。 ステップ 操作 1 必要に応じて、リンクセットを作成します(「リンクセットとリンク」 (185 ページ)を参照)。 2 SRSルールを作成します(『Nortel Secure Network Access Switch 4050 User Guide for the SREM(NN47230101)』を 参照)。BBIについては、『Nortel Secure Network Access Switch 4050 – Configuration – Browser Based Interface (NN47230500)』を参照してください。 3 認証サービスが設定済みの場合は、認証サービスで使用されるグ ループ名を確認します。 Nortel SNAS 4050で定義されるグループ名は、認証サービスで 使用されるグループ名と対応している必要があります。 「表 14 Nortel SNAS 4050と認証サービスのグループ名」(112 ページ)に、 各種の認証方式の要件を示します。 ― 終わり ― 表 14 Nortel SNAS 4050と認証サービスのグループ名 認証方式 Nortel SNAS 4050のグループ名が対応す るグループ名 RADIUS ベンダ固有属性で定義されているグループ 名。RADIUSサーバーが使用します。詳細は、 RADIUSのシステム管理者に問い合わせて ください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 113 認証方式 Nortel SNAS 4050のグループ名が対応す るグループ名 LDAP LDAPグループ属性で定義されているグルー プ名。LDAPサーバーが使用します。詳細は、 LDAPのシステム管理者に問い合わせてくだ さい。 ローカル データベース データベースで使われているグループ名。グ ループ名は内部用であり、関連付けられたアク セス ルールに基づいて、イントラネット リソース へのアクセスを制御するために使用されます。 ユーザーをローカル データベースに追加する ときには、ユーザーを1つまたは複数の定義済 みのユーザー グループにマッピングします。 グループと拡張プロファイルの設定 CLIを使用してNortel SNAS 4050にグループと拡張プロファイルを設定するた めの基本的な手順は、以下のとおりです。 ステップ 操作 1 グループを設定します(「グループの設定」(114 ページ)を参照)。 2 拡張プロファイルで参照するクライアント フィルタを作成します(「ク ライアント フィルタの設定」(120 ページ)を参照)。クライアント フィ ルタは、ドメイン内のすべての拡張プロファイルから参照されます。 3 グループの拡張プロファイルを設定します(「拡張プロファイルの 設定」(122 ページ)を参照)。 4 リンクセットをグループと拡張プロファイルにマッピングします(「グ ループまたはプロファイルへのリンクセットのマッピング」(124 ペー ジ)を参照)。 5 必要に応じて、デフォルト グループを作成します(「デフォルト グ ループの作成」(126 ページ)を参照)。 ― 終わり ― グループとプロファイル コマンドのロードマップ 以下のロードマップには、グループ、クライアント フィルタ、拡張プロファイル、 およびリンクセットのマッピングの設定で使用するすべてのCLIコマンドを示し ます。 この一覧表をクイック リファレンスとして使用するか、このマニュアルの エントリをクリックして、詳しい説明を参照してください。 CLIコマンドのロードマップ コマンド パラメータ /cfg/domain 1/aaa/group <group ID> name <name> restrict Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 114 第5章 グループおよびプロファイルの設定 パラメータ コマンド tgsrs <SRS rule name> tgmode <runonce | continuous | never> mactrust <bypass | none> enftype <filter_only | vlan_filter> macreg <true | false> admrights <user> <passwd> <action> <reset> comment <comment> del /cfg/domain 1/aaa/filter <filter ID> name <name> tg true | false | ignore comment <comment> del /cfg/domain 1/aaa/group <group ID | group name>/extend [<profile ID>] filter <name> vlan <name> linkset del /cfg/domain 1/aaa/group #/linkset list del <index number> add <linkset name> insert <index number> <linkset name> move <index number> <new index number> /cfg/domain 1/aaa/group #/extend #/linkset list del <index number> add <linkset name> insert <index number> <linkset name> move <index number> <new index number> cfg/domain nsnas235local/aaa/group 1/cachepass Usage: cachepass <true|false> cfg/domain nsnas235local/aaa/group 1/syscredent /cfg/domain 1/aaa/defgroup <group name> グループの設定 グループを作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/group <group ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 115 group ID は1~1023の範囲の整数で、Nortel SNAS 4050ドメイン内のグループ を一意に識別するIDです。 はじめてグループを作成するときには、グループIDを入力する必要があり ます。グループを作成したら、IDまたは名前を使用してグループにアクセス し、設定を行います。 グループをはじめて作成するときには、以下のパラメータを入力するように 求められます。 • グループ名:Nortel SNAS 4050上のグループを一意に識別する文字列で す。 この文字列の最大長は、255文字です。 グループ名を定義したら、グ ループ名かグループIDを使用してGroupメニューにアクセスします。グ ループ名は、認証サービスで使用されるグループ名と一致している必要 があります。 詳細については、「表 14 Nortel SNAS 4050と認証サービス のグループ名」(112 ページ)を参照してください。 • セッション数:グループの各メンバに許される同時ポータル セッションま たはNortel SNAS 4050セッションの最大数です。デフォルトは、0(無制 限)です。Groupメニューの restrict コマンドを使用すると、セッション数 を後で変更することができます。 備考1:MAC OSXとLinux OSは、filter onlyメカニズムでサポートされま す。ただし、VLANの変更はできません。 備考2:MAC OSXのユーザーは、スリープ モードが有効になってからロ グインし直す必要があります。 Groupメニューが表示されます。 備考: 初期セットアップでクイック セットアップ ウィザードを実行していた 場合は、グループID = 1の tunnelguard が作成されています。 Groupメニューには、以下のオプションがあります。 グループの設定 /cfg/domain 1/aaa/group # 後に続くパラメータ name <name> グループに名前を付けるか、グループの名前 を変更します。 グループ名を定義したら、グ ループ名かグループIDを使用して、Groupメ ニューにアクセスします。 • name は、ドメイン内で一意の文字列にす る必要があります。 この文字列の最大長 は、255文字です。 グループ名は、認証サービスで使用されるグ ループ名と一致している必要があります。 詳 細については、「表 14 Nortel SNAS 4050と認 証サービスのグループ名」(112 ページ)を参 照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 116 第5章 グループおよびプロファイルの設定 /cfg/domain 1/aaa/group # 後に続くパラメータ restrict グループの各メンバに許される同時ポータル セッションまたはNortel SNAS 4050セッションの 最大数を設定します。 たとえば、値に2を設定すると、ユーザーは同 時に2台のコンピュータを使用し、2つの同時 セッションを実行することができます。デフォル トは、0(無制限)です。 linkset Linksetsメニューにアクセスして、設定済みの リンクセットをグループにマッピングします(「グ ループまたはプロファイルへのリンクセットの マッピング」(124 ページ)を参照)。 リンクセットを作成して設定する方法について は、「リンクセットの設定」(201 ページ)を参 照してください。 extend <profile ID> Extended Profilesメニューにアクセスして、グ ループの拡張プロファイルを設定します(「拡 張プロファイルの設定」(122 ページ)を参照)。 既存のプロファイルを表示するには、 extend コ マンドに続けて[TAB]を押します。 tgsrs <SRS rule name> グループに適用する定義済みのTunnelGuard SRSルールを指定します。 SREMを使用したSRSルールの設定方法につ いては、『Nortel Secure Network Access Switch 4050 User Guide for the SREM (NN47230101)』を参照してください。SRS ルールは、CLIでは設定できません。 mactrust <bypass | none> 認証と完全性チェックのための要件を設定 します。 bypass を選択すると、MAC認証が適用され ます。 クライアントがMAC認証に合格すると、ポータ ル認証とTunnelGuard完全性チェックはバイパ スされます。クライアントにはネットワークへのア クセス権が与えられます。 TunnelGuardは実行 されないので、システムはエンフォースメントを 自動的に適用します(下記のenftypeを参照)。 ユーザーが複数のグループに属している場合 は、すべてのグループにbypassが設定されて いる場合にのみ、bypassとなります。 bypass認 証に失敗すると、システムはポータル認証と TunnelGuard完全性チェックを起動します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 117 /cfg/domain 1/aaa/group # 後に続くパラメータ bypassオプションでは、エンドポイントのMACア ドレスがローカル(Nortel SNAS 4050)のMAC データベースに登録されている必要がありま す。ローカルMACデータベースを管理する方 法については、「ローカルMACデータベース の管理」(158 ページ)を参照してください。 none を選択すると、ポータル認証と完全性 チェックのみが行われます。 tgmode <continuous | runonce | never> TunnelGuardの監視モードを設定します。 continuous を選択すると、TunnelGuardによっ てエンドポイントが周期的に監視されます。 ユーザーは、セッションが続く間、最初のブラ ウザのウィンドウを開いたままにしておく必要 があります。 runonce を選択すると、1サイクルのチェックの みが行われます。 ユーザーは、TunnelGuard が実行されてGreenゾーンに移された後に、ブ ラウザを閉じることができます。 runonce は、エンドポイントのオペレーティング システムがMacOSまたはLinuxであれば、自 動的に適用されます。 TunnelGuardの完全性 チェックは、非Windows系のオペレーティング システムでは実行されません。 never を選択すると、TunnelGuardは実行され ず、ネットワーク アクセスの可否は認証での み判断されます。 システムは、デバイスが TunnelGuard完全性チェックに合格したかのよ うに処理を進めます。 非Windows系のオペレーティング システムで never を選択すると、Filter_onlyエンフォースメ ントが自動的に適用されます(下記の enftype を参照)。 macreg <true | false> クライアントPCからローカルMACデータベース へのアクセス権を設定します。 true は、グループ メンバにエントリを追加ま たは変更することを許可します。 false は、ア クセスを拒否します。 ローカルMACデータベースを管理する方法に ついては、「ローカルMACデータベースの管 理」(158 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 118 第5章 グループおよびプロファイルの設定 /cfg/domain 1/aaa/group # 後に続くパラメータ enftype <filteronly | vlanfilter> NSNAネットワーク アクセス デバイス(SSCPを サポートするデバイス)のエンフォースメント タイプを設定します。 filteronly は、Red、Yellow、Greenエン フォースメント ゾーンが、Red VLAN内のフィル タで指定されることを示します。 vlanfilter は、エンフォースメント ゾーンが、一意のRed、 Yellow、Green VLANに適用されるフィルタで 指定されることを示します。エンフォースメン ト タイプの詳細については、「Nortel SNASの エンフォースメント タイプ」(23 ページ)を参 照してください。 admrights <user> <passwd> <action> <reset> TunnelGuardアプレットの特権レベルを administratorに格上げするためのユーザー名 とパスワードを設定します。適用されるのは Windowsオペレーティング システムのみです。 vlanfilter エンフォースメント タイプを適用 するときには、TunnelGuardでは、PCのIPアド レスを変更するためにPCのadministrator特権 が必要になります。 TunnelGuardがユーザー のユーザー名/パスワードから継承する特権 がadministrator特権を持っていない場合、 admrights を使用してTunnelGuardの特権レベ ルを格上げすることができます。 user と password に、それぞれ、administratorの ユーザー名とパスワード(たとえば、ネットワー ク管理者のユーザー名とパスワード)を入力 します。 user フィールドは、domain\usernameの形 式のユーザー名を受け付けます。 administratorのユーザー名とパスワードが設定 されていない場合は、以下のアクションを選択 することができます。 • no_access は、ネットワークへのアクセスを 拒否します。これがデフォルトです。 • filter_only は、filter_onlyエンフォースメ ントを選択します(上記の、 enftype を参 照)。 管理権のパラメータがアクティブになってい て、ユーザー名/パスワードの設定が無効だっ た場合には、ネットワークへのアクセスは拒 否されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 119 /cfg/domain 1/aaa/group # 後に続くパラメータ reset を使用すると、admrightsのユーザー名と パスワードが削除されます。設定前の状態と 同じになります。 comment <comment> グループについてのコメントを設定します。 del グループをNortel SNAS 4050ドメインから削除 します。グループを削除すると、そのグループ IDに関連付けられていたすべての拡張プロ ファイルも削除されます。 「図6 Groupメニューのコマンド」(119 ページ)に、 /cfg/domain 1/aaa/group <group ID> コマンドの出力例と、Groupメニューのコマンドを示します。 図6 Groupメニューのコマンド 表 15 group 1の設定 cfg/domain nsnas235local/aaa/group 1/cachepass Usage cachepass:true|false 表 16 group 1の設定 cfg/domain nsnas235local/aaa/group 1/syscredent/ User システムのusernameを設定 passwd システムのパスワードを設定 prevuser システムの以前のusernameを設定 prevpasswd システムの以前のパスワードを設定 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 120 第5章 グループおよびプロファイルの設定 新規パスワードの発効日 actdate earplush exprprev updclients reset ena dis クライアント フィルタの設定 クライアント フィルタを作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/filter <filter ID> filter ID は1~63の範囲の整数で、Nortel SNAS 4050ドメイン内のフィルタ を一意に識別するIDです。 はじめてフィルタを作成するときには、フィルタIDを入力する必要がありま す。フィルタを作成したら、IDか名前を使用してフィルタにアクセスし、設 定を行います。 はじめてフィルタを作成するときには、クライアントのフィルタ名の入力を 求められます。 Client Filterメニューが表示されます。 備考: 初期セットアップでクイック セットアップ ウィザードを実行していた 場合は、2つのクライアント フィルタ、 tg_passed (フィルタID = 1) と、 tg_failed (フィルタID = 2)が作成されています。 Client Filterメニューには、以下のオプションがあります。 クライアント フィルタの設定 /cfg/domain 1/aaa/filter <filter ID> 後に続くパラメータ name <name> フィルタに名前を付けるか、フィルタの名前を 変更します。フィルタ名を定義したら、フィル タ名かフィルタIDを使用して、Client Filterメ ニューにアクセスします。 • name は、ドメイン内で一意の文字列にする 必要があります。 この文字列の最大長は、 255文字です。 拡張プロファイルを設定するときに、クライアン ト フィルタ名を参照します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 121 /cfg/domain 1/aaa/filter <filter ID> 後に続くパラメータ tg true|false|ignore TunnelGuardのホスト完全性チェックの合格ま たは失敗を、フィルタのトリガにするかどうかを 指定します。 • true :TunnelGuardチェックの成功を、クライ アント フィルタのトリガにします。 • false :TunnelGuardチェックの失敗を、クラ イアント フィルタのトリガにします。 • ignore :TunnelGuardチェックの合格また は失敗を、クライアント フィルタのトリガに はしません。 デフォルトは、 ignore です。 たとえば、TunnelGuardチェックに失敗したユー ザーに制限付きのアクセス権を認めるために、 tg の値に false を設定し、このクライアント フィ ルタを参照する拡張プロファイルを作成し、そ の拡張プロファイルを制限付きのVLANにマッ ピングします。 TunnelGuardチェックの設定方法については、 「TunnelGuardチェックの設定」(77 ページ)を参 照してください。 comment <comment> クライアント フィルタについてのコメントを作 成します。 del クライアント フィルタを現在の設定から削除し ます。 「図7 Client Filterメニューのコマンド」(122 ページ)に、 /cfg/domain Filterメニューの コマンドを示します。 1/aaa/filter <filter ID> コマンドの出力例と、Client Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 122 第5章 グループおよびプロファイルの設定 図7 Client Filterメニューのコマンド 拡張プロファイルの設定 拡張プロファイルを作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/group <group ID | group name> /extend [<profile ID>] profile ID は1~63の範囲の整数で、グループ内のフィルタを一意に識別す るIDです。コマンドのパラメータとしてプロファイルIDを入力しなかった場合 は、それを入力するように求められます。 はじめて拡張プロファイルを作成するときには、プロファイルIDを入力する 必要があります。拡張プロファイルを作成したら、プロファイルIDか関連付 けられているクライアント フィルタの名前を使用してプロファイルにアクセス し、設定を行います。 プロファイルをはじめて作成するときには、以下のパラメータを入力する ように求められます。 • クライアント フィルタ名:定義済みのクライアント フィルタの名前です。この フィルタによって、Nortel SNAS 4050が既存の拡張プロファイルをユー ザーに適用するかどうかを判断します。フィルタを表示するには、プロンプ トに対して[TAB]キーを押します。Extended Profileメニューの filter コマンドを使用すると、プロファイルで参照されているフィルタを後で 変更することができます。 • VLAN:Nortel SNAS 4050が、このプロファイルを使用してユーザーに割り 当てるVLANの名前です。Extended Profileメニューの vlan コマンドを使 用すると、このプロファイルのVLAN割当てを後で変更することができます。 Extended Profileメニューが表示されます。 備考: 初期セットアップでクイック セットアップ ウィザードを実行していた 場合は、2つの拡張プロファイル、クライアント フィルタtg_failedに 関連付けられたプロファイルID 1と、クライアント フィルタtg_passed に関連付けられたプロファイルID 2が作成されています。 Extended Profileメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 123 プロファイルの設定 /cfg/domain 1/aaa/group #/extend # 後に続くパラメータ filter <name> 定義済みのクライアント フィルタを指定します。 このフィルタによって、Nortel SNAS 4050がこの 拡張プロファイルをユーザーに適用するかど うかを判断します。 ユーザーのTunnelGuardの チェック結果がフィルタの基準に一致すると、 Nortel SNAS 4050はこの拡張プロファイルを適 用します。利用できるフィルタを表示するには、 filter コマンドに続けて[TAB]を押します。 • name は、ドメイン内で一意の文字列にす る必要があります。 クライアント フィルタを設定する方法について は、「クライアント フィルタの設定」(120 ページ) を参照してください。 vlan <name> Nortel SNAS 4050が、このプロファイルを使用し てユーザーに割り当てるVLANを指定します。 • name は、ドメイン内で一意の文字列にす る必要があります。 linkset Linksetsメニューにアクセスして、設定済みの リンクセットをプロファイルにマッピングします (「グループまたはプロファイルへのリンクセット のマッピング」(124 ページ)を参照)。 リンクセットを作成して設定する方法につい ては、「リンクセットの設定」(201 ページ)を参 照してください。 del 拡張プロファイルをグループから削除します。 「図8 Extended Profileメニューのコマンド」(124 ページ)に、 /cfg/domain 1/aaa/group <group ID> /extend コマンドの出力例と、Extended Profileメ ニューのコマンドを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 124 第5章 グループおよびプロファイルの設定 図8 Extended Profileメニューのコマンド グループまたはプロファイルへのリンクセットのマッピング 定義済みのリンクセットをグループまたはプロファイルにマッピングすることに よって、ポータル ページをユーザーごとにカスタマイズすることができます。 リンクセットの詳細については、「リンクセットとリンク」(185 ページ)を参照し てください。 リンクセットをグループにマッピングするには、GroupメニューからLinksetsメ ニューにアクセスします。次のコマンドを使用します。 /cfg/domain 1/aaa/group #/linkset リンクセットを拡張プロファイルにマッピングするには、Extended Profileメ ニューからLinksetsメニューにアクセスします。次のコマンドを使用します。 /cfg/domain 1/aaa/group #/extend #/linkset Linksetsメニューが表示されます。 Linksetsメニューには、以下のオプションがあります。 Linksetsのマッピング /cfg/domain 1/aaa/group #[/extend #]/linkset 後に続くパラメータ list del <index number> 現在設定されているリンクセットをインデックス 番号ごとに表示します。 指定したインデックス番号に対応するリンクセッ トのエントリを削除します。 残りのエントリのイン デックス番号は、それに応じて調整されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第5章 グループおよびプロファイルの設定 125 /cfg/domain 1/aaa/group #[/extend #]/linkset 後に続くパラメータ add <linkset name> リンクセットをグループまたは拡張プロファイル に追加します。 このリンクセットは、ユーザー認 証後にポータル ページに表示されます。リンク セットは必要なだけ追加することができます。 Nortel SNAS 4050は、リンクセットをグループの リストに追加するたびに、リンクセット名にイン デックス番号を割り当てます。リンクセットは、 インデックス番号順にポータル ページに表示 されます。 insert <index number> <linkset name> リンクセットをリスト内の特定の位置に挿入し ます。それに応じて、そのインデックス番号以 上のインデックス番号を持っていた既存のリ ンクセットのインデックス番号は、1つずつ増 やされます。 move <index number> <new index number> リンクセットのエントリをリスト内で上下に移動 します。 残りのエントリのインデックス番号は、 それに応じて調整されます。 「図9 Linksetsメニューのコマンド」(126 ページ)に、/cfg/domain 1/aaa/group <group ID> /linkset コマンドの出力例と、Linksetsメニューのコマンドを示 します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 126 第5章 グループおよびプロファイルの設定 図9 Linksetsメニューのコマンド デフォルト グループの作成 デフォルト グループを作成するには、まず、制限付きのVLANにマッピングさ れる拡張プロファイルを持つグループを作成します(「グループの設定」(114 ページ)と「拡張プロファイルの設定」(122 ページ)を参照)。それから、次のコ マンドを使用してこのグループをデフォルト グループにします。 /cfg/domain 1/aaa/defgroup <group name> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 127 第6章 認証の設定 本章では、以下のトピックについて説明します。 トピック 「概要」(127 ページ) 「事前作業」(128 ページ) 「認証の設定」(130 ページ) 「認証コマンドのロードマップ」(130 ページ) 「認証方式の設定」(132 ページ) 「高度な設定」(133 ページ) 「RADIUS認証の設定」(134 ページ) 「LDAP認証の設定」(140 ページ) 「ローカル データベースの認証の設定」(153 ページ) 「認証フォールバックの順序の指定」(161 ページ) 概要 Nortel SNAS 4050は、クライアントがネットワークにログオンするときにその 認証を制御します。 Nortel SNAソリューションでは、Nortel Secure Network Access Switch Software Release 1.6.1の以下の認証方式がサポートされます。 • 外部データベース — Remote Authentication DialIn User Service(RADIUS) — Lightweight Directory Access Protocol(LDAP) • Nortel SNAS 4050上のローカル データベース — ローカル ポータル データベース — ローカルMACデータベース Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 128 第6章 認証の設定 備考: 初期セットアップでクイック セットアップ ウィザードを実行して いた場合は、ローカル データベース認証方式Authentication 1 が作成されています。 Nortel SNAS 4050ドメイン内には複数の認証方式を設定することができま す。認証方式がデフォルトで適用される順番を決定する必要があります。ク ライアントの資格情報は、一致が見つかるまで、各種の認証データベース でチェックされます。 認証方式の名前をポータル ログイン ページに表示するように設定できます (「認証方式の設定」(132 ページ)を参照)。それによって、クライアントに特 定の認証サーバーを選択させる(たとえば、特定のWindowsドメインを選択 させる)ことができます。クライアントがLogin Service名を選択すると、認証リ クエストはただちに指定されたサービスに送信されます。それ以外の場合 は、認証は設定した順番で行われます(「認証フォールバックの順序の指 定」(161 ページ)を参照)。 Nortel SNAソリューションでの認証の概要については、『Nortel Secure Network Access Solution Guide(NN47230200)』を参照してください。 事前作業 Nortel SNAS 4050で認証を設定する前に、以下の作業を完了する必要があ ります。 ステップ 操作 1 必要に応じて、Nortel SNAS 4050ドメインを作成します(「ドメイン の作成」(70 ページ)を参照)。 初期セットアップでクイック セットアップ ウィザードを実行していた場 合は、Nortel SNAS 4050にDomain 1がすでに作成されています。 備考: Nortel Secure Network Access Switch Software Release 1.6.1を使用している場合は、Nortel SNAソリューション に複数のドメインを作成することはできません。 2 グループを作成して設定します(「第5章 グループおよびプロファ イルの設定」(109 ページ)を参照)。 3 外部認証サーバーを使用する場合は、必要に応じて外部サー バーを作成するか、外部サーバーの設定を変更します。 a. Free RADIUSサーバーの場合、clients.confファイルとUsersファ イル内の設定がNortel SNAS 4050上に設定したグループ パラ メータに一致するように設定する必要があります。 b. Steelbelted RADIUSサーバーの場合は、vendor.iniファイル、 マスタ ディクショナリ、およびベンダ ディクショナリを適切に設 定する必要があります。 c. MS IAS RADIUSサーバーの場合は、ベンダ パラメータを Microsoft Management Console(MMC)で設定する必要があり ます。 4 外部認証を設定するには、認証サーバーの設定についての以 下の情報が必要です。 a. RADIUSサーバーの場合 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 • サーバーIPアドレス • サービスに使用するポート番号 • 共有シークレット 129 • VendorId属性 • VendorType 備考: VendorIdとVendorType属性には、ベンダ固有の コードを割り当てることができます。RADIUSサー バーは、グループ名やセッション タイムアウト値な どの属性に割り当てて送信する値を決めるため に、VendorIdとVendorType属性を組み合わせて 使用します。 各ベンダは固有のディクショナリを持っています。 属性に指定するVendorIdは、RADIUSサーバーが 属性値を検索するのに使用するディクショナリを識 別します。VendorTypeは、ディクショナリ ファイル内 の当該のエントリのインデックス番号を表わします。 Internet Assigned Numbers Authority(IANA) が 、 VendorId 属 性 に 割 り 当 て 可 能 な SMI Network Management Private Enterprise Codesの割当てを行っています (http://www.iana.org/assignments/enterprisenumbers を参照)。 RFC 2865に、VendorType属性の使用法の解説が あります。 RADIUSサーバーとNortel SNAS 4050にVendorId とVendorTypeを指定した場合、Nortel SNAS 4050 は関連付けられた属性についてベンダ固有の値 を検索します。VendorIdとVendorType属性に0を 設定した場合、RADIUSサーバーは標準の属性 値を送信します。 b. LDAPサーバーの場合 • サーバーIPアドレス • サービスに使用するポート番号 • 設定済みのアカウントとユーザー(適切な検索エントリと、グ ループおよびユーザーの属性を指定するため) ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 130 第6章 認証の設定 認証の設定 クライアント認証の設定や管理を行うための基本的な手順は、以下のとお りです。 ステップ 操作 1 認証方式を作成します。 2 認証方式の具体的な設定を行います。 3 認証方式を適用する順番を指定します。Nortel SNAS 4050で1つ の認証方式のみを定義している場合でも、この手順は必要です。 ― 終わり ― 認証を設定するには、次のコマンドを使用して、AAAメニューにアクセス します。 /cfg/domain 1/aaa AAAメニューを使用すると、以下の認証関連の作業を行うことができます。 • 認証方式の作成と設定 — 「認証方式の設定」(132 ページ) — 「高度な設定」(133 ページ) — 「RADIUS認証の設定」(134 ページ) — 「LDAP認証の設定」(140 ページ) — 「ローカル データベースの認証の設定」(153 ページ) • 認証方式を適用する順番の設定(「認証フォールバックの順序の指定」 (161 ページ)を参照) 認証コマンドのロードマップ 以下のロードマップには、Nortel SNAS 4050ドメインにクライアント認証を設 定するのに使用するCLIコマンドを示してあります。 この一覧表をクイック リ ファレンスとして使用するか、このマニュアルのエントリをクリックして、詳し い説明を参照してください。 CLIコマンドのロードマップ コマンド パラメータ /cfg/domain 1/aaa/auth <auth ID> type radius | ldap | local name <name> display del /cfg/domain 1/aaa/auth #/adv groupauth <auth IDs> secondauth <auth ID> /cfg/domain 1/aaa/auth #/radius vendorid <vendor ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 コマンド 131 パラメータ vendortype <vendor type> domainid <domain ID> domaintype <domain type> authproto pap|chapv2 timeout <interval> /cfg/domain 1/aaa/auth #/radius/servers list del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> /cfg/domain 1/aaa/auth #/radius/sessiontim vendorid <vendor ID> vendortype <vendor type> ena dis /cfg/domain 1/aaa/auth #/ldap searchbase <DN> groupattr <names> userattr <names> isdbinddn <DN> isdbindpas <password> enaldaps true | false enauserpre true | false timeout <interval> /cfg/domain 1/aaa/auth #/ldap/servers list del <index number> add <IPaddr> <port> insert <index number> <IPaddr> move <index number> <new index number> /cfg/domain 1/aaa/auth #/ldap/ldapmacro list del <index number> add <variable name> <LDAP attribute> [<prefix>] [<suffix>] insert <index number> <variable name> move <index number> <new index number> /cfg/domain 1/aaa/auth #/ldap/activedire enaexpired true | false expiredgro <group> recursivem true | false /cfg/domain 1/aaa/auth #/local add <user name> <password> <group> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 132 第6章 認証の設定 パラメータ コマンド passwd <user name> <password> groups <user name> <desired group> del <user name> list import <protocol> <server> <filename> <key> export <protocol> <server> <filename> <key> /cfg/domain 1/aaa/macdb add del <MAC address> list show <MAC address> import <protocol> <server> <filename> export <protocol> <server> <filename> clear /cfg/domain 1/aaa/authorder <auth ID>[,<auth ID>] 認証方式の設定 認証方式を作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth <auth ID> auth ID は1~63の範囲の整数で、Nortel SNAS 4050ドメイン内の認証方式 を一意に識別するIDです。 認証方式をはじめて作成するときには、以下のパラメータを入力するように求 められます。Nortel Secure Network Access Switch Software Release 1.6.1で有 効なオプションは、以下のとおりです。 • RADIUS • LDAP • local 選択する方式のタイプによって、認証方式の作成時に入力を求められるパ ラメータが変わります。また、Authenticationメニューで用意されるサブメ ニュー オプションの表示も変わります。 Authenticationメニューには、以下のオプションがあります。 認証の設定 /cfg/domain 1/aaa/auth <auth ID> 後に続くパラメータ type radius|ldap|local 認証メカニズムを設定します。選択したタ イプによって、サブメニュー オプションの 表示が変わります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 133 /cfg/domain 1/aaa/auth <auth ID> 後に続くパラメータ name <name> 認証方式に名前を付けるか、認証方式の 名前を変更します。 認証方式名を定義し たら、認証方式名か auth ID を使用して、 Authenticationメニューにアクセスします。 • name は、ドメイン内で一意の文字列に する必要があります。この文字列で許さ れる最大長は255文字ですが、最大で 32文字にすることを推奨します。 Nortel SNAS 4050ソフトウェアの将来のリ リースでは、この文字列をクライアント フィ ルタで参照可能になるため、目的のサー バーに対する認証が、グループのアクセス 権についての条件の1つになります。 display ポータル ログイン ページの[Login Service] リストボックスに、他の利用可能な認証サー ビスとともに表示される認証方式の名前を 指定します。 radius|ldap|local 認証方式固有のメニューにアクセスして、そ の方式の設定を行います。表示されるオプ ションは、方式のタイプによって異なります。 • radius :RADIUSメニューにアクセスし ます(「RADIUS認証の設定」(134 ペー ジ)を参照)。 • ldap :LDAPメニューにアクセスします (「LDAP認証の設定」(140 ページ)を 参照)。 • local :Local databaseメニューにアク セスします(「ローカル データベースの 認証の設定」(153 ページ)を参照)。 adv Advancedメニューにアクセスして、現在の 認証方式が他の認証スキームからグルー プ情報を取得できるようにします(「高度な 設定」(133 ページ)を参照)。 del 認証方式をNortel SNAS 4050ドメインから 削除します。 高度な設定 Nortel SNAS 4050ドメインでは、認証と許可に異なる方式を使用するよう に設定することができます。 たとえば、ドメインには3つの認証方式、Local(auth ID 1)、RADIUS(auth ID 2)、LDAP(auth ID 3)があります。ユーザー グループは、LDAPデータ ベースに格納されています。そのドメインには、ユーザーがRADIUSによっ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 134 第6章 認証の設定 て認証された後で、許可用の認証方式としてLocal方式とLDAP方式を設定 することができます。この例での場合、コマンドは /cfg/domain 1/aaa/auth 2/ adv/groupauth 1,3 となります。ユーザーがRADIUS経由でログオンする と、システムは最初にRADIUSデータベースをチェックします。一致が見つか らないと、システムは他の認証スキームを( groupauth コマンドで指定された 順番で)チェックして、ユーザー名がその認証データベースで定義されてい るユーザー グループと一致するか調べます。最初に一致したグループが ユーザーのグループとしてNortel SNAS 4050に返され、このセッションでの ユーザーのアクセス権が決まります。 異なる認証スキームからユーザー グループ情報を検索できるように、現在の 認証スキームを設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/adv Advancedメニューが表示されます。 Advancedメニューには、以下のオプションがあります。 高度な設定 /cfg/domain 1/aaa/auth #/adv 後に続くパラメータ groupauth <auth IDs> ユーザーが認証された後で、ユーザーの グループ情報の検索に使用される、1つま たは複数の設定済みLDAPデータベース 認証スキームまたはLocalデータベース認 証スキーム(現在のスキームとは異なるス キーム)を指定します。 許可で用いられる認証方式を複数指定 するには、auth IDをカンマ(,)で区切って 入力します。 secondauth <auth ID> 最初の認証に成功した後で使用する二次 認証サービスを指定します。この機能は、 最初の認証方式がトークン認証またはクラ イアント証明書の認証を使用している場合 に、バックエンド サーバーへのシングル サ イン オンをサポートします。 備考: Nortel Secure Network Access Switch Software Release 1.6.1ではサ ポートされていません。 RADIUS認証の設定 Nortel SNAS 4050ドメインで認証に外部RADIUSサーバーを使用するように設 定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth <auth ID> auth ID は1~63の範囲の整数で、Nortel SNAS 4050ドメイン内の認証方式 を一意に識別するIDです。コマンドで auth ID を指定しなかった場合は、そ れを入力するように求められます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 135 ドメインではじめて認証方式を作成するときには、認証IDを入力する必要があ ります。認証方式を作成して名前を定義したら、IDか名前を使用して、認証方 式にアクセスし、設定を行います。 以下の設定を行うことができます。 • 「RADIUS認証方式の追加」(135 ページ) • 「RADIUS設定の変更」(136 ページ) • 「RADIUS認証サーバーの管理」(138 ページ) • 「セッション タイムアウトの設定」(140 ページ) RADIUS認証方式の追加 認証IDを作成するコマンドを実行すると、ウィザードが起動します。プロン プトが表示されたら、以下の情報を入力します。RADIUS設定は、後で変更 することができます(「認証方式の設定」(132 ページ)と「RADIUS設定の変 更」(136 ページ)を参照)。 • 認証タイプ:オプションは、radius|ldap|localです。radiusを入力します。 • 認証方式名( auth name ):認証方式の名前を示す文字列です。 認証方 式名を定義したら、認証方式名か auth ID を使用してAuthenticationメ ニューにアクセスします。 Nortel SNAS 4050ソフトウェアの将来のリリー スでは、この文字列をクライアント フィルタから参照できるようになるた め、目的のサーバーに対する認証が、グループのアクセス権について の条件の1つになります。 • RADIUSサーバーのIPアドレスです。 • RADIUSサーバーがリッスンするポート:RADIUSサーバーに設定する ポート番号であり、サービスに使用するポートを指定します。デフォルト は、1812です。 • 共有シークレット:Nortel SNAS 4050をRADIUSサーバーに対して認証す るためにRADIUSサーバーに設定される一意の共有シークレットです。 • グループのベンダID:RADIUSサーバーがNortel SNAS 4050にグループ 名を送信するために使用するベンダ固有の属性に対応します。デフォルト のVendorIdは、1872(Alteon)です。 ベンダ固有の属性ではなく、標準のRADIUS属性を使用する場合は、ベ ンダIDに0を設定します(ベンダ タイプを参照)。 • グループのベンダ タイプ:ユーザーが属するグループを特定するために、 VendorIdとともに使用されるVendorTypeの値に対応します。ベンダ固有属 性が指すグループ名は、Nortel SNAS 4050で /cfg/domain 1/aaa/group <group ID> コマンドを使用して定義した名前と一致する必要があります (「グループの設定」(114 ページ)を参照)。デフォルトは、1です。 標準のRADIUS属性を使用するためにベンダIDに0を設定した場合(ベン ダIDを参照)は、ベンダ タイプにはRFC 2865で定義されている標準の属 性タイプを使用します。たとえば、標準の属性Classを使用するには、ベン ダIDに0を、ベンダ タイプには25を、それぞれ設定します。 • ドメインのベンダID:RADIUSサーバーがNortel SNAS 4050にドメイン名を 送信するのに使用するベンダ固有の属性に対応します。デフォルトの VendorIdは、1872(Alteon)です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 136 第6章 認証の設定 • ドメインのベンダ タイプ:ドメインを識別するために、VendorIdとともに使用 されるVendorTypeの値に対応します。デフォルトは、3です。 Authenticationメニューが表示されます。 「図10 Authenticationメニューのコマンド:RADIUS」(136 ページ)に、 /cfg/domain 1/aaa/auth <auth ID> コマンドのRADIUS方式の場合の出力例 と、Authenticationメニューのコマンドを示します。 図10 Authenticationメニューのコマンド:RADIUS RADIUS設定の変更 認証方式自体の設定変更については、「認証方式の設定」(132 ページ) を参照してください。 特定のRADIUS設定を変更するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/radius RADIUSメニューが表示されます。 RADIUSメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 137 認証方式の設定 /cfg/domain 1/aaa/auth #/radius 後に続くパラメータ servers RADIUS serversメニューにアクセスして、 ドメイン用に設定されている外部RADIUS サーバーを管理します(「RADIUS認証 サーバーの管理」(138 ページ)を参照)。 vendorid <vendor ID> RADIUSサーバーがNortel SNAS 4050にグ ループ名を送信するために使用するベン ダ固有の属性を指定します。デフォルトの VendorIdは、1872(Alteon)です。 ベンダ固有の属性ではなく、標準の RADIUS属性を使用する場合は、ベンダID に0を設定します(ベンダ タイプを参照)。 備考: authproto が chapv2 の場合は、 VendorIdには311(Microsoft)を設 定する必要があります。 vendortype <vendor type> ユーザーが属するグループを識別するた めにVendorIdと組み合わせて使用される VendorTypeの値を指定します。ベンダ固 有の属性が指すグループ名は、NSNASで 定義した名前と一致する必要があります。 デフォルトは、1です。 標準のRADIUS属性を使用するためにベ ンダIDに0を設定した場合(ベンダIDを参 照)は、ベンダ タイプにはRFC 2865で定義 されている標準の属性タイプを使用しま す。たとえば、標準の属性Classを使用する には、ベンダIDに0を、ベンダ タイプには 25を、それぞれ設定します。 domainid <domain ID> RADIUSサーバーがNSNASにドメイン名を 送信するのに使用するベンダ固有の属性 を指定します。デフォルトのVendorIdは、 1872(Alteon)です。 備考: authproto が chapv2 の場合 は、ドメインのVendorIdには10 (MSCHAPDomain)を設定する必 要があります。 domaintype <domain type> ドメインを識別するためにVendorIdと組み 合わせて使用されるVendorTypeの値を指 定します。デフォルトは、3です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 138 第6章 認証の設定 /cfg/domain 1/aaa/auth #/radius 後に続くパラメータ authproto pap|chapv2 Nortel SNAS 4050とRADIUSサーバー間の 通信用のプロトコルを指定します。 次のオ プションを指定することができます。 • pap :パスワード認証プロトコル(PAP) • chapv2 :Challenge Handshake Authentication Protocol(CHAP)、バー ジョン2 デフォルトは、PAPです。 timeout <interval> RADIUSサーバーへの接続要求のタイム アウト間隔を設定します。 タイムアウト時間 が過ぎても接続が確立されなかった場合、 認証は失敗します。 • interval は、秒(s)、分(m)、または時 間(h)を単位とする時間間隔を示す整 数です。 測定単位を指定しなければ、 秒が指定されたものとみなされます。 範囲は、1~10000秒です。 デフォルト は10秒です。 sessiontim Session Timeoutメニューにアクセスして、 クライアント セッションの時間を制御する設 定を行います(「セッション タイムアウトの設 定」(140 ページ)を参照)。 RADIUS認証サーバーの管理 ドメインに追加のRADIUSサーバーを設定して、冗長性を確保することができ ます。設定には最大3台のRADIUS認証サーバーを組み入れることができま す。RADIUSサーバーが認証要求に応じる順序を指定することができます。 RADIUS認証を有効にするには、RADIUS設定に対応する認証IDをNortel SNAS 4050ドメイン用に指定した認証順序に含める必要があります(「認証 フォールバックの順序の指定」(161 ページ)を参照)。 ドメイン内でクライアント認証に使用されるRADIUSサーバーを設定する には、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/radius/servers Radius serversメニューが表示されます。 Radius serversメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 139 RADIUS認証サーバー /cfg/domain 1/aaa/auth #/radius/servers 後に続くパラメータ list 現在RADIUS認証サーバーに設定されて いるIPアドレス、ポート、共有シークレット を、インデックス番号ごとに表示します。 del <index number> 指定したRADIUS認証サーバーを現在 の設定から削除します。 残りのエントリの インデックス番号は、それに応じて調整さ れます。 設定されているすべてのRADIUS認証サー バーのインデックス番号を表示するには、 list コマンドを使用します。 add <IPaddr> <port> <shared secret> RADIUS認証サーバーを設定に追加しま す。 以下の情報の入力を求めるプロンプ トが表示されます。 • IPaddr :認証サーバーのIPアドレス • port :RADIUS認証に使用するTCP ポート番号。デフォルトは、1813です。 • shared secret :Nortel SNAS 4050を認 証サーバーで認証するときに使用する パスワード システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 insert <index number> <IPaddr> 設定内のRADIUS認証サーバーのリストの 特定の位置に、サーバーを挿入します。 • index number :サーバーに割り当てる インデックス番号 • IPaddr :追加する認証サーバーのIP アドレス 指定するインデックス番号は、現在使われ ているインデックス番号です。 それに応じ て、そのインデックス番号以上のインデック ス番号を持っていた既存のサーバーのイン デックス番号は、1つずつ増やされます。 move <index number> <new index number> 設定内のRADIUS認証サーバーのリスト内 でサーバーを上下に移動します。 • index number :移動させたいサーバー の元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 140 第6章 認証の設定 /cfg/domain 1/aaa/auth #/radius/servers 後に続くパラメータ 残りのエントリのインデックス番号は、それ に応じて調整されます。 セッション タイムアウトの設定 Nortel SNAS 4050でセッション タイムアウトが有効になるように設定し、 RADIUSサーバーからセッション タイムアウト値を取得することができます。 セッション タイムアウトを有効にすると、セッション タイムアウト値によってクライ アントのNortel SNASネットワーク セッションの時間が制御されます。時間切れ になると、クライアントは自動的にログアウトされます。アイドル時間は、セッショ ン タイムアウトには影響しません。 Nortel SNAS 4050にセッション タイムアウトを設定するには、次のコマンドを 使用します。 /cfg/domain 1/aaa/auth #/radius/sessiontim Session Timeoutメニューが表示されます。 Session Timeoutメニューには、以下のオプションがあります。 セッション タイムアウトの設定 /cfg/domain 1/aaa/auth #/radius/sessiontim 後に続くパラメータ vendorid <vendor ID> RADIUSサーバーがNortel SNAS 4050に セッション タイムアウト値を送信するのに使 用するベンダ固有の属性を指定します。デ フォルトのVendorIdは、0です。 VendorTypeにも0(デフォルト値)を設定す ると、RADIUSサーバーはセッション タイム アウト値として標準の属性を送信します。 vendortype <vendor type> Nortel SNAS 4050に送信されるセッション タイムアウト値を識別するために、VendorId と組み合わせて使用されるVendorTypeの 値を指定します。デフォルトは、0です。 ena RADIUSサーバーのセッション タイムアウト 値の取得を有効にします。 デフォルトでは 無効になっています。 dis RADIUSサーバーのセッション タイムアウト 値の取得を無効にします。 デフォルトでは 無効になっています。 LDAP認証の設定 Nortel SNAS 4050ドメインで、認証に外部LDAPサーバーを使用するように設 定するには、次のコマンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 141 /cfg/domain 1/aaa/auth <auth ID> auth ID は1~63の範囲の整数で、Nortel SNAS 4050ドメイン内の認証方式 を一意に識別するIDです。コマンドで auth ID を指定しなかった場合は、そ れを入力するように求められます。 ドメインではじめて認証方式を作成するときには、認証IDを入力する必要があ ります。認証方式を作成して名前を定義したら、IDか名前を使用して、認証方 式にアクセスし、設定を行います。 以下の設定を行うことができます。 • 「LDAP認証方式の追加」(141 ページ) • 「LDAP設定の変更」(143 ページ) • 「LDAP認証サーバーの管理」(146 ページ) • 「LDAPマクロの管理」(148 ページ) • 「Active Directoryのパスワードの管理」(151 ページ) LDAP認証方式の追加 認証IDを作成するコマンドを実行すると、ウィザードが起動します。プロン プトが表示されたら、以下の情報を入力します。パラメータの詳細について は、searchbase <DN>を参照してください。LDAPの設定は、後で変更するこ とができます(「認証方式の設定」(132 ページ)と「LDAP設定の変更」(143 ページ)を参照)。 • 認証タイプ:オプションは、 radius|ldap|local です。 ldap を入力します。 • 認証方式名( auth name ):認証方式の名前を示す文字列です。 認証方 式名を定義したら、認証方式名か auth ID を使用して、Authenticationメ ニューにアクセスします。 Nortel SNAS 4050ソフトウェアの将来のリリー スでは、この文字列をクライアント フィルタから参照できるようになるた め、目的のサーバーに対する認証が、グループのアクセス権について の条件の1つになります。 • LDAPサーバーのIPアドレスです。 • LDAPサーバーがリッスンするポート:LDAPサーバーに設定するポート番 号であり、サービスに使用するポートを指定します。デフォルトは、389です。 • 検索ベース エントリ:以下のいずれかを指す完全識別名(DN)です。 — ユーザー エントリより1つ上のレベルのエントリ(isdBindDNと isdBindPasswordは不要) — ユーザー エントリがLDAP DIT(Dictionary Information Tree)内の複数 の場所に現われる場合、サブツリー検索ですべてのユーザー レコー ドを検索できるDIT内の位置(isdBindDNとisdBindPasswordが必要) • グループ属性名:グループの名前を含んでいるLDAP属性です。複数 のグループ属性名を設定することができます。 • ユーザー属性名:以下のいずれかを指します。 — ユーザー名を含むLDAP属性(isdBindDNとisdBindPasswordは不要) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 142 第6章 認証の設定 — DITを検索するためにユーザーのログイン名と組み合わせて使用され るLDAP属性(isdBindDNとisdBindPasswordが必要) • isdBindDN:LDAPサーバーでNortel SNAS 4050を認証して、LDAP DIT の検索を許可するのに使用されます。 isdBindDN は、Schema Adminsア カウント(たとえば、 cn=ldap ldap, cn=Users, dc=example, dc=com )で 作成されたエントリに対応します。LDAPサーバーにアカウントを作成 し、Nortel SNAS 4050がディレクトリ構造でバインド検索を実行できるよ うにする必要があります。 • isdBindPassword:Nortel SNAS 4050をLDAPサーバーで認証するのに使 用されます。 isdBindPassword は、Schema Adminsアカウントで設定される パスワードで、isdBindDNで参照されるエントリ用です。 • LDAPSを有効にする:trueにすると、Nortel SNAS 4050とLDAPサーバー 間のLDAP要求が、セキュアなSSL接続を使用して行われるようになり ます。 デフォルトは、falseです。デフォルト値のままにするか、 true に リセットします。 Authenticationメニューが表示されます。 「図11 Authenticationメニューのコマンド:LDAP」(142 ページ)に、 /cfg/domain 1/aaa/auth <auth ID> コマンドのLDAP方式の場合の出力例 と、Authenticationメニューのコマンドを示します。 図11 Authenticationメニューのコマンド:LDAP Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 143 LDAP設定の変更 認証方式自体の設定変更については、「認証方式の設定」(132 ページ) を参照してください。 LDAPの設定を変更するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/ldap LDAPメニューが表示されます。 LDAPメニューには、以下のオプションがあります。 LDAP設定の変更 /cfg/domain 1/aaa/auth #/ldap 後に続くパラメータ servers LDAP serversメニューにアクセスして、ド メイン用に設定されている外部LDAPサー バーを管理します(「LDAP認証サーバー の管理」(146 ページ)を参照)。 searchbase <DN> 以下のいずれかを指す完全識別名(DN) を指定します。 1. ユーザー エントリよりレベルが1つ上 のエントリ。 た と え ば 、 searchbase の 値 に ou=People,dc=bluetail,dc=com が設定されている場合です。 認証は、以下の設定に対応するDNに 対して行われます。 uid = <user>、ou = People、dc = bluetail、 およびdc = com uidはユーザー属性、ouは部門、dcはド メイン コンポーネントです。 isdbinddn コマンドと isdbindpas コマン ドは使用しません。 2. ユーザー エントリがLDAP DIT (Dictionary Information Tree)内の複数 の場所に現われる場合、またはクライア ントのポータル ログオン名がユーザー レコードID(RDN)と異なる場合は、サ ブツリー検索ですべてのユーザー レ コードを検索できるDIT内の位置。 DITを検索するためにNortel SNAS 4050がLDAPサーバーに対して自己認 証できるようにするには、 isdbinddn パ ラメータと isdbindpas パラメータが必 要です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 144 第6章 認証の設定 /cfg/domain 1/aaa/auth #/ldap 後に続くパラメータ groupattr <names> グループの名前を含んでいるLDAP属性を 指定します。LDAPグループ属性に含まれ るグループ名は、Nortel SNAS 4050ドメイン で定義されている必要があります(「グルー プの設定」(114 ページ)を参照)。 複数のグループ属性名を指定するには、 カンマ(,)で名前を区切って指定します。 userattr <names> 以下のいずれかを指します。 1. ドメインでクライアントを認証するのに使 用するユーザー名を含むLDAP属性。 デフォルトのユーザー属性名は uid で す。 isdbinddn コマンドと isdbindpas コマン ドは使用しません。 2. クライアントのポータル ログオン名が RDNとは異なる場合(たとえば、Active Directoryを認証するためにLDAPを使 用する場合)は、DITの検索でクライア ントのログオン名と組み合わせて使用さ れるLDAP属性。 たとえば、Active Directory内のユー ザー レコードは、DN: cn=Bill Smith, ou=Users, dc=example, dc=com のよう に定義されます。ユーザー レコードに は、属性 sAMAccountName=bill も含ま れます。ユーザーのログイン名は、bill です。ユーザー属性がsAMAccountName として定義されていれば、Bill Smithの ユーザー レコードが見つかります。 DITを検索するためにNortel SNAS 4050がLDAPサーバーに対して自己認 証できるようにするには、 isdbinddn パ ラメータと isdbindpas パラメータが必 要です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 145 /cfg/domain 1/aaa/auth #/ldap 後に続くパラメータ isdbinddn <DN> LDAPサーバーでNortel SNAS 4050を認 証して、LDAP DITの検索を許可するのに 使用されるLDAPサーバー内のエントリを 指定します。 isdBindDN は、Schema Adminsアカウン ト(たとえば、 cn=ldap ldap, cn=Users, dc=example, dc=com )で作成されたエントリ に対応します。 searchbase と userattr の方式2で必要に なります。 isdbindpas <password> Nortel SNAS 4050をLDAPサーバーで認証 するのに使用されるパスワードを指定しま す。 isdbindpas は、Schema Adminsアカウ ントで設定されるパスワードで、 isdBindDN で参照されるエントリ用です。 searchbase と userattr の方式2で必要に なります。 ldapmacro LDAP Macroメニューにアクセスして、マ クロを管理します(「LDAPマクロの管理」 (148 ページ)を参照)。 enaldaps true|false trueにすると、Nortel SNAS 4050とLDAP サーバー間のLDAP要求が、セキュアな SSL接続(LDAPS)を使用して行われるよ うになります。 デフォルトは、falseです。デ フォルト値のままにするか、 true にリセッ トします。 備考: LDAPプロトコルで使用されるデフォ ルトのTCPポート番号は、389です。 LDAPSを有効にしている場合は、 ポート番号を636に変更します。 enauserpre true|false 外部のLDAP/Active Directoryデータベー スへのユーザー プリファレンスの保管を有 効または無効にします。 • true :ユーザー プリファレンスの保管と 検索が有効になります。クライアントが ポータル セッションからログアウトする と、Nortel SNAS 4050はセッション中に 集積されたユーザー プリファレンスを isdUserPrefs属性に格納します。次に ユーザーがポータルを使用して正常に ログインした場合、Nortel SNAS 4050は LDAPデータベースのLDAP属性を検 索します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 146 第6章 認証の設定 /cfg/domain 1/aaa/auth #/ldap 後に続くパラメータ • false :ユーザー プリファレンスの保管 と検索を無効にします。 ユーザー プリファレンスの保管と検索をサ ポートするには、LDAPサーバーのスキーマ に、1つの新しいオブジェクトクラスと1つの 新しい属性を追加して拡張する必要があり ます。 詳細については、「付録 E ユーザー プリファレンス属性のActive Directoryへの 追加」(417 ページ)を参照してください。 デフォルトは、falseです。 timeout <interval> LDAPサーバーへの接続要求のタイムアウ ト間隔を設定します。 タイムアウトの期間が 過ぎても接続が確立されなかった場合、 認証は失敗します。 • interval は、秒(s)、分(m)、または時 間(h)を単位とする時間間隔を示す整 数です。 測定単位を指定しなかった場 合は、秒が指定されたものとみなされ ます。 範囲は、1~10000秒です。 デ フォルトは5秒です。 activedire Active Directoryメニューにアクセスし て、クライアントのパスワードを管理します (「Active Directoryのパスワードの管理」 (151 ページ)を参照)。 enashortgr グループの簡略形を有効にします。 つまり、NVGを設定して、「返されてきた完 全識別名(DN)の最初の部分を、使用する グループ名として抽出する」ようにします。 そうすれば、グループ名の設定にDN文字 列全体を使用する方法より、VPN内のグ ループ名を簡単に設定できます。 groupsearc LDAP Group Searchメニューを表示します。 adv Advanced LDAPメニューを表示します。 LDAP認証サーバーの管理 ドメインに追加のLDAPサーバーを設定して、冗長性を確保することができま す。設定には最大3台のLDAP認証サーバーを組み入れることができます。 LDAPサーバーが認証要求に応じる順序を指定することができます。 Nortel SNAS 4050ドメインに複数のLDAPサーバーがある場合は、リスト内で 最初にアクセス可能なLDAPサーバーがクエリに対する応答を返します。クラ イアントの資格情報と一致しているかどうかにかかわらず、それ以上のクエリは Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 147 行われません。冗長性を確保するためにドメインに複数のLDAPサーバーを 追加する場合は、リスト内の各LDAPサーバーに同一のSSLドメイン クライアン ト データベースを持たせるようにする必要があります。 Nortel SNAS 4050のクライアントが異なるLDAPサーバー データベースに分散 している場合は、各LDAPサーバーに異なる認証IDを持った異なる認証方式を 設定することができます。認証順序にすべてのLDAP認証IDを含めた場合は、 各LDAPサーバーをクライアント グループの認証に使用することができます。 LDAP認証を有効にするには、LDAP設定に対応する認証IDをNortel SNAS 4050ドメイン用に指定した認証順序に含める必要があります(「認証フォー ルバックの順序の指定」(161 ページ)を参照)。 ドメイン内でクライアント認証に使用されるLDAPサーバーを設定するには、 次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/ldap/servers LDAP serversメニューが表示されます。 LDAP serversメニューには、以下のオプションがあります。 LDAP認証サーバーの管理 /cfg/domain 1/aaa/auth #/ldap/servers 後に続くパラメータ list 現在設定されているLDAPサーバーのIP アドレスとポート番号を、インデックス番号 ごとに表示します。 del <index number> 指定したLDAPサーバーを現在の設定から 削除します。 残りのエントリのインデックス 番号は、それに応じて調整されます。 設定されているすべてのLDAPサーバーの インデックス番号を表示するには、 list コ マンドを使用します。 add <IPaddr> <port> LDAP認証サーバーを設定に追加します。 以下の情報の入力を求めるプロンプトが 表示されます。 • IPaddr :認証サーバーのIPアドレス • port:LDAP認証で使用されるTCPポー ト番号。デフォルトは、389です。 システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 備考: LDAPプロトコルで使用されるデフォ ルトのTCPポート番号は、389です。 LDAPSを有効にしている場合は、 ポート番号を636に変更します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 148 第6章 認証の設定 /cfg/domain 1/aaa/auth #/ldap/servers 後に続くパラメータ insert <index number> <IPaddr> 設定内のLDAPサーバーのリストの特定の 位置に、サーバーを挿入します。 • index number :サーバーに割り当てる インデックス番号 • IPaddr:追加するサーバーのIPアドレス 指定するインデックス番号は、現在使用さ れているインデックス番号です。 それに応 じて、そのインデックス番号以上のインデッ クス番号を持っていた既存のサーバーのイ ンデックス番号は、1つずつ増やされます。 move <index number> <new index number> 設定内のLDAPサーバーのリスト内でサー バーを上下に移動します。 • index number :移動したいサーバーの 元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 LDAPマクロの管理 独自のマクロ(または、変数)を作成して、LDAPデータベースからデータを検 索できます。その後その変数をLDAPユーザー属性にマッピングすれば、 ポータルの[Home]タブにユーザー固有のリンクを作成することができます。ク ライアントが正常にログオンすると、LDAPまたはActive Directoryのユーザー レコードから検索された値に変数が展開されます。ポータル リンクでマクロを 使用する方法については、「マクロ」(186 ページ)を参照してください。 LDAPマクロを設定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/ldap/ldapmacro LDAP macroメニューが表示されます。 LDAP macroメニューには、以下のオプションがあります。 LDAPマクロの管理 /cfg/domain 1/aaa/auth #/ldap/ldapmacro 後に続くパラメータ list Nortel SNAS 4050ドメインのLDAP設定内 のすべてのマクロを、インデックス番号ごと に表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 149 /cfg/domain 1/aaa/auth #/ldap/ldapmacro 後に続くパラメータ del <index number> 指定したLDAPマクロを現在の設定から削 除します。 残りのエントリのインデックス番 号は、それに応じて調整されます。 設定されているすべてのLDAPマクロのイ ンデックス番号を表示するには、 list コマ ンドを使用します。 add <variable name> <LDAP attribute> [<prefix>] [<suffix>] LDAPマクロを設定に追加します。 以下の 情報の入力を求めるプロンプトが表示さ れます。 • variable name :変数の名前です。 • LDAP attribute :値がクライアントの LDAP/Active Directoryユーザー レコー ドから検索されるLDAPユーザー属性 です。 • prefix:LDAP属性の値文字列が長く、 その一部のみを抽出したい場合、無視 する文字列の先頭部分の値です。必 要な値が文字列の中間の部分にある 場合は、サフィックスと組み合わせて使 用します。 • suffix:LDAP属性の値文字列が長く、 その一部のみを抽出したい場合、無視 する文字列の末尾部分の値です。必 要な値が文字列の中間の部分にある 場合は、プレフィックスと組み合わせ て使用します。 システムによって、次に使用可能なインデッ クス番号がマクロに割り当てられます。 insert <index number> <variable name> 設定内のLDAPマクロのリストの特定の位 置に、マクロを挿入します。 • index number :マクロに割り当てるイン デックス番号です。 • variable name :追加するLDAPマクロ です。 指定するインデックス番号は、現在使用 されているインデックス番号です。そのイ ンデックス番号以上のインデックス番号を 持っていた既存のマクロのインデックス番 号は、1つずつ増やされます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 150 第6章 認証の設定 /cfg/domain 1/aaa/auth #/ldap/ldapmacro 後に続くパラメータ move <index number> <new index number> 設定内のマクロのリスト内でマクロを上下 に移動します。 • index number :移動したいマクロの元 のインデックス番号 • new index number :リスト内のマクロの 新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 グループ検索の設定 LDAP Group Searchメニューを使用することで、グループ情報を検索できるよう にNVGを設定することができます。 Group Searchメニューには、以下のオプションがあります。 表 17 グループ検索の設定 cfg/domain #/aaa/auth #/ldap/groupsearch 後に続くパラメータ groupbase <group searchbase entry> グループ ベースの検索エントリを 設定します。 「iPlanet Directory Server上のDIT (Dictionary Information Tree)でグ ループ エントリを検索する際の検 索開始エントリ」を示すDN(完全識 別名)を割り当てます。 VPNの中で定義するグループに は、アクセス ルール(少なくとも1 つ)を設定しておく必要があります。 memberattr グループ メンバの名前を持つ LDAP属性を定義します。 デフォルト値はuniqueMemberで す。 ena グループ検索機能を有効にします。 dis グループ検索機能を無効にします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 151 Active Directoryのパスワードの管理 クライアントの期限切れのパスワードを別のパスワードに交換するメカニズムを 設定できます。 ステップ 操作 1 期限切れのパスワードを持つユーザーのLocalデータベースに ユーザー グループを定義します。 2 ユーザーがパスワードを交換できるサイトに、リンクセットとリンクを 作成します(「グループの設定」(114 ページ)を参照)。 3 このリンクセットをグループにマッピングします(「グループまたはプ ロファイルへのリンクセットのマッピング」(124 ページ)を参照)。 4 /cfg/domain 1/aaa/auth #/ldap/activedire コマンドを使用し て、Active Directoryの設定を行います。 ― 終わり ― 期限切れのパスワードを持つクライアント、またはパスワードを交換する必要が あるクライアントを管理するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth #/ldap/activedire Active Directory Settingsメニューが表示されます。 Active Directory Settingsメニューには、以下のオプションがあります。 Active Directoryのパスワードの管理 /cfg/domain 1/aaa/auth #/ldap/activedire 後に続くパラメータ enaexpired true|false システムがパスワードの期限切れのチェッ クを行うかどうかを指定します。 • true :システムは、クライアントがログオ ンしたときに、Active Directoryに対し てパスワードの期限切れのチェックを 行います。 • false :システムは、クライアントがログ オンしたときに、Active Directoryに対し てパスワードの期限切れのチェックを行 いません。 expiredgro <group> 期限切れのパスワードを持つクライアントを 配置するグループを指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 152 第6章 認証の設定 /cfg/domain 1/aaa/auth #/ldap/activedire 後に続くパラメータ recursivem true|false 再帰グループ メンバシップの設定を指定 します。 • true :クライアントがActive Directoryの グループに属していて、さらにそのグ ループが別のグループに属していると、 それらのグループがすべて返されます。 • false :クライアントがActive Directory のグループに属していて、さらにその グループが別のグループに属していて も、最初のグループしか返されません。 expasgrou 「パスワードの期限が切れたユーザーを置 いておくグループ」を設定します。 このコマンドを使用する場合は、ローカル データベースで事前にそのユーザー グ ループを定義しておきます。 このとき、 「ユーザーがパスワードを変更できるサイ ト」のリンクを設定しておきます。 また、アク セス ルールを設定してそのサイトに対する アクセスを制限しておきます。 LDAPの高度な設定 LDAPの高度な設定では、LDAP/Active Directoryデータベースにあるユー ザー レコードを検索するときの属性/値を設定できます。 この機能のデフォル ト設定は無効になっています。つまり、ユーザー レコードを検索するときに 特別な要求は追加されないようになっています。 高度な設定を行うには、次のコマンドを使用します。 表 18 LDAPの高度な設定 cfg/vpn/aaa/auth/ldap/adv 後に続くパラメータ enaxfilter true|false 特別な検索フィルタを有効にしま す。 • true:検索フィルタを有効にしま す。 以下に示すコマンドを使用 して、属性/値を指定します。 • false:検索フィルタを無効にし ます。 デフォルトはfalseです。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 153 cfg/vpn/aaa/auth/ldap/adv 後に続くパラメータ xfilteratt ユーザー レコードの検索時に属性 を設定します。 この属性とxfilterval コマンドで指定された値を含むユー ザー レコードが検出されます。 デ フォルト属性はobjectclassです。 xfilterval ユーザー レコードの検索時に値を 設定します。 xfilterattコマンドで指 定された属性とこの値を含むユー ザー レコードが検出されます。 デ フォルト値はpersonです。 ローカル データベースの認証の設定 Nortel SNAS 4050ドメインで、ポータル認証(ユーザー名/パスワード)または MAC認証に、ローカル データベースを使用するように設定できます。ローカ ル データベース方式を設定するには、次の操作を行います。 ステップ 操作 1 Localデータベース方式を作成します(「ローカル データベース認 証方式の追加」(153 ページ)を参照)。 備考: 初期セットアップでクイック セットアップ ウィザードを実 行していた場合は、認証ID 1を持つLocalデータベー ス認証が作成されています。 ローカル ポータル デー タベースには、tunnelguardグループに属する1人のテ スト ユーザー( tg )が設定されています。 2 データベースにデータを入れます(「ローカル ポータル データ ベースの管理」(155 ページ)または「ローカルMACデータベース の管理」(158 ページ)を参照)。 3 データベースのバックアップ コピーを保存します(「ローカル ポータ ル データベースの管理」(155 ページ)または「ローカルMACデー タベースの管理」(158 ページ)を参照)。 4 必要に応じて、認証方式自体の設定を変更します(「認証方式の 設定」(132 ページ)を参照)。 5 認証順序を設定します(「認証フォールバックの順序の指定」(161 ページ)を参照)。 ― 終わり ― ローカル データベース認証方式の追加 ローカル データベース認証方式を作成するには、次のコマンドを使用します。 /cfg/domain 1/aaa/auth <auth ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 154 第6章 認証の設定 auth ID は1~63の範囲の整数で、Nortel SNAS 4050ドメイン内の認証方式 を一意に識別するIDです。コマンドで auth ID を指定しなかった場合は、そ れを入力するように求められます。 ドメインではじめて認証方式を作成するときには、認証IDを入力する必要があ ります。認証方式を作成して名前を定義したら、IDか名前を使用して認証方 式にアクセスし、設定を行います。 認証IDを作成するコマンドを実行すると、ウィザードが起動します。プロンプト が表示されたら、以下の情報を入力します。ローカル データベースの設定 は、後で変更することができます(「認証方式の設定」(132 ページ)と「ローカ ル ポータル データベースの管理」(155 ページ)を参照)。 • 認証タイプ:オプションは、 radius|ldap|local です。 local を入力します。 • 認証方式名( auth name ):認証方式の名前を示す文字列です。 認証方 式名を定義したら、認証方式名か auth ID を使用してAuthenticationメ ニューにアクセスします。Nortel SNAS 4050ソフトウェアの将来のリリース では、この文字列をクライアント フィルタから参照できるようになるため、 目的のデータベースに対する認証が、グループのアクセス権について の条件の1つになります。 • ユーザー名( user name ):一意のユーザー ログイン名を示す文字列で す。このアイテムによって、最初のローカル データベースのエントリが作成 されます。データベースを完成させるには、後でさらにユーザーを追加し ます(「ローカル ポータル データベースの管理」(155 ページ)を参照)。 Nortel SNAS 4050では、受け入れるユーザー名について、制限はありま せん。ただし、ローカル データベースのユーザー名にWindowsのログイ ン名を反映させたい場合は、Windowsのユーザー名の規則を守ってく ださい(32文字以下にするなど)。 • パスワード( passwd ):指定したユーザーに適用されるパスワードです。 • グループ名( group name ):指定したユーザーが属するグループの名前 です。グループは、Nortel SNAS 4050ドメインに属している必要があり ます。利用可能なグループ名を表示するには、[Tab]キーを押します。 備考: プロンプトでは、1ユーザーに複数のグループ名を指定できる ようになっていますが、Nortel SNAS 4050では、複数のグルー プに属するメンバシップを許していません。複数のグループ 名を入力すると、認証後には、最初に入力したグループ名が Nortel SNAS 4050から返されます。 Authenticationメニューが表示されます。 「図12 Authenticationメニューのコマンド:ローカル データベース」(155 ペー ジ)に、 /cfg/domain 1/aaa/auth <auth ID> コマンドのLocal方式の場合の出 力例と、Authenticationメニューのコマンドを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 155 図12 Authenticationメニューのコマンド:ローカル データベース ローカル ポータル データベースの管理 ローカル ポータル データベースは、ユーザー名とパスワードのレポジトリ になります。 ユーザーをデータベースに追加するには、次の2つの方法があります。 • /cfg/domain 1/aaa/auth #/local/add コマンドを使用して、手動で追 加します。 • /cfg/domain 1/aaa/auth #/local/ import コマンドを使用して、データ ベースをインポートします。 備考: インポートしたデータベースによって、ローカル データベースの 既存のエントリが書き換えられます。 ローカル データベースは、外部認証サーバーによってユーザーが認証さ れた後の認証目的でのみ使用することができます。そのためには、ローカ ル データベースでのユーザーのパスワードに1個のアスタリスク(*)を使用 します。Nortel SNAS 4050がローカル データベース認証とともに外部デー タベース認証を行うように設定する方法については、「高度な設定」(133 ページ)を参照してください。 ローカル データベースのユーザーとパスワードを管理するには、次のコ マンドを使用します。 /cfg/domain 1/aaa/auth #/local Local databaseメニューが表示されます。 Local databaseメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 156 第6章 認証の設定 ローカル ポータル データベースの管理 /cfg/domain 1/aaa/auth #/local 後に続くパラメータ add <user name> <password> <group> ユーザーをローカルの認証データベース に追加します。以下の情報の入力を求める プロンプトが表示されます。 • user name:一意のユーザー ログオン名 を示す文字列です。NSNASでは、受け 入れるユーザー名について、制限はあ りません。ただし、ローカル データベー スのユーザー名にWindowsのログイン 名を反映させたい場合は、Windowsの ユーザー名の規則を守ってください(32 文字以下にするなど)。 クライアントがNortel SNAS 4050ドメイン へのログオンを試み、ローカル データ ベース認証が適用されると、クライアン トでは、データベースで定義したユー ザー名とパスワードの入力を求められ ます。 • password :指定したユーザーに適用さ れるパスワードです。外部認証サー バーによってユーザーが認証された 後の認証目的にのみ、ローカル デー タベースを使用するには、1個のアスタ リスク(*)を入力します。 • group :指定したユーザーが属してい るグループの名前です。グループは、 NSNASドメインに属している必要があ ります。グループ名は許可に使用され ます。利用可能なグループ名を表示 するには、[TAB]または /cfg/domain 1/aaa/ cur group コマンドを使用しま す。 passwd <user name> <password> ローカル データベースの、指定したユー ザーのパスワードを変更します。 groups <user name> <desired group> ローカル データベースの、指定したユー ザーのグループ メンバシップを変更します。 del <user name> ローカル データベースの、指定したユー ザーを削除します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 157 /cfg/domain 1/aaa/auth #/local 後に続くパラメータ list ローカル データベースに追加されている ユーザーのユーザー名、パスワード(暗号 化)、グループ メンバシップを表示します。 このコマンドでは、一度に100のデータベー ス エントリが表示されます。データベース に100以上のエントリがある場合は、アス タリスク(*)の直前に文字列を入れて、表 示を制限することができます。 たとえば、 コマンド list jo* を実行すると、 jo で始ま るユーザー名を持つすべてのエントリが 表示されます。 import <protocol> <server> <filename> <key> 指定したTFTP/FTP/SCP/SFTPファイル交換 サーバーのデータベースをインポートしま す。以下の情報の入力を求めるプロンプ トが表示されます。 • protocolは、インポート用のプロトコルで す。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名または IPアドレスです。 • filename には、サーバー上のデータ ベース ファイルの名前を指定します。 • key は、ユーザーのパスワード保護用 のパスワード キーです。データベース ファイルをエクスポートしたときにその ファイルのパスワードをキーで保護して いた場合は、ここで指定するパスワー ド キーは、そのエクスポートで使用し たキーにする必要があります。データ ベース ファイルがキーで保護されてい ない場合は、入力を要求するメッセー ジが表示されたときに、任意のキー(最 低でも4文字)を入力します。 • FTPのユーザー名とパスワードです(該 当する場合)。 インポートするファイルは、ASCII形式に なっている必要があります。各行のエント リは、ユーザー名、パスワード、およびグ ループをコロンで区切って構成します(たと えば、 username:password:group )。 インポートするデータベースのパスワード は、平文でも暗号化されていてもかまいま Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 158 第6章 認証の設定 /cfg/domain 1/aaa/auth #/local 後に続くパラメータ せん。平文のパスワードは、インポート後 に暗号化されます。 ローカル データベースの既存のエントリ は、インポートしたデータベースによって上 書きされます。 export <protocol> <server> <filename> <key> ローカル データベースを、指定した TFTP/FTP/SCP/SFTPファイル交換サー バーにエクスポートします。以下の情報の 入力を求めるプロンプトが表示されます。 • protocol は、エクスポート用の プロトコルです。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名または IPアドレスです。 • filename には、サーバー上の送信先 のデータベース ファイルの名前を指定 します(たとえば、 db.txt )。 • key は、ユーザーのパスワード保護用 のパスワード キーです。ファイルをキー で保護しない場合は、入力を要求する メッセージが表示されたときに、任意の キー(最低でも4文字)を入力します。 • FTPのユーザー名とパスワードです(該 当する場合)。 ファイルは、ASCII形式でエクスポートされ ます。各行のエントリは、ユーザー名、パス ワード(暗号化)、およびグループをコロン で区切って構成します。エクスポートされた 暗号化されたパスワードを持つ暗号化され たユーザー レコードの例を示します。 john:$2$7á?yLs...ßìöonž±†:trusted $2$は、暗号化されたパスワードです。 ローカルMACデータベースの管理 ローカルMACデータベースを、MACアドレスのレポジトリとして使用することが できます。データベースに格納されるアドレスの個数には設計上の制限はあり ませんが、検証されるのは最大で10,000個です。 MACアドレスをデータベースに追加するには、次の3通りの方法があります。 • /cfg/domain 1/aaa/auth #/macdb/add コマンドを使用する。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 159 • /cfg/domain 1/aaa/auth #/macdb/import コマンドを使用して、正しく フォーマットされているファイルをインポートする。 • macreg が True に設定された( /cfg/domain 1/aaa/group #/macreg )グ ループに属するユーザーのログイン時に表示されるMAC Registration ポータルを使用する。 MACアドレスとそれに関連付けられているパラメータを管理するには、次のコ マンドを使用します。 /cfg/domain 1/aaa/auth #/macdb MAC databaseメニューが表示されます。 MAC databaseメニューには、以下のオプションがあります。 表 19 ローカルMACデータベースの管理 /cfg/domain 1/aaa/auth #/macdb 後に続くパラメータ add MACアドレスをローカル データベースに追加します。以下 の情報の入力を求めるプロンプトが表示されます。 • MAC address :ホストのMACアドレス • user name:ホスト オペレータのユーザー名(オプション) • device type <PC> <phone> <passive> — PC :ホストがコンピュータの場合 — phone :ホストがサポート対象のIP電話の場合 — passive :デバイスにオペレータがいない場合(た とえば、プリンタ、ビデオ カメラ)。受動的なデバイ スは、受動的なデバイスのみで構成した一意のグ ループのメンバにしておくことを推奨します。 • IP type <dhcp> <static> — dhcp :ホストのIPアドレスがDHCPサーバーから割 り当てられる場合 — static :ホストのIPアドレスがスタティックの場合 • switch IP address :ホストにサービスするネットワー ク アクセス デバイスのIPアドレス。デバイス タイプが passiveの場合に推奨。 • group name(s) :ホストがメンバになっているNSNAグ ループの名前またはID番号。複数のグループがある 場合は、それらのグループをコロンで区切ったリスト を指定します。 • comments :最大80文字の任意のASCII文字列(オプ ション) MAC database# のプロンプトが表示されたら、 apply を入 力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 160 第6章 認証の設定 NSNAリリース1.6.1では、重複したMACアドレスとワイルド カードMACアドレスはサポートされていません。 del <MAC address> 指定したMACアドレスをデータベースから削除します。 list MACデータベースの全エントリを表示します。 import <protocol> <server> <filename> 指定したTFTP/FTP/SCP/SFTPファイル交換サーバーの データベースをインポートします。以下の情報の入力を求 めるプロンプトが表示されます。 • protocolは、インポート用のプロトコルです。オプション は、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名またはIPアドレスです。 • filename には、サーバー上のデータベース ファイルの 名前を指定します。 インポートするファイルは、ASCII形式になっている必要 があります。各行は、以下の形式になっている必要があり ます。 MACアドレス;ユーザー名;IPタイプ;デバイス タイプ;IP アドレス;スイッチIP;スイッチ ユニット;スイッチ ポート;グ ループ;コメント。複数のグループ名を区切るには、コロン を使用します。 例:00:14:22:BB:12:8B;printer2;static;passive;192.168.2.23 ;;;;printers;Room 314 printer 既存のデータベースは、インポートしたデータベースに よって上書きされます。 export <protocol> <server> <filename> ローカル データベースを、指定したTFTP/FTP/SCP/SFTP ファイル交換サーバーにエクスポートします。以下の情報 の入力を求めるプロンプトが表示されます。 • protocolは、エクスポート用のプロトコルです。オプショ ンは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名またはIPアドレスです。 • filename には、サーバー上の送信先のデータベース ファイルの名前を指定します(たとえば、 db.txt )。 ファイルは、ASCII形式でエクスポートされます。各行は、 以下の形式です。MACアドレス;ユーザー名;IPタイプ;デバ イス タイプ;IPアドレス;スイッチIP;スイッチ ユニット;スイッ チ ポート;グループ;コメント。複数のグループ名は、コロン で区切ります。 clear MACデータベースを消去します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第6章 認証の設定 161 MAC Registrationインタフェースを使用したMACアドレスの追加 MAC Registrationインタフェースを使用すると、PCからMACアドレスの追加 や変更を行うことができます。ユーザーは、 macreg が True に設定されている ( /cfg/domain 1/aaa/group #/macreg )グループに属している必要がありま す。 MACアドレスを追加または変更するには、次の操作を行います。 ステップ 操作 1 ネットワークにログインします。 2 [MAC Register]タブをクリックします。 [MAC Registration]インタフェースが表示されます。 3 フォームに記入します。 4 [Register]ボタンをクリックします。 MACアドレスが登録されたことを示す確認メッセージが表示されます。 5 [Done]ボタンをクリックします。 別のMACアドレスの追加または変更を繰り返します。 ― 終わり ― MACデータベースへの追加や変更は、現在のセッションには影響を与え ません。 認証フォールバックの順序の指定 Nortel SNAソリューションでの認証では、最初に一致したクライアントの資格 情報が見つかるまで、各種の認証データベースがチェックされます。Nortel SNAS 4050がNortel SNAS 4050ドメインに設定されている認証方式を適用す る順序を指定します。 Nortel SNAS 4050で1つの認証方式のみを定義している場合でも、この手 順は必要です。 備考: 最善のパフォーマンスを得るには、最も多くのユーザーをサポー トしている認証方式が最初に適用されるように設定する必要が あります。ただし、Nortel SNAS 4050のローカル データベースを 認証方式の1つとして使用する場合は、Local方式を認証順序 の最初に設定することを推奨します。Local方式は、データベー ス内のユーザー数とは無関係に、極めて高速に認証を行いま す。他の認証方式の応答時間は、現在のネットワーク負荷、サー バーのパフォーマンス、およびデータベース内のユーザー数など の要因で変化します。 認証のフォールバック順序を指定するには、次のコマンドを使用します。 /cfg/domain 1/aaa/authorder <auth ID>[,<auth ID>] プロンプトに対して、認証方式が適用される順序で認証方式IDを入力しま す。各エントリをカンマで区切ります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 162 第6章 認証の設定 現在設定されている認証方式とその認証IDを表示するには、 /cfg/domain 1/aaa/cur コマンドを使用します。 例:auth ID 1にLocalデータベース認証、auth ID 2にRADIUS認証、auth ID 3 にLDAP認証を設定してあるものとします。 Nortel SNAS 4050に、ローカル データベースを最初にチェックし、次にLDAPサーバーに要求を送信し、最後 にRADIUSサーバーに要求を送信するようにしたいとします。「図13 認証順 序を指定するコマンド」(162 ページ)に、そのためのコマンドを示します。 図13 認証順序を指定するコマンド Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 163 第7章 システム ユーザーとグループ の管理 この章では、以下のトピックについて説明します。 トピック 「ユーザー権限とグループ メンバシップ」(163 ページ) 「システム ユーザーとグループの管理」(164 ページ) 「システム ユーザー管理コマンドのロードマップ」(165 ページ) 「ユーザー アカウントとパスワードの管理」(165 ページ) 「ユーザー設定の管理」(167 ページ) 「ユーザー グループの管理」(168 ページ) 「CLIの設定例」(169 ページ) ユーザー権限とグループ メンバシップ 設定と管理を行うために、システムに日常的にアクセスする3つのシステ ム ユーザー グループがあります。 • admin(管理者) • certadmin(証明書管理者) • oper(オペレータ) 備考: 上記のほかに、特殊な権限としてbootとrootの2種類のユーザー があります。 詳細は、「Nortel SNAS 4050クラスタへのアクセス」 (315 ページ)を参照してください。 「表 20 グループ メンバシップとユーザー権限」(164 ページ)に示すように、 グループ メンバシップによってユーザーの権限が決まります。ユーザーが複 数のグループのメンバになっている場合、ユーザー権限は累積されます。し たがって、デフォルトで3グループすべてのメンバであるadminユーザーは、 certadminグループとoperグループのメンバに与えられるユーザー権限を持 ち、さらにadminグループ メンバシップによって与えられる固有のユーザー権 限も持っています。ユーザーが複数のグループのメンバになっている場合、最 も権限の高いユーザー権限が実効のユーザー権限になります。デフォルト Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 164 第7章 システム ユーザーとグループの管理 のユーザー グループと関連するアクセス レベルについては、「Nortel SNAS 4050クラスタへのアクセス」(315 ページ)を参照してください。 表 20 グループ メンバシップとユーザー権限 権限 グ ループ アカウン ト ユー ザー アカウ ント admin システム パスワード グループ ユー ザーの 追加 ユー ザーの 削除 ユー ザーの 追加 ユー ザーの 削除 自身 のパス ワード の変更 admin ○ ○ ○(自 分のグ ループ に) ○ ○ ○ (admin が他 のユー ザーの 最初の グルー プのメン バである 場合) certadmin admin × × ○(自 分のグ ループ に) × ○ × oper oper admin × × ○(自 分のグ ループ に) × ○ × 他のパ スワード の変更 システム ユーザーとグループの管理 システム ユーザーとグループを管理するには、次のコマンドを使用してUser メニューにアクセスします。 /cfg/sys/user Userメニューを使用すると、以下の設定と管理を行うことができます。 • 新しいユーザーの追加(詳しい例については、「新しいユーザーの追 加」(169 ページ)を参照) • ユーザーの再割当て(詳しい例については、「ユーザーのグループ割当 ての変更」(172 ページ)を参照) • パスワードの変更(詳しい例については、「パスワードの変更」(174 ペー ジ)を参照) • ユーザーの削除(詳しい例については、「ユーザーの削除」(176 ペー ジ)を参照) CLIコマンドの詳細については、「CLIの設定例」(169 ページ)を参照してく ださい。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 165 システム ユーザー管理コマンドのロードマップ 以下のロードマップには、Nortel SNAS 4050クラスタのシステム ユーザーの設 定や管理を行うためのCLIコマンドを示してあります。 この一覧表をクイック リファレンスとして使用するか、このマニュアルのエントリをクリックして、詳し い説明を参照してください。 システム ユーザー管理コマンドのロードマップ コマンド パラメータ /cfg/sys/user password <old password> <new password> <confirm new password> expire <time> list del <username> add <username> caphrase password <own password> <user password> <confirm user password> /cfg/sys/user/edit <username> cur /cfg/sys/user/edit <username>/groups list del <group index> add admin|oper|certadmin ユーザー アカウントとパスワードの管理 現在ログオンしているユーザーのパスワードの変更や、ユーザー アカウン トの追加または削除を行うには、次のコマンドを使用してUserメニューに アクセスします。 /cfg/sys/user Userメニューが表示されます。 Userメニューには、以下のオプションがあります。 ユーザー アカウントとパスワードの管理 /cfg/sys/user 後に続くパラメータ password <old password> <new password> <confirm new password> 自分のパスワードを変更できます。パスワードでは 大文字/小文字が区別されます。また、パスワード にスペースを含めることができます。変更は、このコ マンドの完了後にただちに有効になります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 166 第7章 システム ユーザーとグループの管理 /cfg/sys/user 後に続くパラメータ expire <time> システム ユーザーのパスワードの有効期限を設定 します。この期限は、すべてのシステム ユーザー に適用されます。カウンタは、パスワードを最後に 設定したときからカウントを始めます。指定した有 効期限が切れてからはじめてログオンするシステ ム ユーザーは、新しいパスワードを入力するよう に求められます。 • time は、日(d)、時間(h)、分(m)、または秒(s または未指定)を単位とする時間の長さです。 デフォルトの単位は、秒です。デフォルトの有 効期限は、0秒です(無期限)。 時間の単位を組み合わせて指定する場合の形 式は、DDdHHhMMmSSです。たとえば、すべ てのパスワードの有効期限を30日2時間45分 後にする場合には、 30d2h45m と入力します。 list すべてのユーザー アカウントを表示します。システ ムに組み込まれている3種類のユーザー(admin、 oper、root)は、常に表示されます。 del <username> 指定したユーザー アカウントをシステムから削除し ます。組み込まれている3種類のユーザー(admin、 oper、root)のうち、削除できるのはoperだけです。 ユーザー アカウントを削除するには、管理者権限 が必要です。 備考: ユーザーが削除されると、そのユーザーの グループ割当ても削除されます。 グループ の唯一のメンバであるユーザーを削除す ると、システム上の他のユーザーをそのグ ループに追加することはできなくなります。 グループへの既存のユーザーの追加は、 そのグループのメンバであるユーザーだ けが行うことができます。したがって、ユー ザーを削除する前に、そのユーザーがグ ループの唯一のメンバではないことを必ず 確認してください。 add <username> ユーザー アカウントをシステムに追加します。ユー ザー名の最大長は、255文字です。スペースは 使用できません。 ユーザー アカウントを追加したら、ユーザー アカウ ントをグループに割り当てる必要があります(「ユー ザー グループの管理」(168 ページ)を参照)。 ユーザー アカウントを追加するには、管理者権限 が必要です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 167 /cfg/sys/user 後に続くパラメータ edit <username> User <username> メニューにアクセスして、ユーザー 設定を変更します(「ユーザー設定の管理」(167 ページ)を参照)。 ユーザー設定を変更するには、管理者権限が必 要です。また、他のユーザーの最初にリストされる グループのメンバになっている必要もあります。 caphrase 証明書管理者の役割が、管理者の役割から独立し ている場合は、証明書管理者が設定のバックアッ プ作業で使用する暗号化された秘密キー用のパス フレーズを設定します。 adminユーザーがcertadminグループのメンバであ る場合(デフォルトの設定)は、 /cfg/ptcfg コマンド を実行するたびに、設定情報ダンプの秘密キーを 保護するために、adminユーザーにエクスポート パ スフレーズの入力が求められます。 証明書管理者のエクスポート パスフレーズを設定 するのは、adminユーザーがcertadminグループか ら自分自身を削除して、証明書管理者ユーザー にcertadminグループの権限を追加した場合に限 ります。 /cfg/ptcfg コマンドを使用して設定情報 のバックアップを行う場合は、暗号化された秘密 キーを保護するために、certadminのエクスポート パスフレーズが自動的に(プロンプトを表示せず に)使用されます。ファイル交換サーバーから設定 情報のバックアップを復元するために /cfg/gtcfg コマンドを使用する場合、ユーザーは、 caphrase コ マンドで定義した正しいcertadminのパスフレーズ を入力するように求められます。 備考: caphrase メニューは、ログオン ユーザーが certadminグループのメンバである場合に のみ表示されます。 ユーザー設定の管理 ユーザー設定を変更するには、管理者権限が必要です。また、ユーザーの 最初のグループ( /cfg/sys/user/edit <username> /groups/list コマンドを 実行したときに、他のユーザーにリストされる最初のグループ)のメンバで ある必要もあります。 指定したユーザーのログイン パスワードの設定または変更を行ったり、グ ループ割当てを表示して管理したりするには、次のコマンドを使用して User <username> メニューにアクセスします。 /cfg/sys/user/edit <username> User <username> メニューが表示されます。 User <username> メニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 168 第7章 システム ユーザーとグループの管理 ユーザー設定の管理 /cfg/sys/user/edit <username> 後に続くパラメータ password <own password> <user password> <confirm user password> 指定したユーザーのログイン パスワードを設定しま す。パスワードでは大文字/小文字が区別されます。 また、パスワードにスペースを含めることができます。 groups Groupsメニューにアクセスして、ユーザーのグルー プ割当てを管理します(「ユーザー グループの管 理」(168 ページ)を参照)。 cur 指定したユーザーの現在のグループ設定を表示 します。 ユーザー グループの管理 すべてのユーザーは少なくとも1つのグループに属している必要があります。 新しいユーザーをシステムに追加できるのは管理者ユーザーだけですが、す べてのユーザーは既存のユーザーに対して自分が属しているグループのメン バシップを許可することができます。 デフォルトでは、管理者ユーザーはシステムに組み込まれている3つのグルー プ(admin、oper、certadmin)すべてのメンバです。そのため、新しいユーザー を、これらのグループのどれにでも追加することができます。しかし、certadmin グループのみのメンバである証明書管理者は、certadminグループに既存の ユーザーを追加することのみが可能です。 ユーザーが1つのグループにのみ属している場合、そのユーザーのグループ メンバシップを変更するときには、まずそのユーザーを新しいグループに追加 して、その後でユーザーを旧グループから削除します。 ユーザーが複数のグループに属している場合は、CLIの番号付けによる最 初のグループによって、適用されるエンフォースメント フィルタとVLANが 決まります。 ユーザーのグループ割当てを設定または変更するには、次のコマンドを使用 してGroupsメニューにアクセスします。 /cfg/sys/user/edit <username> /groups Groupsメニューが表示されます。 Groupsメニューには、以下のオプションがあります。 ユーザー グループの管理 /cfg/sys/user/edit <username> /groups 後に続くパラメータ list ユーザーが現在割り当てられているすべて のグループを、グループのインデックス番 号ごとに表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 169 /cfg/sys/user/edit <username> /groups 後に続くパラメータ del <group index> ユーザーを、指定したグループから削除 します。 • group index は、グループのインデック ス番号を示す整数です。 グループから他のユーザーを削除するに は、管理者権限が必要です。 add admin|oper|certadmin ユーザーに1つまたは複数の組込みグ ループ(admin、oper、certadmin)を割り当 てます。 CLIの設定例 このセクションでは、以下の例について詳しく説明します。 • 「新しいユーザーの追加」(169 ページ) • 「ユーザーのグループ割当ての変更」(172 ページ) • 「パスワードの変更」(174 ページ) — 「自分自身のパスワードの変更」(174 ページ) — 「他のユーザーのパスワードの変更」(175 ページ) • 「ユーザーの削除」(176 ページ) 新しいユーザーの追加 システムに新しいユーザーを追加するには、adminグループのメンバである 必要があります。デフォルトでは、adminユーザーのみがadminグループの メンバです。 以下の設定例では、証明書管理者ユーザーがシステムに追加され、その 後certadminグループに割り当てられます。証明書管理者は、証明書と秘密 キーの管理を専門に行い、システム パラメータの変更や仮想SSLサーバーの 設定などは行いません。したがって、certadminグループのメンバであるユー ザーは、Certificateメニュー( /cfg/cert )にはアクセスできますが、SSL Server 1001メニュー( /cfg/domain #/server/ssl )にアクセスすることはできませ ん。Systemメニュー( /cfg/sys )では、Userサブメニュー( /cfg/sys/user )へ のアクセスのみが許されています。 ステップ 操作 1 Nortel SNAS 4050クラスタに、adminユーザーとしてログオンします。 login: admin Password: ( admin 2 user password) Userメニューにアクセスします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 170 第7章 システム ユーザーとグループの管理 >> Main# /cfg/sys/user [User Menu] passwd Change own password list List all users del Delete a user add Add a new user edit Edit a user caphrase Certadmin export passphrase >> User# 3 新しいユーザーを追加し、ユーザー名を指定します。 ユーザー名の長さは最大で255文字です。スペースは使用でき ません。新しいユーザーは、Nortel SNAS 4050クラスタにログイン するたびに、この手順でユーザー名として指定された名前を入 力する必要があります。 >> User# add Name of user to add: cert_admin (最大で255文字、スペースは不可) 4 新しいユーザーをユーザー グループに割り当てます。 自分がメンバであるグループに対してのみ、ユーザーを割り当てる ことができます。この条件を満足している限り、ユーザーを次の3つ のうちの1つまたは複数のグループに割り当てることができます。 • oper • admin • certadmin デフォルトでは、adminユーザーは上記のすべてのグループのメン バです。そのため、新しいユーザーまたは既存のユーザーを、こ れらのどのグループにでも割り当てることができます。ユーザー のグループ割当てによって、ユーザー権限とシステムへのアクセ ス レベルが決まります。 >> User# edit cert_admin >> User cert_admin# groups/add Enter group name: certadmin 5 グループ割当ての確認と適用を行います。 list コマンドを入力すると、編集中のユーザーの現在および保留 中のグループ割当てが、インデックス番号およびグループ名ごとに 表示されます。このcert_adminユーザーは新しいユーザーなので、 Old: に表示される、現在のグループ割当ては空になっています。 >> Groups# list Old: Pending: 1: certadmin >> Groups# apply Changes applied successfully. 6 ユーザーのログイン パスワードを定義します。 ユーザーがNortel SNAS 4050クラスタにはじめてログインすると、 ユーザーはこの手順で定義したパスワードの入力を求められます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 171 ログオンに成功すると、ユーザーは自分のパスワードを変更するこ とができます。ログイン パスワードでは、大文字/小文字が区別され ます。また、ログイン パスワードにスペースを含めることができます。 >> Groups# /cfg/sys/user >> User# edit cert_admin >> User cert_admin# password Enter admin’s current password: ( admin user password) Enter new password for cert_admin: ( cert_admin user password) Reenter to confirm: (reconfirm cert_admin user password) 7 変更を適用します。 >> User cert_admin# apply Changes applied successfully. 8 証明書管理者ユーザーにエクスポート パスフレーズの定義を依 頼します。 以下の手順は、証明書管理者ユーザーの役割を管理者ユーザー の役割から完全に独立させたい場合にのみ必要です。adminユー ザーをcertadminグループから削除する場合(ステップ9参照)は、 証明書管理者のエクスポート パスフレーズ(caphrase)が定義済み である必要があります。 adminユーザーがcertadminグループのメンバである限り(デフォルト の構成)、adminユーザーは、秘密キーを含む設定情報のバック アップがTFTP/FTP/SCP/SFTPサーバーに送信されるたびに(コマ ンド: /cfg/ptcfg )、エクスポート パスフレーズの入力を求められま す。adminユーザーがcertadminグループのメンバではない場合 は、設定情報のバックアップ内の秘密キーの代わりに、証明書管 理者によって定義されたエクスポート パスフレーズが使用されま す。証明書管理者によって定義されたエクスポート パスフレーズを 使用した秘密キーの暗号化は、ユーザーに対しては透過的に、プ ロンプトを表示せずに行われます。設定情報のバックアップを復 元する場合は、証明書管理者は、正しいエクスポート パスフレー ズを入力する必要があります。 備考: 証明書管理者によって定義されたエクスポート パスフ レーズが失われた場合は、certadminグループのメンバ ではなかったadminユーザーによって作成された設定 情報のバックアップは復元できません。 証明書管理者によって定義されたエクスポート パスフレーズは、 /cfg/sys/user/caphrase コマンドを使用して変更しない限り変わる ことはありません。certadminグループのメンバではないユーザー に対しては、Userメニューの caphrase コマンドは非表示になって います。certadminグループのメンバであるユーザーのみが、エク スポート パスフレーズを知っている必要があります。エクスポート パスフレーズではスペースを含めることができ、大文字/小文字 が区別されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 172 第7章 システム ユーザーとグループの管理 >> User cert_admin# ../caphrase Enter new passphrase: Reenter to confirm: Passphrase changed. 9 adminユーザーをcertadminグループから削除します。 この手順も、証明書管理者ユーザーの役割を管理者ユーザー の役割から完全に独立させたい場合にのみ必要です。ただし、 adminユーザーをcertadminグループから削除すると、adminユー ザーにcertadminグループ メンバシップを新たに与えることができる のは、certadminグループのメンバであるユーザーのみになるの で、注意が必要です。 adminユーザーがcertadminグループから削除されると、Certificate メニュー( /cfg/ssl/cert )にアクセスできるのは、証明書管理者 ユーザーのみになります。 >> User# edit admin >> User admin# groups/list 1: admin 2: oper 3: certadmin >> Groups# del 3 備考: adminユーザーをcertadminグループから削除する場合 は、まず証明書管理者ユーザーを作成し、certadminグ ループ メンバシップを与えておくことを忘れないでくだ さい。さもないと、certadminグループ メンバシップを新 しいユーザーに割り当てることや、adminユーザーに certadminグループ メンバシップをふたたび与える必要 が生じた場合に、それを行うことができなくなります。 10 変更を確認して適用します。 >> Groups# list Old: 1: admin 2: oper 3: certadmin Pending: 1: admin 2: oper >> Groups# apply ― 終わり ― ユーザーのグループ割当ての変更 adminグループのメンバであるユーザーのみが、他のユーザーをグループ から削除することができます。すべてのユーザーは、既存のユーザーをグ ループに追加することができますが、そのユーザーがすでにメンバになって いるグループのみに、追加が可能です。adminユーザーは、デフォルトで3 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 173 グループすべて(admin、oper、certadmin)のメンバなので、これらのどのグ ループにもユーザーを追加することができます。 ステップ 操作 1 Nortel SNAS 4050クラスタにログオンします。 以下の例では、certadminグループのメンバであるcert_adminユー ザーが、certadminグループにadminユーザーを追加します。この例 では、adminユーザーは過去にcertadminグループから自分自身を 削除して、管理者ユーザーの役割を証明書管理者ユーザーの役 割から完全に分離しているものとします。 login: cert_admin Password: ( cert_admin user password) 2 Userメニューにアクセスします。 >> Main# /cfg/sys/user [User Menu] passwd Change own password list List all users del Delete a user add Add a new user edit Edit a user caphrase Certadmin export passphrase >> User# 3 adminユーザーをcertadminグループに追加することによって、 adminユーザーにcertadminユーザー権限を割り当てます。 >> User# edit admin >> User admin# groups/add Enter group name: certadmin 備考: ユーザーは常に、少なくとも1つのグループに割り当て られている必要があります。したがって、1つのグループ のみ割り当てられているユーザーを他のグループに移 動させるには、そのユーザーを新しいグループに追加 した後で、元のグループから削除する必要があります。 4 変更を確認して適用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 174 第7章 システム ユーザーとグループの管理 >> Groups# list Old: 1: admin 2: oper Pending: 1: admin 2: oper 3: certadmin >> Groups# apply ― 終わり ― パスワードの変更 自分自身のパスワードの変更 すべてのユーザーは、自分自身のパスワードを変更することができます。ログイ ン パスワードでは大文字/小文字が区別され、スペースの使用が許されます。 ステップ 操作 1 ユーザー名と現在のパスワードを入力して、Nortel SNAS 4050クラ スタにログインします。 login: cert_admin Password: ( cert_admin user password) 2 Userメニューにアクセスします。 >> Main# /cfg/sys/user [User Menu] passwd Change own password list List all users del Delete a user add Add a new user edit Edit a user caphrase Certadmin export passphrase >> User# passwd コマンドを入力して、現在のパスワードを変更します。 自分自身のパスワードを変更すると、 apply コマンドを使用しなく ても、その変更はただちに反映されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 175 >> User# passwd Enter cert_admin’s current password: (current cert_admin user password) Enter new password: (new cert_admin user password) Reenter to confirm: (reconfirm new cert_admin user password) Password changed. ― 終わり ― 他のユーザーのパスワードの変更 他のユーザーのパスワードの変更は、adminユーザーで、かつ最初のグルー プ(たとえば、 /cfg/sys/user/edit <username>/groups/list コマンドを使 用して、ユーザーが最初にリストしたグループ)のメンバである場合にのみ 可能です。ログイン パスワードでは大文字/小文字が区別され、スペースの 使用が許されます。 ステップ 操作 1 Nortel SNAS 4050クラスタに、adminユーザーとしてログオンします。 login: admin Password: ( admin 2 user password) User メニューにアクセスします。 >> Main# /cfg/sys/user [User Menu] passwd Change own password list List all users del Delete a user add Add a new user edit Edit a user caphrase Certadmin export passphrase >> User# 3 パスワードを変更するユーザーのユーザー名を指定します。 >> User# edit Name of user to edit: cert_admin 4 password コマンドを入力して、パスワードの変更を開始します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 176 第7章 システム ユーザーとグループの管理 >> User cert_admin# password Enter admin’s current password: ( admin user password) Enter new password for cert_admin: (new password for user being edited) Reenter to confirm: (confirm new password for user being edited) 変更を適用します。 5 >> User cert_admin# apply Changes applied successfully. ― 終わり ― ユーザーの削除 システムからユーザーを削除するには、adminグループのメンバである必要が あります。デフォルトでは、adminユーザーのみがadminグループのメンバです。 備考: ユーザーが削除されると、そのユーザーのグループ割当ても削除 されるので注意してください。 グループの唯一のメンバであるユー ザーを削除すると、システム上の他のユーザーをそのグループに 追加できなくなります。 グループへの既存のユーザーの追加は、 そのグループのメンバであるユーザーのみが行うことができます。 したがって、ユーザーを削除する前に、そのユーザーがグループ の唯一のメンバではないことを必ず確認する必要があります。 ステップ 操作 1 Nortel SNAS 4050クラスタに、adminユーザーとしてログオンします。 login: admin Password: ( admin 2 user password) Userメニューにアクセスします。 >> Main# /cfg/sys/user [User Menu] passwd Change own password list List all users del Delete a user add Add a new user edit Edit a user >> User# 3 システム設定から削除するユーザーのユーザー名を指定します。 以下の例では、cert_adminユーザーがシステムから削除されます。 現在システム設定に登録されている全ユーザーを表示するに は、 list コマンドを使用します。 >> User# del cert_admin Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第7章 システム ユーザーとグループの管理 4 177 変更を確認して適用します。 削除対象のcert_adminユーザーは、保留中の設定変更として、マ イナス記号()で示されます。未適用の設定変更を取り消すには、 revert コマンドを使用します。 >> User# list root admin oper cert_admin >>User# apply ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 178 第7章 システム ユーザーとグループの管理 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 179 第8章 ポータルとユーザー ログオン のカスタマイズ この章では、以下のトピックについて説明します。 トピック 「概要」(179 ページ) 「キャプティブ ポータルと除外リスト」(180 ページ) 「ポータルの表示」(182 ページ) 「エンド ユーザーのスキルに応じた管理」(188 ページ) 「ポータルとログオンのカスタマイズ」(189 ページ) 「ポータルとログオンを設定するためのコマンドのロードマップ」(189 ページ) 「キャプティブ ポータルの設定」(190 ページ) 「除外リストの設定」(191 ページ) 「ポータルの言語の変更」(192 ページ) 「ポータルの表示の設定」(195 ページ) 「ポータルの色の変更」(199 ページ) 「カスタム コンテンツの設定」(200 ページ) 「リンクセットの設定」(201 ページ) 「リンクの設定」(203 ページ) 概要 エンド ユーザーは、Nortel SNAS 4050ポータルを経由してNortel SNASネット ワークにアクセスします。以下のログオン機能とポータル機能を設定することに よって、エンド ユーザーのスキルに応じたカスタマイズを行うことができます。 • 「キャプティブ ポータルと除外リスト」(180 ページ) — 「除外リスト」(180 ページ) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 180 第8章 ポータルとユーザー ログオンのカスタマイズ • 「ポータルの表示」(182 ページ) — 「ポータルの画面」(182 ページ) — 「言語のローカリゼーション」(184 ページ) — 「リンクセットとリンク」(185 ページ) — 「マクロ」(186 ページ) — 「内部サイトへの自動リダイレクション」(187 ページ) — 「リダイレクションURLとリンクの例」(187 ページ) • 「エンド ユーザーのスキルに応じた管理」(188 ページ) キャプティブ ポータルと除外リスト Nortel SNAS 4050にキャプティブ ポータルの役割を設定すると、クライアントが Red VLAN内にある間は、Nortel SNAS 4050がDNSプロキシとして機能しま す。キャプティブWebポータルの役割は、以下のとおりです。 • クライアントからリダイレクトされたHTTP/HTTPSリクエストを受け取る。 • 未解決の名前を固定IPアドレスに解決する。 • クライアントからの、許可されていないネットワーク リソースへの通信を受 け取って管理する。 • クライアント リクエストを、ポータルがサービスしている認証ページへリ ダイレクトする。 DHCPサーバーには、クライアントがRed VLANにあるときのDNSサーバーとし て機能するように、ポータル仮想IPアドレス(pVIP)を割り当てます。 DHCPサーバーには、Green VLANとYellow VLANのスコープを持つ、通常 のDNSサーバーを設定します。クライアントが認証され、Green VLANまたは Yellow VLANに移されると、DNSリクエストは通常どおりに社内DNSサー バーに転送されるようになります。 キャプティブ ポータルの設定方法については、「キャプティブ ポータルの設 定」(190 ページ)を参照してください。 除外リスト 除外リストはドメイン名のリストで、設定可能です。そこにリストされたドメイン についてはNortel SNAS 4050が取り込まなくなります。キャプティブ ポータ ル内のDNSサーバーは、除外リスト内のドメイン名を持つリクエストは直接 社内DNSサーバーに転送します。 クライアント ログオンを短時間で処理するために、クライアント ログオンや起動 シーケンスで頻繁にアクセスされるURLのドメイン名を除外リストに追加しま す。除外リストのエントリには、完全ドメイン名または式を記述します。 デフォルトでは、キャプティブ ポータルの除外リストには以下の項目が含 まれています。 • windowsupdate これは、次のような、ブラウザで使用されるWindowsのすべての自動アップ デートのドメイン名にマッチします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 181 — windowsupdate.com — windowsupdate.microsoft.com — download.windowsupdate.microsoft.com 除外リストの設定方法については、「除外リストの設定」(191 ページ)を参 照してください。 「表 21 許されている正規表現とエスケープ シーケンス」(181 ページ)に、除 外リストのエントリに使用できる正規表現とエスケープ シーケンスを示します。 許される正規表現のセットは、egrepとAWKプログラミング言語内のセットのサ ブセットです。エスケープ シーケンスはErlang文字列が許されています。 表 21 許されている正規表現とエスケープ シーケンス 文字列 用途 正規表現 c 非メタ文字cにマッチします。 \c リテラル文字cにマッチします(エスケープ シーケ ンスを参照)。 . 任意の文字にマッチします。 ^ 文字列の先頭にマッチします。 $ 文字列の末尾にマッチします。 [abc...] abc....内の任意の文字列にマッチする文字ク ラスです。 文字の範囲は、ハイフン()で区切った文字のペ アで指定します。 [^abc...] abc....以外の任意の文字列にマッチする否 定文字クラスです。 r1|r2 択一:r1またはr2にマッチします。 r1r2 連結:r1とそれに続くr2にマッチします。 r+ 1つ以上のrにマッチします。 r* 0個以上のrにマッチします。 r? 0または1個のrにマッチします。 (r) グルーピング:rにマッチします。 エスケープ シーケンス \b バックスペース \f フォーム フィード \n 改行(ライン フィード) \r キャリッジ リターン \t タブ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 182 第8章 ポータルとユーザー ログオンのカスタマイズ \e エスケープ \v 垂直タブ \s スペース \d 削除 \ddd 8進数ddd \ リテラル文字 たとえば、\cはリテラル文字c、\\はバックスラッシュ、 \"は二重引用符(")です。 ポータルの表示 ポータルの表示と動作の以下の機能を、変更することができます。 • ポータルの画面(「ポータルの画面」(182 ページ)を参照) • 使用言語(「言語のローカリゼーション」(184 ページ)を参照) • リンク(「リンクセットとリンク」(185 ページ)を参照)。 • 認証後の動作(「内部サイトへの自動リダイレクション」(187 ページ)を参照) ポータルの画面 ポータル ページで使用される色、ロゴ、アイコン、テキストをカスタマイズするこ とができます。また、Javaアプレットのようなカスタム コンテンツをポータルに追 加することもできます。その後でポータル ページにリンクを追加すれば、その コンテンツをクライアントが使用できるようになります。 このセクションでは、以下のトピックについて説明します。 • 「デフォルトの表示形式」(182 ページ) • 「色」(183 ページ) ポータルの画面を設定するコマンドの詳細については、「ポータルの表示の 設定」(195 ページ)を参照してください。 デフォルトの表示形式 「図14 ポータル[Home]タブのデフォルト表示形式」(183 ページ)に、デフォ ルトのポータル[Home]タブを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 183 図14 ポータル[Home]タブのデフォルト表示形式 色 ポータル ページでは、4種類の色が使われています。 • color1:タブの下の大きな背景領域 • color2:タブ ラベルの下の背景領域 • color3:アクティブなタブのフィールド、情報領域、クリーン アイコン • color4:未使用 オプションの5つの色テーマがあります。テーマはWebセーフ カラーの定義済 みのセットであり、相互に補完します。 • aqua • apple • jeans • cinnamon • candy 個々の色を変えることはできますが、色テーマを使用してポータル ページの 画面を変えることを推奨します。ポータルの色を変更する場合は、Webセー フ カラーを使用してください。また、適用する色が、会社のロゴやブランドと 調和するかどうかについての配慮も必要です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 184 第8章 ポータルとユーザー ログオンのカスタマイズ 色は、16進コードで指定します。「表 22 標準色と16進コード」(184 ページ) に、よく使用されるWebセーフな色の16進値を表示します。これ以外の色の値 については、インターネットのサーチ エンジンを使用して、全部の色をリストし ているWebサイトを見つけてください。 表 22 標準色と16進コード 色 16進コード 白 FFFFFF 黒 000000 暗い灰色 A9A9A9 明るい灰色 D3D3D3 赤 FF0000 緑 008000 青 0000FF 黄 FFFF00 オレンジ FFA500 紫 EE82EE 暗い紫 9400D3 ピンク FFC0CB 茶 A52A2A ベージュ F5F5DC ライム グリーン 32CD32 明るい緑 90EE90 暗い青 00008B 濃紺 000080 明るい空色 87CEFA 淡い青 0000CD 暗い赤 8B0000 ポータルで使用する色を設定するコマンドについては、「ポータルの色の変 更」(199 ページ)を参照してください。 内部サイトにリンクやリダイレクションを設定するマクロの使用例については、 「内部サイトへの自動リダイレクション」(187 ページ)を参照してください。 言語のローカリゼーション デフォルトの英語のディクショナリ ファイルには、ポータル ページのタブ名、一 般的なテキスト、メッセージ、ボタン、フィールド ラベルのエントリが含まれてい ます。ディクショナリ ファイルのエントリは、別の言語に翻訳することができま す。また、翻訳したテキストをポータルで表示することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 185 Nortel SNAS 4050がサポートしている言語は、システムに対しては設定されま すが、ポータルに対する言語の選択はドメイン パラメータによります。 Nortel SNAS 4050では、設定に追加する言語をサポートするために、ISO 639言語コードを使用しています。英語は定義済みの言語で、常に存在 しています。 ポータル ページのタブ名、一般的なテキスト、メッセージ、ボタン、フィールド ラベルで表示される言語を変更するには、次の操作を行います。 ステップ 操作 1 言語定義テンプレートをエクスポートします(「言語サポートの 設定」(192 ページ)を参照)。 2 言語定義テンプレート ファイルを翻訳します。 a. ファイルをメモ帳などのテキスト エディタで開きます。 b. ContentTypeエントリで指定された charset パラメータが、使用 中の文字エンコード方式に従って設定されていることを確認し てください。 次に例を示します。 "ContentType: text/plain; charset=iso88591/n" c. msgstr の 下 に 表 示 さ れ て い る エ ン トリを翻訳します(メッセージ文字列)。 備考: msgid (メッセージID)の下のエントリは、翻訳しな いでください。 poファイルの翻訳に役立つオープン ソースのソフトウェア ツー ルがあります。Webサーチ エンジンを使用してpo files editorを検索し、WindowsとUnixで動作するツールを見つけ てください。翻訳ツールは、Nortel SNAS 4050ソフトウェアの 新しいバージョンがリリースされたときに特に役立ちます。ソフ トウェアに付属している新しいテンプレート ファイルをエクス ポートして、以前に翻訳した言語ファイルにマージすれば、 翻訳が必要なのは、新しいテキスト文字列や変更されたテキ スト文字列のみになります。 3 翻訳した言語定義ファイルをインポートします(「言語サポートの 設定」(192 ページ)を参照)。 4 ポータルで新しい言語が表示されるように設定します(「ポータルの 表示言語の設定」(194 ページ)を参照)。 ― 終わり ― リンクセットとリンク ポータルの[Home]タブには、以下のタイプのリンクを追加することができます。 • External:Webページへの直接のリンクです。外部のWebサイトに適し ています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 186 第8章 ポータルとユーザー ログオンのカスタマイズ • FTP:FTPサーバーのディレクトリへのリンクです。 リンクセットは、1つまたは複数のリンクのセットです。ドメインで設定されている 各リンクセットは、ドメイン内の1つまたは複数のグループと拡張プロファイル にマッピングすることができます。 クライアントが認証されると、クライアント のポータル ページには、クライアントが属しているグループに関連付けられ たリンクセット内のすべてのリンクが表示されます。 クライアントのポータル ページには、クライアントの拡張プロファイルに関連付けられたすべてのリ ンクセットも表示されます。リンクセットをグループと拡張プロファイルにマッ ピングする方法については、「グループまたはプロファイルへのリンクセット のマッピング」(124 ページ)を参照してください。 リンクセットのオートラン リンクセットのオートラン機能を有効にして、クライアントの認証後に、そのリン クセットで定義されているすべてのリンクが自動的に実行されるようにすること ができます。 たとえば、オートラン リンクセットをRemediationサーバーのURL に自動的にリンクするように設定し、このリンクセットを、TunnelGuardのホスト 完全性チェックに失敗したクライアントをフィルタリングしているすべての拡 張プロファイルにマッピングします。 オートラン リンクセット内のリンクは、ポータル ページには表示されません。リ ンクセット内の各リンクは、新しいブラウザ ウィンドウに表示されます。オートラ ン リンクセットに複数のリンクが含まれている場合は、複数のブラウザ ウィンド ウが表示されます。オートランを設定する方法については、「リンクセットの設 定」(201 ページ)を参照してください。 リンクセットのオートラン機能は、内部サイトへの自動リダイレクションを実現す るポータル機能に似ています(「内部サイトへの自動リダイレクション」(187 ページ)を参照)。リンクセットの機能を使用すると、この種の機能のより細かい 制御を行うことができます。自動リダイレクションの場合は、リンクセットのオート ラン機能とは違って、リンクを新しいブラウザで開くことはありません。 リンクセットの計画 共通リンクを含むリンクセットは、グループ固有のリンクを含むリンクセットとは 分離するように、設定を計画してください。また、リソースに対応するリンクが、 クライアントのアクセス権と矛盾することがないようにしてください。 ポータルの[Home]タブにリンクが表示される順序を制御することができます。 計画時には次のことに配慮してください。 • グループのリンクセットは、クライアントの拡張プロファイルのリンクセッ トの後に表示する。 • リンクセットに割り当てるインデックス番号によって、リンクセットが表示され る順序が制御されます。インデックス番号は、リンクセットをグループまたは 拡張プロファイルにマッピングするときに割り当てます(「グループまたはプ ロファイルへのリンクセットのマッピング」(124 ページ)を参照)。 • リンクに割り当てるインデックス番号によって、リンクセット内に表示されるリ ンクの順序が制御されます。インデックス番号は、リンクをリンクセットに含 めるときに割り当てます(「リンクの設定」(203 ページ)を参照)。 マクロ マクロは、ポータルを個々のユーザーに合わせてカスタマイズするために、変 数の引き数をテキストに埋め込むことができるインライン関数です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 187 リンク、表示テキスト、修復コマンドのパラメータの引き数では、以下のマクロ を使用することができます。 • <var:portal> :ポータルのドメイン名に展開されます。 • <var:user> :現在ログインしているクライアントのユーザー名に展開さ れます。 • <var:password> :現在ログインしているクライアントのパスワードに展開さ れます。 • <var:group> :現在ログインしているクライアントがメンバになっている グループの名前に展開されます。 内部サイトへの自動リダイレクション 認証されたクライアントが内部サイトに自動的にリダイレクトされるように、ドメ インを設定することができます。自動リダイレクションの場合は、リンクセット のオートラン機能とは違って、新しいブラウザ ウィンドウを開くことはありませ ん。その代わりに、ポータル ブラウザ ページの内部フレームに、デフォルト の[Home]ページを開きます。ブラウザを開き続けている限り、セッションのロ グイン状態が継続します。 自動リダイレクションを設定するコマンドには、クライアントがリダイレクトされる URLを、ポータル アドレスをプレフィックスとして付けて指定します(「ポータル の表示の設定」(195 ページ)を参照)。 リダイレクションURLとリンクの例 「表 23 リダイレクションURLとリンク テキストの例」(187 ページ)に、リダイレク ションURLとそれに関連付けられたリンクの設定例を示します。この例では、 • ポータル アドレスはnsnas.example.comです。 • クライアントをリダイレクトするアドレスは、inside.example.comです。 表 23 リダイレクションURLとリンク テキストの例 目的 リダイレクションURLまたはリンク テキスト クライアントを内部サイトへリダイレクト リダイレクションURL: https://nsnas.example.com/http/inside.exam ple.com あるいは https://<var:portal>/http/inside.example.com クライアントをパスワードで保護されているサ イトへリダイレクト 備考: イントラネットとポータルのユーザー 名とパスワードは、同じである必要が あります。 リダイレクションURL: https://<var:portal>/http/<var:user>:<var:pass word>@inside.example.com/protected Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 188 第8章 ポータルとユーザー ログオンのカスタマイズ 目的 リダイレクションURLまたはリンク テキスト クライアントを、グループのメンバシップ (deptAまたはdeptB)に応じて、異なるサイト にリダイレクト リンクテキスト(スタティック テキスト)のエン トリ: 内部サイトにクライアントがポータルからログ オフするためのリンクを挿入 <script>if ("<var:group>" == "deptA") { location.replace ("https://nsnas.example.com/http/ inside.example.com/deptA.html");} else if ("<var:group>" == "deptB") { location.replace ("https://nsnas.example.com/http/in side.example.com/deptB.html");} </script> リンク: <a href=https://nsnas.example.com/ logout.yaws> Logout from portal </a> エンド ユーザーのスキルに応じた管理 エンド ユーザーのスキルに応じて、次のような方法で管理することを推奨 します。 • 「自動JREアップロード」(188 ページ) • 「Windowsドメインのログオン スクリプト」(189 ページ) 自動JREアップロード Nortel SNAS 4050のポータルのクライアント デバイスでは、TunnelGuard アプレットを正しく読み込むために、最小限のバージョンのJava Runtime Environment(JRE)が実行できる必要があります。必要なJREバージョンと Plugins.htmlを、ポータルのカスタム コンテンツとして追加することを推奨し ます。 そのようにすれば、クライアントがJava要件を満たしていないために TunnelGuardを読み込むことができない場合でも、クライアントにログオン画 面が提示され、必要なJREを自動的にダウンロードしてインストールできる ようになります。 クライアントのJREバージョンのアップデート プロセスを自動化するようにポー タルを設定するには、次の操作を行います。 ステップ 操作 1 plugins.htmlファイルを作成し、JREインストーラへのリンクを載せ ます。 2 JREインストーラをSun MicrosystemsのJava Webサイトからダウン ロードします(http://www.java.com を参照)。 3 plugins.htmlとJREインストーラをzipファイルにバンドルします。 4 zipファイルをポータルのカスタム コンテンツとして追加します。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 189 ポータルにカスタム コンテンツを追加する一般的な方法については、「カスタム コンテンツの設定」(200 ページ)を参照してください。最低限のJRE要件の詳 細については、『Release Notes for the Nortel Secure Network Access Solution, Software Release 1.6.1(NN47230400)』を参照してください。 Windowsドメインのログオン スクリプト 起動時にエンド ユーザーのブラウザを自動的に起動してNortel SNASのポー タル ページを表示する、Windowsドメインのログオン スクリプトを設定します。 スクリプトの詳細要件は、使用するネットワークのセットアップとエンド ユー ザー アクセスの通常のモードによって決まります。 単純なスクリプトの例と、スクリプトをドメイン内のすべてのユーザーに割り当 てる手順については、 「付録 G Nortel SNAS 4050ポータルを起動するた めのWindowsドメインのログオン スクリプトの使用方法」(435 ページ)を参 照してください。 ポータルとログオンのカスタマイズ 以下では、ポータルとユーザー ログオンをカスタマイズするためのCLIコマ ンドについて説明します。 ポータルとログオンを設定するためのコマンドのロードマップ 以下のロードマップには、ポータルとユーザー ログオンをカスタマイズするため のCLIコマンドを示してあります。この一覧表をクイック リファレンスとして使用す るか、このマニュアルのエントリをクリックして、詳しい説明を参照してください。 コマンド パラメータ /cfg/domain 1/dnscapt ena dis /cfg/domain 1/dnscapt/exclude list del <index name> add <domain name> insert <index number> <domain name> move <index number> <new index number> /cfg/lang import <protocol> <server> <filename> <code> export <protocol> <server> <filename> list vlist [<letter>] del <code> /cfg/domain 1/portal/lang setlang <code> charset list /cfg/domain 1/portal import <protocol> <server> <filename> restore banner redirect <URL> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 190 第8章 ポータルとユーザー ログオンのカスタマイズ パラメータ コマンド logintext <text> iconmode clean | fancy linktext <text> linkurl on | off linkcols <columns> linkwidth <width> companynam ieclear on | off /cfg/domain 1/portal/colors color1 <code> color2 <code> color3 <code> color4 <code> theme default | aqua | apple | jeans | cinnamon | candy /cfg/domain 1/portal/content import <protocol> <server> <filename> export <protocol> <server> <filename> delete available ena dis /cfg/domain 1/linkset <linkset ID> name <name> text <text> autorun true | false del /cfg/domain 1/linkset <linkset ID>/link <index> move <new index> text <text> type external | ftp del /cfg/domain 1/linkset <linkset ID>/link <index>/external/quick /cfg/domain 1/linkset <linkset ID>/link <index>/ftp/quick キャプティブ ポータルの設定 Nortel SNAS 4050は、デフォルトではキャプティブ ポータルとして機能する ようにセットアップされます(Nortel SNAS 4050ドメインのキャプティブ ポータ ルの詳細については、「キャプティブ ポータルと除外リスト」(180 ページ)を 参照してください)。 Nortel SNAS 4050ポータルをキャプティブ ポータルとして設定するには、 次のコマンドを使用します。 /cfg/domain 1/dnscapt Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 191 DNS Captureメニューが表示されます。 DNS Captureメニューには、以下のオプションがあります。 /cfg/domain 1/dnscapt 後に続くパラメータ exclude DNS Excludeメニューにアクセスして、 除外リストを設定します(「除外リストの 設定」(191 ページ)を参照)。 ena キャプティブ ポータルの機能を有効 にします。 dis キャプティブ ポータルの機能を無効 にします。 除外リストの設定 除外リストは、Nortel SNAS 4050が取り込まないドメイン名のリストです(除外リ ストの詳細については、「除外リスト」(180 ページ)を参照してください)。 除外リストを作成して管理するには、次のコマンドを使用します。 /cfg/domain 1/dnscapt/exclude DNS Excludeメニューが表示されます。 DNS Excludeメニューには、以下のオプションがあります。 /cfg/domain 1/dnscapt/exclude 後に続くパラメータ list 現在設定されている除外リストのエントリを インデックス番号ごとに表示します。 del <index name> 指定したインデックス番号に対応する除外 リストのエントリを削除します。 残りのエン トリのインデックス番号は、それに応じて 調整されます。 add <domain name> 除外リストにエントリを追加します。 • domain name は、社内DNSサーバーに 直接転送されるドメイン名を識別する 文字列です。 許されている正規表現とエスケープ シーケ ンスについては、「除外リスト」(180 ページ) を参照してください。 Nortel SNAS 4050によって、次に使用可能 なインデックス番号がエントリに割り当てら れます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 192 第8章 ポータルとユーザー ログオンのカスタマイズ /cfg/domain 1/dnscapt/exclude 後に続くパラメータ insert <index number> <domain name> エントリをリスト内の特定の位置に挿入しま す。 指定するインデックス番号は現在使用 されているインデックス番号です。それに応 じて、そのインデックス番号以上のインデッ クス番号を持っていた既存のエントリのイン デックス番号が1つずつ増やされます。 move <index number> <new index number> エントリをリスト内で上下に移動します。 残 りのエントリのインデックス番号は、それに 応じて調整されます。 ポータルの言語の変更 ポータル ページのタブ名、一般的なテキスト、メッセージ、ボタン、フィールド ラベルに表示される言語を変更するには、次の操作を行います。 ステップ 操作 1 言語定義テンプレートをエクスポートします(「言語サポートの 設定」(192 ページ)を参照)。 2 言語定義テンプレート ファイルを翻訳します(「言語のローカリゼー ション」(184 ページ)を参照)。 3 翻訳した言語定義ファイルをインポートします(「言語サポートの 設定」(192 ページ)を参照)。 4 ポータルで新しい言語が表示されるように設定します(「ポータルの 表示言語の設定」(194 ページ)を参照)。 ― 終わり ― 言語サポートの設定 システムの言語定義ファイルを管理するには、次のコマンドを使用します。 /cfg/lang Language Supportメニューが表示されます。 Language Supportメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 193 /cfg/lang 後に続くパラメータ import <protocol> <server> <filename> <code> 指定したTFTP/FTP/SCP/SFTPファイル 交換サーバーから、すぐに使用できる 状態の言語定義ファイルをインポート します。 • protocol は、インポート用のプ ロトコルです。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名また はIPアドレスです。 • filename には、サーバー上の言語 定義ファイルの名前を指定します。 • code は、言語を識別するISO 639 言語コードです。 ファイルをインポートするときには、ISO 639言語コードを指定するように求めら れます。言語コードは、インポートした 言語定義ファイルとともに、設定に保存 されます。有効な言語コードを表示す るには、 /cfg/lang/vlist コマンドを使 用します。 ポータルでの言語サポートの詳細につ いては、「言語のローカリゼーション」 (184 ページ)を参照してください。 export <protocol> <server> <filename> 言語定義テンプレートを、指定した TFTP/FTP/SCP/SFTPファイル交換サー バーにエクスポートします。 • protocol は、エクスポート用の プロトコルです。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名また はIPアドレスです。 • filename には、言語定義ファイル の名前を指定します。 • code は、言語を識別するISO 639 言語コードです。 テンプレート ファイルをエクスポートし てダウンロードすると、ボタンやフィー ルド ラベルなどの画面テキストをファイ ル内で直接翻訳することができるように なります。その後、翻訳済みのファイル Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 194 第8章 ポータルとユーザー ログオンのカスタマイズ /cfg/lang 後に続くパラメータ を、 /cfg/lang/import コマンドを使用 してTFTP/FTP/SCP/SFTPファイル交換 サーバーにアップロードし、インポート します。 list 設定に追加された言語を、言語コードと 説明を付けて表示します。英語は定義 済みの言語で、常に存在しています。 vlist [ <letter> ] すべての有効な言語コードと対応する 説明を表示します。特定の文字で始ま るすべての有効な言語コードを表示 するには、その文字をコマンド内で指 定します。 del <code> 指定した言語コードの言語定義ファイ ルを削除します。現在使用している言 語ファイルを削除することはできませ ん。英語は定義済みの言語であり、削 除することはできません。 ポータルの表示言語の設定 ポータルに好みの言語を使用した表示を設定するには、次のコマンドを 使用します。 /cfg/domain 1/portal/lang Portal Languageメニューが表示されます。 Portal Languageメニューには、以下のオプションがあります。 /cfg/domain 1/portal/lang 後に続くパラメータ setlang <code> ポータルの表示に使用する言語を指 定します。 • code は、言語を識別するISO 639 言語コードです。 好みの言語を設定する前に、該当す る言語定義ファイルをインポートして おく必要があります(「言語サポートの 設定」(192 ページ)を参照)。サポー ト対象の言語コードを表示するには、 /cfg/domain 1/portal/lang/list コマ ンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 195 /cfg/domain 1/portal/lang 後に続くパラメータ charset 現在ポータルで使用されている文字 セットを出力します。 list 現在サポートされている言語を、言語 コードと説明とともに表示します。 ポータルの表示の設定 クライアントのWebブラウザに表示されるポータル ページの画面を変更する には、次のコマンドを使用します。 /cfg/domain 1/portal Portalメニューが表示されます。 Portalメニューには、以下のオプションがあります。 /cfg/domain 1/portal 後に続くパラメータ import <protocol> <server> <filename> 指定したTFTP/FTP/SCP/SFTPファイ ル交換サーバーから、バナー用のグ ラフィックス ファイル(GIF形式)をイン ポートします。 • protocol は、インポート用のプ ロトコルです。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名また はIPアドレスです。 • filename には、グラフィックス ファイ ル(.gif)の名前を指定します。 ダウンロードが完了して変更を適用する と、ポータルWebページの既存バナー のイメージが新しいイメージに置き換わ ります。現在ログオンしているユーザー には、変更は通知されません。ポータ ルWebページを再ロードしたときに、変 更されたことがわかります。 バナー イメージ ファイルの最大サイズ は、16 MBです。複数のNortel SNAS 4050ドメインがある場合は、インポート されたすべてのバナー イメージ ファ イルの合計サイズが16MBを超えない ようにします。 ポータルWebページのカスタマイズ可 能な要素の詳細については、「ポータ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 196 第8章 ポータルとユーザー ログオンのカスタマイズ /cfg/domain 1/portal 後に続くパラメータ ルの画面」(182 ページ)を参照してく ださい。 restore デフォルトのノーテル バナーを復元 します。 banner 現在使用中のバナー イメージ ファイル のファイル名を表示します。 redirect <URL> クライアントが認証後に、ポータルに よって自動的にリダイレクトされるURL を設定します。 • URL は、ポータル アドレスをプレ フィックスとして持つ、クライアントの 接続先のURLです。 たとえば、ポータル アドレスが nsnas.example.comで、クライアントを inside.example.comへ自動的にリダイレ クトする場合は、URLパラメータは次 のようになります。 https://nsnas.example.com/ http/inside.example.com また、 <var:portal> マクロを使用して、 ポータル アドレスを表現することもで きます。 リダイレクションを設定すると、クライア ントがポータル ページ上のタブにアク セスできなくなります。 リダイレクションを削除するには、URL のプロンプトに対して[Enter]を押すこと によって、以前に指定したURLを空の 文字列で置き換えます。 URLでマクロを使用する方法について は、「マクロ」(186 ページ)を参照して ください。クライアントを内部サイトにリ ダイレクトする方法については、「内部 サイトへの自動リダイレクション」(187 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 197 /cfg/domain 1/portal 後に続くパラメータ logintext <text> ポータルのログオン ページに表示され るカスタム テキストを指定します。 • text は、通常のテキスト文字列か、 HTMLコードです。 プロンプトに対してテキストを入力する か、または貼り付けます。文字列の最 後を示すには、[Enter]を押して改行を 行い、省略文字(...)を入力してから、 ふたたび[Enter]を押します。 iconmode clean|fancy ポータルのリンク(たとえば、ファイル サーバーへのリンク)を示すアイコンの モードを指定します。 • clean は、単一色(color3)を使用し た単純なアイコンを表示します。 • fancy は、複数色のアイコン、影付 きのアイコン、アニメーション アイコ ンを表示します。 デフォルト値は、 fancy です。 リンクセットとリンクの詳細については、 「リンクセットとリンク」(185 ページ)を参 照してください。リンクを設定する方法 については、「リンクの設定」(203 ペー ジ)を参照してください。 ポータル ページの色のカスタマイズの 詳細については、「ポータルの色の変 更」(199 ページ)を参照してください。 linktext <text> ポータルの[Home]タブ上で、グループ リンクの上に表示されるスタティック テ キストを入力します。 スタティック テキス トはすべてのクライアントで表示されま すが、リンク自体はクライアントのグルー プ メンバシップに応じて異なります。 • text は、通常のテキスト文字列、ま たはHTMLコードです。 プロンプトに対してテキストを入力する か、または貼り付けます。文字列の最 後を示すには、[Enter]を押して改行を 行い、省略文字(...)を入力してから、 ふたたび[Enter]を押します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 198 第8章 ポータルとユーザー ログオンのカスタマイズ /cfg/domain 1/portal 後に続くパラメータ リンクテキストでは、 <var:user> マクロと <var:group> マクロを使用することがで きます。たとえば、Javaスクリプト リンクテ キスト エントリで<var:group>マクロを使 用すると、内部サイトへのグループ制御 のリダイレクションを設定することができ ます(「表 23 リダイレクションURLとリン ク テキストの例」(187 ページ)を参照)。 マクロを使用する方法については、「マ クロ」(186 ページ)を参照してください。 リンクを設定する方法については、「リ ンクの設定」(203 ページ)を参照してく ださい。 linkurl on|off ポータルの[Home]タブの[Enter URL] フィールドの表示モードを設定します。 表示モード オプションは、以下のとお りです。 • on :[Enter URL]フィールドを表示 します。 • off :[Enter URL]フィールドを表示 しません。 デフォルトは、 on です。 linkcols <columns> ポータルの[Home]タブのリンク テーブ ルのカラム数を設定します。 • columns は、正の整数です。 デフォルト値は2です。 linkwidth <width> ポータルの[Home]タブのリンク テーブ ルの幅を設定します。リンク テーブル は[Home]タブの空白領域の左端に合 わせて調整されます。テーブルの幅の オプションは、以下のとおりです。 • auto :カラムは[Home]タブで均等 に配置されます。 • <percent> :リンク テーブルで使用 される空白領域の割合を指定しま す。 範囲は、1~100%です。デフォ ルト値は、100%です(空白領域全 体が使用されます)。 companynam ポータル ページに表示する社名を指 定します。デフォルトは、 Nortel です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 199 /cfg/domain 1/portal 後に続くパラメータ colors Portal Colorsメニューにアクセスして、 色テーマとポータル ページに使用する 個々の色をカスタマイズします(「ポータ ルの色の変更」(199 ページ)を参照)。 content Portal Custom Contentメニューにア クセスして、ポータル ページのカスタム コンテンツを設定します(「カスタム コン テンツの設定」(200 ページ)を参照)。 lang Portal Languageメニューにアクセスし て、ポータルの表示に使用する言語を 設定します(「ポータルの表示言語の設 定」(194 ページ)を参照)。 ieclear on|off Internet Explorer 6、SP 1以降(IE)に用 意されているClearAuthenticationCache 機能の使用を制御します。この機能 は、ユーザーがセキュアなセッションか らログアウトするときに、機密性のある 情報(パスワードやcookieなど)をキャッ シュからクリアするものです。 • on :ユーザーがポータルからログア ウトするときに、現在のIEプロセスの すべてのインスタンスのキャッシュが クリアされます。ユーザーは他のサ イトからも同時にログオフされます。 • off :ユーザーがポータルからログ オフしても、ブラウザを閉じるまでは キャッシュはクリアされません。 デフォルト値は、 on です。 ポータルの色の変更 ポータルの表示で使われる色をカスタマイズするには、次のコマンドを使用 します。 /cfg/domain 1/portal/colors Portal Colorsメニューが表示されます。 Portal Colorsメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 200 第8章 ポータルとユーザー ログオンのカスタマイズ /cfg/domain 1/portal/colors 後に続くパラメータ color1 <code> タブの下の大きな背景領域の色を指 定します。 • code は、#記号を含む、色を示す 16進値です(大文字と小文字は区 別されません)。 デフォルト値は、#ACCDD5です。 color2 <code> ラベルの下の背景領域の色を指定し ます。 • code は、#記号を含む、色を示す 16進値です(大文字と小文字は区 別されません)。 デフォルト値は、#D0E4E9です。 color3 <code> アクティブなタブのフィールド、情報領 域、クリーン アイコンの色を指定します。 • code は、#記号を含む、色を示す 16進値です(大文字と小文字は区 別されません)。 デフォルト値は、#2088A2です。 color4 <code> アクティブになっていないタブの色を指 定します。 • code は、#記号を含む、色を示す 16進値です(大文字と小文字は区 別されません)。 デフォルト値は、#58B2C9です。 theme default|aqua|apple| jeans|cinnamon|candy ポータルの色テーマを指定します。デ フォルトは、 default です。 ポータルの色とテーマの詳細については、「色」(183 ページ)を参照してく ださい。 カスタム コンテンツの設定 Javaアプレットなどのカスタム コンテンツをポータルに追加するには、次のコ マンドを使用します。 /cfg/domain 1/portal/content Portal Custom Contentメニューが表示されます。 Portal Custom Contentメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 201 /cfg/domain 1/portal/content 後に続くパラメータ import <protocol> <server> <filename> 指定したTFTP/FTP/SCP/SFTPファイル 交換サーバーから、コンテンツ ファイル (ZIP形式)をインポートします。 • protocol は、インポート用のプ ロトコルです。 オプションは、 tftp|ftp|scp|sftp です。デフォル トは、 tftp です。 • server は、サーバーのホスト名また はIPアドレスです。 • filename には、サーバー上のコン テンツ ファイル(.zip)の名前を指 定します。 ファイルは、ポータルのルート ディレクト リに保存され、自動的に展開されます。 export <protocol> <server> <filename> ポータルから、指定した TFTP/FTP/SCP/SFTPファイル交 換サーバーにコンテンツ ファイル(ZIP 形式)をエクスポートします。 • protocol は、エクスポート用の プロトコルです。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名また はIPアドレスです。 • filename には、コンテンツ ファイル (.zip)の名前を指定します。 delete ポータルからアップロードされているコ ンテンツをすべて削除します。 available カスタム コンテンツ用に残されているメ モリー領域をキロバイト(KB)単位で表 示します。 ena カスタム コンテンツへのクライアント ア クセスを有効にします。 デフォルトは、無効です。 dis カスタム コンテンツへのクライアント ア クセスを無効にします。 リンクセットの設定 リンクセットは、ポータルの[Home]タブに表示されるリンクのセットです。リン クセットとリンクの詳細については、「リンクセットとリンク」(185 ページ)を参 照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 202 第8章 ポータルとユーザー ログオンのカスタマイズ リンクセットを作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/linkset <linkset ID> linkset ID は 1 ~ 1024 の 範 囲 の 整 数 で 、 Nortel SNAS 4050ドメイン内のリンクセットを一意に識別するIDです。 備考: 初期セットアップでクイック セットアップ ウィザードを実行して いた場合は、2つのリンクセット、 tg_passed (リンクセットID = 1) と、 tg_failed (リンクセットID = 2)が作成されています。それぞ れのリンクセットは、空です。 はじめてリンクセットを作成するときに、コマンドでIDを指定しなかった場合 は、リンクセットのIDまたは名前の入力を求められます。新しいリンクセット には、IDを入力する必要があります。その後、リンクセット名の入力を求め られます。リンクセットを作成したら、IDか名前を使用してリンクセットにア クセスし、設定を行います。 Linksetメニューが表示されます。 Linksetメニューには、以下のオプションがあります。 /cfg/domain 1/linkset <linkset ID> 後に続くパラメータ name <name> リンクセットに名前を付けるか、リンク セットの名前を変更します。リンクセット 名を定義したら、リンクセット名かリンク セットIDを使用して、Linksetメニュー にアクセスします。 • name は、ドメイン内で一意の文字列 にする必要があります。 この文字列 の最大長は、255文字です。 リンクセットをグループまたは拡張プ ロファイルにマッピングする場合は、 /cfg/domain 1/aaa/group #[/extend #]/linkset コマンドを使用してリンク名 を参照します(「グループまたはプロファ イルへのリンクセットのマッピング」(124 ページ)を参照)。 リンクセットをグループにマッピングする と、グループのメンバはリンクセットに含 まれているすべてのリンクにアクセスで きるようになります。リンクはポータルの [Home]タブに表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 203 /cfg/domain 1/linkset <linkset ID> 後に続くパラメータ text <text> ポータルの[Home]タブ上で、リンクセッ トのリンクの見出しとして表示されるテキ ストを指定します。 • text は、通常のテキスト文字列、ま たはHTMLコードです。 この見出しのテキストはオプションです。 autorun true|false オートラン機能の有効または無効を指 定します。 次のオプションを指定するこ とができます。 • true :オートランを有効にします。 • false :オートランを無効にします。 有効にした場合は、クライアントの認証 が済むと、リンクセット内のすべてのリ ンクが自動的に実行されます。オートラ ン リンクセット内のリンクは、ポータルの [Home]タブには表示されません。 デフォルトは、無効です。 設定可能なリンクのタイプの詳細につ いては、「リンクセットとリンク」(185 ペー ジ)を参照してください。 link <index> Linkメニューにアクセスして、リンクセッ トのリンクの作成または設定を行います (「リンクの設定」(203 ページ)を参照)。 既存のリンクセットを表示するには、 link コマンドに続けて[TAB]を押しま す。 del リンクセットを現在の設定から削除し ます。 リンクの設定 リンクセット内のリンクを作成して設定するには、次のコマンドを使用します。 /cfg/domain 1/linkset <linkset ID> /link <index> indexは1~256の範囲の整数で、リンクセット内のリンクの位置を示します。 はじめてリンクを作成するときにコマンドでインデックスを指定しなかった場合 は、インデックスまたは名前の入力を求められます。新しいリンクには、IDを入 力する必要があります。その後、以下のパラメータの入力を求められます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 204 第8章 ポータルとユーザー ログオンのカスタマイズ • link text:ポータルの[Home]タブにクリック可能なリンク テキストとして表示 される文字列です。Linkメニューの text コマンドを使用すると、テキスト は後で変更することができます。 • type:リンク タイプ( external または ftp )です。デフォルトは、 external で す。リンク タイプを入力すると、そのリンクのタイプ固有の設定を行うための ウィザードが自動的に起動します。このウィザードを後で再起動して、設定 を変更することもできます。設定の詳細については、「外部リンクの設定」 (205 ページ)と「FTPリンクの設定」(206 ページ)を参照してください。 Linkメニューが表示されます。 Linkメニューには、以下のオプションがあります。 /cfg/domain 1/linkset <linkset ID> /link <index> 後に続くパラメータ move <new index> リンクをリンクセット内の新しい位置に 移動します。そのインデックス番号以上 のインデックス番号を持っていた既存 のリンク エントリのインデックス番号は、 1つずつ増やされます。 • new index は1~256の範囲の整数 で、リンクセット内のリンクの位置を 示します。 たとえば、2つのポータル リンクLink 1と Link 2があるとします。 ポータル ペー ジでLink 2を移動させてLink 1より先 に表示するには、次のコマンドを使用 します。 >> Link 3# move 1 Link 2がLink 1に、Link 1がLink 2にな ります。 text <text> ポータルの[Home]タブ上で、クリック可 能なリンク テキストとして表示されるテ キストを指定します。 • text は、通常のテキスト文字列、ま たはHTMLコードです。 対象のリソースの内容が明確にわかる 説明文を用意します。クライアントに見 えるのはリンク テキストのみであり、リン クに含まれているURLは見えません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第8章 ポータルとユーザー ログオンのカスタマイズ 205 /cfg/domain 1/linkset <linkset ID> /link <index> 後に続くパラメータ type external|ftp リンク のタイプを指定します。 次のオプ ションを指定することができます。 • external :クライアントをWebペー ジに接続します。外部リンクは、 Nortel SNAS 4050ではセキュア化 されません。 • ftp :クライアントをFTPファイル交 換サーバーのディレクトリに接続し ます。 デフォルトは、 external です。 Linkメニューは指定したリンク タイプを 含むように変化します。 備考: Nortel Secure Network Access Switch Software Release 1.6.1 では、 external リンクのみがサ ポートされます。 external External Settingsメニューにアクセス して、リンクの設定を行います(「外部リ ンクの設定」(205 ページ)を参照)。 このコマンドは、リンク タイプがexternal の場合にのみ表示されます。 ftp FTP Settingsメニューにアクセスして、 リンクの設定を行います(「FTPリンクの 設定」(206 ページ)を参照)。 このコマンドは、リンク タイプが ftp の場 合にのみ表示されます。 del リンクセットを現在の設定から削除し ます。 外部リンクの設定 外部Webページの設定を行うウィザードを起動するには、次のコマンドを 使用します。 /cfg/domain 1/linkset <linkset ID> /link <index> /external/quick ウィザードは、以下の設定の入力を求めるプロンプトを表示します。 • method:HTTPまたはHTTPS • host:Webサーバーのホスト名またはIPアドレス • path:Webサーバーのパス。パスを指定する必要があります。単一のスラッ シュ(/)は、Webサーバー ドキュメントのルートを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 206 第8章 ポータルとユーザー ログオンのカスタマイズ FTPリンクの設定 FTPファイル交換サーバーのディレクトリへのリンクの設定を行うウィザードを起 動するには、次のコマンドを使用します。 /cfg/domain 1/linkset <linkset ID> /link <index> /ftp/quick ウィザードは、以下の設定の入力を求めるプロンプトを表示します。 • FTP host:FTPサーバーのホスト名またはIPアドレス(たとえば、 ftp.example.com または 10.1.10.1 ) • initial path on host : デ ィ レ ク ト リ の パ ス ( た と え ば 、 /home/share/john/manuals/ )。パスを指定しなかった場合は、 FTPサーバーのルート ディレクトリが指定されたものとみなされます。スラッ シュと感嘆符(/!)は、ログイン ユーザーのホーム ディレクトリを表わします。 初期パスでは、 <var:user> マクロと <var:group> マクロを使用することがで きます。たとえば、グループの名前に対応する名前を持つ共有プロジェク ト ディレクトリを作成し、その後 <var:group> マクロを使用して、グループ メ ンバにそのディレクトリへのアクセス権を与えることができます。マクロを使 用する方法については、「マクロ」(186 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 207 第9章 システム設定 この章では、以下のトピックについて説明します。 トピック 「クラスタの設定」(208 ページ) 「システム コマンドのロードマップ」(208 ページ) 「システム設定」(211 ページ) 「Nortel SNAS 4050ホストの設定」(213 ページ) 「ホスト インタフェースの設定」(216 ページ) 「スタティック ルートの設定」(218 ページ) 「ホストのポートの設定」(219 ページ) 「インタフェース ポートの管理」(220 ページ) 「アクセス リストの設定」(221 ページ) 「日付と時刻の設定」(222 ページ) 「DNSサーバーの設定」(224 ページ) 「RSAサーバーの設定」(227 ページ) 「syslogサーバーの設定」(227 ページ) 「管理機能の設定」(229 ページ) 「TunnelGuard SRS管理の有効化」(231 ページ) 「Nortel SNAS 4050ホストSSHキーの設定」(232 ページ) 「RADIUS監査の設定」(234 ページ) 「システム ユーザーの認証の設定」(238 ページ) システム設定はクラスタ全体に適用されます。 管理IPアドレス(MIP)またはNortel SNAS 4050ホストのReal IPアドレス(RIP)の いずれかにログオンすれば、システムを設定することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 208 第9章 システム設定 クラスタの設定 クラスタを設定するには、次のコマンドを使用して、Systemメニューにアク セスします。 /cfg/sys Systemメニューを使用すると、以下の設定と管理を行うことができます。 • 管理IPアドレス(MIP)(「システム設定」(211 ページ)を参照) • Nortel SNAS 4050ホスト。インタフェースおよびポートを含む(「Nortel SNAS 4050ホストの設定」(213 ページ)を参照)。 • スタティック ルート(「スタティック ルートの設定」(218 ページ)を参照) • 日付と時刻(「日付と時刻の設定」(222 ページ)を参照) • DNSの設定(「DNSサーバーの設定」(224 ページ)を参照) • RSAサーバー(「RSAサーバーの設定」(227 ページ)を参照)。Nortel Secure Network Access Switch Software Release 1.6.1では、未サポート。 • syslogサーバー(「syslogサーバーの設定」(227 ページ)を参照) • アクセス リスト(「アクセス リストの設定」(221 ページ)を参照) • 以下の管理アプリケーション — Telnet、SSH、SONMPへのアクセス管理(「管理機能の設定」(229 ページ)を参照) — SNMPを使用したシステム管理の設定(「第11章 SNMPの設定」 (265 ページ)を参照) — SRS管理の有効化(「TunnelGuard SRS管理の有効化」(231 ペー ジ)を参照) — Nortel SNAS 4050ホストSSHキーの管理(「Nortel SNAS 4050ホストSSH キーの設定」(232 ページ)を参照) — RADIUSアカウンティングの管理(「RADIUS監査の設定」(234 ペー ジ)を参照) — システム ユーザーのRADIUS認証の管理(「システム ユーザーの認証 の設定」(238 ページ)を参照) • ユーザー アクセス(「第7章 システム ユーザーとグループの管理」(163 ページ)を参照) • SSLトラフィック トレース コマンドの無効化(「システム設定」(211 ペー ジ)を参照) システム コマンドのロードマップ 以下のロードマップには、クラス全体のパラメータと、クラスタ内のNortel SNAS 4050ホストを設定するためのCLIコマンドを示してあります。 この一覧表をク イック リファレンスとして使用するか、このマニュアルのエントリをクリックし て、詳しい説明を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 コマンド パラメータ /cfg/sys mip <IPaddr> distrace /cfg/sys/host <host ID> ip <IPaddr> sysName <name> sysLocatio <location> license <key> gateway <IPaddr> ports hwplatform halt reboot delete /cfg/sys/host <host ID>/interface <interface ID> ip <IPaddr> netmask <mask> gateway <IPaddr> vlanid <tag> mode failover | trunking primary <port> delete /cfg/sys/routes list del <index number> add <IPaddr> <mask> <gateway> /cfg/sys/host <host ID>/routes list del <index number> add <IPaddr> <mask> <gateway> /cfg/sys/host #/interface <interface ID>/routes list del <index number> add <IPaddr> <mask> <gateway> /cfg/sys/host #/port <port> autoneg on|off speed <speed> mode full | half /cfg/sys/host #/interface <interface ID>/ports list del <port> add <port> /cfg/sys/accesslist list del <index number> add <IPaddr> <mask> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 209 210 第9章 システム設定 コマンド パラメータ /cfg/sys/time date <date> time <time> tzone /cfg/sys/time/ntp list del <index number> add <IPaddr> /cfg/sys/dns cachesize <entries> retransmit <interval> count <count> ttl <ttl> health <interval> hdown <count> hup <count> /cfg/sys/dns/servers list del <index number> add <IPaddr> insert <index number> <IPaddr> move <index number> <new index number> /cfg/sys/rsa rsaname <name> import <protocol> <server> <filename> [<FTP user name> <FTP password>] rmnodesecr del /cfg/sys/syslog list del <index number> add <IPaddr> <facility> insert <index number> <IPaddr> <facility> move <index number> <new index number> /cfg/sys/adm sonmp on | off clitimeout <interval> telnet on | off ssh on | off /cfg/sys/adm/srsadmin port <port> ena dis /cfg/sys/adm/sshkeys generate show Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 コマンド パラメータ /cfg/sys/adm/sshkeys/knownhosts list 211 del <index number> add import <IPaddr> /cfg/sys/adm/audit vendorid vendortype ena dis /cfg/sys/adm/audit/servers list del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> /cfg/sys/adm/auth timeout <interval> fallback on | off ena dis /cfg/sys/adm/auth/servers list del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> システム設定 クラスタ全体のシステム設定を表示するには、次のコマンドを使用します。 /cfg/sys Systemメニューが表示されます。 Systemメニューには、以下のオプションがあります。 /cfg/sys 後に続くパラメータ mip <IPaddr> クラスタのMIPを設定します。MIPはクラスタを識別 し、ネットワーク内で一意である必要があります。 詳細については、「IPアドレスについて」(36 ペー ジ)を参照してください。 備考: MIPにログオンしている場合は、このパラ メータは設定し直さないでください。接続が 失われる可能性があります。MIPをリセット するには、RIPにログオンしてください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 212 第9章 システム設定 /cfg/sys 後に続くパラメータ host <host ID> Cluster Hostメニューにアクセスして、特定の Nortel SNAS 4050ホストを設定します(「Nortel SNAS 4050ホストの設定」(213 ページ)を参照)。 routes 複数のインタフェースがある場合は、Routesメ ニューにアクセスして、クラスタのスタティック ルー トを管理します(「スタティック ルートの設定」(218 ページ)を参照)。 time Date and Timeメニューにアクセスして、日付と 時刻を設定し、ネットワーク時刻プロトコル(NTP) サーバーへのアクセスを設定します(「日付と時刻 の設定」(222 ページ)を参照)。 dns DNS Settingsメニューにアクセスして、DNSサー バーを管理し、DNS設定を調整します(「DNSサー バーの設定」(224 ページ)を参照)。 rsa <server ID> RSA Serversメニューにアクセスして、RSAサー バーを設定します(「RSAサーバーの設定」(227 ページ)を参照)。 備考: Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされて いません。 syslog Syslog Serversメニューにアクセスして、syslog サーバーをログ メッセージを受信するように設定 します(「syslogサーバーの設定」(227 ページ)を 参照)。 accesslist Access Listメニューにアクセスして、Nortel SNAS 4050デバイスへのTelnetアクセスとSSHアクセスを 制御します(「アクセス リストの設定」(221 ページ) を参照)。 adm Administrative Applicationsメニューにアクセス して、CLIタイムアウト値の設定、Nortel SNAS 4050 デバイスへのTelnet、SSH、SNMP、SONMPを使 用したアクセスの管理、SRSの有効化、SSHホスト キーの生成、システム ユーザー用のRADIUSの監 査と認証のシステム設定を行います(「管理機能 の設定」(229 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 213 /cfg/sys 後に続くパラメータ user Userメニューにアクセスして、ユーザーとパスワー ドを管理します(「第7章 システム ユーザーとグ ループの管理」(163 ページ)を参照)。 distrace /cfg/domain #/server/trace/ssldump コマンドと /cfg/domain #/server/trace/tcpdump コマンドを 永久に無効にします(「SSLトラフィックのトレース」 (83 ページ)を参照)。 distrace コマンドを使用すると、セキュリティを向上 させることができます。このコマンドの効果は、ブート インストールを行った場合にのみ無効になります。 Nortel SNAS 4050ホストの設定 クラスタ内の特定のデバイスに基本的なTCP/IPプロパティを設定するには、 次のコマンドを使用します。 /cfg/sys/host <host ID> host ID は、Nortel SNAS 4050デバイスで初期セットアップを行ったときに、ホ ストに自動的に割り当てられる整数です。 また、 /cfg/sys/host <host ID> コマンドを使用すると、指定したNortel SNAS 4050デバイスを停止、リブート、削除することができます。 Cluster Hostメニューが表示されます。 Cluster Hostメニューには、以下のオプションがあります。 /cfg/sys/host <host ID> 後に続くパラメータ ip <IPaddr> デバイスのInterface 1のReal IPアドレス (RIP)を設定します。RIPは、Nortel SNAS 4050デバイスをネットワークに接続するた めのホストIPアドレスです。ネットワークで 一意である必要があります。 詳細について は、「IPアドレスについて」(36 ページ)を 参照してください。 このコマンドを使用してRIPを変更しても、 クラスタのMIPには影響を与えません。 sysName <name> 管理対象のNortel SNAS 4050ホストに名前 を割り当てます。この名前は、SNMPを使 用したNortel SNAS 4050の管理で役に立 つ覚え易い名前にします。 sysLocatio <location> 管理対象のNortel SNAS 4050ホストの物理 的な位置を識別します。位置の記述は、 SNMPを使用したNortel SNAS 4050の管理 で役に立つ覚え易い名前にします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 214 第9章 システム設定 /cfg/sys/host <host ID> 後に続くパラメータ license <key> 購入したライセンスのタイプに対応したラ イセンス キーをインストールします。Nortel SNASのSSL(ポータルとNortel SNAS 4050 ドメインのクライアント アクセス)ライセンス には、100、250、500、1000ユーザー用が あります。 • key は、貼り付けるためのテキストです。 ライセンス キーのテキストは、ノーテル テクニカル サポートから渡されます。 貼り付ける場合は、 BEGIN LICENSE 行と END LICENSE 行が含まれていることを 確認してください。 ライセンス キーを取得するには、まず、 /info/local コマンドを使用して、Nortel SNAS 4050デバイスのMACアドレスを見つ けます。次に、このMACアドレスをノーテル テクニカル サポートに渡して、必要なライセ ンス タイプのキーを要求します。 gateway <IPaddr> デバイスのデフォルト ゲートウェイ アドレ スを設定します。デフォルト ゲートウェイ は、他のインタフェースを指定しなかった場 合に使用される、コア ルーター上のインタ フェースのIPアドレスです。 Interface 1のトラフィックのデフォルト ゲー トウェイを設定するには、 /cfg/sys/host #/interface #/ gateway コマンドを使用し ます(「ホスト インタフェースの設定」(216 ページ)を参照)。 routes 複数のインタフェースがある場合は、Host Routesメニューにアクセスして、Nortel SNAS 4050のスタティック ルートを管理しま す(「スタティック ルートの設定」(218 ペー ジ)を参照)。 interface <interface number> Host Interfaceメニューにアクセスして、IP インタフェースを設定します(「ホスト インタ フェースの設定」(216 ページ)を参照)。 port Host Portメニューにアクセスして、ポート プロパティを設定します(「ホストのポートの 設定」(219 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 215 /cfg/sys/host <host ID> 後に続くパラメータ ports デバイスの物理ポートを、ポート番号で表 示します。同じネットワークに共存させるこ とができるポート(フェイルオーバーまたは トランキング用)は、カンマ(,)で区切られて 一緒に表示されます。同じネットワークに共 存させることができないポートは、次のよう にコロン(:)の後に表示されます。 Ports = 1,2:3 hwplatform Nortel SNAS 4050デバイスのハードウェア プラットフォームを表示します。 halt Nortel SNAS 4050の処理を停止します。 デバイスをオフにするには、必ずこのコマ ンドを使用します。 停止を試みたNortel SNAS 4050がクラスタ で唯一のメンバだった場合は、haltコマンド を実行するとエラー メッセージが表示されま す。その場合は、コンソール接続を使用す るか、またはNortel SNAS 4050 RIP(ホスト アドレス)にリモート接続して、Nortel SNAS 4050にログオンします。その後、/boot/halt コマンドを使用します( halt を参照)。 reboot Nortel SNAS 4050をリブートします。 リブートを試みたNortel SNAS 4050がクラ スタで唯一のメンバだった場合は、 reboot コマンドを実行するとエラー メッセージが 表示されます。その場合は、コンソール接 続を使用するか、またはNortel SNAS 4050 RIP(ホスト アドレス)にリモート接続して、 Nortel SNAS 4050にログオンします。その 後、 /boot/reboot コマンドを使用します ( reboot を参照)。 delete Nortel SNAS 4050ホストをクラスタから削除 し、工場出荷時のデフォルト設定にリセット します。クラスタ内の他のNortel SNAS 4050 デバイスは影響を受けません。 確実に目的のNortel SNAS 4050を削除す るには、 /cfg/sys/host #/cur コマンドを使 用して現在の設定を表示し、目的のホスト を確認しておきます(クラスタ内のすべての Nortel SNAS 4050デバイスを表示するに は、 /cfg/sys/cur コマンドを使用します)。 クラスタからNortel SNAS 4050を削除した 後で、そのデバイスにアクセスするには、 コンソール接続を使用する必要がありま Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 216 第9章 システム設定 /cfg/sys/host <host ID> 後に続くパラメータ す。adminパスワード使用して、adminユー ザーとしてログオンし、Setupユーティリティ を起動します。 備考: クラスタ構成に他のNortel SNAS 4050デバイスがあり、Nortel SNAS 4050がクラスタ内でステータスがup になっている唯一のデバイスであ る場合は、そのデバイスを削除す ることはできません。この場合は、 delete コマンドを実行すると、エ ラー メッセージが表示されます。す べてのクラスタ メンバがダウンして いるときにクラスタからデバイスを削 除するには、コンソール接続を使 用するか、またはNortel SNAS 4050 RIP(ホスト アドレス)にリモート接続 して、Nortel SNAS 4050にログオン します。その後、 /boot/delete コマ ンドを使用します。残りのクラスタ メ ンバが復帰したら、MIPに接続して コマンドを繰り返し、Nortel SNAS 4050をクラスタ構成から削除します ( /cfg/sys/host #/delete )。 ホスト情報の表示 クラスタ内の各Nortel SNAS 4050デバイスのホスト番号とIPアドレスを表示する には、 /cfg/sys/host <host ID> /cur コマンドを使用します。 ホスト インタフェースの設定 Nortel SNAS 4050ホストのデフォルトIPアドレスは、Interface 1です。追加イ ンタフェースを作成して、各インタフェースに割り当てるポートを指定するこ とができます。1つのインタフェースに複数のポートを割り当てると、ポートを フェイルオーバー モードまたはトランキング モードで動作させるかどうか を選択することができます。 各Nortel SNAS 4050ホストで、最大4つのインタフェースを作成することがで きます。 特定のNortel SNAS 4050にIPインタフェースと物理ポートの割当てを設定する には、次のコマンドを使用します。 /cfg/sys/host <host ID> /interface <interface ID> interface ID は1~252の範囲の整数で、Nortel SNAS 4050ホストのインタ フェースを一意に識別するIDです。新しいインタフェースを作成するには、未 使用のインタフェースID番号を入力します。既存のインタフェースの設定を変 更するには、該当するインタフェースID番号を入力します。 Host Interfaceメニューが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 217 Host Interfaceメニューには、以下のオプションがあります。 /cfg/sys/host #/interface <interface ID> 後に続くパラメータ ip <IPaddr> インタフェースのネットワーク アドレスを設 定します(Interface 1の場合は、ネットワーク アドレスはRIPです)。 netmask <mask> インタフェースのサブネット マスクを設定 します。 gateway <IPaddr> インタフェースのデフォルト ゲートウェイ ア ドレスを設定します。デフォルト ゲートウェイ は、管理トラフィック(たとえば、プライベート 認証サーバーやDNSサーバーに対するリ クエスト)で使用されるコア ルーター上のイ ンタフェースのIPアドレスです。 デフォルト ゲートウェイは、このインタフェー スを指している(interface <interface ID>に 対する /cfg/domain 1/adv/interface コマ ンド)Nortel SNAS 4050ドメインでのみ使用 されます。このインタフェースを指している ドメインがない場合は、指定したゲートウェ イは無視されます。 routes 複数のインタフェースがある場合に、Host Routesメニューにアクセスして、Nortel SNAS 4050のスタティック ルートを管理しま す(「スタティック ルートの設定」(218 ペー ジ)を参照)。 vlanid <tag> インタフェースから受信するパケットに特定 のVLANタグIDのタグが付いている場合 に、VLANタグを指定します。 mode failover|trunking このインタフェースに割り当てるポート番号 の動作モードを指定します。 以下のオプ ションを指定することができます。 • failover :一時点で1つのリンクのみが アクティブです。アクティブ リンクを持つ ポートが故障した場合、アクティブ リンク は、このインタフェースに設定されてい る別のポート上のリンクにただちに切り 替わります。フェイルオーバー モードを 選択した場合は、プライマリ ポートを指 定する( /cfg/sys/ host #/interface #/primary を参照)こともできます。 • trunking :設定されているすべての ポートがアクティブ リンクとなり、ネット ワークのスループットを向上させます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 218 第9章 システム設定 /cfg/sys/host #/interface <interface ID> 後に続くパラメータ デフォルトは、 failover です。 ports Interface Portsメニューにアクセスして、 インタフェースのポートを管理します(「イ ンタフェース ポートの管理」(220 ページ) を参照)。 primary <port> このインタフェースに、アクティブ ポートを セットアップするプライマリ ポートを指定し ます。プライマリ ポートが故障した場合は、 アクティブ リンクはただちに残りの(セカン ダリ)ポートに移ります。プライマリ ポートが 故障から回復すると、アクティブ リンクはプ ライマリ ポートに戻ります。 • port は、このインタフェースに割り当て る物理ポートのポート番号を示す整数 です。デフォルトは、ゼロ(0)です。 ゼロのデフォルト値は、現在アクティブなリ ンクが、故障するまで使用され続けることを 意味します。ポートが故障した場合は、リン クは他のポートに移ります。リンクが移され たポートは、故障したポートが復旧したとし ても、アクティブのままです。 プライマリ ポートの設定は、インタフェース に複数のポートを設定して、failoverモード にした場合にのみ適用されます。 delete このインタフェースを現在のシステム設定 から削除します。 スタティック ルートの設定 複数のインタフェースを設定した場合に、スタティック ルートをクラスタ全体の レベルで管理するには、次のコマンドを使用します。 /cfg/sys/routes 複数のインタフェースを設定した場合に、特定のNortel SNAS 4050ホストのス タティック ルートを管理するには、次のコマンドを使用します。 /cfg/sys/host <host ID> /routes host ID は、Nortel SNAS 4050デバイスで初期セットアップを行ったときに、ホ ストに自動的に割り当てられる整数です。 特定のインタフェースのスタティック ルートを管理するには、次のコマンドを 使用します。 /cfg/sys/host #/interface <interface ID> /routes Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 interface ID は1~252の範囲の整数で、Nortel 219 SNAS 4050ホストのインタ フェースを一意に識別するIDです。 システム、ホスト、またはインタフェースのRoutesメニューが表示されます。 システム、ホスト、またはインタフェースの設定にスタティック ルートを追加した 場合は、ルートには自動的にインデックス番号が割り当てられます。クラスタ、 各ホスト、各ホストに設定されるルートには、それぞれ独立したシーケンスのイ ンデックス番号が割り当てられます。 システム、ホスト、またはインタフェースのRoutesメニューには、以下のオ プションがあります。 /cfg/sys/[host #[/interface #]/]routes 後に続くパラメータ list 設定済みのすべてのスタティック ルートのIPアドレ ス情報を、インデックス番号ごとに表示します。 del <index number> 指定したルートをシステム、ホスト、またはインタ フェースの設定から削除します。 • index number は、ルートを設定に追加したと きにルートに自動的に割り当てられたID番号 です。 設定されているすべてのスタティック ルートのイン デックス番号を表示するには、 list コマンドを使 用します。 add <IPaddr> <mask> <gateway> スタティック ルートをシステム、ホスト、またはイン タフェースの設定に追加します。 • IPaddr は、設定するルートのIPアドレスです。 • mask は、ネットワーク マスクです。 • gateway は、コア ルーターのIPアドレスです。 インデックス番号は、ルートに自動的に割り当て られます。 ホストのポートの設定 ポートの接続プロパティを設定するには、次のコマンドを使用します。 /cfg/sys/host #/port <port> port は1~4の範囲の整数であり、Nortel SNAS 4050の物理ポートのポート番 号を表わしています。ポート番号は、Nortel SNAS 4050の背面にあるポートを 識別する番号です。 Host Portメニューが表示されます。 Host Portメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 220 第9章 システム設定 /cfg/sys/host #/port <port> 後に続くパラメータ autoneg on|off ホストとNICのポートのEthernetオート ネゴシエー ション設定を指定します。 次のオプションを指定す ることができます。 • on :ポートに速度とモードのオート ネゴシエー ションを設定します。これが推奨するモードで す。 • off :速度とモードは指定した設定で固定され ます。 デフォルトは、 on です。 オート ネゴシエーションがオンのときは、このポート に接続されているデバイスにもオート ネゴシエー ションを設定する必要があります。 speed <speed> ネゴシエーションに off を設定した場合に、ホストと NICのポートの速度を設定します。 • speed :ポートの速度(メガビット/秒単位)です。 オプションは、 10|100|1000 です。 mode full|half オート ネゴシエーションに off を設定した場合に、 ホストとNICのポートに通信モードを設定します。 オプションは、 full と half です。 デフォルトの通信モードは、 full です。 インタフェース ポートの管理 インタフェースに割り当てられているポートを表示して管理するには、次のコ マンドを使用します。 /cfg/sys/host #/interface <interface ID> /ports interface ID は1~252の範囲の整数であり、Nortel SNAS 4050ホストのインタ フェースを一意に識別するIDです。 Interface Portsメニューが表示されます。 Interface Portsメニューには、以下のオプションがあります。 /cfg/sys/host #/interface <interface ID> /ports 後に続くパラメータ list このインタフェースに割り当てられたすべてのポー トを表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 221 /cfg/sys/host #/interface <interface ID> /ports 後に続くパラメータ del <port> このインタフェースから、指定したポートを削除し ます。 • port は、デバイスの物理ポートのポート番号 です。 add <port> このインタフェースで使用されるポートを追加し ます。 • port は、デバイスの物理ポートのポート番号 です。 Nortel SNAS 4050デバイスで使用できるポート番号 を表示するには、 /cfg/sys/host #/ports コマン ドを使用します( ports を参照)。 アクセス リストの設定 アクセス リストは、Telnet、SSH、およびSREMでNortel SNAS 4050デバイスに アクセスすることを許可されたホストの、クラスタ全体のIPアドレス リストです。 このリストを設定して、特定のネットワークの個々のマシンまたはある範囲の マシンによるアクセスを許可することができます。 アクセス リストが空の場合には、アクセスはすべてのマシンに開放されて います。 備考: Nortel SNAS 4050をクラスタに加入させる前に、アクセス リストに既 存のエントリがある場合は、アクセス リストにクラスタ内のすべての Nortel SNAS 4050デバイスのInterface 1のRIP(ホストIPアドレス)を 追加する必要があります。この作業は、加入を行う前に実行する 必要があります。さもないと、デバイスが通信できなくなります。 TelnetやSSHのアクセスを有効にする方法については、「管理機能の設定」 (229 ページ)を参照してください。 アクセス リストを管理して、Nortel SNAS 4050クラスタへのTelnetアクセスやSSH アクセスを制御するには、次のコマンドを使用します。 /cfg/sys/accesslist Access Listメニューが表示されます。 Access Listメニューには、以下のオプションがあります。 /cfg/sys/accesslist 後に続くパラメータ list アクセス リスト内のすべてのエントリのネット ワーク アドレスとネットワーク マスクを、イン デックス番号ごとに表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 222 第9章 システム設定 /cfg/sys/accesslist 後に続くパラメータ del <index number> 指定したエントリをリストから削除します。 • index numberは、エントリをリストに追加 したときにエントリに自動的に割り当て られたID番号です。 設定されているすべてのアクセス リストの エントリを表示するには、 list コマンドを 使用します。 add <IPaddr> <mask> アクセス リストにエントリを追加します。リス トされているマシンのみが、Telnetまたは SSHによるNortel SNAS 4050へのアクセス を許可されます。 • IPaddr は、アクセスを許可するホスト のIPアドレスです。 • mask は、サブネット マスクです。マスク を設定することによって、特定のネット ワークの個々のマシンまたはマシンの 範囲を指定することができます。 インデックス番号は、エントリに自動的に 割り当てられます。 日付と時刻の設定 クラスタに日付と時刻の設定を行うには、次のコマンドを使用します。 /cfg/sys/time Date and Timeメニューが表示されます。 Date and Timeメニューには、以下のオプションがあります。 /cfg/sys/time 後に続くパラメータ date <date> システムの日付を設定します。 • date は、YYYYMMDDの形式の日付 です。 time <time> システムの時刻を設定します。 • time は、24時間制のHH:MM:SS形式 の時刻です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 223 /cfg/sys/time 後に続くパラメータ tzone タイム ゾーンを指定します。大陸または海 域、国、地域(該当するものがあれば)の入 力を求められます。用意されている入力オ プションを表示するには、[Enter]を押して デフォルト( select )を受け入れ、各項目の 選択肢を表示することができます。 ntp NTP Serversメニューにアクセスして、クラ スタで使用されるNTPサーバーを管理しま す(「NTPサーバーの管理」(223 ページ) を参照)。 NTPサーバーの管理 システム設定にNTPサーバーを加えて、Nortel SNAS 4050のNTPクライアント を時計に同期させることができます。時刻のズレを補正できるようにするため、 NTP機能では少なくとも3つのNTPサーバーにアクセスすることを推奨します。 システムで使用されるNTPサーバーを管理するには、次のコマンドを使用 します。 /cfg/sys/time/ntp NTP Serversメニューが表示されます。 NTP Serversメニューには、以下のオプションがあります。 /cfg/sys/time/ntp 後に続くパラメータ list システムに設定済みのすべてのNTPサー バーのIPアドレス情報を、インデックス番号 ごとに表示します。 del <index number> 指定したNTPサーバーをシステム設定か ら削除します。 • index number は、サーバーを設定に追 加したときにサーバーに自動的に割り 当てられたID番号です。 設定されているすべてのNTPサーバーのイ ンデックス番号を表示するには、 list コマ ンドを使用します。 add <IPaddr> NTPサーバーをシステム設定に追加しま す。 • IPaddr は、NTPサーバーのIPアドレス です。 インデックス番号は、サーバーに自動的に 割り当てられます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 224 第9章 システム設定 DNSサーバーの設定 クラスタのDNSサーバーの設定を行うには、次のコマンドを使用します。 /cfg/sys/dns DNS Settingsメニューが表示されます。 DNS Settingsメニューには、以下のオプションがあります。 /cfg/sys/dns 後に続くパラメータ servers DNS Serversメニューにアクセスして、クラ スタで使用されるサーバーを管理します (「DNSサーバーの管理」(225 ページ)を 参照)。 cachesize <entries> ローカルDNSのキャッシュ サイズを指定 します。 • entries は0~10000の範囲の整数であ り、ローカルDNSキャッシュ内のDNSエ ントリの最大個数を表しています。デ フォルトは、1000です。 retransmit <interval> DNSクエリの再送間隔を設定します。 • interval は、秒( s )、分( m )、時間( h )、 または日( d )を単位とする時間間隔を 示す正の整数です。 測定単位を指定 しなかった場合は、秒が指定されたも のとみなされます。デフォルトは、2(2 秒)です。 count <count> リトライ回数を指定します。 • count には、負ではない整数で、DNSク エリが再送される最大回数を指定しま す。デフォルトは、3です。 ttl <ttl> DNSキャッシュ内のエントリのTime to Live (TTL)の最大値を指定します。TTLが期限 切れになると、そのエントリは破棄されます。 • ttlは、秒(s)、分(m)、時間(h)、または 日( d )を単位とするTTL値を示す負で はない整数です。複数の単位を組み合 わせて指定することができます(たとえ ば、2h30m)。 測定単位を指定しなかっ た場合は、秒が指定されたものとみなさ れます。デフォルトは、3h(3時間)です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 225 /cfg/sys/dns 後に続くパラメータ health <interval> Nortel SNAS 4050がDNSサーバーのヘル スをチェックする時間間隔を設定します。 Nortel SNAS 4050はシステム設定内の各 DNSに対して指定された時間間隔でDNS クエリを発行し、そのヘルス ステータスを 判断します。 • interval は、秒( s )、分( m )、時間( h )、 または日(d)を単位とする時間間隔を示 す整数です。 測定単位を指定しなかっ た場合は、秒が指定されたものとみなさ れます。デフォルトは、10(10秒)です。 hdown <count> ヘルス チェックのダウン カウンタを設定 します。 • countは、DNSサーバーのヘルス チェッ クでタイムアウトになる回数を示す正の 整数です。この回数を超えると、Nortel SNAS 4050はDNSサーバーがダウン していると判断します。デフォルトは、 2です。 hup <count> ヘルス チェックのアップ カウンタを設定しま す。 • countは、DNSサーバーのヘルス チェッ クが肯定応答を返す回数を示す正の 整数です。この回数を超えると、Nortel SNAS 4050はDNSサーバーが稼動し ていると判断します。デフォルトは、2 です。 DNSサーバーの管理 システム設定には最大で3台のDNSサーバーを加えることができます。DNS サーバーは、キャプティブ ポータルが除外リスト内のドメインに対してクエリを転 送する場合に使用されます(キャプティブ ポータルと除外リストの詳細につい ては、「キャプティブ ポータルと除外リスト」(180 ページ)を参照してください)。 クラスタで外部DNSサーバーを使用するように設定するには、次のコマン ドを使用します。 /cfg/sys/dns/servers DNS Serversメニューが表示されます。 DNS Serversメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 226 第9章 システム設定 /cfg/sys/dns/servers 後に続くパラメータ list 現在DNSサーバーに設定されているIPアド レスを、インデックス番号ごとに表示します。 del <index number> 指定したDNSサーバーをシステム設定から 削除します。 残りのエントリのインデックス 番号は、それに応じて調整されます。 設定されているすべてのDNSサーバーの インデックス番号を表示するには、 list コ マンドを使用します。 add <IPaddr> DNSサーバーをシステム設定に追加しま す。 • IPaddr :DNSサーバーのIPアドレス システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 設定には最大で3台のDNSサーバーを加 えることができます。 insert <index number> <IPaddr> 設定内のLDAPサーバーのリストの特定の 位置に、サーバーを挿入します。 • index number :サーバーに割り当てる インデックス番号 • IPaddr :追加するDNSサーバーのIP アドレス 指定するインデックス番号は、現在使用さ れているインデックス番号です。 それに応 じて、そのインデックス番号以上のインデッ クス番号を持っていた既存のサーバーのイ ンデックス番号が1つずつ増やされます。 move <index number> <new index number> 設定内のDNSサーバーのリスト内でサー バーを上下移動します。 • index number :移動したいサーバーの 元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 設定されているすべてのDNSサーバーの インデックス番号を表示するには、 list コ マンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 227 RSAサーバーの設定 RSAサーバーのシンボリック名を設定し、sdconf.rec設定ファイルをインポート するには、次のコマンドを使用します。 /cfg/sys/rsa RSA Serversメニューが表示されます。 備考: この機能は、Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされていません。 RSA Serversメニューには、以下のオプションがあります。 /cfg/sys/rsa 後に続くパラメータ rsaname <name> RSAサーバーのシンボリック名を設定しま す。 import <protocol> <server> <filename> [ <FTP user name> <FTP password> ] sdconf.rec ファイルのコピーを、指定し たTFTP/FTP/SCP/SFTPサーバーからイン ポートします。 • protocolは、インポート用のプロトコルで す。オプションは、 tftp|ftp|scp|sftp です。 • server は、サーバーのホスト名または IPアドレスです。 • filename には、サーバー上の sdconf.rec ファイルの名前を指定しま す。 sdconf.rec ファイルは、重要なRSA ACE/Server情報を含んでいる設定ファ イルです。ファイルを取得して、指定し たTFTP/FTP/SCP/SFTPサーバーで利用 できるようにする方法については、RSA ACE/Serverの管理者に問い合わせてくだ さい。 rmnodesecr 必要に応じて、RSAノードのシークレットを 削除します。それによって、RSAサーバー の[Edit Agent Host]ウィンドウの[Node secret created]チェックボックスからチェッ クを外すまで、認証は失敗するようになりま す。 del 現在のRSAサーバー情報を削除します。 syslogサーバーの設定 Nortel SNAS 4050ソフトウェアは、ログ メッセージを指定されたsyslogホスト に送信することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 228 第9章 システム設定 Nortel SNAS 4050がsyslogホストに送信できるログ メッセージについての説明 は、「付録 B syslogメッセージ」(383 ページ)を参照してください。 クラスタのsyslogサーバーを設定するには、次のコマンドを使用します。 /cfg/sys/syslog Syslog Serversメニューが表示されます。 Syslog Serversメニューには、以下のオプションがあります。 /cfg/sys/syslog 後に続くパラメータ list 現在syslogサーバーに設定されているIPア ドレスとファシリティ番号を、インデックス番 号ごとに表示します。 del <index number> 指定したsyslogサーバーをシステム設定か ら削除します。 残りのエントリのインデックス 番号は、それに応じて、調整されます。 設定されているすべてのsyslogサーバーの インデックス番号を表示するには、 list コ マンドを使用します。 add <IPaddr> <facility> syslogサーバーをシステム設定に追加しま す。以下の情報の入力を求めるプロンプ トが表示されます。 • IPaddr :syslogサーバーのIPアドレス • facility :syslogエントリを一意に識別 するローカル ファシリティ番号。ロー カル ファシリティ番号についての詳細 は、UNIXの syslog.conf のマンページ を参照してください。 システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 insert <index number> <IPaddr> <facility> 指定したインデックス番号を、追加した syslogサーバーに割り当てます。 • index number :サーバーに割り当てる インデックス番号 • IPaddr :追加するsyslogサーバーのIP アドレス • facility :syslogエントリを一意に識別 するローカル ファシリティ番号。ロー カル ファシリティ番号についての詳細 は、UNIXの syslog.conf のマンページ を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 229 /cfg/sys/syslog 後に続くパラメータ 指定するインデックス番号は、現在使用さ れているインデックス番号です。 それに応 じて、そのインデックス番号以上のインデッ クス番号を持っていた既存のサーバーのイ ンデックス番号が1つずつ増やされます。 move <index number> <new index number> 設定内のsyslogサーバーのリスト内でサー バーを上下に移動します。 • index number :移動したいサーバーの 元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 設定されているすべてのsyslogサーバーの インデックス番号を表示するには、 list コ マンドを使用します。 管理機能の設定 管理機能の設定では、CLIの機能を制御します。重要な管理機能には、以 下のものがあります。 • CLIへのTelnetアクセスを有効にする。 • CLIへのSSHアクセスを有効にする(SREMを使用するのに必要)。 • SRS管理を有効にして、TunnelGuard SRSルールを設定する(「TunnelGuard SRS管理の有効化」(231 ページ)を参照)。 • CLIアイドル タイムアウトを設定する。 システムの管理機能を設定するには、次のコマンドを使用します。 /cfg/sys/adm Administrative Applicationsメニューが表示されます。 Administrative Applicationsメニューには、以下のオプションがあります。 /cfg/sys/adm 後に続くパラメータ snmp SNMPメニューにアクセスして、クラスタで 使用されるネットワーク管理機能を設定しま す。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 230 第9章 システム設定 /cfg/sys/adm 後に続くパラメータ sonmp on|off SynOptics Network Management Protocol (SONMP)ネットワーク トポロジ情報のサ ポートを有効または無効にします。デフォ ルトは、無効( off )です。 clitimeout <interval> CLIでユーザーのアクティビティがなかった 場合のタイムアウト間隔を設定します。タイ ムアウト時間が過ぎてもアクティビティが なかった場合、ユーザーは自動的にログ アウトされます。 • interval は、秒( s )、分( m )、時間( h )、 または日( d )を単位とする時間間隔を 示す整数です。 測定単位を指定しな かった場合は、秒が指定されたものと みなされます。 範囲は、300~604800 秒(5分~7日)です。デフォルトは、600 (10分)です。 タイムアウト値の変更は、次回のリブート以 降に有効になります。 ユーザーが自動的にログアウトされると、 適用前の変更は失われます。したがって、 グローバル apply コマンドを使用して、必 ず定期的に設定の変更を保存する必要 があります。 audit Auditメニューにアクセスして、RADIUS監 査を設定します(「RADIUS監査の設定」 (234 ページ)を参照)。 auth Authenticationメニューにアクセスして、 システム ユーザーのRADIUS認証を設定 します(「システム ユーザーの認証の設定」 (238 ページ)を参照)。 telnet on|off システムのリモート管理用にTelnetアクセス を有効または無効にします。 以下のオプ ションを指定できます。 • on :Telnetアクセスを有効にします。アク セス リストにエントリがない場合は、す べてのTelnet接続が許可されます。アク セス リストにエントリがある場合は、指 定されているマシンのみがTelnet接続 を許可されます。 • off :アクセス リスト内のマシンからの接 続を含む、すべてのTelnet接続が拒否 されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 231 /cfg/sys/adm 後に続くパラメータ デフォルトは、 off です。 アクセス リストの詳細については、「アクセ ス リストの設定」(221 ページ)を参照して ください。 ssh on|off システムのリモート管理用にSSHアクセスを 有効または無効にします。 以下のオプショ ンを指定できます。 • on :SSHアクセスを有効にします。アク セス リストにエントリがない場合は、す べてのSSH接続が許可されます。アク セス リストにエントリがある場合は、指 定されているマシンのみがSSH接続を 許可されます。 • off :アクセス リスト内のマシンからの接 続を含む、すべてのSSH接続が拒否 されます。 デフォルトは、 off です。 アクセス リストの詳細については、「アクセ ス リストの設定」(221 ページ)を参照して ください。 srsadmin SRS Adminメニューにアクセスして、 TunnelGuard SRSルールを設定します (「TunnelGuard SRS管理の有効化」(231 ページ)を参照)。 sshkeys SSH Host Keysメニューにアクセスして、 Single System Image(SSI)の概念に基づ いて、クラスタ内のすべてのNortel SNAS 4050ホストで使用されるSSHキーを管理し ます(「Nortel SNAS 4050ホストSSHキーの 設定」(232 ページ)を参照)。 TunnelGuard SRS管理の有効化 TunnelGuard Software Requirement Set(SRS)ルールの作成または変更を行う には、SREM(『Nortel Secure Network Access Switch 4050 User Guide for the SREM(NN47230101)』を参照)を使用する必要があります。Rule Builderユーティリティを使用するには、SREMのSRS管理のサポートを有 効にする必要があります。 SRSルール管理のサポートを設定するには、次のコマンドを使用します。 /cfg/sys/adm/srsadmin SRS Adminメニューが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 232 第9章 システム設定 SRS Adminメニューには、以下のオプションがあります。 /cfg/sys/adm/srsadmin 後に続くパラメータ port <port> SRS管理サーバーとの通信で使用される TCPポートを指定します。 デフォルトは、 ポート4443です。 ena SRS管理を有効にして、SRSルールの作成 と管理ができるようにします。 dis SRS管理を無効にします。 デフォルトは、 無効です。 Nortel SNAS 4050ホストSSHキーの設定 Nortel SNAS 4050は、クラスタ内のNortel SNAS 4050間のセキュアな通信で、 SFTPを使用してログのインポートとエクスポートを行うSSHクライアントの役割 と、SSHサーバーとしての役割の両方を果たします。 備考: SCPはサポートされていません。 SSHホスト キーは、クラスタ内のすべてのホストで使用されるキーのセットで、 Single System Image(SSI)の概念に基づいています。このキーを使用する ことによって、SSHクライアントからは、MIPへの接続が常に同じホストに接 続しているように見えます。 初期セットアップで、SSHホスト キーを自動的に生成することができます。 セキュアな管理通信用にクラスタ内のすべてのホストで使用されるSSHキー の生成と表示には、次のコマンドを使用します。 /cfg/sys/adm/sshkeys SSH Host Keysメニューが表示されます。 SSH Host Keysメニューには、以下のオプションがあります。 /cfg/sys/adm/sshkeys 後に続くパラメータ generate クラスタ内のすべてのホストで使用される 新しいSSHホスト キー(RSA1、RSA、DSA) を生成します。 Apply を入力すると、変更がただちに適用 され、キーが作成されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 233 /cfg/sys/adm/sshkeys 後に続くパラメータ show クラスタの現在のSSHホスト キーと対応す るフィンガプリントを表示します。以下の形 式が使用されます。 • RSA1キー:標準形式はありません。 CLI出力は、OpenSSHの形式です。 ただし、行は折り返されます。完全に OpenSSHに準拠するには、SSHクライ アントのキーの保管で使用される出力 を1行に編集し直す必要があります。 • RSAキーとDSAキー:インターネット ドラ フト draftietfsecshpublickeyfile で規定されているSECSH公開キー ファ イル形式です。 knownhosts SSH Known Host Keysメニューにアクセ スして、リモート ホストのSSH公開キーを管 理します(「既知のホストSSHキーの管理」 (233 ページ)を参照)。 既知のホストSSHキーの管理 SSH公開キーは、必要に応じてリモート ホストから貼り付けるか、またはインポー トすることができます。そのようにしておけば、後でファイル転送やデータ転送 でSCPやSFTPを使用するときに、新しいキーを入力する必要がなくなります。 「man in the middle」攻撃を完全に防ぐには、変更を適用する前にフィンガプ リントを確認します。 既知のリモート ホストのSSH公開キーを管理するには、次のコマンドを使用 します。 /cfg/sys/adm/sshkeys/knownhosts SSH Known Host Keysメニューが表示されます。 SSH Known Host Keysメニューには、以下のオプションがあります。 /cfg/sys/adm/sshkeys/knownhosts 後に続くパラメータ list 既知のリモート ホストのSSHキーのタイプ とフィンガプリントを、インデックス番号ごと に表示します。 del <index number> 指定した既知のホストSSHキーを削除しま す。 すべての既知のホストSSHキーのインデッ クス番号を表示するには、 list コマンドを 使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 234 第9章 システム設定 /cfg/sys/adm/sshkeys/knownhosts 後に続くパラメータ add リモート ホストからダウンロードしたキー ファ イルの内容の貼付けを可能にします。 プロンプトが表示されたら、キーを貼り付 け、[Enter]を押します。省略記号(...)を入 力して、キーの終了を示します。 有効な形式は、 /cfg/sys/adm/sshkeys/show コマ ンドで表示することができます。これは、 OpenSSH実装で使用されているネイティブ な形式です。 キーの形式が有効な場合は、対応するホ スト名またはIPアドレスの入力を求められま す。ホストの名前とIPアドレスは、カンマで 区切ったリストで指定することができます。 既知のホストSSHキーには、次に使用可 能なインデックス番号がシステムによって 割り当てられます。 import <IPaddr> リモート ホストからSSHキーのインポートが できるようになります。 • IPaddr :リモート ホストのIPアドレス 既知のホストSSHキーには、次に使用可 能なインデックス番号がシステムによって 割り当てられます。 RADIUS監査の設定 Nortel SNAS 4050クラスタにRADIUSサーバーを追加して、CLIやSREMで 実行されたコマンドについてのログ メッセージを監査目的で受信するよう に設定することができます。 RADIUS監査について システム ユーザーがログオンやログオフをしたり、CLIセッションからコマンドを 実行したりするたびに、イベントが生成されます。このイベントには、ユーザー 名やセッションIDと、実行したコマンドの名前が含まれています。システムがイ ベントをRADIUSサーバーに送信し、RFC 2866(RADIUSアカウンティング)に 基づいた監査証跡ログを行うように設定することができます。 監査を有効にすれば、RADIUSサーバーを設定していなくても、イベントがイ ベント ログや設定済みのsyslogサーバーに対して生成されます。 外部RADIUS監査サーバーを設定に加えると、そのサーバーにはインデッ クス番号が自動的に割り当てられます。 複数のRADIUS監査サーバーを、 バックアップ目的で追加することができます。Nortel SNAS 4050での監査は、 利用できるサーバーのうち、最も小さいインデックス番号を持つサーバーを 使用して行われます。インデックス番号を割り当て直すことによって、使用 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 235 する監査サーバーを制御することができます(「RADIUS監査サーバーの管 理」(236 ページ)を参照)。 ポータル ユーザーのセッションをログに記録するようにRADIUSアカウンティ ング サーバーを設定する方法については、「RADIUSアカウンティングの設 定」(96 ページ)を参照してください。 ベンダ固有の属性について RADIUS監査サーバーは、VendorIdとVendorType属性を組み合わせて、監 査情報のソースを識別します。属性は、イベント ログ情報とともに、RADIUS監 査サーバーに送信されます。 各ベンダは固有のディクショナリを持っています。 属性に指定するVendorId は、RADIUSサーバーが属性値を検索するのに使用するディクショナリを識 別します。VendorTypeは、ディクショナリ ファイル内の当該のエントリのイン デックス番号を表わします。 Internet Assigned Numbers Authority(IANA)は、VendorId属性に割り当て 可能なSMI Network Management Private Enterprise Codesを管理しています (http://www.iana.org/assignments/enterprisenumbers を参照)。 RFC 2866に、VendorType属性の使用法の解説があります。 外部RADIUS監査サーバーで使用されるベンダ固有属性については、 RADIUSシステムの管理者に問い合わせてください。 RADIUSサーバーのログで監査エントリを見つけるための簡単な方法は、以 下のとおりです。 ステップ 操作 1 RADIUSサーバーのディクショナリに、内容を説明する文字列を定 義します(たとえば、 NSNASSSLAuditTrail )。 2 この文字列をVendorType値にマッピングします。 ― 終わり ― RADIUS監査の設定 Nortel SNAS 4050がRADIUS監査をサポートするように設定するには、次のコ マンドを使用します。 /cfg/sys/adm/audit Auditメニューが表示されます。 Auditメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 236 第9章 システム設定 /cfg/sys/adm/audit 後に続くパラメータ servers RADIUS Audit Serversメニューにアクセ スして、クラスタ用の外部RADIUS監査サー バーを設定します(「RADIUS監査サー バーの管理」(236 ページ)を参照)。 vendorid RADIUS監査サーバーでNortel SNAS 4050 クラスタからのイベント ログ情報を識別す るのに使用されるベンダ固有の属性に対 応します。 デフォルトのVendorIdは、1872(Alteon) です。 vendortype RADIUS監査サーバーでNortel SNAS 4050クラスタからのイベント ログ情報を識 別するのにVendorIdとともに使用される VendorTypeの値に対応します。 デフォルトのVendorTypeの値は2 (AlteonASAAuditTrail)です。 ena RADIUS監査を有効にします。 デフォルトでは無効になっています。 dis RADIUS監査を無効にします。 デフォルトでは無効になっています。 RADIUS監査サーバーの管理 Nortel SNAS 4050で外部RADIUS監査サーバーを使用するように設定する には、次のコマンドを使用します。 /cfg/sys/adm/audit/servers RADIUS Audit Serversメニューが表示されます。 RADIUS Audit Serversメニューには、以下のオプションがあります。 /cfg/sys/adm/audit/servers 後に続くパラメータ list 現在RADIUS監査サーバーに設定されて いるIPアドレスを、インデックス番号ごとに 表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 237 /cfg/sys/adm/audit/servers 後に続くパラメータ del <index number> 指定したRADIUS監査サーバーを現在 の設定から削除します。 残りのエントリの インデックス番号は、それに応じて調整さ れます。 設定されているすべてのRADIUS監査サー バーのインデックス番号を表示するには、 list コマンドを使用します。 add <IPaddr> <port> <shared secret> RADIUS監査サーバーを設定に追加しま す。 以下の情報の入力を求めるプロンプ トが表示されます。 • IPaddr :監査サーバーのIPアドレス • port :RADIUS監査で使用されるTCP ポート番号。デフォルトは、1813です。 • shared secret :Nortel SNAS 4050を監 査サーバーで認証するときに使用する パスワード システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 insert <index number> <IPaddr> 設定内のRADIUS監査サーバーのリストの 特定の位置に、サーバーを挿入します。 • index number :サーバーに割り当てる インデックス番号 • IPaddr :追加する監査サーバーのIP アドレス 指定するインデックス番号は、現在使用 されているインデックス番号です。 そのイ ンデックス番号以上のインデックス番号を 持っていた既存のサーバーのインデックス 番号は、1つずつ増やされます。 move <index number> <new index number> 設定内のRADIUS監査サーバーのリスト内 で、サーバーを上下に移動します。 • index number :移動したいサーバーの 元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 238 第9章 システム設定 システム ユーザーの認証の設定 Nortel SNAS 4050クラスタで、システム ユーザーの認証に外部RADIUSサー バーを使用するように設定するには、次のコマンドを使用します。認証は、 CLIとSREMのユーザーの両方に適用されます。 RADIUSサーバーで定義するユーザー名とパスワードは、Nortel SNAS 4050 で定義されているユーザー名とパスワードと同じにする必要があります。ユー ザーがログオンすると、RADIUSサーバーはパスワードを認証します。ユー ザーのローカル定義情報から、ユーザー グループ(admin、oper、certadmin) が取得されます。 Nortel SNAS 4050のシステム ユーザーのユーザー名、パスワード、グループ 割り当てを指定する方法については、「第7章 システム ユーザーとグループ の管理」(163 ページ)を参照してください。 外部RADIUS認証サーバーを設定に加えると、そのサーバーにはインデッ クス番号が自動的に割り当てられます。 複数のRADIUS認証サーバーを、 バックアップ目的で追加することができます。Nortel SNAS 4050での認証は、 利用できるサーバーのうち、最も小さいインデックス番号を持つサーバーを 使用して行われます。インデックス番号を割り当て直すことによって、使用 する認証サーバーを制御することができます(「RADIUS認証サーバーの管 理」(239 ページ)を参照)。 Nortel SNAS 4050がシステム ユーザーのRADIUS認証をサポートするように設 定するには、次のコマンドを使用します。 /cfg/sys/adm/auth Authenticationメニューが表示されます。 Authenticationメニューには、以下のオプションがあります。 /cfg/sys/adm/auth 後に続くパラメータ servers RADIUS Authentication Serversメ ニューにアクセスして、クラスタ用の外 部RADIUS認証サーバーを設定します (「RADIUS認証サーバーの管理」(239 ページ)を参照)。 timeout <interval> RADIUSサーバーへの接続要求のタイムア ウト間隔を設定します。 タイムアウトの時間 が過ぎても接続が確立されなかった場合、 認証は失敗します。 • interval は、秒( s )、分( m )、または時 間( h )を単位とする時間間隔を示す整 数です。 測定単位を指定しなかった場 合は、秒が指定されたものとみなされま す。 範囲は、1~10000秒です。 デフォ ルトは、10秒です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第9章 システム設定 239 /cfg/sys/adm/auth 後に続くパラメータ fallback on|off 必要なフォールバック モードを指定します。 有効なオプションは、以下のとおりです。 • on :RADIUSサーバーが到達不可能な 場合には、Nortel SNAS 4050で定義さ れているローカル パスワードがフォー ルバックとして使用されます。 • off:RADIUSサーバーが到達不可能な 場合、システムにアクセスするための唯 一の方法は、ソフトウェアをインストール し直すことです(ブート インストール)。 デフォルトは、 on です。 備考: フォールバック モードにonが設定さ れていると、望ましい方法ではあり ませんが、ネットワーク ケーブルを 外してシリアル ケーブルを使用する ことで、パスワードさえわかっていれ ばNortel SNAS 4050へのアクセスが 可能になります。 ena システム ユーザーのRADIUS認証を有効 にします。 デフォルトでは無効になっています。 dis システム ユーザーのRADIUS認証を無効 にします。 デフォルトでは無効になっています。 RADIUS認証サーバーの管理 外部RADIUSサーバーを使用して、システム ユーザーの認証を行うように Nortel SNAS 4050を設定するには、次のコマンドを使用します。 /cfg/sys/adm/auth/servers RADIUS Authentication Serversメニューが表示されます。 RADIUS Authentication Serversメニューには、以下のオプションがあ ります。 /cfg/sys/adm/auth/servers 後に続くパラメータ list 現在RADIUS認証サーバーに設定されて いるIPアドレスを、インデックス番号ごとに 表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 240 第9章 システム設定 /cfg/sys/adm/auth/servers 後に続くパラメータ del <index number> 指定したRADIUS認証サーバーを現在 の設定から削除します。 残りのエントリの インデックス番号は、それに応じて調整さ れます。 設定されているすべてのRADIUS認証サー バーのインデックス番号を表示するには、 list コマンドを使用します。 add <IPaddr> <port> <shared secret> RADIUS認証サーバーを設定に追加しま す。 以下の情報の入力を求めるプロンプ トが表示されます。 • IPaddr :認証サーバーのIPアドレス • port :RADIUS認証で使用するTCP ポート番号。デフォルトは、1813です。 • shared secret :Nortel SNAS 4050を認 証サーバーで認証するときに使用する パスワード システムによって、次に使用可能なインデッ クス番号がサーバーに割り当てられます。 insert <index number> <IPaddr> 設定内のRADIUS認証サーバーのリスト内 の特定の位置に、サーバーを挿入します。 • index number :サーバーに割り当てる インデックス番号 • IPaddr :追加する認証サーバーのIP アドレス 指定するインデックス番号は、現在使用 されているインデックス番号です。 そのイ ンデックス番号以上のインデックス番号を 持っていた既存のサーバーのインデックス 番号は、1つずつ増やされます。 move <index number> <new index number> 設定内のRADIUS認証サーバーのリスト内 でサーバーを上下に移動します。 • index number :移動したいサーバーの 元のインデックス番号 • new index number :リスト内のサーバー の新しい位置を表すインデックス番号 残りのエントリのインデックス番号は、それ に応じて調整されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 241 第 10 章 証明書の管理 この章では、以下のトピックについて説明します。 トピック 「概要」(241 ページ) 「キーと証明書の形式」(242 ページ) 「証明書の作成」(243 ページ) 「証明書とキーのインストール」(243 ページ) 「証明書とキーの保存またはエクスポート」(244 ページ) 「証明書の更新」(244 ページ) 「秘密キーと証明書の管理」(245 ページ) 「証明書の管理コマンドのロードマップ」(245 ページ) 「証明書とキーの管理と表示」(246 ページ) 「CSRの生成と提出」(249 ページ) 「Nortel SNAS 4050への証明書の追加」(253 ページ) 「Nortel SNAS 4050への秘密キーの追加」(255 ページ) 「Nortel SNAS 4050への証明書とキーのインポート」(256 ページ) 「証明書とキーの表示または保存」(258 ページ) 「Nortel SNAS 4050からの証明書とキーのエクスポート」(260 ページ) 「テスト証明書の生成」(262 ページ) 概要 Nortel SNAS 4050で暗号化機能を使用するには、X.509規格に準拠したキー と証明書を追加する必要があります。 キーと証明書はクラスタ全体に適用されます。管理IPアドレス(MIP)または Nortel SNAS 4050デバイスのReal IPアドレス(RIP)のいずれかに接続してい れば、Secure Socket Layer(SSL)の証明書を管理することができます。クラスタ 内の1つのNortel SNAS 4050デバイスにキーと証明書を追加すると、その情報 がクラスタ内の他のすべてのデバイスに自動的に伝播されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 242 第10章 証明書の管理 Nortel SNAS 4050では、最大で1500の証明書をサポートすることができます。 ただし、ポータル サーバーにマッピングされるサーバー証明書は、一時点で1 つのみです。証明書をポータル サーバーにマッピングする方法については、 「SSLの設定」(86 ページ)を参照してください。 初期セットアップでクイック セットアップ ウィザードを実行していた場合は、 テスト証明書がインストールされており、Nortel SNAS 4050ポータルにマッ ピングされています。 新しい証明書をインストールしたり、既存の証明書をインポートまたは更新 したりすることができます。 備考: Nortel SNAS 4050は、ApacheSSL、OpenSSL、またはStronghold SSLで作成されたキーと証明書をサポートします。ただし、セキュ リティを強化するために、キーの作成と証明書署名要求の生成 は、Nortel SNAS 4050システム内でCLIまたはSREMを使用して 行うことを推奨します。この方法を使用すると、暗号化された秘 密キーはNortel SNAS 4050から出ることがなく、ユーザーに対し ては表示されません。 キーと証明書の形式 Nortel SNAS 4050は、複数の標準形式の秘密キーと証明書のインポート、保 存、およびエクスポートをサポートします。「表 24 サポートされるキーと証明 書の形式」(242 ページ)に、サポートされる形式を示します。 表 24 サポートされるキーと証明書の形式 形式 インポート/ 追加 エクスポー ト/保存 PEM* ○ ○ 秘密キーは暗号化されます。秘密キーと証明書 は同じファイルに保存されます。 DER ○ ○ 秘密キーは暗号化されません。秘密キーと証明 書は別のファイルに保存することができます。 NET ○ ○ 秘密キーは暗号化されます。秘密キーと証明書 は別のファイルに保存することができます。 PKCS12 (別名 PFX) ○ ○ 秘密キーは暗号化されます。秘密キーと証明書 は同じファイルに保存されます。大部分のブラウ ザでは、キーと証明書が混在したPKCS12形式の ファイルをインポートすることができます。 PKCS7 ○ × 証明書のみです。 PKCS8 ○ × キーのみです(WebLogicで使用されます)。 MS IIS 4 ○ × キーのみです(独自形式)。 コメント *PEM形式を使用する必要があるのは、以下の場合です。 • コピーしたキーと証明書を保存する場合 • キーと証明書を貼り付けして追加する場合 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 243 インポート/ 追加 エクスポー ト/保存 Netscape Enterprise Server ○ × キーのみです(独自形式)。変換が必要です。 変換ツールについては、ノーテル テクニカル サ ポートに問い合わせてください(「技術サポート」 (17 ページ)を参照)。 iPlanet Server ○ × キーのみです(独自形式)。変換が必要です。 変換ツールについては、ノーテル テクニカル サ ポートに問い合わせてください(「技術サポート」 (17 ページ)を参照)。 形式 コメント *PEM形式を使用する必要があるのは、以下の場合です。 • コピーしたキーと証明書を保存する場合 • キーと証明書を貼り付けして追加する場合 証明書の作成 新しい証明書を作成するには、次の操作を行います。 ステップ 操作 1 証明書署名要求(CSR)を生成します(「CSRの生成と提出」(249 ページ)を参照)。 2 認証のために、CSRをEntrustやVeriSignなどの認証局(CA)に送信 します(「CSRの生成と提出」(249 ページ)を参照)。 3 署名済みの証明書をNortel SNAS 4050クラスタにインストールしま す(「証明書とキーのインストール」(243 ページ)を参照)。 4 インストールした証明書を、目的のNortel SNAS 4050ポータル サー バーにマッピングします(「SSLの設定」(86 ページ)を参照)。 ― 終わり ― 証明書とキーのインストール Nortel SNAS 4050クラスタに証明書とキーをインストールするには、以下の2 つの方法があります。 • 貼り付ける(「Nortel SNAS 4050への証明書の追加」(253 ページ)を参照)。 • TFTP/FTP/SCP/SFTPサーバーからインポートする(「Nortel SNAS 4050へ の証明書とキーのインポート」(256 ページ)を参照)。 CSRを生成すると、秘密キーが作成され、指定した証明書番号を使用して Nortel SNAS 4050に暗号化形式で格納されます。対応する公開キーを含ん だ証明書を受信したら、Nortel SNAS 4050に証明書を追加したときの証明 書番号と同じ番号を使用します。同じ番号を使用しないと、証明書の秘密 キーと公開キーはマッチしません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 244 第10章 証明書の管理 CSRを生成しないで他の手段で証明書を取得した場合は、証明書の公開 キーに対応する秘密キーを追加する手順が必要になります(「Nortel SNAS 4050への秘密キーの追加」(255 ページ)を参照)。 新しい証明書を追加するときに、インストール済みの証明書の証明書インデッ クス番号を使用すると、インストール済みの証明書は上書きされます。 証明書をインストールしたら、それをNortel SNAS 4050ポータルにマッピングし ます(「SSLの設定」(86 ページ)を参照)。 証明書とキーの保存またはエクスポート 証明書とキーのコピーを、バックアップとして保存したり、別のデバイスにイン ストールしたりすることができます。 Nortel SNAS 4050クラスタから証明書とキーを取り出すには、以下の2つの 方法があります。 • コピーする(「証明書とキーの表示または保存」(258 ページ)を参照)。 • TFTP/FTP/SCP/SFTPサーバーにエクスポートする(「Nortel SNAS 4050か らの証明書とキーのエクスポート」(260 ページ)を参照)。 コピー アンド ペースト手法を使用すると、証明書とキーはPEM形式で保 存されます。 エクスポート手法では、各種のファイル形式を選択することができます。 PKCS12(別名PFX)を使用することを推奨します。 大部分のWebブラウザで は、PKCS12形式のキーと証明書が混在したファイルをインポートすることがで きます。Nortel SNAS 4050でサポートされるファイル形式の詳細については、 「キーと証明書の形式」(242 ページ)を参照してください。 証明書の更新 既存の証明書を更新する場合は、CSRを生成したとき、または新しい証明 書を追加したときの証明書番号を使用して、既存の証明書を置き換えること は避けてください。新しい証明書が設計どおりに機能することを確認するま では、既存の証明書を保存しておいてください。 既存の証明書を更新するときは、以下の操作を行うことを推奨します。 ステップ 操作 1 未使用の証明書番号を調べるために、現在使用中の証明書の 番号を調べます。 CLIでは、 /cfg/cur cert コマンドを使用します。SREMでは、 [Certificates > Certificates]画面を使用して新しい証明書を追 加します。 2 未使用の証明書番号を使用して、新しい証明書を作成します (「CSRの生成と提出」(249 ページ)を参照)。 a. CSRを生成します。 b. CSRをCAに提出します。 3 新しい署名済みの証明書を受信したら、それをNortel SNAS 4050に 追加します(「証明書とキーのインストール」(243 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 245 4 新しい証明書を、ポータル サーバーにマッピングします(「SSL の設定」(86 ページ)を参照)。 5 新しい証明書が正しく機能することを確認してから、古い証明 書を削除します。 CLIでは、 /cfg/cert <old cert ID> /del コマンドを使用します。 SREMでは、[Certificates > Certificates]画面を使用して古い証 明書を削除します。 ― 終わり ― 秘密キーと証明書の管理 CLIを使用して、以下のような証明書管理を行うことができます。 • 証明書と秘密キーの表示、検証、管理(「証明書とキーの管理と表示」 (246 ページ)を参照) • 署名済み証明書要求の生成(「CSRの生成と提出」(249 ページ)を参照) • コピー アンド ペーストによる証明書の追加(「Nortel SNAS 4050への証明 書の追加」(253 ページ)を参照) • コピー アンド ペーストによる秘密キーの追加(「Nortel SNAS 4050への秘 密キーの追加」(255 ページ)を参照) • 証明書と秘密キーのインポート(「Nortel SNAS 4050への証明書とキーの インポート」(256 ページ)を参照) • 証明書と秘密キーの保存(「証明書とキーの表示または保存」(258 ペー ジ)を参照) • 証明書と秘密キーのエクスポート(「Nortel SNAS 4050からの証明書とキー のエクスポート」(260 ページ)を参照) • 自己署名した証明書のテスト目的での作成(「テスト証明書の生成」(262 ページ)を参照) 証明書の管理コマンドのロードマップ 以下のロードマップには、Nortel SNAS 4050クラスタのサーバー証明書の設 定や管理に使用するCLIコマンドを示してあります。 この一覧表をクイック リ ファレンスとして使用するか、このマニュアルのエントリをクリックして、詳し い説明を参照してください。 コマンド パラメータ /cfg/cert <cert id> name <name> cert key gensigned server | client request sign test Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 246 第10章 証明書の管理 パラメータ コマンド import export display [<pass phrase>] show info subject validate keysize keyinfo del 証明書とキーの管理と表示 Nortel SNAS 4050クラスタに設定されているすべての証明書の基本情報を表 示するには、 /info/certs コマンドを使用します。 秘密キーと証明書を管理するには、次のコマンドを使用してCertificate メニューにアクセスします。 /cfg/cert <cert id> cert id は1~1500の範囲の整数であり、システム内の証明書を一意に識別 するインデックス番号です。 証明書を作成するときは、未使用の証明書番号を使用する必要があります。 Certificateメニューが表示されます。 Certificateメニューには、以下のオプションがあります。 /cfg/cert <cert ID> 後に続くパラメータ name <name> 覚えやすいように、証明書に名前を付ける か、名前を付け直します。 cert 証明書ファイルの内容をテキスト エディタ から貼付けできるようにします。 詳細につ いては、「Nortel SNAS 4050への証明書の 追加」(253 ページ)を参照してください。 key キー ファイルの内容をテキスト エディタから 貼付けできるようにします。 詳細について は、「Nortel SNAS 4050への秘密キーの追 加」(255 ページ)を参照してください。 revoke Revocationメニューにアクセスします。 Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされて いません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 247 /cfg/cert <cert ID> 後に続くパラメータ gensigned server|client 現在選択されている証明書に関連付けら れている秘密キーを使用して署名された証 明書を生成します。 以下の情報の入力が求められます。 <country> <state or province> <locality> <organization> <organizational unit> <common name> <email address> <validity period> <key size> <CA cert true|false> <serial number> <pass phrase> • server:サーバーでの利用に適したキー 使用オプションを備えた署名済みの サーバー証明書を生成します。現在 生成しているサーバー証明書から生 成される、独自のチェーン サーバー 証明書を発行することがある場合は、 CA cert値に true を設定します。証明書 テンプレートの生成時に指定したCA cert値は、生成した証明書のX509v3 Basic Constraintsプロパティに変換され ます。Nortel SNAS 4050で利用できる 証明書のプロパティを表示するには、 /cfg/cert #/show コマンドを使用しま す。 • client:Nortel Secure Network Access Switch Software Release 1.6.1ではサ ポートされていません。 request 証明書署名要求を生成します。 詳細につ いては、「CSRの生成と提出」(249 ページ) を参照してください。 sign 現在選択されている証明書に関連付けら れている秘密キーを使用して、CSRに署 名します。CSRの内容に貼り付けるように 求められます。 クライアント証明書は、Nortel Secure Network Access Switch Software Release 1.6.1ではサポートされていません。 test 自己署名した証明書と秘密キーを、テスト 用に生成します。 詳細は、「テスト証明書 の生成」(262 ページ)を参照してください。 import 秘密キーと証明書をTFTP/FTP/SCP/SFTP サーバーからダウンロードしてインストール します。 詳細は、「Nortel SNAS 4050への 証明書とキーのインポート」(256 ページ)を 参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 248 第10章 証明書の管理 /cfg/cert <cert ID> 後に続くパラメータ export 現在のキーと証明書をTFTP/FTP/SCP/SFTP サーバーに、指定した形式でエクスポート します。 詳細は、「Nortel SNAS 4050からの 証明書とキーのエクスポート」(260 ページ) を参照してください。 display [ <pass phrase> ] 現在の証明書とキーを表示して、コピーを バックアップとして保存したり、別のデバイ スにエクスポートします。 詳細は、「証明書 とキーの表示または保存」(258 ページ)を 参照してください。 display コマンドを使用すると、秘密キーと 証明書をPEM形式で保存することができ ます。証明書とキーを別の形式で保存す るときは、 /cfg/cert #/export コマンドを 使用します。 show 証明書名を除いた、証明書の詳細情報 を表示します。 info 現在の証明書のシリアル番号、有効期限、 サブジェクト欄に指定されている値を表示 します。 subject 現在の証明書のサブジェクト欄についての 詳細情報を表示します。 次に例を示します。 C/countryName (2.5.4.6) = US パラメータの意味は以下のとおりです。 • countryName はニーモニック名 • 2.5.4.6 はオブジェクトID(OID) • US は値 validate 秘密キーが、現在の証明書の公開キーと 一致していることを確認します。 keysize 現在の証明書の秘密キーのサイズを表示 します。 keyinfo 現在選択している証明書に関連付けられ ている秘密キーの保護方法についての情 報を表示します。Nortel SNAS 4050の場 合は、秘密キーはクラスタによって保護さ れます。 del 現在の証明書と秘密キーを削除します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 249 CSRの生成と提出 CAに提出するCSRを準備するには、次の操作を行います。 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニュー にアクセスします。 • 新しい証明書のCSRを生成するときには、 <cert id> には未使 用の証明書番号を指定します。 • 既存の証明書を更新するためのCSRを生成するときには、 <cert id> には既存の証明書番号を指定します。 2 CSRを準備します。次のコマンドを入力します。 /cfg/cert #/request 証明書要求の情報の入力を求められます。「CSRについての情 報」(249 ページ)で、必要なパラメータについて説明します。パラ メータの合計の長さは、225バイト以下にする必要があります。 CSRについての情報 プロンプト 説明 Country Name (2 letter code): Webサーバーが設置されている 国を示す2文字のISOコード。 ISO 国コードの最新情報については、 http://www.iana.org を参照してくだ さい。 State or Province Name (full name): 組織の本社がある州または地方の 名前です。州または地方のフルネー ムを入力します。 Locality Name (e.g., city): 組織の本社がある市の名前です。 Organization Name (e.g., company): 組織の登録名です。この組織はドメ イン名を所有している必要がありま す。この名前は、Webサーバーの一 般名として表示されます。組織名の 省略形は使わないでください。また、 以下の文字は使わないでください。 <>~! @#$%^*/\()? Organizational Unit Name (e.g., section): セキュアなWebサーバーを使用する 部署またはグループの名前です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 250 第10章 証明書の管理 プロンプト 説明 Common Name (e.g., your name or your server’s hostname): URLに表示されるWebサーバーの名 前です。この名前は、証明書を要求 しているWebサーバーのドメイン名と 同じである必要があります。Webサー バー名が証明書の一般名とマッチし ない場合、ブラウザによってはユー ザーのサイトとのセキュア接続を拒 否することがあります。一般名には、 プロトコル指定子(http://)、ポート番 号、パス名を入力しないでください。 ワイルドカード(*や?など)やIPアドレ スは使用できません。 Email Address: ユーザーのeメール アドレスです。 Subject alternative name (blank or comma separated list of URI:<uri>, DNS:<fqdn>, IP:<ipaddress>, email:<emailaddress>): 一般名またはeメール アドレスを用意 しない場合の、サブジェクトについて の代替情報を指定します。必要な情 報は、カンマで区切って指定します。 • URI:<uri> :URI(Uniform Resource Identifier) • DNS:<fqdn> :完全修飾ドメイン名 • IP:<ipaddress> • email:<emailaddress> Generate new key pair (y/n) [y]: 秘密キーと公開キーの新しいペアを 生成するかどうかを指定します。デ フォルトは、y(はい)です。 新しい証明書のCSRを作成するとき にはyと答え、新しいキーのペアを 生成します。 ただし、設定済みの証明書の有効 期間切れが近づいている場合に、 既存のキーを置き換えずに更新す るには、n(いいえ)を入力します。こ れにより、CSRは指定した証明書番 号の既存のキーに基づいて生成さ れるようになります。 Key size [1024]: 生成するキーのビット単位の長さで す。 デフォルト値は、1024です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 3 251 プロンプト 説明 Request a CA certificate (y/n) [n]: クライアント認証で使用されるCA証 明書を要求するかどうかを指定しま す。独自のサーバー証明書または クライアント証明書を、要求したCA 証明書から生成して発行することを 計画している場合には、CA証明書 を要求します。デフォルトは、 n (いい え)です。 Specify challenge password (y/n) [n]: 証明書を手動で無効にするときに使 用されるパスワードを指定します。 CSRを生成します。 必要な情報を入力したら、[Enter]を押します。CSRが生成され、 画面に表示されます。 4 変更を適用します。 秘密キーが作成され、指定した証明書番号を使用してNortel SNAS 4050に暗号化形式で格納されます。 「図15 CSRの生成」(252 ページ)に、 /cfg/cert #/request コマ ンドの出力例を示します。Certificateメニューのコマンドの詳細 については、「証明書とキーの管理と表示」(246 ページ)を参照 してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 252 第10章 証明書の管理 図15 CSRの生成 5 CSRをファイルに保存します。 a. BEGIN CERTIFICATE REQUEST の行から、 END CERTIFICATE REQUEST の行までの、CSR全体をコピーし て、テキスト エディタに貼り付けます。 b. .csr 拡張子を付けてこのファイルを保存します。証明書を使用 するサーバーに関連したファイル名を使うことを推奨します。 6 秘密キーをファイルに保存します。 返送された証明書をNortel SNAS 4050に追加するときに、同じ証 明書番号を使用することがある場合には、秘密キーのバックアップ コピーを作成する場合にのみ、以下の手順を実行してください。 返送された証明書をNortel SNAS 4050に追加するときに、同じ証 明書番号を使用することがなければ、以下の手順を実行してキー ファイルを作成する必要があります。返送された証明書を異なる証 明書番号を使用してNortel SNAS 4050に追加したときには、キー ファイルの内容を貼り付けるか、インポートすることによって、新しい 証明書に秘密キーを関連付ける必要があります(「証明書とキーの インストール」(243 ページ)を参照)。 a. 証明書とキーを表示します(「証明書とキーの表示または保 存」(258 ページ)を参照)。 b. BEGIN RSA PRIVATE KEY の行から、 END RSA PRIVATE KEY までの、秘密キー全体をコピーして、テキス ト エディタに貼り付けます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 253 c. .pem 拡張子を付けてテキスト エディタ ファイルを保存します。 2つのファイルの関係を明確にするために、 .csr ファイル(ス テップ5を参照)に付けたファイル名と同じファイル名を使用 することを推奨します。 CSRを、EntrustまたはVeriSignなどのCAに提出します。 7 a. テキスト エディタで、ステップ5で作成した .csr ファイルを開き ます。 b. BEGIN CERTIFICATE REQUEST の行から、 END CERTIFICATE REQUEST の行までの、CSR全体をコピーし ます。 c. Webブラウザを使用してCAのWebサイトにアクセスし、オンライ ンの指示に従います。CSRを提出する手続きは、CAごとに異 なります。入力を求められたら、CAのオンライン要求手続きの 指示に従って、CSRを貼り付けます。CAからCSRの生成に使 用したソフトウェアのサーバー ソフトウェアのベンダを入力する ように求められたときには、Apacheを指定します。 CAはCSRを処理し、署名済みの証明書を返送します。証明書の バックアップ コピーを作成します(「証明書とキーの表示または 保存」(258 ページ)を参照)。 これで、証明書をNortel SNAS 4050クラスタに追加する準備が完 了しました(「Nortel SNAS 4050への証明書の追加」(253 ペー ジ)を参照)。 8 ― 終わり ― Nortel SNAS 4050への証明書の追加 以下の手順では、コピー アンド ペーストを使用して証明書(および、場合に よってはキー)をインストールする方法を示します。 証明書(および、場合によってはキー)は、PEM形式である必要があります。 備考: MIPへの接続にはTelnetクライアントまたはSSHクライアントを使用 して、コピー アンド ペースト操作を行うことを推奨します。コンソー ル接続を使用してクラスタ内のいずれかのNortel SNAS 4050デバ イスに接続した場合、Microsoft WindowsのHyperTerminalではコ ピー アンド ペースト操作に時間がかかることがあります。 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニューにア クセスします。 <cert id> には、証明書番号を指定します。 /cfg/cert #/request コマンドで証明書を取得してCSRを生成し ていた場合は、CSRの生成時に使用した証明書番号と同じ番号 を指定します。このようにすれば、秘密キーと証明書番号の関連 付けが維持され、秘密キーを追加するための追加手順を行う必 要がなくなります。 /cfg/cert #/request コマンド以外の手段で証明書を取得して CSRを生成していた場合は、設定済みの証明書で使用されてい Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 254 第10章 証明書の管理 ない証明書番号を指定します。秘密キーと証明書が同じファイル 内に含まれていない場合は、秘密キーを追加するための追加手 順の実行が必要になります(「Nortel SNAS 4050への秘密キーの 追加」(255 ページ)を参照)。 設定済みの証明書についての基本情報を表示するには、 /info/certs コマンドを使用します。 現在の証明書番号がインストール済みの証明書で使用されていな いことを確認するには、 /cfg/cert #/show コマンドを使用します。 2 証明書をコピーします。 a. テキスト エディタで、CAから受信した証明書ファイルを開き ます。 b. BEGIN CERTIFICATE の行から、 END CERTIFICATE の行までの、内容全体をコピーします。 証明書ファイルに秘密キーが含まれている場合は、BEGIN RSA PRIVATE KEY の行から、 END RSA PRIVATE KEY の行までの、キーの内容全体もコピーします。 3 証明書を追加します。 a. 次のコマンドを入力します。 /cfg/cert #/cert b. コマンド プロンプトが表示されたら、証明書を貼り付けます。 c. [Enter]キーを押して改行し、省略記号(...)を入力して終了し ます。 d. 同時に秘密キーも入力する場合、キーがパスワードで保護さ れていると、パスワード フレーズの入力を求められます。必要 なパスワード フレーズは、秘密キーを作成したときか、エクス ポートしたときに指定したフレーズです。 4 変更を適用します。 /cfg/cert #/request コマンドで証明書を取得してCSRを生成して いて、同じ証明書番号を使用している場合は、この段階で証明書 は完全にインストールされたことになります。 /cfg/cert #/request コマンド以外の方法で証明書を取得して CSRを生成していて、新しい証明書番号を使用する場合は、この段 階で対応する秘密キーを追加する必要があります(「Nortel SNAS 4050への秘密キーの追加」(255 ページ)を参照)。 「図16 貼り付けによる証明書の追加」(255 ページ)に、 /cfg/cert #/cert コマンドの出力例を示します。Certificateメニューのコマ ンドの詳細については、「証明書とキーの管理と表示」(246 ペー ジ)を参照してください。 備考: CAが生成した証明書のタイプ(登録済みまたはチェー ン)によって、証明書の内容が出力例とは大きく異なり ます。必ず証明書ファイルの内容の全体をコピー アン ド ペーストしてください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 255 図16 貼り付けによる証明書の追加 ― 終わり ― Nortel SNAS 4050への秘密キーの追加 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニューにア クセスします。 <cert id> には、証明書番号を指定します。 証明書を貼り付けたときと同じ証明書番号を指定します。 2 秘密キーファイルの内容をコピーします。 a. 秘密キーが含まれているファイルを検索します。キー ファイル が、CAから受信した証明書ファイルに対応していることを確認 します。SSLトランザクションの処理では、証明書に含まれる公 開キーは、関連する秘密キーがあってはじめて機能します。 b. テキスト エディタで、キー ファイルを開きます。 c. BEGIN RSA PRIVATE KEY の行から、 END RSA PRIVATE KEY の行までの、内容全体をコピーします。 3 秘密キーを追加します。 a. 次のコマンドを入力します。 /cfg/cert #/key Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 256 第10章 証明書の管理 b. キー ファイルの内容を、コマンド プロンプトが表示されたら貼 り付けます。 c. [Enter]キーを押して改行し、省略記号(...)を入力して終了し ます。 d. キーがパスワードで保護されている場合は、パスワード フレー ズの入力を求められます。必要なパスワード フレーズは、秘 密キーを保存したときか、エクスポートしたときに指定したフ レーズです。 4 変更を適用します。 これで証明書と秘密キーが完全にインストールされました。 「図17 貼り付けによる秘密キーの追加」(256 ページ)に、 /cfg/cert #/key コマンドの出力例を示します。Certificateメ ニューのコマンドの詳細については、「証明書とキーの管理と表 示」(246 ページ)を参照してください。 図17 貼り付けによる秘密キーの追加 ― 終わり ― Nortel SNAS 4050への証明書とキーのインポート 証明書と秘密キーは、TFTP、FTP、SCP、またはSFTPを使用してNortel SNAS 4050にインポートすることができます。インポートでサポートされている形式に ついては、「キーと証明書の形式」(242 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 257 証明書と秘密キーをNortel SNAS 4050にインポートするには、以下の手順を 実行します。 ステップ 操作 1 証明書ファイルとキー ファイルをファイル 交換サーバーにアップロードします。 備考: 秘密キーを証明書ファイルに含めることができます。 Nortel SNAS 4050が、指定された証明書ファイルをファ イル交換サーバーから取り出すと、Nortel SNAS 4050 ソフトウェアが内容を解析し、秘密キーがあった場合に は、それを自動的に追加します。 2 /cfg/cert <cert id> コマンドを使用して、Certificateメニューにア クセスします。 <cert id> には、証明書番号を指定します。 新しい証明書をインストールする場合は、未使用の証明書番号を 使用します。インストール済みの証明書を置き換える場合は、イン ストール済みの証明書のインデックス番号を指定します。 設定済みのすべての証明書についての基本情報を表示するに は、 /info/certs コマンドを使用します。現在の証明書番号がイン ストール済みの証明書で使用されていないことを確認するには、 /cfg/cert #/show コマンドを使用します。 3 証明書をインポートします。次のコマンドを入力します。 /cfg/cert #/import 証明書と秘密キーのインポート情報の入力を求められます。 秘密 キーがパスワードで保護されている場合は、パスワード フレーズ の入力も求められます。「表 25 証明書とキーのインポート情報」 (257 ページ)で、必要なパラメータについて説明します。 表 25 証明書とキーのインポート情報 パラメータ 説明 Protocol ファイル インポート プロトコルです。オプ ションは、TFTP、FTP、SCP、SFTPです。デ フォルトは、TFTPです。 Server host name or IP address ファイル交換サーバーのホスト名またはIP アドレスです。 File name ファイル交換サーバーにあるファイルの名 前です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 258 第10章 証明書の管理 パラメータ 説明 [FTP user name and password] FTP、SCP、SFTPの場合は、ファイル交換 サーバーにアクセスするためのユーザー名 とパスワードです。デフォルトは、anonymous です。 匿名モードの場合は、Nortel SNAS 4050 は、パスワード(ログイン用)として文字列 admin@<hostname>.isd を使用します。 [Pass phrase] キーがパスワードで保護されている場合 は、キーを作成したときかエクスポートした ときに指定したパスワード フレーズです。パ スワード フレーズは、4文字以上にする必 要があります。 4 秘密キーが証明書に含まれていない場合は、ステップ3を繰り返し てキー ファイルをインポートし、その後でステップ5に進みます。 5 変更を適用します。 これで証明書と秘密キーが完全にインストールされました。 「図18 インポートによる証明書と秘密キーの追加」(258 ページ) に、/cfg/cert #/importコマンドの出力例を示します。Certificate メニューのコマンドの詳細については、「証明書とキーの管理と 表示」(246 ページ)を参照してください。 図18 インポートによる証明書と秘密キーの追加 ― 終わり ― 証明書とキーの表示または保存 現在の証明書とキーを表示して、コピーをバックアップとして保存したり、別の デバイスにエクスポートしたりすることができます。 証明書と秘密キーを表示すると、それらをパスワード フレーズで保護する かどうかを尋ねられます。パスワード フレーズを追加することを推奨します。 セキュリティが強化されるからです。 証明書セクションをコピーしてテキスト エディタに貼り付け、そのテキスト ファイ ルに.PEM拡張子を付けて保存することによって、証明書を保存します。また、 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 259 キー セクションをコピーしてテキスト エディタに貼り付け、そのテキスト ファイル に.PEM拡張子を付けて保存することによって、秘密キーも保存します。証明書 と秘密キーを、.PEM拡張子を付けた1つのファイルに保存することもできます。 証明書とキーを別の形式で保存するには、 /cfg/cert #/export コマンドを 使用します(「Nortel SNAS 4050からの証明書とキーのエクスポート」(260 ページ)を参照)。 現在の証明書とキーの表示またはコピーの保存を行うには、以下の操作を 実行します。 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニューに アクセスします。 <cert id> には、コピーする証明書の証明書番 号を指定します。 設定済みのすべての証明書についての基本情報を表示するに は、 /info/certs コマンドを使用します。 2 秘密キーと証明書を表示します。次のコマンドを入力します。 /cfg/cert #/display 3 プロンプトが表示されたら、キーを暗号化するかどうかを指定し ます。デフォルトは、 yes です。 4 プロンプトが表示されたら、秘密キーをパスワードで保護する場合 はパスワード フレーズを入力します。パスワード フレーズは、4文 字以上にする必要があります。 パスワード フレーズを指定すると、秘密キーにアクセスする(たとえ ば、秘密キーと証明書の追加、インポート、エクスポートを行う)た びにパスワード フレーズの入力を求められるようになります。 5 必要に応じて、秘密キー、証明書、またはその両方をコピーします。 秘密キーの場合は、 BEGIN RSA PRIVATE KEY の行か ら、 END RSA PRIVATE KEY の行までを必ず含めます。 証明書の場合は、 BEGIN CERTIFICATE の行から、 END CERTIFICATE の行までを必ず含めます。 6 秘密キー、証明書、またはその両方をテキスト エディタに貼り 付けます。 7 このファイルに.PEM拡張子を付けて保存します。 「図19 秘密キーと証明書の表示」(260 ページ)に、 /cfg/cert #/display コマンドの出力例を示します。Certificateメニューのコ マンドの詳細については、「証明書とキーの管理と表示」(246 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 260 第10章 証明書の管理 図19 秘密キーと証明書の表示 ― 終わり ― Nortel SNAS 4050からの証明書とキーのエクスポート 証明書ファイルとキー ファイルは、TFTP、FTP、SCP、またはSFTPを使用し て、Nortel SNAS 4050からエクスポートすることができます。エクスポートで サポートされている形式については、「キーと証明書の形式」(242 ページ) を参照してください。 証明書とキーをNortel SNAS 4050からエクスポートするには、次の手順を 実行します。 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニューに アクセスします。 <cert id> には、エクスポートする証明書の証 明書番号を指定します。 設定済みのすべての証明書についての基本情報を表示するに は、 /info/certs コマンドを使用します。 2 証明書をエクスポートします。次のコマンドを入力します。 /cfg/cert #/export Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 261 証明書とキーのエクスポート情報の入力を求められます。 ファイル は、必要な情報を入力すると、ただちにエクスポートされます。「表 26 証明書とキーのエクスポート情報」(261 ページ)で、必要なパ ラメータについて説明します。 表 26 証明書とキーのエクスポート情報 パラメータ 説明 Protocol ファイル エクスポート プロトコルです。オプ ションは、TFTP、FTP、SCP、SFTPです。デ フォルトは、TFTPです。 Server host name or IP address ファイル交換サーバーのホスト名またはIP アドレスです。 Export format キーと証明書をエクスポートする場合の キーと証明書の形式です。 有効なオプショ ンは、以下のとおりです。 • PEM • DER • NET • PKCS12(別名PFX) PEM形式とPKCS12形式の場合は、秘密 キーと証明書は必ず同一ファイルに格納さ れます。 PKCS12を使用することを推奨します。 大 部分のWebブラウザでは、PKCS12形式の キーと証明書が混在したファイルのイン ポートが可能です。 各形式は、秘密キーの暗号化と、キーと証 明書を同一ファイルに保存するかどうかの2 点で、機能が異なります。形式の詳細につ いては、「キーと証明書の形式」(242 ペー ジ)を参照してください。 Export pass phrase 秘密キーを暗号化するためのパスワード フ レーズです。パスワード フレーズは、4文字 以上にする必要があります。 Reconfirm export pass phrase 確認のために、もう一度パスワード フレー ズを入力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 262 第10章 証明書の管理 パラメータ 説明 Key and certificate file name ファイル交換サーバーにあるファイルの名 前です。秘密キーと証明書を同一ファイル に格納する形式を使用している場合は、そ の混合ファイルの名前の入力を求められ ます。秘密キーと証明書を独立したファイ ルに格納する形式を使用している場合は、 キー ファイル名と証明書ファイル名の入力 を、別々に求められます。 [FTP user name and password] FTP、SCP、SFTPの場合は、ファイル交換 サーバーにアクセスするためのユーザー名 とパスワードです。デフォルトは、anonymous です。 「図20 証明書と秘密キーのエクスポート」(262 ページ)に、 /cfg/cert #/export コマンドの出力例を示します。Certificateメ ニューのコマンドの詳細については、「証明書とキーの管理と表 示」(246 ページ)を参照してください。 図20 証明書と秘密キーのエクスポート ― 終わり ― テスト証明書の生成 自己署名した証明書と秘密キーを、テスト用に生成することができます。 証明書は、必要な情報を入力すると、ただちに生成されます。ただし、テスト 証明書とキーは、変更を適用するまではアクティブになりません。 テスト証明書を生成するには、以下の操作を行います。 ステップ 操作 1 /cfg/cert <cert id> コマンドを使用して、Certificateメニューにア クセスします。<cert id>には、未使用の証明書番号を指定します。 2 テスト証明書を生成します。次のコマンドを入力します。 /cfg/cert #/test Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第10章 証明書の管理 263 以下のパラメータの入力を求めるプロンプトが表示されます。パラ メータの合計の長さを、225バイト以下にする必要があります。 • country name(国名、2文字のコード) • state or province name(州または省の名前) • locality name(地域名) • organization name(組織名) • organizational unit name(組織の部門名) • common name(一般名) • email address(eメール アドレス) • subject alternative name(サブジェクト代替名) • validity period(有効期限):デフォルトは365日 • key size(キー サイズ):デフォルトは1024ビット パラメータの詳細については、「CSRについての情報」(249 ペー ジ)を参照してください。 3 変更を適用します。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 264 第10章 証明書の管理 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 265 第 11 章 SNMPの設定 この章では、以下のトピックについて説明します。 トピック 「SNMPの設定」(266 ページ) 「SNMPコマンドのロードマップ」(266 ページ) 「SNMP管理の設定」(267 ページ) 「SNMP v2 MIBの設定」(268 ページ) 「SNMPコミュニティの設定」(268 ページ) 「SNMPv3ユーザーの設定」(269 ページ) 「SNMPの通知対象の設定」(272 ページ) 「SNMPイベントの設定」(273 ページ) 簡易ネットワーク管理プロトコル(SNMP)は、複雑なネットワークを管理するため のプロトコルのセットです。SNMPは、PDU(Protocol Data Units:プロトコル デー タ ユニット)と呼ばれるメッセージをネットワークの各所に送信することによって 機能します。Nortel SNAS 4050デバイス上のSNMP対応エージェントは、その エージェント自体についてのデータをMIB(Management Information Bases:管 理情報ベース)に格納し、それをSNMPリクエストに応じて返送します。 各Nortel SNAS 4050には1つのSNMPエージェントがあり、このエージェント はそのデバイスのReal IPアドレスをリッスンします。クラスタの管理IPアドレ ス(MIP)を現在持っているNortel SNAS 4050では、SNMPエージェントは MIPもリッスンします。 SNMPエージェントは、SNMPバージョン1、バージョン2c、バージョン3をサ ポートします。通知対象(エージェントが送信するトラップ メッセージを受信す るSNMPマネージャ)では、SNMP v1、v2c、v3のいずれかを使用するように設 定することができます。デフォルトは、SNMP v2cです。Nortel SNAS 4050で は、任意の個数の通知対象を指定することができます。 Nortel SNAS 4050でサポートされるMIBの詳細については、「付録 C サポー ト対象のMIB」(409 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 266 第11章 SNMPの設定 SNMPの設定 Nortel SNASネットワークにSNMPを設定するには、次のコマンドを使用して SNMPメニューにアクセスします。 /cfg/sys/adm/snmp SNMPメニューを使用すると、以下の設定と管理を行うことができます。 • クラスタのSNMP管理の一般的な設定(「SNMP管理の設定」(267 ペー ジ)を参照) • 標準SNMPv2 MIBのパラメータ(「SNMP v2 MIBの設定」(268 ページ) を参照) • コミュニティ名の監視、制御、およびトラップ(「SNMPコミュニティの設 定」(268 ページ)を参照) • SNMPv3ユーザー(「SNMPv3ユーザーの設定」(269 ページ)を参照) • SNMPマネージャ(「SNMPの通知対象の設定」(272 ページ)を参照) • SNMPの監視プログラムとイベント(「SNMPイベントの設定」(273 ペー ジ)を参照) SNMPコマンドのロードマップ 以下のロードマップには、SNMPの設定に使用するCLIコマンドを示してありま す。 この一覧表をクイック リファレンスとして使用するか、また、このマニュアル のエントリをクリックして、詳しい説明を参照してください。 コマンド パラメータ /cfg/sys/adm/snmp ena dis versions <v1 | v2c | v3> /cfg/sys/adm/snmp/snmpv2mib sysContact <contact> snmpEnable disabled | enabled /cfg/sys/adm/snmp/community/cfg/ sys/adm/snmp/community read <name> write <name> trap <name> /cfg/sys/adm/snmp/users <user ID> name <name> seclevel none | auth | priv permission get | set | trap authproto md5 | sha authpasswd <password> privproto des | aes privpasswd <password> del /cfg/sys/adm/snmp/target <target ID> ip <IPaddr> port <port> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 267 パラメータ コマンド version v1 | v2c | v3 del /cfg/sys/adm/snmp/event addmonitor [<options>] b <name> <OID> <op> <value> addmonitor [<options>] t <name> <OID> <value and event> addmonitor [<options>] x <name> <OID> [present|absent|changed] delmonitor <name> addevent [c <comment>] <name> <notification> [<OID...>] delevent <name> list SNMP管理の設定 Nortel SNAS 4050クラスタのSNMP管理の設定を行うには、次のコマンドを 使用します。 /cfg/sys/adm/snmp SNMPメニューが表示されます。 SNMPメニューには、以下のオプションがあります。 /cfg/sys/adm/snmp 後に続くパラメータ ena SNMPを使用したネットワーク管理を 有効にします。デフォルトでは有効に なっています。 dis SNMPを使用したネットワーク管理を 無効にします。 versions <v1|v2c|v3> 使用するSNMPバージョンを指定しま す。以下のオプションを1つまたは複 数指定します。 • v1 :SNMPバージョン1 • v2c :SNMPバージョン2c • v3 :SNMPバージョン3 複数のバージョンのサポートを設定する 場合は、エントリをカンマで区切ります。 デフォルトは、すべてのバージョン(v1, v2c, v3)です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 268 第11章 SNMPの設定 /cfg/sys/adm/snmp 後に続くパラメータ snmpv2mib SNMPv2MIBメニューにアクセスして、 システムで標準のSNMP v2 MIBで使用 されるパラメータを設定します(「SNMP v2 MIBの設定」(268 ページ)を参照)。 community SNMP Communityメニューにアクセ スして、SNMP監視のコミュニティ属性 を設定します(「SNMPコミュニティの設 定」(268 ページ)を参照)。 users SNMP Userメニューにアクセスし て、SNMPv3ユーザーを管理します (「SNMPv3ユーザーの設定」(269 ペー ジ)を参照)。 target Notification Targetメニューにアクセ スして、SNMP監視の通知対象属性を 設定します(「SNMPの通知対象の設 定」(272 ページ)を参照)。 event Eventメニューにアクセスして、 DISMANEVENTMIBのオブジェク トのカスタム監視定義を作成します (「SNMPの通知対象の設定」(272 ペー ジ)を参照)。 SNMP v2 MIBの設定 標準SNMPv2 MIBのパラメータを設定するには、次のコマンドを使用します。 /cfg/sys/adm/snmp/snmpv2mib SNMPv2MIBメニューが表示されます。 SNMPv2MIBメニューには、以下のオプションがあります。 /cfg/sys/adm/snmp/snmpv2mib 後に続くパラメータ sysContact <contact> 管理対象のNortel SNAS 4050クラスタ の連絡窓口を割り当てます。 • contact には、窓口担当者の氏名 を示す文字列を、連絡方法とともに 指定します。 snmpEnable disabled|enabled 認証失敗トラップの生成を有効または 無効にします。 デフォルトでは無効に なっています。 SNMPコミュニティの設定 SNMP監視のコミュニティ属性の設定を行うには、次のコマンドを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 269 /cfg/sys/adm/snmp/community SNMP Communityメニューが表示されます。 SNMP Communityメニューには、以下のオプションがあります。 /cfg/sys/adm/snmp/community 後に続くパラメータ read <name> MIBへの読取りアクセスを許可する監 視コミュニティ名を指定します。監視コ ミュニティ名を指定しなかった場合は、 読取りアクセスは許可されません。 デフォルトの監視コミュニティ名は、 public です。 write <name> MIBへの読取り書込みアクセスを許可 する監視コミュニティ名を指定します。 監視コミュニティ名を指定しなかった場 合は、読取りアクセスも書込みアクセス も許可されません。 trap <name> SNMPマネージャに送信されるトラップ メッセージに付加するトラップ コミュニ ティ名を指定します。トラップ コミュニ ティ名を指定しなかった場合は、トラッ プ メッセージの送信は無効になります。 デフォルトのトラップ コミュニティ名は、 trap です。 SNMPv3ユーザーの設定 Nortel SNAS 4050は、SNMPv3ユーザーをSNMPバージョン3のUSM (Userbased Security Model)に基づいて管理します。USMの詳細について は、RFC2274を参照してください。 Nortel SNAS 4050設定でSNMPv3ユーザーを管理するには、次のコマン ドを使用します。 /cfg/sys/adm/snmp/users <user ID> user ID は1~1023の範囲の整数であり、Nortel SNAS 4050クラスタ内の SNMPv3ユーザーを一意に識別するIDです。 はじめてユーザーを作成するときには、ユーザーIDを入力する必要がありま す。ユーザーを作成したら、IDか名前を使用してユーザーにアクセスし、設 定を行います。 ユーザーをはじめて作成する場合には、以下のパラメータの入力を求めら れます。 • user name:Nortel SNAS 4050クラスタのUSMユーザーを一意に識別す る文字列です。 この文字列の最大長は、255文字です。 ユーザー名を 定義したら、ユーザー名かユーザーIDを使用してSNMP Userメニュー にアクセスします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 270 第11章 SNMPの設定 • security level:SNMP USMセキュリティの程度です。 有効なオプションは、 以下のとおりです。 — none :SNMPアクセスは認証なしで許可されます。 — auth :SNMPユーザーは、SNMPアクセスの許可を得るために、検証 済みのパスワードを提示する必要があります。後で必要なパスワー ド(authパスワード)の入力を求められます。SNMP情報は、プレイン テキストで送信されます。 — priv :SNMPユーザーは、SNMPアクセスの許可を得るために、検証 済みのパスワードを提示する必要があります。また、すべてのSNMP 情報は、個々のユーザーのパスワードで暗号化されます。後で必要 なパスワード(authパスワード)と暗号化キー(privパスワード)の入 力を求められます。 デフォルトは、 priv です。 • permission:USMユーザーの権限です。 有効なオプションは、以下の とおりです。 — get :USMユーザーにはSNMP getリクエスト(MIBへの読取りアクセ ス)が許可されます。 — set :USMユーザーにはSNMP setリクエスト(MIBへの書込みアクセ ス)が許可されます。書込みアクセスは自動的に読取りアクセスも意 味します。 — trap :USMユーザーには、トラップ イベント メッセージとアラーム メッ セージの受信が許可されます。 • authentication protocol:USMユーザーを認証するのに使用するプロトコル です。 有効なオプションは、以下のとおりです。 — md5 — sha デフォルトは、 md5 です。 • auth password:8文字以上の文字列であり、USMユーザー認証のパスワー ドを表しています。セキュリティ レベルに auth または priv を設定した場合 に、このパスワードが必要になります。 • privacy protocol:暗号化に使用されるプロトコルです。 有効なオプショ ンは、以下のとおりです。 — des — aes デフォルトは、 des です。 • priv password:8文字以上の文字列であり、USMユーザーの個々の暗 号化キーを表します。セキュリティ レベルに priv を設定した場合に、こ のパスワードが必要になります。 SNMP Userメニューが表示されます。 SNMP Userメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 271 /cfg/sys/adm/snmp/users <user ID> 後に続くパラメータ name <name> USMユーザーに名前を付けるか、USM ユーザーの名前を変更します。 ユー ザー名を定義したら、ユーザー名か ユーザーIDを使用して、SNMP Userメ ニューにアクセスします。 • nameは、クラスタ内で一意の文字列 にする必要があります。 この文字列 の最大長は、255文字です。 seclevel none|auth|priv SNMP USMセキュリティの程度を指定 します。 有効なオプションは、以下のと おりです。 • none :SNMPアクセスは認証なしで 許可されます。 • auth :SNMPユーザーは、SNMPア クセスの許可を得るために、検証 済みのパスワードを提示する必要 があります。後で必要なパスワード (authパスワード)の入力を求められ ます。SNMP情報は、プレイン テキ ストで送信されます。 • priv :SNMPユーザーは、SNMPア クセスの許可を得るために、検証済 みのパスワードを提示する必要が あります。また、すべてのSNMP情 報は、個々のユーザーのパスワー ドで暗号化されます。後で必要な パスワード(authパスワード)と暗号 化キー(privパスワード)の入力を求 められます。 デフォルトは、 priv です。 permission get|set|trap USMユーザーの権限を指定します。 有 効なオプションは、以下のとおりです。 • get :USMユーザーにはSNMP get リクエスト(MIBへの読取りアクセス) が許可されます。 • set :USMユーザーにはSNMP set リクエスト(MIBへの書込みアクセ ス)が許可されます。書込みアクセ スは自動的に読取りアクセスも意 味します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 272 第11章 SNMPの設定 /cfg/sys/adm/snmp/users <user ID> 後に続くパラメータ • trap :USMユーザーには、トラップ イベント メッセージとアラーム メッ セージの受信が許可されます。 必要な権限を、カンマ(,)で区切って指 定します。 authproto md5|sha USMユーザーの認証に使用するプロト コルを指定します。 有効なオプション は、以下のとおりです。 • md5 • sha デフォルトは、 md5 です。 authpasswd <password> USMユーザー認証のためのパスワー ドを指定します。セキュリティ レベルに auth または priv を設定した場合に、こ のパスワードが必要になります。 • password は、8文字以上の文字列 である必要があります。 privproto des|aes 暗号化に使用するプロトコルを指定し ます。 有効なオプションは、以下のと おりです。 • des • aes デフォルトは、 des です。 privpasswd <password> USMユーザーの個々の暗号化キーを 指定します。セキュリティ レベルに priv を設定した場合に、このパスワードが 必要になります。 • password は、8文字以上の文字列 である必要があります。 del 指定したUSMユーザーを設定から削 除します。 SNMPの通知対象の設定 SNMPマネージャは、SNMP監視の通知対象として機能します。 通知対象を設定するには、次のコマンドを使用します。 /cfg/sys/adm/snmp/target <target ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 273 target ID は正の整数であり、クラスタ内の通知対象を一意に識別します。 Notification Targetメニューが表示されます。 Notification Targetメニューには、以下のオプションがあります。 /cfg/sys/adm/snmp/target <target ID> 後に続くパラメータ ip <IPaddr> トラップ メッセージの送信先のIPアド レスを指定します。 • IPaddr は、SNMPマネージャのIPア ドレスです。 port <port> SNMPマネージャで使用されるTCP ポートを指定します。 デフォルトは、 ポート162です。 version v1|v2c|v3 SNMPマネージャで使用するSNMP バージョンを指定します。 有効なオプ ションは、以下のとおりです。 • v1 :SNMPバージョン1 • v2c :SNMPバージョン2c • v3 :SNMPバージョン3 デフォルトは、 v2c です。 del 現在のSNMPマネージャをNortel SNAS 4050の設定から削除します。 SNMPイベントの設定 Nortel SNAS 4050は、DISMANEVENTMIBで定義される3種類のSNMP監 視をサポートします。 • boolean:監視対象オブジェクトのID(OID)の値を特定の値と比較して、結 果が指定した演算とマッチした場合にはイベントを起動します。 • threshold:監視対象のOIDを値の範囲と比較します。比較によって、OID 値が急激に増加している、急激に減少している、あるいは特定の境界値 の範囲を逸脱していると判断した場合にイベントを起動します。 • existence:監視対象のOIDの状態をチェックして、その状態が存在する か、存在しないか、あるいは変更されたかを調べ、結果が指定した条件 とマッチした場合にはイベントを起動します。 DISMANEVENTMIBの、モニタとイベントの定義を設定するには、次のコ マンドを使用します。 /cfg/sys/adm/snmp/event eventメニューが表示されます。 eventメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 274 第11章 SNMPの設定 /cfg/sys/adm/snmp/event 後に続くパラメータ addmonitor [ <options> ] b <name> <OID> <op> <value> ブール値モニタを追加して、 DISMANEVENTMIBの定義に基づ いて起動します。 有効な <options> は、以下のとおりで す。 • c <comment> :コメントの追加 • f <frequency> :サンプリング間隔 (秒単位)。デフォルトは、600(10 分)です。 • o <OID> :イベントで送信する追加 オブジェクト • e <EventName> :通知イベントの名 前 • d <OID> :差分非連続OID • D timeTicks|timeStamp|date AndTime :差分非連続タイプ その他のパラメータは以下のとおりで す。 • name :モニタを識別するために付 ける一意の名前 • OID :モニタのオブジェクトID(また は、シンボリック名) • op :演算子。 有効なオプションは、 以下のとおりです。 !=(等しくない)、==(等しい)、<= (以下)、>=(以上)、<(より小さ い)、>(より大きい) • value :演算の対象となる値を示す 整数 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 275 /cfg/sys/adm/snmp/event 後に続くパラメータ addmonitor [ <options> ] t <name> <OID> <value and event> しきい値モニタを追加して、 DISMANEVENTMIBの定義に基づ いて起動します。 有効な <options> は、以下のとおりで す。 • c <comment> :コメントの追加 • f <frequency> :サンプリング間隔 (秒単位)。デフォルトは、600(10 分)です。 • o <OID> :イベントで送信する追加 オブジェクト • d <OID> :差分非連続OID • D timeTicks|timeStamp|date AndTime :差分非連続タイプ その他のパラメータは以下のとおりで す。 • name :モニタを識別するために付 ける一意の名前 • OID :モニタのオブジェクトID(また は、シンボリック名) • value and event :整数とイベント 条件の組合わせ。整数は、通知を 起動するイベント条件のしきい値を 表します。有効な組合わせは、以 下のとおりです。 <LowVal> FallingEvent <HighVal> RisingEvent <DeltaLowVal> DeltaFallingEvent <DeltaHighVal> DeltaRisingEvent Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 276 第11章 SNMPの設定 /cfg/sys/adm/snmp/event 後に続くパラメータ addmonitor [ <options> ] x <name> <OID> [present|absent| changed] 存在確認モニタを追加して、 DISMANEVENTMIBの定義に基づ いて起動します。 有効な <options> は、以下のとおりで す。 • c <comment> :コメントの追加 • f <frequency> :サンプリング間隔 (秒単位)。デフォルトは、600(10 分)です。 • o <OID> :イベントで送信する追加 オブジェクト • e <EventName> :通知イベントの名 前 • d <OID> :差分非連続OID • D timeTicks|timeStamp|date AndTime :差分非連続タイプ その他のパラメータは以下のとおりで す。 • name :モニタを識別するために付 ける一意の名前 • OID :モニタのオブジェクトID(また は、シンボリック名) • present|absent|changed :監視対 象のオブジェクトが、存在するか、 存在しないか、または変更されたか を示します。 delmonitor <name> 指定したモニタを設定から削除します。 addevent [c <comment> ] <name> <notification> [ <OID...> ] 通知イベントをDISMANEVENTMIB の定義に追加します。 • c <comment> :コメントの追加(オプ ション) • name :イベントを識別するために付 ける一意の名前 • notification :通知のOID(また は、シンボリック名) • OID... :追加通知OID(オプション) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第11章 SNMPの設定 277 /cfg/sys/adm/snmp/event 後に続くパラメータ delevent <name> 指定した通知を設定から削除します。 list 設定されているモニタとイベントを表示 します。 モニタの場合は、モニタ名、 OID、タイプが表示されます。 イベント の場合は、イベント名、通知OID、コメ ントが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 278 第11章 SNMPの設定 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 279 第 12 章 システム情報およびパフォーマ ンス統計情報の表示 この章では、以下のトピックについて説明します。 トピック 「システム情報とパフォーマンス統計情報の表示」(279 ページ) 「情報と統計情報コマンドのロードマップ」(279 ページ) 「システム情報の表示」(280 ページ) 「アラーム イベントの表示」(285 ページ) 「ログ ファイルの表示」(286 ページ) 「AAA統計情報の表示」(287 ページ) 「すべての統計情報の表示」(289 ページ) クラスタと個々のNortel SNAS 4050ホストの現在のステータス情報とイベン トを表示することができます。システム起動後の、Nortel SNAS 4050クラスタ のAAAパフォーマンス統計情報を、全体として、あるいは個々のホストごと に表示することができます。 システム情報とパフォーマンス統計情報の表示 システム ステータスとシステム設定についての現在の情報を表示するには、 次のコマンドを使用してInformationメニューにアクセスします。 /info クラスタと個々のNortel SNAS 4050ホストのパフォーマンス統計情報を表示す るには、次のコマンドを使用してStatisticsメニューにアクセスします。 /stats 情報と統計情報コマンドのロードマップ 以下のロードマップには、クラスタの情報と統計情報を表示するために使用す るCLIコマンドを示してあります。 この一覧表をクイック リファレンスとして使用す るか、このマニュアルのエントリをクリックして、詳しい説明を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 280 第12章 システム情報およびパフォーマンス統計情報の表示 コマンド パラメータ /info certs sys sonmp licenses [<domain ID>] kick <domain ID> <username> domain [<domain ID>] switch [<domainid>] [<switchid>] dist [<hostid>] ip <domain ID> <IPaddr> mac <MACaddr> sessions [<domain ID> [<switch ID> [<usernameprefix>]]] contlist [<Exclude buffers+cache from mem util: [yes/no]>] local ethernet ports alarms /info/events download <protocol> <server> <filename> list /info/logs download <protocol> <server> <filename> total /stats/aaa isdhost <host ID> <domain ID> dump /stats/dump システム情報の表示 システム ステータスとシステム設定についての現在の情報を表示するには、 次のコマンドを使用します。 /info Informationメニューが表示されます。 Informationメニューには、以下のオプションがあります。 /info 後に続くパラメータ certs インストールされている証明書について、証明 書名、シリアル番号、有効期限、キー サイズ、 サブジェクト情報などの情報を表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第12章 システム情報およびパフォーマンス統計情報の表示 281 /info 後に続くパラメータ sys 現在のシステム設定について、以下の情報を 表示します。 • クラスタ内の各Nortel SNAS 4050ホストの Real IPアドレス(RIP)、ネットワーク マスク、 デフォルト ゲートウェイ アドレス、スタティッ ク ルート、ポート設定 • 日付と時刻、DNS設定、アクセス リスト、管 理アプリケーションなどのシステム設定 • NTP、DNS、syslog、監査、その他のサー バー システム設定の詳細については、「第9章 シス テム設定」(207 ページ)を参照してください。 sonmp SynOpticsネットワーク管理プロトコル(SONMP) のネットワーク トポロジについて、システム内の すべてのNortel SNAS 4050デバイスとSONMP 対応ネットワーク デバイスのIPアドレス、MAC アドレス、シャーシ タイプ、状態などの情報を 表示します。 licenses [ <domain ID> ] グローバル ライセンス プールと現在の使用 状況についての情報を、ライセンス タイプとド メインごとに表示します。Nortel SNAS 4050で は、SSLが唯一のライセンス タイプです。特定 のドメインのみを表示するには、コマンドにドメ インIDも指定します。 備考: Nortel Secure Network Access Switch Software Release 1.6.1では、システムに は1つのドメインしかありません。 kick <domain ID> <username> オペレータに、指定したユーザーをNortel SNAS 4050セッションからログアウトさせることを 許可します。 以下の情報の入力を求めるプロ ンプトが表示されます。 • domain ID :ドメインを識別するインデック ス番号 • username :ユーザーのログオン名 複数のユーザーをログアウトさせるには、ユー ザー名の入力を求められたときにアスタリスク (*)を入力します。 システムは現在ログオンし ているユーザーのリストを、自動的にインデッ クス番号を割り当てて表示します。ログアウト Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 282 第12章 システム情報およびパフォーマンス統計情報の表示 /info 後に続くパラメータ させたいユーザーに対応するインデックス番 号を入力します。 たとえば、インデックス番号1、2、3、5に対応 するユーザーをログアウトさせるには、 13,5 を 入力します。 domain [ <domain ID> ] ドメイン設定について、ポータル仮想IPアドレス (pVIP)、TunnelGuard設定、認証スキーム、グ ループ、ク ライアントフィルタ、SSL設定、ポー タル表示、ネットワーク アクセス デバイス、SSH キーなどの情報を表示します。特定のドメイン のみを表示するには、コマンドにドメインIDも 指定します。 備考: Nortel Secure Network Access Switch Software Release 1.6.1では、システムに は1つのドメインしかありません。 switch [ <domainid> ] [ <switchid> ] ドメイン内のネットワーク アクセス デバイスにつ いて情報をデバイスごとに表示します。 情報 には、スイッチ タイプ、IPアドレス、NSNA通信 ポート、Red VLAN ID、ヘルス チェック設定、 SSHキー、スイッチのステータスが含まれます。 この情報は、 /info/domain コマンドで表示され る情報のサブセットです。 dist [ <hostid> ] ネットワーク アクセス デバイスとpVIPの配置に ついての情報を、ドメインごとに表示します。 ip <domain ID> <IPaddr> 指定したIPアドレスに基づいてセッション テー ブルを検索し、クライアント セッションについ ての情報を表示します。ドメインIDとIPアドレ スの入力を求められます。この情報には、ドメ インID、スイッチのIDとポート(スロット/ポート 形式)、クライアントのユーザー名(IP Phoneの MACアドレス)、クライアントの現在のIPアドレ ス、送信元MACアドレス、クライアントがログオ ンした日付(ログオンが本日の場合は時刻も)、 クライアントのデバイス タイプ、クライアントの 現在のVLANメンバシップ、Nortel SNAS 4050 ホストのIPアドレス(RIP)が含まれます。デバイ ス タイプのオプションは、電話(phone)または ダイナミックPC(dn_pc)です。 この情報は、 /info/mac コマンドで表示される 情報と同じです。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第12章 システム情報およびパフォーマンス統計情報の表示 283 /info 後に続くパラメータ mac <MACaddr> 指定したMACアドレスに対応するクライアント のセッション情報を表示します。MACアドレ スの入力を求められます。この情報には、ドメ インID、スイッチのIDとポート(スロット/ポート 形式)、クライアントのユーザー名(IP Phoneの MACアドレス)、クライアントの現在のIPアドレ ス、送信元MACアドレス、クライアントがログオ ンした日付(ログオンが本日の場合は時刻も)、 クライアントのデバイス タイプ、クライアントの 現在のVLANメンバシップ、Nortel SNAS 4050 ホストのIPアドレス(RIP)が含まれます。デバイ ス タイプのオプションは、電話(phone)または ダイナミックPC(dn_pc)です。 この情報は、 /info/ip コマンドで表示される 情報と同じです。 sessions [ <domain ID> [ <switch ID> [ <usernameprefix> ]]] 現在アクティブなセッションについての情報 を表示します。各セッション情報には、ドメイ ンID、スイッチのIDとポート(スロット/ポート形 式)、クライアントのユーザー名(IP Phoneの MACアドレス)、クライアントの現在のIPアドレ ス、送信元MACアドレス、クライアントがログオ ンした日付(ログオンが本日の場合は時刻も)、 クライアントのデバイス タイプ、クライアントの現 在のVLANメンバシップ、クライアントがログオ ンしたポータルのIPアドレスが含まれます。デ バイス タイプのオプションは、電話(phone)また はダイナミックPC(dn_pc)です。 特定のドメインのみを表示するには、コマンド にドメインIDを指定します。特定のネットワーク アクセス デバイスから開始したセッションのみ を表示するには、コマンドにドメインIDとスイッ チIDを指定します。特定のクライアントのみを 表示するには、コマンドにドメインID、スイッチ ID、ユーザー名を指定します。ユーザー名を プレフィックスとして入力する場合は、その後ろ にアスタリスク(*)を付けます。 dhcp [<list> [<addr> <subnet> <all>]] [<del> [<addr> <subnet> <all>]] <stats> ローカルDHCPリースについての情報を表示し ます。詳細は、「ローカルDHCPリースの管理」 (107 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 284 第12章 システム情報およびパフォーマンス統計情報の表示 /info 後に続くパラメータ contlist [<Exclude buffers+cache from mem util: [yes/no]>] クラスタ内のNortel SNAS 4050コントローラに ついての情報を表示します。情報には、各デ バイスのRIP、CPU使用率、メモリ使用率、運 用ステータスが含まれます。MIP欄のアスタ リスク(*)は、現在MIPを制御しているNortel SNAS 4050デバイスを示します。Local欄の アスタリスク(*)は、接続先のNortel SNAS 4050デバイスを示します。メモリ使用率のレ ポートからバッファとキャッシュを除くには、 /info/contlist yes コマンドを実行します。メ モリ使用率のレポートにバッファとキャッシュを 加えるには、 /info/contlist no コマンドを実 行します。デフォルトは、バッファとキャッシュ を加える no です。 local 接続先のNortel SNAS 4050デバイスの現在の ソフトウェア バージョン、ハードウェア プラット フォーム、稼働時間(最後のブート以降)、IP アドレス、Ethernet MACアドレスを表示します。 MIPに接続している場合、この情報は現在MIP の制御下にあるクラスタ内のNortel SNAS 4050 デバイスに関連する情報です。 ethernet 接続先のNortel SNAS 4050デバイスのEthernet ネットワーク インタフェース カード(NIC)の統 計情報を表示します。MIPに接続している場 合、この情報は現在MIPの制御下にあるクラ スタ内のNortel SNAS 4050デバイスに関連す る情報です。 • RX packets:受信パケットの合計個数 • TX packets:送信パケットの合計個数 • errors:エラーにより失われたパケット • dropped:リソース不足が原因のエラー • overruns:リソース不足が原因のエラー • frame:パケットの形式が不正であることが 原因のエラー • carrier:キャリア喪失が原因のエラー • collisions:パケットが衝突した回数 • RX bytes:受信したパケットのバイト数 • TX packets:送信したパケットのバイト数 備考: 衝突の値が0の場合は、Ethernetのオー ト ネゴシエーションの設定が誤ってい ることを示します。 詳細については、 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第12章 システム情報およびパフォーマンス統計情報の表示 285 /info 後に続くパラメータ autoneg on|off の autoneg コマンドを 参照してください。 ports 接続先のNortel SNAS 4050デバイスのEthernet ネットワーク インタフェース カード(NIC)の物理 ポートのステータスを表示します。MIPに接続し ている場合、この情報は現在MIPの制御下に あるクラスタ内のNortel SNAS 4050デバイスに 関連する情報です。 各ポートの情報には、リンク ステータス (up/down)とEthernetのオート ネゴシエーショ ン設定(on/off)が含まれます。アップ リンクの 場合は、情報には速度(10/100/1000)の現在 の値と通信モード(半/全)も含まれます。ダウ ン リンクでオート ネゴシエーションにオフが設 定されている場合には、情報には速度と通信 モードの設定値も含まれます。 events Eventsメニューにアクセスして、アクティブなア ラーム イベントやログにあるイベントを表示した り、ダウンロードしたりします(「アラーム イベント の表示」(285 ページ)を参照)。 logs Logsメニューにアクセスして、ログ ファイルを 表示したり、ダウンロードしたりします(「ログ ファ イルの表示」(286 ページ)を参照)。 アラーム イベントの表示 アクティブなアラームを表示するには、次のコマンドを使用します。 /info/events Eventsメニューが表示されます。 Eventsメニューには、以下のオプションがあります。 /info/events 後に続くパラメータ alarms アクティブ アラーム リストにあるすべての アラームを、主な属性とともに表示します。 主な属性は、重大度レベル、アラームID番 号、起動された日付と時刻、アラーム名、 送信者、原因です。 アクティブなアラームは、システムにログオン しているオペレータに対して通知されます。 アラームは、syslogメッセージとしても送信 されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 286 第12章 システム情報およびパフォーマンス統計情報の表示 /info/events 後に続くパラメータ イベント ログ ファイルをNortel SNAS 4050 クラスタから、指定したTFTP/FTP/SFTPファ イル交換サーバー上のファイルに送信し ます。以下の情報の入力を求めるプロンプ トが表示されます。 download <protocol> <server> <filename> • protocol は、エクスポート用の プロトコルです。オプションは、 tftp|ftp|scp|sftp です。 デフォルト は、 tftp です。 • server は、サーバーのホスト名または IPアドレスです。 • filename には、ファイル交換サーバー 上の送信先のログ ファイルの名前を指 定します。 ログ ファイルの表示 ログ ファイルの表示やダウンロードを行うには、次のコマンドを使用します。 /info/logs Logsメニューが表示されます。 Logsメニューには、以下のオプションがあります。 /info/logs 後に続くパラメータ list すべてのログ ファイルのリストを表示します。 download <protocol> <server> <filename> ログ ファイルをNortel SNAS 4050クラスタから、 指定したTFTP/FTP/SFTPファイル交換サー バー上のファイルに送信します。以下の情報の 入力を求めるプロンプトが表示されます。 • protocol は、エクスポート用のプロトコルで す。オプションは、 tftp|ftp|scp|sftp で す。 デフォルトは、 tftp です。 • server は、サーバーのホスト名またはIPア ドレスです。 • filename には、ファイル交換サーバー上 の送信先のログ ファイル(*.log.x)の名前 を指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第12章 システム情報およびパフォーマンス統計情報の表示 287 AAA統計情報の表示 Nortel SNAS 4050クラスタの全体または1つのNortel SNAS 4050ホストにつ いての認証統計情報を表示することができます。 設定されている認証方式と認証サーバーについて、以下の情報が表示さ れます。 • 合格した認証リクエストと拒否された認証リクエストの数 外部のLDAPサーバーとRADIUSサーバーの場合は、タイムアウトに なった認証リクエストの数 外部のLDAPサーバーとRADIUSサーバーは、IPアドレスとTCPポート 番号ごとに表示されます。 CLIからは、クラスタに設定されているすべての認証方式について、認証順序 スキーム(「認証フォールバックの順序の指定」(161 ページ)を参照)に加えら れているかどうかに関係なく、統計情報がレポートされます。特定の認証方式 の統計情報の行に常に0ばかりが並んでいる場合は、その認証方式は認証順 序スキームに加えられていない可能性があります。 • Nortel SNAS 4050クラスタまたは個々のNortel SNAS 4050ホストの認証統計情 報を表示するには、次のコマンドを使用します。 /stats/aaa AAA Statisticsメニューが表示されます。 AAA Statisticsメニューには、以下のオプションがあります。 /stats/aaa 後に続くパラメータ total システムの起動以降の、クラスタ内のすべての Nortel SNAS 4050ホストの認証統計情報を、ド メインごとに表示します。 isdhost <host ID> <domain ID> システムの起動以降の、クラスタ内の指定した Nortel SNAS 4050ホストの認証統計情報を表 示します。以下の情報の入力を求められます。 • <host ID> :Nortel SNAS 4050ホストで初 期セットアップを行ったときに、そのホスト に自動的に割り当てられたインデックス番 号です。 • <domain ID> :Nortel SNAS 4050ドメインを 作成したときに、そのドメインに自動的に割 り当てられたインデックス番号です。すべ てのドメインについての統計情報を表示す る場合は、0を入力します。 備考: Nortel Secure Network Access Switch Software Release 1.6.1では、システムに は1つのドメインしかありません。 dump CLIのすべての認証統計情報を、最初はドメイ ンごとに、次にNortel SNAS 4050ホストごとにダ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 288 第12章 システム情報およびパフォーマンス統計情報の表示 /stats/aaa 後に続くパラメータ ンプします。ダンプには、すべての認証方式に ついて合格したリクエストと拒否されたリクエスト の数、およびライセンス タイプ(SSL)ごとに合格 したリクエストと拒否されたリクエストの数が含ま れます。ライセンス統計情報の場合は、Rejected としてレポートされる値は、許されている現在の ユーザー数を超えた接続のことを指します。 「図21 AAA統計情報のダンプ」(289 ページ)に、 /stats/aaa/dump コマ ンドの出力例を示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第12章 システム情報およびパフォーマンス統計情報の表示 289 図21 AAA統計情報のダンプ すべての統計情報の表示 Nortel SNAS 4050クラスタのすべての統計情報を表示するには、次のコマン ドを使用します。 /stats/dump Nortel SNAS 4050はAAA統計情報のみを収集するので、 /stats/dump コマン ドは、 /stats/aaa/dump コマンドと同じ意味になります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 290 第12章 システム情報およびパフォーマンス統計情報の表示 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 291 第 13 章 システムの保守と管理 この章では、以下のトピックについて説明します。 トピック 「システムの管理と保守」(292 ページ) 「保守とブートのコマンドのロードマップ」(292 ページ) 「保守の実行」(293 ページ) 「設定のバックアップまたは復元」(296 ページ) 「Nortel SNAS 4050デバイスの管理」(298 ページ) 「Nortel SNAS 4050デバイス用のソフトウェアの管理」(299 ページ) システムと個々のNortel SNAS 4050デバイスの管理と保守のために、以下の 作業を行うことができます。 • トラブルシューティングやテクニカル サポートを目的とした情報収集のた めの保守(「保守の実行」(293 ページ)を参照) — ログ ファイルまたはシステムの内部ステータス情報をダンプし、それを ファイル交換サーバーに送信します。 — Nortel SNAS 4050と、すべての設定済みのゲートウェイ、ルーター、 サーバーとの間の接続をチェックします。 — クライアント セッションについての情報のログの開始や停止を行いま す。 トレースの対象は、SSLハンドシェーク、認証方式、ユーザー名、 グループ、プロファイル、DNS検索、TunnelGuardチェックなどの特定 の機能に制限することができます。 トレース機能はデバッグ ツールとして、たとえば、認証に失敗した原因 の追究に使用することができます。CLIの出力例については、「トレー ス ツール」(340 ページ)を参照してください。 • 設定のバックアップと復元(「設定のバックアップまたは復元」(296 ペー ジ)を参照) • ソフトウェアとデバイスの管理(「Nortel SNAS 4050デバイスの管理」(298 ページ)と「Nortel SNAS 4050デバイス用のソフトウェアの管理」(299 ペー ジ)を参照) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 292 第13章 システムの保守と管理 — ソフトウェア バージョンを管理し、ソフトウェアのアップグレードを行 います。 — クラスタ内で孤立したNortel SNAS 4050デバイスをシャットダウンし て、リブートします。 — 特定のNortel SNAS 4050デバイスの設定を工場出荷時のデフォル トに戻します。 システムの管理と保守 保守を行うには、次のコマンドを使用してMaintenanceメニューにアクセス します。 /maint ソフトウェア バージョンとNortel SNAS 4050デバイスを管理するには、Telnet、 SSH、またはコンソール接続を使用して、特定のNortel SNAS 4050デバイス に接続します。管理IPアドレス(MIP)には接続しないでください。次のコマ ンドを使用して、Bootメニューにアクセスします。 /boot 保守とブートのコマンドのロードマップ 以下のロードマップには、保守やソフトウェアとデバイスの管理の作業を行 うためのCLIコマンドを示してあります。 この一覧表をクイック リファレンスと して使用するか、このマニュアルのエントリをクリックして、詳しい説明を参 照してください。 コマンド パラメータ /maint dumplogs <protocol> <server> <filename> <allisds?> dumpstats <protocol> <server> <filename> <allisds?> chkcfg starttrace <tags> <domain ID> <output mode> stoptrace /cfg/ptcfg <protocol> <server> <filename> <passphrase> /cfg/gtcfg <protocol> <server> <filename> <passphrase> /cfg/dump [<passphrase>] /boot software halt reboot delete /boot/software cur activate <version> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第13章 システムの保守と管理 293 パラメータ コマンド download <protocol> <server> <filename> del 保守の実行 適用されている設定をチェックし、テクニカル サポートの目的でログ ファイルと システム ステータス情報をダウンロードするには、次のコマンドを使用します。 /maint Maintenanceメニューが表示されます。 Maintenanceメニューには、以下のオプションがあります。 /maint 後に続くパラメータ dumplogs <protocol> <server> <filename> <allisds?> システム ログ ファイル情報を収集して、指定した ファイル交換サーバー上のファイルに送信します。 この情報は、テクニカル サポートに使用することが できます。必要なパラメータをコマンドで指定しな かった場合は、その入力を求められます。 • protocol は、エクスポート用のプロトコルです。 オプションは、 tftp|ftp|sftp です。 デフォル トは、 tftp です。 • server は、ファイル交換サーバーのホスト名ま たはIPアドレスです。 • filename には、ファイル交換サーバー上の送 信先のログ ファイルの名前を指定します。ファ イルは、gzip圧縮tar形式です。 • allisds?では、収集する情報が、クラスタ内の すべてのNortel SNAS 4050デバイスについて の情報か、あるいは現在接続しているデバイ スのみについての情報かを指定します。有効 なオプションは、 y (yes、すべて)または n (no、 1つのみ)です。 n(no)を指定して、MIPに接続している場合は、 現在MIPの制御下にあるNortel SNAS 4050デ バイスの情報が収集されます。 • FTPとSFTPの場合は、ユーザー名とパスワー ドです。 ファイル交換サーバーに送信されるファイルには、 秘密キーなどのシステム設定に関する機密性の高 い情報は含まれません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 294 第13章 システムの保守と管理 /maint 後に続くパラメータ dumpstats <protocol> <server> <filename> <allisds?> 現在のシステム内部ステータス情報を収集して、指 定したファイル交換サーバー上のファイルに送信し ます。 この情報は、テクニカル サポートに使用する ことができます。必要なパラメータをコマンドで指定 しなかった場合は、その入力を求められます。 • protocol は、エクスポート用のプロトコルです。 オプションは、 tftp|ftp|sftp です。 デフォル トは、 tftp です。 • server は、ファイル交換サーバーのホスト名ま たはIPアドレスです。 • filename には、ファイル交換サーバー上の送 信先のファイル名を指定します。ファイルは、 gzip圧縮tar形式です。 • allisds?では、収集する情報が、クラスタ内の すべてのNortel SNAS 4050デバイスについて の情報か、あるいは現在接続しているデバイ スのみについての情報かを指定します。有効 なオプションは、 y (yes、すべて)または n (no、 1つのみ)です。 n(no)を指定して、MIPに接続している場合は、 現在MIPの制御下にあるNortel SNAS 4050デ バイスの情報が収集されます。 • FTPとSFTPの場合は、ユーザー名とパスワー ドです。 chkcfg Nortel SNAS 4050が、システム設定内のゲートウェ イ、ルーター、DNSサーバー、認証サーバーにアク セスできるかどうかをチェックします。このコマンド では、Nortel SNAS 4050が、グループ リンクに指 定されているWebサーバーにアクセスできるかどう かもチェックされます。 CLIには、接続チェックの 結果と、チェックに使用した方法(たとえば、ping) が表示されます。 chkcfg コマンドの出力例を、以下に示します。 Checking configuration from 192.168.128.210 Testing /cfg/sys/host 1/gateway: 192.168.128.3... ping ok Testing /cfg/sys/dns/servers: 192.168.128.1... dns ok Testing /cfg/vpn 1/aaa/group 1/ link 1:www.cnn.com:80... tcp ok All tests completed successfully Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第13章 システムの保守と管理 295 /maint 後に続くパラメータ starttrace <tags> <domain ID> <output mode> クライアント セッションに関連する情報のログを記 録します。 以下の情報の入力を求めるプロンプトが表示さ れます。 • tags :トレースを制限するために、特定の機能 またはサブシステムを指定します。 以下のオプ ションを指定することができます。 all :すべての情報のログが記録されます。デ フォルトは、allです。 aaa :認証方式、ユーザー名、グループ、およ び拡張プロファイルのログが記録されます。 dns :セッション中に失敗したDNSルックアップ のログが記録されます。 ssl :SSLハンドシェーク手順に関連する情報 (たとえば、使用している暗号)のログが記録 されます。 tg :TunnelGuardチェックに関連する情報(たと えば、TunnelGuardセッション ステータスやSRS ルールのチェック結果)のログが記録されます。 snas :Nortel SNAS制御下のスイッチのオペ レーションとイベントのログが記録されます。 必要なタグまたはカンマで区切ったタグのリスト を入力します(たとえば、 aaa または aaa,dns )。 すべての機能をトレースする場合は、[Enter]を 押してデフォルトを受け入れます。 • domain ID :トレースをNortel SNAS 4050 ドメインに制限します。デフォルトは、all です。すべてのドメインをトレースする 場合は、[0]または[Enter]を押します。 備考: Nortel Secure Network Access Switch Software Release 1.6.1で は、システムには1つのドメインしか ありません。 • output mode:オプションは、以下のとおりです。 interactive :クライアントがポータルで認証さ れた場合は、情報がCLIに直接記録されます。 tftp|ftp|sftp :情報はファイル交換サーバー に記録されます。サーバー情報の入力を求 められます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 296 第13章 システムの保守と管理 /maint 後に続くパラメータ starttrace コマンドの出力例は、「トレース ツール」 (340 ページ)を参照してください。 stoptrace トレースを停止します。 starttrace コマンドで interactiveモードを選択し、情報をCLIに記録して いる場合は、[Enter]を押すとCLIプロンプトが再 表示されます。 設定のバックアップまたは復元 システム設定をファイル交換サーバー上のファイルとして保存するには、 次のコマンドを使用します。 /cfg/ptcfg <protocol> <server> <filename> <passphrase> システム設定を復元するには、次のコマンドを使用します。 /cfg/gtcfg <protocol> <server> <filename> <passphrase> システム設定を画面にダンプして、コピー アンド ペーストを行ってテキスト ファイルに保存することもできます。設定のダンプを行うには、次のコマン ドを使用します。 /cfg/dump [ <passphrase> ] 「Configurationメニューのバックアップ コマンドと復元コマンド」(296 ページ) に、Configurationメニューのバックアップ コマンドと復元コマンドについて の詳しい説明があります。 Configurationメニューのバックアップ コマンドと復元コマンド /cfg 後に続くパラメータ ptcfg <protocol> <server> <filename> <passphrase> 秘密キーと証明書を含む現在の設定を、指定し たファイル交換サーバーに保存します。このファイ ルは、 gtcfg コマンドを使用して設定を復元するの に使用できます。以下の情報の入力を求めるプロ ンプトが表示されます。 • protocol は、エクスポート用のプロトコルです。 オプションは、 tftp|ftp|scp|sftp です。 デ フォルトは tftp です。 • server は、ファイル交換サーバーのホスト名ま たはIPアドレスです。 • filename には、ファイル交換サーバー上の送 信先のファイル名を指定します。 • passphrase は、設定内の秘密キーを保護する ために必要なパスワード フレーズです。 パス ワード フレーズは、4文字以上にする必要が Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第13章 システムの保守と管理 297 /cfg 後に続くパラメータ あります。 後で gtcfg コマンドを使用して設定 を復元するときに、このパスワード フレーズの 入力を求められます。 • FTP、SCP、SFTPの場合は、ユーザー名とパス ワードです。 備考: 管理者ユーザーの役割を証明書管理者 ユーザーの役割から完全に分けている場 合は、設定内の秘密キーの保護では証明 書管理者が定義したパスワード フレーズが 使用されますが、これはユーザーには透過 的です。後で gtcfg コマンドを使用して設定 を復元するときに、証明書管理者がこのパ スワード フレーズを入力する必要がありま す。管理者ユーザーの役割を証明書管理 者ユーザーの役割から完全に分ける方法 については、「新しいユーザーの追加」(169 ページ)を参照してください。 gtcfg <protocol> <server> <filename> <passphrase> 秘密キーと証明書を含む設定を、指定したファイル 交換サーバーのファイルから復元します。以下の 情報の入力を求めるプロンプトが表示されます。 • protocol は、インポート用のプロトコルです。オ プションは、 tftp|ftp|scp|sftp です。 デフォ ルトは tftp です。 • server は、ファイル交換サーバーのホスト名ま たはIPアドレスです。 • filename には、ファイル交換サーバー上のファ イル名を指定します。 • passphrase は、 ptcfg コマンドを使用して設定 ファイルをサーバーに保存したときに設定した パスワード フレーズです。 • FTP、SCP、SFTPの場合は、ユーザー名とパス ワードです。 備考: 管理者ユーザーの役割を証明書管理者 ユーザーの役割から完全に分けている場 合は、証明書管理者がパスフレーズを入 力する必要があります。証明書管理者は、 /cfg/sys/user/ caphrase コマンドを使用 してパスフレーズを定義します( caphrase を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 298 第13章 システムの保守と管理 /cfg 後に続くパラメータ dump [ <passphrase> ] 設定をファイル サーバーにダウンロードしないで、 画面上の現在の設定情報を、復元できる形式で ダンプします。 設定ダンプに秘密キーを含める場合は、情報の 入力を求められます。その場合、秘密キーの保護 のためのパスワード フレーズの入力を求められま す。指定したパスワード フレーズは、すべての秘密 キーに適用されます。後で設定を復元するときに、 このパスワード フレーズの入力が求められます。 テキスト エディタでコピー アンド ペーストを行うこと によって、設定をテキスト ファイルに保存します。後 で、CLIの任意のコマンド プロンプトで、保存したテ キスト ファイルの内容を貼り付けるためのグローバ ルな paste コマンドを使用すると、設定を復元する ことができます。貼付けでは、内容がNortel SNAS 4050によってバッチ処理されます。バッチ処理の 結果、保留中となった設定変更を表示するには、 diff コマンドを使用します。設定変更を適用するに は、 apply コマンドを使用します。 Nortel SNAS 4050デバイスの管理 Nortel SNAS 4050のソフトウェアとデバイスを管理するには、次のコマンドを 使用します。 /boot Bootメニューが表示されます。 Bootメニューには、以下のオプションがあります。 /boot 後に続くパラメータ software Software Managementメニューにアクセスして、ソ フトウェア バージョンの表示やダウンロード、および アクティブ化を行います(「Nortel SNAS 4050デバイ ス用のソフトウェアの管理」(299 ページ)を参照)。 halt Telnet、SSH、またはコンソール接続を使用して接 続中のNortel SNAS 4050デバイスを停止します。 管理IPアドレス(MIP)にTelnetまたはSSHを使用し て接続しているときには、代わりに /cfg/sys/host #/ halt コマンドを使用します( halt を参照)。 備考: デバイスをオフにする前に、必ず halt コマ ンドを使用してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第13章 システムの保守と管理 299 /boot 後に続くパラメータ reboot Telnet、SSH、またはコンソール接続を使用して接続 中のNortel SNAS 4050デバイスを、リブートします。 管理IPアドレス(MIP)にTelnetまたはSSHを使用し て接続しているときには、代わりに /cfg/sys/host #/reboot コマンドを使用します( reboot を参照)。 delete Telnet、SSH、またはコンソール接続を使用して接 続中のNortel SNAS 4050デバイスを、工場出荷時 のデフォルト設定に戻します。すべてのIP設定は失 われます。ソフトウェア自体はそのままです。delete コマンドの実行後は、コンソール接続がデバイスに アクセスするための唯一の手段になります。 Admin ユーザー(ユーザー名:admin、パスワード:admin) としてログオンし、Setupメニューを起動します。 備考: 削除しようとしているデバイスに、クラスタ内 の他のマスタNortel SNAS 4050デバイスから のアクセスがないという警告メッセージが表 示された場合は、TelnetまたはSSHを使用し てMIPに接続し、 /cfg/sys/host #/delete コマンドでNortel SNAS 4050デバイスをクラ スタからも削除します( delete を参照)。 /boot/delete コマンドは、以下の状況でNortel SNAS 4050デバイスを削除することが必要になるこ とを想定して用意されています。 • デバイスがクラスタ内で孤立した。 • /cfg/sys/host #/delete コマンドを実行せず に、デバイスを物理的に切り離してしまった。 このような状況では、 new コマンドと join コマンド を実行する予定のデバイスから、 /boot/delete コ マンドを使用してSetupメニューを表示する必要 があります。 Nortel SNAS 4050デバイス用のソフトウェアの管理 接続先のNortel SNAS 4050デバイスのソフトウェア バージョンの表示、ダウン ロード、およびアクティブ化するには、次のコマンドを使用します。 /boot/software Software Managementメニューが表示されます。 Software Managementメニューには、以下のオプションがあります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 300 第13章 システムの保守と管理 /boot/software 後に続くパラメータ cur 接続先のデバイスのソフトウェア バージョンのス テータスを表示します。ステータスのオプション は、以下のとおりです。 • permanent :現在動作中のソフトウェア バー ジョン • old :現在動作中のソフトウェア バージョンの前 のソフトウェア バージョン • unpacked :ソフトウェア アップグレード パッケー ジはダウンロードされているが、アクティブには なっていない unpacked または old のいずれかが示されたソフト ウェア バージョンをアクティブにすると、そのバー ジョンのステータスは permanent になります。ソフト ウェア ステータスは、Nortel SNAS 4050デバイスの リブートが行われた後に変更されます。 activate <version> cur コマンドが unpacked として示した、ダウンロード 済みのソフトウェア アップグレード パッケージをア クティブにします。新しいソフトウェア バージョンを 実行したときに重大な問題が発生した場合は、 cur コマンドがoldとして示したソフトウェア バージョンを アクティブにすることによって、以前のバージョン に戻すことができます。 activate コマンドに対して確認を行うと、Nortel SNAS 4050はリブートします。 備考: Nortel SNAS 4050デバイスでソフトウェア アップグレードをアクティブにすると、クラス タ内のすべてのNortel SNAS 4050デバイス でリブートが行われます。すべてのアクティ ブなセッションが失われます。 download <protocol> <server> <filename> マイナーまたはメジャーのアップグレードを行うた めの新しいソフトウェア パッケージを、指定したファ イル交換サーバーからダウンロードします。必要な パラメータをコマンドで指定しなかった場合は、そ の入力を求められます。 • protocol は、インポート用のプロトコルです。オ プションは、 tftp|ftp|scp|sftp です。 デフォ ルトは、 tftp です。 • server は、ファイル交換サーバーのホスト名ま たはIPアドレスです。 • filename には、ソフトウェア アップグレード パッ ケージの名前を指定します。ソフトウェア アッ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第13章 システムの保守と管理 301 /boot/software 後に続くパラメータ プグレード パッケージには、通常はファイル名 拡張子.pkgが付いています。 • FTP、SCP、SFTPの場合は、ユーザー名とパス ワードです。 コマンドの実行時にFTPサーバーのホスト名ま たはIPアドレスと同じ行にスラッシュ(/)で区 切ったディレクトリ パスとファイル名を指定する ときには、組み合わせたディレクトリ パスとファ イル名を必ず二重引用符で囲んでください。 次に例を示します。 >> Software Management# download ftp 10.0.0.1 "pub/NSNA5.1.1 upgrade_complete.pkg" FTPサーバーからソフトウェア パッケージをダ ウンロードするときに匿名モードを使用する場 合は、次の文字列をログインのためのパスワー ドとして使用します。 admin@ <hostname> .isd del ダウンロードはしたが、アクティブにはしていなかっ たソフトウェア パッケージ(ステータスは unpacked ) を削除します。それ以外のステータスを持つソフ トウェア バージョンを削除することはできません ( cur コマンドを参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 302 第13章 システムの保守と管理 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 303 第 14 章 ソフトウェアのアップグレードま たは再インストール この章では、以下のトピックについて説明します。 トピック 「Nortel SNAS 4050のアップグレード」(303 ページ) 「マイナー/メジャー リリース アップグレードの実行」(304 ページ) 「ソフトウェア アップグレード パッケージのアクティブ化」(306 ページ) 「ソフトウェアの再インストール」(308 ページ) 「事前作業」(308 ページ) 「外部ファイルサーバーからのソフトウェアの再インストール」(309 ページ) 「CDからのソフトウェアの再インストール」(310 ページ) Nortel SNAS 4050ソフトウェア イメージは、Nortel SNAS 4050で動作する実 行可能コードです。あるバージョンのイメージがNortel SNAS 4050とともに出 荷され、デバイスに事前にインストールされています。イメージの新バージョ ンがリリースされるたびに、Nortel SNAS 4050で動作しているソフトウェアを アップグレードすることができます。場合によっては、Nortel SNAS 4050上の ソフトウェアを再インストールして、デバイスを工場出荷時のデフォルトに 戻す必要が生じることもあります。 Nortel SNAS 4050のアップグレード アップグレードには次の2つのタイプがあります。 • マイナー リリース アップグレード:これは、通常はバグ フィックスのための リリースです。 すべての設定データがそのまま使用されます。マイナー アップグレードを行う場合は、アップグレードするクラスタの管理IPアド レスに接続する必要があります。 メジャー リリース アップグレード:このタイプのリリースには、バグ フィックス と機能拡張の両方が含まれる場合があります。 すべての設定データがそ のまま使用されます。メジャー アップグレードを行う場合は、アップグレー ドするクラスタの管理IPアドレスに接続する必要があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 304 第14章 ソフトウェアのアップグレードまたは再インストール 備考: Nortel SNAS 4050デバイスでソフトウェア アップグレードをアク ティブにすると、クラスタ内のすべてのNortel SNAS 4050デバイ スでリブートが行われます。すべてのアクティブなセッションが 失われます。 Nortel SNAS 4050のソフトウェアをアップグレードするには、以下の操作が 必要です。 ステップ 操作 1 ネットワーク上のTFTP/FTP/SCP/SFTPサーバーに、新しいソフト ウェア アップグレード パッケージまたはインストール イメージを読 み込みます。 2 新しいソフトウェアを、TFTP/FTP/SCP/SFTPサーバーからNortel SNAS 4050にダウンロードします。 3 Nortel SNAS 4050のソフトウェアをアクティブにします。 ― 終わり ― 備考: アップグレードを行う前に、ソフトウェア アップグレード パッケージ またはインストール イメージで特定の処理が必要かどうかを、付 属するリリース ノートで確認してください。 マイナー/メジャー リリース アップグレードの実行 以下の説明は、マイナー リリース アップグレードとメジャー リリース アップ グレードの両方にあてはまります。 Nortel SNAS 4050をアップグレードするには、以下の条件が必要になります。 • リモート接続(TelnetかSSH)またはコンソール接続を使用した、Nortel SNAS 4050デバイスの1つへのアクセス • ネットワーク上のTFTP/FTP/SCP/SFTPサーバーにロードされたソフトウェア アップグレード パッケージ • TFTP/FTP/SCP/SFTPサーバーのホスト名またはIPアドレス。ホスト名を指 定する場合は、DNSパラメータが設定済みであることが必要です。 詳細 は、「DNSサーバーの設定」(224 ページ)を参照してください。 • ソフトウェア アップグレード パッケージの名前(アップグレード パッケージ のファイル名拡張子は .pkg です) クラスタ内で動作中の一群のインストール済みのNortel SNAS 4050デバイス は、相互に連携して1つのシステム ビューを提供しています。したがって、アッ プグレードを行うには、クラスタのMIPに接続する必要があります。アップグレー ド時のオペレーションによって、すべてのNortel SNAS 4050デバイスでアップグ レードが自動的に実行されます。 設定データはすべてそのまま使用されます。 MIPには、Telnet接続またはSSH接続でアクセスすることができます。 備考: 初期セットアップを実行した後では、Nortel SNAS 4050へのTelnet 接続とSSH接続は、デフォルトで無効になっています。Telnet接続 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第14章 ソフトウェアのアップグレードまたは再インストール 305 とSSH接続を有効にする方法については、「管理機能の設定」 (229 ページ)を参照してください。 Nortel SNAS 4050にアクセスできるようになったら、ソフトウェア イメージをダウ ンロードします(「ソフトウェア イメージのダウンロード」(305 ページ)を参照)。 ソフトウェア イメージのダウンロード ソフトウェア アップグレード イメージをダウンロードするには、以下の操 作を行います。 ステップ 操作 1 Mainメニューのプロンプトに対して、以下のコマンドを入力します。 次に、ソフトウェア アップグレード パッケージをダウンロードする サーバー(TFTP/FTP/SCP/SFTP)を選択します。 TFTPサーバーの場合は、16 MBを超えるファイルで、アップグレー ドの失敗の原因になることがあります。 >> Main# boot/software/download Select protocol (tftp/ftp/scp/sftp) [tftp]: ftp 2 サーバーのホスト名またはIPアドレスを入力します。 Enter hostname or IP address of server: <server host name or IP> 3 ダウンロードするソフトウェア アップグレード パッケージのファイル 名を入力します。 必要なら、ファイル名の前にTFTP/FTP/SCP/SFTPサーバー上の ディレクトリへの検索パスを付け加えることができます。 FTPサーバーからソフトウェア パッケージをダウンロー ドするときに匿名モードを使用する場合は、次の文字 列(ログインのための)をパスワードとして使用します。 admin@hostname/IP.isd Enter filename on server: <filename.pkg> FTP User (anonymous): <username or press ENTER for anonymous mode> Password: <password or press ENTER for default password in anonymous mode> Received 28200364 bytes in 4.0 seconds Unpacking... ok >> Software Management# ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 306 第14章 ソフトウェアのアップグレードまたは再インストール ソフトウェア アップグレード パッケージのアクティブ化 Nortel SNAS 4050では、同時に2つのソフトウェア バージョンを持つことができ ます。現在のソフトウェア ステータスを表示するには、 /boot/software/cur コ マンドを使用します。ソフトウェアの新しいバージョンがNortel SNAS 4050にダ ウンロードされると、ソフトウェア パッケージは自動的に展開され、unpacked というマークが付けられます。展開したソフトウェア バージョンをactivateす ると(Nortel SNAS 4050がリブートされる)、このソフトウェア バージョンには permanentというマークが付けられます。以前にpermanentというマークが 付けられていたソフトウェア バージョンには、old というマークが付けられます。 マイナー リリースとメジャー リリースの場合、ソフトウェア アップグレードは、クラ スタ内の一群のNortel SNAS 4050デバイス間で同期して行われます。ソフトウェ アのアップグレード時にNortel SNAS 4050デバイスの1つが動作していなかった 場合は、そのデバイスの起動時に新しいバージョンが自動的に選択されます。 備考: Nortel SNAS 4050デバイスが動作していなかったときに、クラス タに対して複数回のソフトウェア アップグレードを行っていた場 合は、そのNortel SNAS 4050デバイスには、クラスタ内で現在使 用中のソフトウェア バージョンを再インストールする必要がありま す。再インストールの方法については、「ソフトウェアの再インス トール」(308 ページ)を参照してください。 ダウンロードしたソフトウェア アップグレード パッケージのステータスは、 /boot/software/cur コマンドを使用して調べることができます。 ステップ 1 操作 Software Management# のプロンプトに対して、次のコマンドを入 力します。 >> Software Management# cur Version Name Status x.x NSNAS unpacked z.z NSNAS permanent ダウンロードしたソフトウェア アップグレード パッケージは、 バージョンに は、4つのステータス値のいずれかのマークが付いています。ス テータス値の意味は次のとおりです。 unpacked というステータスで示されます。ソフトウェア • unpacked は、ソフトウェア アップグレード パッケージがダウン ロードされ、自動的に展開されたことを意味します。 • permanentは、ソフトウェアが運用状態であり、システムのリブー ト後もそれが使用されることを意味します。 • old は、ソフトウェア バージョンがpermanentになっていたことが あるが、現在は動作していないことを意味します。old という マークの付いたソフトウェア バージョンは、ふたたびアクティ ブにすることができます。アクティブにすると、そのバージョン に戻ります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第14章 ソフトウェアのアップグレードまたは再インストール 307 • current は、old またはunpacked というマークの付いたソフト ウェア バージョンがアクティブにされたことを意味します。シス テムによって必要なヘルス チェックが行われると、currentス テータスはpermanentに変わります。 展開されたソフトウェア アップグレード パッケージをアクティブにす るには、 /boot/software/activate コマンドを使用します。 備考: Nortel SNAS 4050デバイスでソフトウェア アップグレー ドをアクティブにすると、クラスタ内のすべてのNortel SNAS 4050デバイスでリブートが行われます。すべて のアクティブなセッションが失われます。 2 Software Management#プロンプトに対して、次のように入力します。 >> Software Management# activate x.x Confirm action ’activate’?[y/n]: y Activate ok, relogin <you are logged Restarting system. out here> login: 備考: 展開されたソフトウェア アップグレード パッケージをア クティブにすると、コマンド ライン インタフェース(CLI) ソフトウェアもアップグレードされることがあります。その ため、システムからいったんログアウトし、ふたたびログ インする必要があります。loginプロンプトが表示される まで待ちます。これには、ハードウェア プラットフォー ムのタイプとシステム リブートの有無に応じて、最大 で2分かかります。 3 ふたたびログインし、新しいソフトウェア バージョンを確認します。 >> Main# boot/software/cur Version Name Status x.x NSNAS permanent z.z NSNAS old この例では、バージョンx.xが現在動作しており、システムのリブート 後でも使用されます。一方、以前はpermanentと示されていたソ フトウェア バージョンには、old というマークが付けられています。 備考: 新しいソフトウェア バージョンの実行中に深刻な問 題が発生した場合は、以前のソフトウェア バージョン (現在old とマークが付いているバージョン)に戻す ことができます。そのためには、old と示されている ソフトウェア バージョンをアクティブにします。old の ソフトウェア バージョンをアクティブにした後でふたた びログインすると、そのステータスはしばらくの間は currentと示されます。約1分後にシステムによる必 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 308 第14章 ソフトウェアのアップグレードまたは再インストール 須のヘルス チェックが完了し、currentステータスが permanentに変わります。 ― 終わり ― ソフトウェアの再インストール 既存のクラスタに新しいNortel SNAS 4050デバイスを追加するときに、新し いNortel SNAS 4050と既存のNortel SNAS 4050クラスタのソフトウェア バー ジョンが異なっている場合は、新しいNortel SNAS 4050へのソフトウェアの再 インストールが必要になることがあります。それ以外に、ソフトウェアの再イ ンストールが必要になるのは、深刻な問題が発生したときだけですが、その ような状況になることはまれです。 再インストールにはコンソール接続を使用する必要があります。 ソフトウェアを再インストールすると、Nortel SNAS 4050は工場出荷時のデフォ ルトの設定に戻ります。再インストールを行うと、フラッシュ メモリ カードやハード ディスクに格納されている古いソフトウェア イメージ バージョンやアップグレード パッケージを含め、すべての設定データと現在のソフトウェアが消去されます。 事前作業 外部ファイルサーバーを使用してソフトウェアをNortel SNAS 4050に再インス トールするには、以下の条件が必要です。 • Nortel SNAS 4050への、コンソール接続を使用したアクセス • ネットワーク上のTFTP/FTP/SCP/SFTPサーバーにロードされているイ ンストール イメージ • TFTP/FTP/SCP/SFTPサーバーのIPアドレス • インストール イメージの名前 • ブート ユーザーとしてのログオンの許可 備考: 再インストールを行うと、ネットワーク設定を含め、すべての設定 データが消去されます。したがって、Nortel SNAS 4050デバイスに 現状の設定を使用して再インストールするためには、すべての設 定データをTFTP/FTP/SCP/SFTPサーバー上のファイルとして保存 しておく必要があります。CLIの ptcfg コマンドを使用すると、設定 データとともに、インストール済みだったキーと証明書も保存され ます。インストール済みだったキーと証明書を含むこの設定は、 後で gtcfg コマンドを使用して、復元することができます(これらの CLIコマンドの詳細については、「設定のバックアップまたは復元」 (296 ページ)を参照してください)。キーと証明書のバックアップ コピーを個別に作成したい場合は、displayコマンドかexportコマ ンドを使用します(これらのコマンドについては、「証明書とキーの 保存またはエクスポート」(244 ページ)を参照してください)。 Nortel SNAS 4050にソフトウェアCDが付属していた場合は、そのCDを使用し てソフトウェアの再インストールを行うこともできます(「CDからのソフトウェアの 再インストール」(310 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第14章 ソフトウェアのアップグレードまたは再インストール 309 外部ファイルサーバーからのソフトウェアの再インストール 外部ファイルサーバーを使用してソフトウェアを再インストールするには、以下 の操作を行います。 ステップ 操作 1 ブート ユーザーとして、ログオンします。ブート ユーザーのパス ワードは、 ForgetMe です。 login: boot Password: ForgetMe *** Reinstall Upgrade Procedure *** If you proceed beyond this point, the active network configuration will be reset, requiring a reboot to restore any current settings. However, no permanent changes will be done until the boot image has been downloaded. Continue (y/n)? [y]: [Enter]を押してデフォルト(yes)を受け入れ、先に進みます。 2 ネットワーク ポートとIPネットワークの設定を指定します。 Nortel SNAS 4050に以前ネットワーク接続が設定されている場合 は、以前の設定がカッコの中に推奨デフォルト値として表示されま す。推奨値を受け入れるには、[Enter]を押します。Nortel SNAS 4050に以前ネットワーク接続が設定されていない場合、または /boot/delete コマンドを使用してNortel SNAS 4050をクラスタから 切り離していた場合は、以前の設定に基づく推奨値はカッコ内に 表示されません。したがって、すべてのネットワーク設定情報を 入力しなおす必要があります。 a. ネットワーク接続に使用するポートを指定します。 b. コア ルーターが入力パケットにVLANタグIDを割り当てる場合 は、使用するVLANタグIDを指定します。 c. デバイスのホストIPアドレスを指定します。 d. ネットワーク マスクを指定します。 e. デフォルト ゲートウェイのIPアドレスを指定します。 Select a network port (14, or i for info) [1]: Enter VLAN tag id (or zero for no VLAN tag) [0]: Enter IP address for this iSD [192.168.128.185]: Enter network mask [255.255.255.0]: Enter gateway IP address [192.168.128.1]: 3 ダウンロードについて以下の詳細情報を指定します。 a. ダウンロード方式のプロトコル b. サーバーIPアドレス c. ブート イメージのファイル名 d. サーバーが匿名ログオンをサポートしていない場合はユー ザー名とパスワード。デフォルトは、anonymousです。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 310 第14章 ソフトウェアのアップグレードまたは再インストール Select protocol (tftp/ftp/scp/sftp) [tftp]: <protocol> Enter <protocol> server address: <IPaddr> Enter file name of boot image: NSNASx.x.xboot.img Enter FTP Username [anonymous]: Password: Downloading boot image... Installing new boot image... Done 備考: TFTPサーバーによっては、16 MBを超えるファイル で、アップデートの失敗の原因になる場合があります。 4 新しくインストールしたブート イメージでNortel SNAS 4050がリブー トされるのを待ちます。 Restarting... Restarting system. Alteon WebSystems, Inc. Booting... Login: 5 0004004C adminユーザーとしてログオンし、Setupメニューを起動してNortel SNAS 4050デバイスの初期セットアップを行います(「第2章 初期 セットアップ」(35 ページ)を参照)。 ― 終わり ― CDからのソフトウェアの再インストール CDからソフトウェア イメージを再インストールするには、以下の操作を行 います。 ステップ 操作 1 Nortel SNAS 4050をCDからブートします。 2 rootユーザーとしてログオンします(パスワードは不要)。 3 installnsnas isd4050 を実行します。 4 インストールが完了したら、CDを取り外し、リブートします。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 311 第 15 章 コマンド ライン インタフェースに よるアクセス方法 この章では、コマンド ライン インタフェース(CLI)を使用してNortel SNAS 4050 にアクセスする方法について説明します。 この章では、以下のトピックについて説明します。 トピック 「Nortel SNAS 4050への接続」(312 ページ) 「コンソール接続の確立」(312 ページ) 「Telnet接続の確立」(313 ページ) 「SSHを使用した接続の確立」(314 ページ) 「Nortel SNAS 4050クラスタへのアクセス」(315 ページ) 「CLIのMainメニューとセットアップ」(316 ページ) 「コマンド ラインの履歴と編集」(317 ページ) 「アイドル タイムアウト」(317 ページ) Nortel SNAS 4050ソフトウェアを使用すると、Nortel SNAS 4050の設定につい ての情報や統計情報の、アクセス、設定、および表示を行うことができます。 組込みのテキスト ベースのコマンド ライン インタフェースとメニュー システムを 使用すると、ターミナル エミュレータを実行中のコンピュータを使用したローカ ル コンソール接続、またはTelnetクライアントやSSH(Secure Shell)クライアント を使用したリモート セッションを通じて、Nortel SNAS 4050やクラスタにアク セスして設定を行うことができます。 TelnetクライアントまたはSSHクライアントを使用してNortel SNAS 4050デバイス のクラスタに接続する場合は、必ず管理IPアドレス(MIP)に接続してくださ い。設定の変更は、クラスタのすべてのメンバに自動的に伝播されます。ただ し、 /boot/halt 、 /boot/reboot コマンド、または /boot/delete コマンドを使 用する場合には、これらのコマンドの実行対象のNortel SNAS 4050デバイス のReal IPアドレス(RIP)に接続するか、またはコンソール接続を使用してそ のNortel SNAS 4050に接続する必要があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 312 第15章 コマンド ライン インタフェースによるアクセス方法 Nortel SNAS 4050への接続 CLIには、次の2通りの方法でアクセスすることができます。 • コンソール ポートを経由したコンソール接続を使用する(「コンソール接続 の確立」(312 ページ)を参照)。 • ネットワーク上でTelnet接続またはSSH接続を使用する(「Telnet接続の確 立」(313 ページ)または「SSHを使用した接続の確立」(314 ページ)を 参照)。 コンソール接続の確立 初期セットアップを実行する場合や、Nortel SNAS 4050ソフトウェアをブート ユーザーとして再インストールする場合は、コンソール接続を使用します。高 度なトラブルシューティングのためにルート ユーザーとしてログインする場合 も、コンソール接続を使用する必要があります。 必要条件 Nortel SNAS 4050とのコンソール接続を確立するには、以下の条件を満 たす必要があります。 • 「表 27 コンソールの設定パラメータ」(312 ページ)に示すパラメータを設 定するためのASCIIターミナル、またはターミナル エミュレーション ソフト ウェアを実行しているコンピュータ 表 27 コンソールの設定パラメータ パラメータ 値 ボー レート 9600 データ ビット 8 パリティ なし ストップ ビット 1 フロー制御 なし • DB9メス コネクタを取り付けたシリアル ケーブル。 詳細は、『Nortel Secure Network Access Switch 4050 Installation Guide(NN47230300)』の Nortel SNAS 4050への接続についての章を参照してください。 手順 ステップ 操作 1 適切なシリアル ケーブルを使用して、ターミナルをコンソール ポートに接続します。 Nortel SNAS 4050への接続には、DB9メス コネクタを取り付けたシ リアル ケーブル(Nortel SNAS 4050に同梱)を使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第15章 コマンド ライン インタフェースによるアクセス方法 2 ターミナルの電源を入れます。 3 接続を確立するために、ターミナルで[Enter]キーを押します。 313 ― 終わり ― その後、ユーザー名とパスワードを入力してログオンする必要があります。ユー ザー アカウントとデフォルトのパスワードの詳細については、「Nortel SNAS 4050クラスタへのアクセス」(315 ページ)を参照してください。 Telnet接続の確立 Telnet接続は、ネットワークに接続している任意のワークステーションから Nortel SNAS 4050クラスタにアクセスできるので便利です。Telnetアクセスで は、ユーザー アクセスと管理者アクセスで、コンソール ポートを経由した場 合と同様のオプションを利用することができます。 ネットワークに接続しているワークステーションからNortel SNAS 4050にTelnet 接続を使用してアクセスする場合、通信チャネルはセキュアではありません。 TelnetクライアントとNortel SNAS 4050間を流れるすべてのデータ(パスワー ドを含む)は、暗号化されずに送信されます。また、サーバー ホストの認 証は行われません。 Nortel SNAS 4050クラスタをTelnetアクセス用に設定するには、Nortel SNAS 4050デバイスまたはクラスタと同じネットワーク上に、Telnetクライアント ソフ トウェアが動作するデバイスを配置する必要があります。Nortel SNAS 4050 は、RIPとMIPを持っている必要があります。Setupメニューで new または join を選択して初期セットアップをすでに実行している場合は、IPアドレスの割 り当ては完了しています。 Nortel SNAS 4050デバイスのクラスタの設定変更をTelnetを使用して行う場 合は、MIPに接続することを推奨します。ただし、クラスタ内の特定のNortel SNAS 4050を停止またはリブートする場合や、そのすべての設定を工場 出荷時のデフォルト設定に戻す場合は、RIP(該当するNortel SNAS 4050 デバイスのIPアドレス)に接続する必要があります。クラスタ内のすべての Nortel SNAS 4050デバイスのIPアドレスを表示するには、 /info/contlist コ マンドを使用します( contlist [<Exclude buffers+cache from mem util: [yes/no]>] を参照)。 Telnetアクセスの有効化と制限 Nortel SNAS 4050クラスタへのTelnetアクセスは、セキュリティ上の理由から、 デフォルトでは無効になっています。しかし、セキュリティ ポリシーの重大度に よっては、Telnetアクセスを有効にすることができます。また、Telnetアクセスを 少数の特定のマシンのみに制限することもできます。 Telnetアクセスを有効にする方法については、 /cfg/sys/adm/telnet コマンド を参照してください( telnet on|off を参照)。Telnetアクセスを少数の特定 のマシンのみに制限する方法については、「アクセス リストの設定」(221 ページ)を参照してください。 Telnetの実行 Nortel SNAS 4050でIPパラメータを設定し、Telnetアクセスを有効にすると、 Telnet接続を使用してCLIにアクセスすることができます。Nortel SNAS 4050と Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 314 第15章 コマンド ライン インタフェースによるアクセス方法 のTelnet接続を確立するには、ワークステーションでTelnetプログラムを実行 し、Telnetコマンドに続けてNortel SNAS 4050のIPアドレスを入力します。 telnet <IP address> 次に、有効なユーザー名とパスワードの入力を求められます。各種のユー ザー アカウントとそのデフォルト パスワードについては、「Nortel SNAS 4050ク ラスタへのアクセス」(315 ページ)を参照してください。 SSHを使用した接続の確立 SSHクライアントを使用してネットワーク上で接続を確立すると、次のような セキュリティ上のメリットがあります。 • サーバー ホストの認証 • ユーザー認証のためのパスワードの暗号化 • Nortel SNAS 4050の情報の設定または収集で、ネットワーク上を送信さ れるすべてのトラフィックの暗号化 SSHアクセスの有効化と制限 Nortel SNAS 4050へのSSHアクセスは、デフォルトでは無効になっています。 しかし、セキュリティ ポリシーの重大度によっては、SSHアクセスを有効にす ることができます。また、SSHアクセスを少数の特定のマシンのみに制限 することができます。 SSHアクセスを有効にする方法については、 /cfg/sys/adm/ssh コマンドを 参照してください( ssh on|off を参照)。SSHアクセスを少数の特定のマシ ンのみに制限する方法については、「アクセス リストの設定」(221 ページ) を参照してください。 SSHクライアントの実行 Telnetと同様に、Nortel SNAS 4050でIPパラメータを事前に設定してから、SSH アクセスを有効にします。Nortel SNAS 4050のIPアドレスは、SSHアクセスを有 効にする前に設定しておく必要があります。有効なユーザー名およびパス ワードを入力すると、Telnetクライアントを使用する場合と同様に、Nortel SNAS 4050でCLIにアクセスできるようになります。ユーザー名およびパスワードが送 信される前に、セキュアで暗号化された通信チャネルがすでに設定されて いるので、Nortel SNAS 4050の情報の設定または収集では、ネットワーク上 を送信されるすべてのトラフィックは暗号化されます。各種のユーザー アカ ウントとそのデフォルト パスワードについては、「Nortel SNAS 4050クラスタ へのアクセス」(315 ページ)を参照してください。 Nortel SNAS 4050デバイスまたはクラスタの初期セットアップ中に、新しいSSH ホスト キーを生成するかどうかの選択肢が表示されます。SSHクライアントを使 用してNortel SNAS 4050に接続する際のセキュリティを強化するために、新し いSSHホスト キーを生成することを推奨します。使用しているSSHホスト キーが 信頼できない場合は、/cfg/sys/adm/sshkeys/generateコマンドを使用して任 意の時点で新しいホスト キーを作成することができます。新しいホスト キーを 生成した後にNortel SNAS 4050に再接続すると、ホストID(またはホスト キー) が変更されたことを示す警告がSSHクライアントに表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第15章 コマンド ライン インタフェースによるアクセス方法 315 Nortel SNAS 4050クラスタへのアクセス Nortel SNAS 4050の管理を容易にし、ユーザーの責任を明確にするため に、Nortel SNAS 4050クラスタにアクセスできるユーザーを5つのカテゴリに 分けています。 • オペレータには、このユーザーのアクセス レベルに見合ったメニューと情 報への読取り専用アクセスが許可されます。オペレータは設定に変更を 加えることはできません。 • 管理者は、Nortel SNAS 4050の設定を任意に変更することができます。し たがって、管理者はNortel SNAS 4050ソフトウェアのすべてのメニュー、情 報、設定コマンドに対する読取り書込みアクセス権を持ちます。 • 証明書管理者は、certadminグループのメンバです。証明書管理者は、証 明書と秘密キーを操作するのに十分なユーザー権限を持ちます。デフォ ルトでは、管理者ユーザーのみがcertadminグループのメンバです。証明 書管理者ユーザーの役割を管理者ユーザーの役割から分離するため に、管理者ユーザーはシステムに新しいユーザー アカウントを追加し、 certadminグループにはこの新しいユーザーを割り当て、管理者ユーザー 自身はcertadminグループから削除することができます。 詳細について は、「新しいユーザーの追加」(169 ページ)を参照してください。 • ブート ユーザーが実行できるのは、再インストールだけです。セキュリティ 上の理由から、ブート ユーザーがログオンできるのは、ターミナル エミュ レーション ソフトウェアを使用してコンソール ポートを経由する場合のみで す。デフォルトのブート ユーザーのパスワードは、 ForgetMe です。ブート ユーザーのパスワードは、デフォルトから変更することはできません。 • rootユーザーは、Linuxオペレーティング システムへの完全なアクセス権 を持ちます。セキュリティ上の理由から、rootユーザーとしてログオンで きるのは、ターミナル エミュレーション ソフトウェアを使用してコンソール ポートを経由する場合のみです。rootユーザーのアクセス権は、ノーテル のカスタマ サポートの指示に従って高度なトラブルシューティングを行 うためにのみ利用してください。 詳細については、「技術サポート」(17 ページ)を参照してください。 Nortel SNAS 4050のCLIと設定へのアクセスは、4つの定義済みのユーザー ア カウントとパスワードを使用して制御します。 コンソール接続またはリモート接 続(TelnetまたはSSH)を経由してNortel SNAS 4050に接続すると、ユーザー アカウント名とそれに対応するパスワードの入力を求められます。「表 28 ユーザー アクセス レベル」(316 ページ)に、各アクセス レベルのデフォルト のユーザー アカウントとパスワードを示します。 備考: 管理者ユーザーのデフォルト パスワードは、初期設定中 に変更することができます(「第2章 初期セットアップ」(35 ページ)を参照)。ただし、オペレータ ユーザー、ブート ユー ザー、rootユーザーの場合は、初期設定後でもデフォルト パスワードが使用されます。 したがって、オペレータとroot ユーザーのデフォルトのNortel SNAS 4050のパスワードは、 初期設定の直後に変更し、その後はネットワーク セキュリ ティ ポリシーに従って定期的に変更することを推奨します。 ユーザー アカウントのパスワードを変更する方法については、「パ スワードの変更」(174 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 316 第15章 コマンド ライン インタフェースによるアクセス方法 表 28 ユーザー アクセス レベル ユーザー アカウント ユーザー グループ oper oper オペレータには、一部のCLIのメニューと情 報への読取りアクセスが許可されます。 oper admin admin 管理者には、すべてのメニュー、情報、設 定コマンドへの読取り書込みアクセスが許 可されます。 admin oper アクセス レベルの説明 certadmin 管理者は、自分自身がメンバであるすべての グループに対してユーザーを追加することが できます。管理者は、他の組込みの3グルー プからユーザーを削除することができます。 certadmin デフォルトでは、管理者のみがcertadminグ ループのメンバです。 デフォルト パスワード certadminグループの権限は、Nortel SNAS 4050の証明書とキーを管理するのに十分な 権限です。証明書管理者ユーザーには、 SSL Serverメニューへのアクセスは許可され ず、Systemメニューへの制限付きアクセスの みが許可されます。 boot ブート ユーザーは、コンソール接続を経由し たソフトウェアの再インストールのみを実行 することができます。 ForgetMe root ルート ユーザーはLinuxオペレーティング システムへの完全なアクセス権を持ちます が、コンソール接続を経由したアクセスが必 要です。 ForgetMe CLIのMainメニューとセットアップ 管理者ユーザーのパスワードが確認されると、Nortel SNAS 4050への完全な アクセスが可能になります。Nortel SNAS 4050が工場出荷時のデフォルト設定 のままであると、システムはSetupを実行します(「第2章 初期セットアップ」(35 ページ)を参照)。このユーティリティは、はじめての設定プロセスを支援する ように設計されています。Nortel SNAS 4050がすでに設定済みの場合は、 CLIのMainメニューが表示されます。 「図22 管理者のMainメニュー」(317 ページ)に、管理者権限の場合のMain メニューを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第15章 コマンド ライン インタフェースによるアクセス方法 317 図22 管理者のMainメニュー コマンド ラインの履歴と編集 グローバル コマンド、ショートカット、およびコマンド ライン編集機能について は、「付録 A CLIリファレンス」(345 ページ)を参照してください。 アイドル タイムアウト Nortel SNAS 4050は、ローカル コンソール接続またはリモート接続(Telnetまた はSSH)で、アクティブではない状態が10分間続くと接続を切断します。この値 は、 /cfg/sys/adm/clitimeout コマンドを使用して、最大で1時間に変更する ことができます( clitimeout <interval> を参照)。 指定したアイドル タイムアウト間隔が経過して自動的に切断された場合は、未 適用の変更は失われます。したがって、グローバルの apply コマンドを使用し て、設定の変更を必ず定期的に保存しておく必要があります。 グローバルな exit コマンドを使用してコマンド ライン インタフェースからログア ウトしたときに、適用していなかった設定変更があった場合は、保留中の設定 変更についてグローバルなdiffコマンドを使用して再確認するように求めるプ ロンプトが表示されます。保留中の設定の変更を再確認したら、変更を適用 するか、 revert コマンドを使用して削除することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 318 第15章 コマンド ライン インタフェースによるアクセス方法 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 319 第 16 章 設定例 この章では、Nortel SNASの基本的な設定例について説明します。 この章では、以下のトピックについて説明します。 トピック 「シナリオ」(319 ページ) 「手順」(321 ページ) 「ネットワークDNSサーバーの設定」(321 ページ) 「ネットワークDHCPサーバーの設定」(322 ページ) 「ネットワーク コア ルーターの設定」(326 ページ) 「Ethernet Routing Switch 8300の設定」(326 ページ) 「Ethernet Routing Switch 5510の設定」(328 ページ) 「Nortel SNAS 4050の設定」(330 ページ) シナリオ 以下の例での基本的なNortel SNASネットワークは、1台のNortel SNAS 4050 デバイス、ネットワーク アクセス デバイスとして機能する2台のエッジ スイッチ (Ethernet Routing Switch 8300とEthernet Routing Switch 5510)、コア ルーター として機能するEthernet Routing Switch 8600、BCMコール サーバー、DNS サーバー、DHCPサーバー、Remediationサーバーで構成されるものとします。 エッジ スイッチは、レイヤ2モードで動作します。 「図23 基本構成」(320 ページ)に、ネットワーク構成を示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 320 第16章 設定例 図23 基本構成 「表 29 ネットワーク デバイス」(320 ページ)に、この環境に接続されるデバイ スについてのサマリと、対応するVLAN IDとIPアドレスを示します。 表 29 ネットワーク デバイス デバイス/サー ビス VLAN ID VLAN IPアドレ ス デバイスIPアドレ ス Ethernet Routing Switch 8600ポート DNS 20 10.20.20.1 10.20.20.2 1/1 DHCP 30 10.30.30.1 10.30.30.2 1/11 Nortel SNAS 4050 40 10.40.40.1 10.40.40.2(RIP) 10.40.40.3(MIP) 10.40.40.100 (pVIP) 1/7 Remediation サーバー 120 10.120.120.1 10.120.120.2 1/31 コール サー バー 50 10.11.11.1 10.11.11.254 1/23 「表 30 Ethernet Routing Switch 8300のVLAN」(320 ページ)に、Ethernet Routing Switch 8300のVLANを示します。 表 30 Ethernet Routing Switch 8300のVLAN VLAN VLAN ID Yellowサブネット Red 110 ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 VLAN VLAN ID Yellowサブネット Yellow 120 10.120.120.0/24 Green 130 ― VoIP 140 ― 321 「表 31 Ethernet Routing Switch 5510のVLAN」(321 ページ)に、Ethernet Routing Switch 5510のVLANを示します。 表 31 Ethernet Routing Switch 5510のVLAN VLAN VLAN ID Yellowサブネット Red 210 ― Yellow 220 10.120.120.0/24 Green 230 ― VoIP 240 ― 備考: 管理VLAN IDは、デフォルト(VLAN ID 1)です。 手順 1. 「ネットワークDNSサーバーの設定」(321 ページ) 2. 「ネットワークDHCPサーバーの設定」(322 ページ) 3. 「ネットワーク コア ルーターの設定」(326 ページ) 4. 「Ethernet Routing Switch 8300の設定」(326 ページ) 5. 「Ethernet Routing Switch 5510の設定」(328 ページ) 6. 「ネットワーク アクセス デバイスの追加」(332 ページ) ネットワークDNSサーバーの設定 Nortel SNAS 4050ドメインのフォワード ルックアップ ゾーンを作成します(「図 24 DNSフォワード ルックアップの設定」(322 ページ)を参照)。この例では、 ルックアップ ゾーンsac.comを作成します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 322 第16章 設定例 図24 DNSフォワード ルックアップの設定 ネットワークDHCPサーバーの設定 New Scope Wizardを使用してDHCPスコープを設定するには、次の操作を行 います(Windows 2000サーバーの場合)。 ステップ 操作 1 管理者のユーザー名とパスワードを使用して、サーバーにログイ ンします。 2 DHCP管理ユーティリティを起動します([スタート > プログラム > 管理ツール > DHCP])。 3 新しいDHCPスコープを作成します(「図25 新しいDHCPスコープ の作成」(323 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 323 図25 新しいDHCPスコープの作成 4 新しいスコープの意味を説明する名前を付けます(「図26 新しい DHCPスコープの命名」(323 ページ)を参照)。 この例では、Ethernet Routing Switch 8300にRed VLANのDHCPス コープを作成しています。このVLANのスコープ開始アドレスは 10.110.110.5で、終了アドレスは10.110.110.25です。作成するスコー プは、ネットワーク内のすべてのエンドポイント デバイスを収容でき るだけのIPアドレス範囲を持っている必要があります。 図26 新しいDHCPスコープの命名 5 DHCPスコープに、IPアドレスの範囲を指定します(「図27 IPアドレ スの範囲の指定」(324 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 324 第16章 設定例 図27 IPアドレスの範囲の指定 6 [Configure DHCP Options]ウィンドウの[Yes, I want to configure these options now]オプション ボタンを選択します (「図28 追加オプションの設定の選択」(324 ページ)を参照)。 図28 追加オプションの設定の選択 7 デフォルト ゲートウェイのIPアドレスを入力します(「図29 デフォル ト ゲートウェイの指定」(325 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 325 図29 デフォルト ゲートウェイの指定 8 DNSサーバーのIPアドレスを入力します(「図30 DNSサーバーの 指定」(325 ページ)を参照)。 図30 DNSサーバーの指定 備考: この設定例では、Nortel SNAS 4050はキャプティブ ポータルとして機能します。Red VLANスコープでは、 DNSサーバーはNortel SNAS 4050のポータル仮想IP アドレス(pVIP)を持つ必要があります。Yellow VLAN とGreen VLANのスコープでは、ネットワークで通常使 用されるDNSサーバーのIPアドレスを入力します。 9 ステップ3~8を、ネットワークのすべてのRed VLAN、Green VLAN、Yellow VLANについて繰り返します。 「図31 すべてのDHCPスコープを作成した後」(326 ページ)に、こ の例で使用するために作成したDHCPスコープを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 326 第16章 設定例 図31 すべてのDHCPスコープを作成した後 ― 終わり ― ネットワーク コア ルーターの設定 Nortel SNASネットワークのコア ルーターには、特別な要件はありません。ネッ トワークで使用するルーターの通常のマニュアルを参照してください。 ステップ 操作 1 Red、Yellow、Green、VoIP、およびNortel SNAS 4050管理VLAN を作成します。 VLANポート メンバを割り当てます。 この例では、エッジ スイッチはレイヤ2モードで動作するので、 アップリンク ポートで802.1qのタグ付けを有効にして、アップリン ク ポートが複数のVLANに参加できるようにしてから、ポートを 該当するVLANに追加します。 VLANのIPインタフェースを作成します。 エッジ スイッチはレイヤ2モードで動作するので、Red、Yellow、 Green、VoIP VLAN用にDHCPリレー エージェントを設定します。 ルーター上でshowコマンドを実行し、DHCPリレーがアクティブ になっていて、各VLANの正しいスコープに到達できることを確 認します。 2 3 4 ― 終わり ― Ethernet Routing Switch 8300の設定 この設定手順では、以下の前提条件を仮定しています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 327 • 現在ネットワーク内に設定されていないインストール済みのスイッチから 開始する。 • Software Release 2.2.8がインストールされている。 • 基本的なスイッチ接続機能を設定済みである。 • スイッチの初期化は済んでおり、設定を受け入れる準備が完了している。 • デバイスの設定はこれまでの説明どおりに完了している。 手順 Nortel SNASネットワーク用にEthernet Routing Switch 8300を設定するには、以 下の操作を行います。 1. 「SSHの有効化」(327 ページ) 2. 「Nortel SNAS 4050 pVIPサブネットの設定」(327 ページ) 3. 「ポート ベースVLANの作成」(327 ページ) 4. 「VoIP VLANの設定」(327 ページ) 5. 「Red、Yellow、Green VLANの設定」(327 ページ) 6. 「NSNAアップリンク フィルタの設定」(328 ページ) 7. 「NSNAポートの設定」(328 ページ) 8. 「NSNAのグローバルな有効化」(328 ページ) SSHの有効化 Passport8310:5# config bootconfig flags ssh true Passport8310:5# config sys set ssh enable true Passport8310:5# config loadmodule 3DES /flash/P83C2280.IMG 備考: 3DESモジュールの代わりに、AES暗号化モジュールを使用す ることもできます。 Nortel SNAS 4050 pVIPサブネットの設定 Passport8310:5# config nsna nsnas 10.40.40.0/24 add ポート ベースVLANの作成 Passport8310:5# Passport8310:5# Passport8310:5# Passport8310:5# config config config config vlan vlan vlan vlan 110 120 130 140 create create create create byport byport byport byport 1 1 1 1 VoIP VLANの設定 Passport8310:5# config vlan 140 nsna color voip Red、Yellow、Green VLANの設定 Passport8310:5# config vlan 110 nsna color red filterid 310 Passport8310:5# config vlan 120 nsna color yellow filterid 320 yellowsubnetip 10.120.120.0/24 Passport8310:5# config vlan 130 nsna color green filterid 330 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 328 第16章 設定例 NSNAアップリンク フィルタの設定 Passport8310:6# config filter acl 100 Passport8310:6/config# filter acl 100 ace 1 create Passport8310:6# config filter acl 100 ace 1 action fwd2cpu precedence 1 Passport8310:6# config filter acl 100 ace 1 ip ipfragment nonfragments Passport8310:6# config filter acl 100 Passport8310:6# config filter acl 100 ace 1 port dstport bootpddhcp Passport8310:6# config filter acl 100 Passport8310:6# config filter acg 100 create ip aclname "dhcp" ace 1 protocol udp eq any ace default action permit create 100 acgname "uplink" Passport8310:6# config ethernet <slot/port> filter create 100 NSNAポートの設定 アップリンク ポートを追加します。 Passport8310:6# config ethernet 1/48 nsna uplink uplinkvlans 110,120,130,140 クライアント ポートを追加します。 Passport8310:5# config ethernet 1/161/17 nsna dynamic NSNAのグローバルな有効化 Passport8310:5# config nsna state enable Ethernet Routing Switch 5510の設定 以下の設定例では、以下の前提条件を仮定しています。 • 現在ネットワーク内に設定されていないインストール済みのスイッチから 開始する。 • Software Release 4.3がインストールされている。 • 基本的なスイッチ接続機能が設定済みである。 • スイッチの初期化は済んでおり、設定を受け入れる準備が完了している。 • デバイスの設定はこれまでの説明どおりに完了している。 手順 Nortel SNASネットワーク用にEthernet Routing Switch 5510を設定するには、以 下の操作を行います。 1. 「スイッチのIPアドレスの設定」(329 ページ) 2. 「SSHの設定」(329 ページ) 3. 「Nortel SNAS 4050 pVIPサブネットの設定」(327 ページ) 4. 「ポート ベースVLANの作成」(329 ページ) 5. 「VoIP VLANの設定」(329 ページ) Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 6. 「Red、Yellow、Green VLANの設定」(329 ページ) 7. 「ログイン ドメイン コントローラのフィルタの設定」(329 ページ) 8. 「NSNAポートの設定」(330 ページ) 9. 「NSNAのグローバルな有効化」(330 ページ) 329 スイッチのIPアドレスの設定 551048T(config)# ip address 10.200.200.20 netmask 255.255.255.0 551048T(config)# ip defaultgateway 10.200.200.10 SSHの設定 この例では、Nortel SNAS 4050の公開キーは、TFTPサーバー(10.20.20.20)に アップロード済みであると仮定しています。 551048T(config)# ssh downloadauthkey address 10.20.20.20 keyname sac_key.1.pub 551048T(config)# ssh Nortel SNAS 4050 pVIPサブネットの設定 551048T(config)# nsna nsnas 10.40.40.0/24 ポート ベースVLANの作成 551048T(config)# 551048T(config)# 551048T(config)# 551048T(config)# vlan vlan vlan vlan create create create create 210 220 230 240 type type type type port port port port VoIP VLANの設定 551048T(config)# nsna vlan 240 color voip Red、Yellow、Green VLANの設定 551048T(config)# nsna vlan 210 color red filter red 551048T(config)# nsna vlan 220 color yellow filter yellow yellowsubnet 10.120.120.0/24 551048T(config)# nsna vlan 230 color green filter green ログイン ドメイン コントローラのフィルタの設定 備考: この手順はオプションです。 PCクライアントは、設定したログイン ドメイン コントローラにアク セス可能であることが必要です(ログイン ドメイン コントローラ を使用するクライアントは、そのコントローラにpingが通ずるこ とが必要です)。 551048T(config)# qos nsna classifier name RED dstip 10.200.2.12/32 ethertype 0x0800 dropaction disable block winsprimsec evalorder 70 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 330 第16章 設定例 551048T(config)# qos nsna classifier name RED dstip 10.200.224.184/32 ethertype 0x0800 dropaction disable block winsprimsec evalorder 71 NSNAポートの設定 アップリンク ポートを追加します。 551048T(config)# interface fastEthernet 20 551048T(configif)# nsna uplink vlans 210,220,230,240 551048T(configif)# exit クライアント ポートを追加します。 551048T(config)# interface fastEthernet 35 551048T(configif)# nsna dynamic voipvlans 240 551048T(configif)# exit NSNAのグローバルな有効化 551048T(config)# nsna enable Nortel SNAS 4050の設定 Nortel SNAS 4050を設定するには、以下の操作を行います。 1. 「初期セットアップの実行」(330 ページ) 2. 「初期セットアップの終了」(331 ページ) 3. 「ネットワーク アクセス デバイスの追加」(332 ページ) 4. 「VLANのマッピング」(333 ページ) 5. 「ネットワーク アクセス デバイスの有効化」(334 ページ) 初期セットアップの実行 Nortel SNAS 4050デバイスへのコンソール接続を確立します。システムの起動 時に、Setupユーティリティが自動的に起動します。 Alteon iSD NSNAS Hardware platform: 4050 Software version: x.x [Setup Menu] join Join an existing cluster new Initialize host as a new installation boot Boot menu info Information menu exit Exit [global command, always available] >> Setup# new Setup will guide you through the initial configuration. Enter port number for the management interface [14]: 1 Enter IP address for this machine (on management interface): 10.40.40.2 Enter network mask [255.255.255.0]: <mask> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 331 Enter VLAN tag id (or zero for no VLAN) [0]: Enter default gateway IP address (or blank to skip): 10.40.40.1 Enter the Management IP (MIP) address: 10.40.40.3 Making sure the MIP does not exist...ok Trying to contact gateway...ok Enter a timezone or ’select’ [select]: America/Los_Angeles Enter the current date (YYYYMMDD) [20050502]: Enter the current time (HH:MM:SS) [19:14:52]: Enter NTP server address (or blank to skip): Enter DNS server address (or blank to skip): 10.20.20.2 Generate new SSH host keys (yes/no) [yes]: This may take a few seconds...ok Enter a password for the "admin" user: Reenter to confirm: Run NSNAS quick setup wizard [yes]: Creating default networks under /cfg/domain 1/aaa/ network Enter NSNAS Portal Virtual IP address(pvip): 10.40.40.100 Enter NSNAS Domain name: Domain1 Enter comma separated DNS search list (eg company.com,intranet.company.com): Create http to https redirect server [no]: Use restricted (teardown/restricted) action for TunnelGuard failure? [yes]: Create default tunnel guard user [no]: yes Using ’restricted’ action for TunnelGuard failure. User name: tg User password: tg Creating client filter ’tg_passed’. Creating client filter ’tg_failed’. Creating linkset ’tg_passed’. Creating linkset ’tg_failed’. Creating group ’tunnelguard’ with secure access. Creating extended profile, full access when tg_passed Enter green vlan id [110]: 130 Creating extended profile, remediation access when tg_failed Enter yellow vlan id [120]: Creating user ’tg’ in group ’tunnelguard’. Initializing system......ok Setup successful.Relogin to configure. 初期セットアップの終了 セキュアな管理通信のためにSSHを有効にします(SREMに必要)。 >> Main# cfg/sys/adm/ssh on SRS管理を有効にします。 >> Main# cfg/sys/adm/srsadmin/ena ネットワーク アクセス デバイスとの通信用に、SSHキーを生成してアクティ ブにします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 332 第16章 設定例 >> Main# cfg/domain 1/sshkey/generate Generating new SSH key, this operation takes a few seconds... done. Apply to activate. >> NSNAS SSH key# apply テスト用のSRSルールを作成し、それをtunnelguardグループに指定します。 >> Group 1# /cfg/domain 1/aaa/tg/quick In the event that the TunnelGuard checks fails on a client, the session can be teardown, or left in restricted mode with limited access. Which action do you want to use for TunnelGuard failure? (teardown/restricted) [restricted]: Do you want to create a tunnelguard test user? (yes/no) [yes]: no Using existing tg_passed filter Using existing tg_failed filter Using existing tg_passed linkset Using existing tg_failed linkset Adding test SRS rule srsruletest This rule check for the presence of the file C:\tunnelguard\tg.txt Using existing tg_passed filter Use ’diff’ to view pending changes, and ’apply’ to commit >> TG# ../group 1/tgsrs srsruletest >> Group 1# apply ネットワーク アクセス デバイスの追加 この例では、Ethernet Routing Switch 8300を手動で追加し、Ethernet Routing Switch 5510をクイック スイッチ ウィザードを使用して追加します。いずれの 場合でも、この例では、スイッチは追加時には到達可能ではないと仮定しま す。したがって、Nortel SNAS 4050は、スイッチのSSH公開キーを自動的に 検索することはできません。 Ethernet Routing Switch 8300の追加 スイッチを手動で追加します。 >> Main# cfg/domain 1/switch 1 Creating Switch 1 Enter name of the switch: Switch1_ERS8300 Enter the type of the switch (ERS8300/ERS5500): ERS8300 Enter IP address of the switch: 10.200.200.5 NSNA communication port[5000]: Enter VLAN Id of the Red VLAN: 110 Entering: SSH Key menu Enter username: rwa Leaving: SSH Key menu [Switch 1 Menu] name Set Switch name Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第16章 設定例 333 type Set Type of the switch ip Set IP address port Set NSNA communication port hlthchk Health check intervals for switch vlan Vlan menu rvid Set Red VLAN Id sshkey SSH Key menu reset Reset all the ports on a switch ena Enable switch dis Disable switch delete Remove Switch Error: Failed to retrieve host key >> Switch 1# apply Changes applied successfully. Nortel SNAS 4050のSSH公開キーをEthernet Routing Switch 8300にエク スポートします。 >> Switch 1# sshkey/export スイッチからSSH公開キーをインポートします。 >> SSH Key# import Ethernet Routing Switch 5510の追加 クイック スイッチ ウィザードを使用します。 >> Main# cfg/domain 1/quick Enter the type of the switch (ERS8300/ERS5500) [ERS8300]: ERS55 IP address of Switch: 10.200.200.20 NSNA communication port[5000]: Trying to retrieve fingerprint...failed. Error: "Failed to retrieve host key" Do you want to add ssh key?(yes/no) [no]: Red vlan id of Switch: 210 Creating Switch 2 Use apply to activate the new Switch. >> Domain 1# Nortel SNAS 4050のSSH公開キーをTFTPサーバーにエクスポートして、 Ethernet Routing Switch 5500で手動で検索できるようにします。 >> Main# cfg/domain 1/sshkey/export tftp 10.20.20.20 sac_key.1.pub スイッチからSSH公開キーをインポートします。 >> Main# cfg/domain 1/switch 2/sshkey/import VLANのマッピング この例では、Ethernet Routing Switch 8300(Switch 1)で定義されるVLANは、 Switch 1が独占的に使用するが、Ethernet Routing Switch 5510(Switch 2)で定 義されるVLANのVLAN IDは、将来ドメインに追加される他のエッジ スイッチ も使用するものと仮定します。したがって、Switch 1のVLANマッピングは、 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 334 第16章 設定例 スイッチ レベルのコマンドで設定し、Switch 2のVLANマッピングはドメイ ン レベルのコマンドで設定します。 >> Main# cfg/domain 1/switch 1/vlan/add yellow 120 >> Switch Vlan# add green 130 >> Switch Vlan# ../../vlan/add yellow 220 >> Domain Vlan# add green 230 >> Domain Vlan# apply Changes applied successfully. ネットワーク アクセス デバイスの有効化 >> Main# cfg/domain 1/switch 1/ena >> Switch 1# ../switch 2/ena >> Switch 2# apply Changes applied successfully. Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 335 第 17 章 トラブルシューティング この章では、以下のトピックについて説明します。 トピック 「トラブルシューティングのヒント」(335 ページ) 「トレース ツール」(340 ページ) 「システム診断」(341 ページ) トラブルシューティングのヒント この章では、以下の問題に対するトラブルシューティングのヒントを紹介します。 • 「TelnetまたはSSHを使用して、Nortel SNAS 4050に接続できない」(335 ページ) • 「Nortel SNAS 4050をクラスタに追加できない」(337 ページ) • 「MIPに接続できない」(338 ページ) • 「Nortel SNAS 4050が応答しない」(338 ページ) • 「ユーザー パスワードを紛失した」(339 ページ) • 「ユーザーがNortel SNAS 4050ドメインへの接続に失敗する」(340 ページ) TelnetまたはSSHを使用して、Nortel SNAS 4050に接続できない 現在の設定の確認 コンソール接続を使用して接続し、Nortel SNAS 4050へのTelnetまたはSSHで のアクセスが有効になっているかどうかを調べます。セキュリティ上の理由か ら、デフォルトでは、Nortel SNAS 4050へのリモート接続は無効になっていま す。 /cfg/sys/adm/cur コマンドを入力して、TelnetまたはSSHでのリモート アク セスが有効になっているかどうかを確認します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 336 第17章 トラブルシューティング >> Main# /cfg/sys/adm/cur Collecting data, please wait... Administrative Applications: CLI idle timeout = 1h Telnet CLI access = off SSH CLI access = off TelnetまたはSSHのアクセスの有効化 セキュリティ ポリシーでNortel SNAS 4050へのリモート接続を許可している 場合は、 /cfg/sys/adm/telnet コマンドを入力してTelnetアクセスを有効に するか、または /cfg/sys/adm/ssh コマンドを入力してSSHアクセスを有効に します。設定の変更を適用します。 >> Main# /cfg/sys/adm/ssh Current value: off Allow SSH CLI access (on/off): on >> Administrative Applications# apply Changes applied successfully. アクセス リストの確認 TelnetまたはSSHのアクセスが有効になっているのに、TelnetまたはSSHのクラ イアントでNortel SNAS 4050に接続することができない場合は、アクセス リスト にホストが追加されているかどうかを確認します。 /cfg/sys/accesslist/list コマンドを入力して、現在のアクセス リストを表示します。 >> Main# /cfg/sys/accesslist/list 1: 192.168.128.78, 255.255.255.0 TelnetまたはSSHのアクセスが有効になっているときには、アクセス リストに含 まれるホストのみがネットワーク経由でNortel SNAS 4050にアクセスすることが できます。 アクセス リストにホストが1つもリストされていない場合、それはすべ てのホストにネットワーク経由のNortel SNAS 4050アクセスが許可されているこ とを意味します(TelnetまたはSSHのアクセスが有効になっている場合)。 アクセス リストにエントリはあるが、使用するホストがリストされていない場合 は、 /cfg/sys/accesslist/add コマンドを使用してそのホストをアクセス リスト に追加します。 IPアドレスの設定の確認 使用するホストがアクセス リストにあって、ネットワーク経由でNortel SNAS 4050にアクセスできる場合は、Nortel SNAS 4050に正しいIPアドレスが設定 されているかどうかを確認します。 Nortel SNAS 4050が属するクラスタの管理IP(MIP)ではなく、そのNortel SNAS 4050のホストIPアドレス(RIP)に対してpingを実行する必要があります。 /cfg/cur sys コマンドを入力して、クラスタ内のすべてのNortel SNAS 4050デ バイスのIPアドレス情報を表示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第17章 トラブルシューティング 337 >> # /cfg/cur sys System: Management IP (MIP) address = 192.168.128.211 iSD Host 1: Type of the iSD = master IP address = 10.1.82.145 License = IPSEC user sessions: 10 TPS: unlimited SSL user sessions: 10 Default gateway address = 10.1.82.2 Ports = 1 : 2 Hardware platform = 200 Host Routes: No items configured Host Interface 1: IP address = 192.168.128.210 Network mask = 255.255.255.0 VLAN tag id = 0 Mode = failover Primary port = 0 Interface Ports: 1 Host Port 1: Nortel SNAS 4050に割り当てられているIPアドレスが正しい場合は、ルーティ ングに問題があることが考えられます。traceroute(任意のメニュー プロンプト で使用できるグローバル コマンド)または tcpdump コマンド(あるいは他のネット ワーク解析ツール)を実行して、問題を見つけます。tcpdumpコマンドの詳細に ついては、「SSLトラフィックのトレース」(83 ページ)を参照してください。 それでも問題が解決しない場合は、ノーテルの技術サポート担当に問い合わ せてください。「技術サポート」(17 ページ)を参照してください。 Nortel SNAS 4050をクラスタに追加できない Setupメニューの join を選択して、Nortel SNAS 4050デバイスをクラスタに追加 しようとしたときに、互換性のないソフトウェア バージョンをシステムが実行して いることを示すエラー メッセージが表示されることがあります。 エラー メッセージに示された互換性のないソフトウェア バージョンは、クラスタ に追加しようとしているNortel SNAS 4050デバイスで動作しているソフトウェア です。このエラー メッセージは、追加しようとしているNortel SNAS 4050に、クラ スタ内の既存のNortel SNAS 4050とは異なるソフトウェア バージョンがある場 合に表示されます。このような場合は、次のいずれかを行う必要があります。 • クラスタに追加しようとしているNortel SNAS 4050デバイスのソフトウェア バージョンを、クラスタ内ですでに動作しているNortel SNAS 4050のソフト ウェア バージョンと同じにします。現在のソフトウェア バージョンを表示す るには、 /boot/software/cur コマンドを使用します。アクティブなソフト ウェア バージョンは、 permanent で示されます。 クラスタに追加するNortel SNAS 4050デバイスのソフトウェア バージョン を、新しいソフトウェア バージョンにアップグレードするか、古いソフト ウェア バージョンに戻します。いずれの場合にも、「ソフトウェアの再イ ンストール」(308 ページ)で説明している手順を実行します。ソフトウェ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 338 第17章 トラブルシューティング ア バージョンを変更した後で、管理者ユーザーとしてログオンし、Setup メニューから join を選択します。 • クラスタ内のNortel SNAS 4050デバイスで動作しているソフトウェア バー ジョンをアップグレードして、クラスタに追加するNortel SNAS 4050で動作 しているバージョンと同じにします。「マイナー/メジャー リリース アップグ レードの実行」(304 ページ)で説明した手順を実行します。次に、Setupメ ニューから join を選択して、Nortel SNAS 4050デバイスを追加します。 MIPに接続できない Setupメニューの join を選択して、Nortel SNAS 4050をクラスタに追加しようとし たときに、システムが管理IPアドレス(MIP)に接続できないことを示すエラー メッセージが表示されることがあります。 この問題は、アクセス リストに既存のエントリがあることが原因と考えられます。 TelnetまたはSSHのアクセスが有効になっている場合は、アクセス リストに含ま れるホストのみがネットワーク経由でNortel SNAS 4050にアクセスすることがで きます。 アクセス リストにホストがひとつもリストされていない場合、それはすべ てのホストにネットワーク経由のNortel SNAS 4050アクセスが許可されているこ とを意味します(TelnetまたはSSHのアクセスが有効になっている場合)。 アクセス リストにエントリがある場合は、両方のNortel SNAS 4050デバイスの Interface 1のIPアドレスと、管理IPアドレス(MIP)をアクセス リストに追加してか ら、追加を試みる必要があります。 アクセス リストの確認 クラスタ内の既存のNortel SNAS 4050デバイスで、アクセス リストに追加され ているホストがあるかどうかを調べます。 /cfg/sys/accesslist/list コマンド を入力して、現在のアクセス リストを表示します。 >> Main# /cfg/sys/accesslist/list 1: 192.168.128.78, 255.255.255.0 アクセス リストへのInterface 1のIPアドレスとMIPの追加 /cfg/cur sys コマンドを使用して、既存のNortel SNAS 4050のHost Interface 1 のIPアドレスを表示します。次に、 /cfg/sys/accesslist/add コマンドを使用し て、このIPアドレス、新しいNortel SNAS 4050で使用するInterface 1のIPアド レス、およびMIPをアクセス リストに追加します。 >> Main# /cfg/sys/accesslist/add Enter network address: <IP address> Enter netmask: <network mask> Setupメニューの join コマンドを使用して、もう一度Nortel SNAS 4050のクラ スタへの追加を試みます。 Nortel SNAS 4050が応答しない MIPへのTelnetまたはSSHの接続 MIPへのTelnetまたはSSHの接続を使用して、Nortel SNAS 4050デバイスのク ラスタに接続している場合は、クラスタ内の少なくとも1つのマスタNortel SNAS 4050が稼働している限り、クラスタへの接続は保証されます。ただし、接続中 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第17章 トラブルシューティング 339 に、現在MIPを制御しているNortel SNAS 4050が応答を停止した場合は、 TelnetまたはSSHの接続を終了して、そのMIPに接続し直す必要があります。 接続し直したら、 /info/contlis コマンドを入力して、クラスタ内のすべての Nortel SNAS 4050デバイスの動作ステータスを表示します。動作ステータスが ダウンを示しているNortel SNAS 4050が1つでもあれば、そのマシンをリブート します。Nortel SNAS 4050デバイスの背面パネルの電源ボタンを押してマシン の電源を切り、ファンが完全に停止するまで待ってから、もう一度電源ボタン を押してマシンの電源を入れます。 ログオン プロンプトが表示されたら管理者ユーザーとしてログオンし、動作 ステータスをもう一度確認します。 コンソール接続 コンソール接続で特定のNortel SNAS 4050デバイスに接続していて、その デバイスが応答しない場合は、まず[Ctrl+^]のキーの組合わせを入力し、 次に[Enter]キーを押します。そのようにすると、ログイン プロンプトが表示 されます。管理者ユーザーとしてログオンし、Nortel SNAS 4050の動作ス テータスを確認します。コマンド /info/contlist を入力して、デバイスの動 作ステータスを表示します。 Nortel SNAS 4050の動作ステータスがdownと表示されている場合は、 /boot/reboot コマンドを入力してデバイスをリブートします。実際にリブートが 実行される前に、アクションの確認を求めるプロンプトが表示されます。管理者 ユーザーとしてログオンし、 /info/contlist コマンドを使用して、Nortel SNAS 4050の動作ステータスがupになったことを確認します。 Nortel SNAS 4050の動作ステータスがそれでもdownのままの場合は、マシン をリブートします。デバイスの背面パネルの電源ボタンを押してマシンの電 源を切り、ファンが完全に停止するまで待ってから、もう一度電源ボタンを 押してマシンの電源を入れます。ログイン プロンプトが表示されたら、管理 者ユーザーとしてログオンします。 ユーザー パスワードを紛失した システム ユーザーのパスワードには、次の4種類があります。 • 「管理者ユーザーのパスワード」(339 ページ) • 「オペレータ ユーザーのパスワード」(340 ページ) • 「rootユーザーのパスワード」(340 ページ) • 「ブート ユーザーのパスワード」(340 ページ) 管理者ユーザーのパスワード 管理者ユーザーのパスワードを紛失した場合、管理者ユーザーとしてのNortel SNAS 4050へのアクセス権を再取得するには、ブート ユーザーとして、コン ソール接続を使用してソフトウェアをインストールし直すしかありません。 詳細については、「ソフトウェアの再インストール」(308 ページ)を参照し てください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 340 第17章 トラブルシューティング オペレータ ユーザーのパスワード オペレータ ユーザーのパスワードを紛失した場合は、管理者ユーザーとしてロ グインし、新しいオペレータ ユーザーのパスワードを定義します。管理者ユー ザーのみが、オペレータ ユーザーのパスワードを変更することができます。 詳細については、「他のユーザーのパスワードの変更」(175 ページ)を参 照してください。 rootユーザーのパスワード rootユーザーのパスワードを紛失した場合は、管理者ユーザーとしてログイン し、新しいrootユーザーのパスワードを定義します。管理者ユーザーのみが、 rootユーザーのパスワードを変更することができます。 詳細については、「他 のユーザーのパスワードの変更」(175 ページ)を参照してください。 ブート ユーザーのパスワード デフォルトのブート ユーザーのパスワードは変更できないため、実際に「紛失 する」ことはありません。ブート ユーザーのパスワードを忘れた場合は、「Nortel SNAS 4050クラスタへのアクセス」(315 ページ)を参照してください。 ブート ユーザーのパスワードを変更することができないのは、管理者パスワー ドとブート ユーザーのパスワードの両方を紛失した場合に、Nortel SNAS 4050 にオペレータを除くすべてのユーザーがまったくアクセスできなくなるからで す。オペレータのアクセス レベルでは、設定を変更することはできません。 ブート ユーザーのパスワードが変更できないようにしてあるのは、セキュリティ 対策ではありません。シリアル ケーブルを使用したコンソール接続でNortel SNAS 4050にアクセスできるのはブート ユーザーのみであり、Nortel SNAS 4050デバイスはアクセスが制限されているサーバー ルームでセットアップする ことが前提になっているからです。 ユーザーがNortel SNAS 4050ドメインへの接続に失敗する ユーザーがNortel SNAS 4050ドメインでの認証に合格せず、クライアント接続 が確立できないときによくある原因は、以下のとおりです。 • ユーザー名またはパスワードが正しくない。 • 設定されている認証サーバーに到達できない。 • 認証サーバーから検索したグループ名がNortel SNAS 4050上に存在 しない。 トレース ツール /maint/starttrace コマンドを使用して、認証などの特定のプロセスに含ま れる各種の手順をトレースします。 >> Main# maint/starttrace Enter tags (list of all,aaa,dns,ssl,tg,snas) [all]: aaa,ssl Enter Domain (or 0 for all Domains) [0]: Output mode (interactive/tftp/ftp/sftp) [interactive]: starttrace コマンドと、トレースで指定できるタグ、利用できる出力モードの詳 細については、「保守の実行」(293 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第17章 トラブルシューティング 341 「表 32 traceコマンドの出力例」(341 ページ)に、各種のタグの出力例を示 します。 表 32 traceコマンドの出力例 タグ 説明 出力例 aaa 認証方式、ユー ザー名、グルー プ、プロファイル のログが記録され ます。 >> Maintenance# 12:54:08.875111: Trace started 12:54:28.834571 10.1.82.145 (1) aaa: "local user db Accept 1:john with groups ["trusted"]" 12:54:28.835144 10.1.82.145 (1) aaa: "final groups for user: john groups: trusted:<base> " 12:54:29.917926 10.1.82.145 (1) aaa: "new groups for user: john groups: trusted:<base> " dns セッション中に失 敗したDNSルック アップのログが記 録されます。 >> Maintenance# 13:00:09.868682 10.1.82.145 (1) dns: "Failed to lookup www.example.com in DNS (DNS domain name does not exist)" ssl SSLハンドシェー ク手順に関連す る情報(たとえば、 使用している暗 号)のログが記録 されます。 >> Maintenance# 13:15:55.985432: Trace started 13:16:26.808831 10.1.82.145 (1) ssl: "SSL accept done, cipher is RC4MD5" 13:16:28.802199 10.1.82.145 (1) ssl: "SSL accept done, cipher is RC4MD5" 13:16:29.012856 10.1.82.145 (1) ssl: done, cipher is RC4MD5" TunnelGuard チェックに関連 する情報(たとえ ば、SRSルールの チェック結果)の ログが記録されま す。 >> Maintenance# 13:27:50.715545: Trace started 13:27:54.976137 10.1.82.145 (1) tg: "ssl user john[192.168.128.19] starting tunnelguard ssl session" 13:28:17.204049 10.1.82.145 (1) tg: "ssl user john[192.168.128.19] agent authentication ok" 13:28:18.807447 10.1.82.145 (1) tg: "user john[192.168.128.19] SRS checks ok, open session" tg "SSL accept トレースを無効にするには、[Enter]キーを押してMaintenanceメニューのプロン プトを表示し、 stoptrace を入力します。 システム診断 ここでは、役に立つ診断表示コマンドについて説明します。この種のコマンド の詳細については、「付録 A CLIリファレンス」(345 ページ)にメニューご とにアルファベット順で示してあるリストを使用して、このガイドで詳しく説明 している箇所を参照してください。 インストール済みの証明書 現在インストールされている証明書を表示するには、次のコマンドを使用 します。 >> Main# /info/certs 特定の証明書についての詳細情報を表示するには、Certificateメニューにアク セスし、必要な証明書をインデックス番号で指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 342 第17章 トラブルシューティング >> Main# /cfg/cert Enter certificate number: >> Certificate 1# show (1) <certificate number by index> ネットワークの診断 Nortel SNAS 4050が、設定されているネットワーク アクセス デバイス、ルー ター、DNSサーバー、認証サーバー、およびグループ リンクで指定されて いるIPアドレスやドメイン名に接続できるかどうかを確認するには、次のコ マンドを使用します。 >> Main# /maint/chkcfg 画面出力に、設定されている各ネットワーク エレメントについての情報と、それ らがネットワーク テストに成功したかどうかが表示されます。接続を確認した手 段(たとえば、ping)も表示されます。 特定のNortel SNAS 4050のネットワーク設定をチェックするには、次のコマンド を使用して、Cluster Hostメニューにアクセスします。 >> Main# /cfg/sys/host <host by index number> >> Cluster Host 1# cur 接続しているクラスタについての一般的なネットワーク設定をチェックする には、次のコマンドを使用します。 >> Main# /cfg/sys/cur 画面出力に、MIP、DNSサーバー、クラスタ内のNortel SNAS 4050ホスト、 syslogサーバー、およびNTPサーバーについての情報が表示されます。 Nortel SNAS 4050がネットワーク トラフィックを受信しているかどうかをチェック するには、次のコマンドを使用します。 >> Main# /stats/dump 画面出力に、現在アクティブな要求セッション、完了した要求セッションの総 数、および設定されている仮想SSLサーバーのSSL統計情報が表示されます。 ローカルEthernetネットワーク インタフェース カードの統計情報をチェックする には、次のコマンドを入力します。 >> Main# /info/ethernet 画面出力に、送受信したパケットの合計数、パケット送受信時のエラーの数、 およびエラーのタイプ(たとえば、廃棄したパケット、オーバーラン パケット、 形式が誤っていたパケット、パケットの衝突、キャリアの喪失)などの情報が 表示されます。 仮想サーバーがNortel SNAS 4050上で動作しているかどうかをチェックするに は、任意のメニュー プロンプトに対して次のコマンドを入力します。 >> Main# ping <IP address of virtual server> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 第17章 トラブルシューティング 343 クライアントと仮想SSLサーバー間のTCPトラフィックを取得して解析する には、次のコマンドを使用します。 >> Main# /cfg/domain 1/server/trace/tcpdump クライアントとポータル サーバー間の復号化されたSSLトラフィックを取得して 解析するには、次のコマンドを使用します。 >> Main# /cfg/domain 1/server/trace/ssldump アクティブなアラームとイベント ログ ファイル 起動されたアクティブなアラームを表示するには、次のコマンドを入力します。 >> Main# /info/events/alarms イベント ログ ファイルをFTP/TFTP/SFTPサーバーに保存するには、次のコ マンドを入力します。 >> Main# /info/events/download FTP/TFTP/SFTPサーバーのIPアドレスまたはホスト名、およびファイル名を指 定する必要があります。イベント ログ ファイルを保存した後、FTP/TFTP/SFTP サーバーに接続してファイルの内容を確認します。 エラー ログ ファイル Nortel SNAS 4050がsyslogサーバーを使用するように設定してある場合、Nortel SNAS 4050は、指定したsyslogサーバーにログ メッセージを送信します。UNIX syslogデーモンの設定方法については、UNIXでsyslogのマンページを参照し てください。Nortel SNAS 4050がsyslogサーバーを使用するように設定する方 法については、「syslogサーバーの設定」(227 ページ)を参照してください。 /maint/dumplogs コマンドを使用することもできます。このコマンドは、接続 しているNortel SNAS 4050(または、オプションで、クラスタ内のすべての Nortel SNAS 4050デバイス)からシステム ログ ファイル情報を収集し、指定し たTFTP/FTP/SFTPサーバー上のgzip圧縮tar形式のファイルに送信します。 この情報は、技術サポートに使用できます。TFTP/FTP/SFTPサーバーに送 信される情報には、証明書や秘密キーなどの、システム設定に関連する機 密性の高い情報は含まれません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 344 第17章 トラブルシューティング Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 345 付録 A CLIリファレンス コマンド ライン インタフェース(CLI)を使用すると、システム情報や統計情 報を表示することができます。管理者は、CLIを使用してNortel SNAS 4050 システム、ソフトウェア、およびシステム内の個々のデバイスを設定すること ができます。 この付録は、以下のトピックで構成されています。 トピック 「CLIの使用法」(345 ページ) 「グローバル コマンド」(346 ページ) 「コマンド ラインの履歴と編集」(348 ページ) 「CLIのショートカット」(349 ページ) 「コマンドでのスラッシュとスペースの使用」(351 ページ) 「IPアドレスとネットワーク マスクの形式」(351 ページ) 「変数」(352 ページ) 「CLI Mainメニュー」(353 ページ) 「CLIコマンド リファレンス」(353 ページ) 「Informationメニュー」(354 ページ) 「Statisticsメニュー」(355 ページ) 「Configurationメニュー」(356 ページ) 「Bootメニュー」(380 ページ) 「Maintenanceメニュー」(380 ページ) CLIの使用法 CLIコマンドは、一連のメニューとサブメニューで構成されています(「CLI Mainメニュー」(353 ページ)を参照)。メニューごとに、利用できるコマンドと各 コマンドの機能の要約のリストが表示されます。 各メニューのプロンプトに対して、メニュー コマンドを入力することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 346 付録 A CLIリファレンス グローバル コマンド 基本的なコマンドは、メニューのすべての階層で使用することができます。 「表 33 グローバル コマンド」(346 ページ)のグローバル コマンドを使用す ると、オンライン ヘルプの表示、メニューのナビゲート、設定変更の適用と 保存を行うことができます。 表 33 グローバル コマンド コマンド アクション help グローバル コマンドのサマリを表示します。 help <command> コマンド ライン インタフェースの特定のコマンドについての ヘルプを表示します。 . 現在のメニューを表示します。 print 現在のメニューを表示します。 .. メニュー階層で1つ上のレベルに進みます。 up メニュー階層で1つ上のレベルに進みます。 / コマンドの先頭に指定した場合は、Mainメニューに戻ります。コ マンド文字列の途中で指定した場合は、この文字によって、同 じ行の複数のコマンドが区切られます。 cd "<menu/path>" 引用符で囲んで示したメニューを表示します。 ヒント:CLIの任意のプロンプトに対して cd "/cfg/sys" を入力 すると、Systemメニューに進みます。また、任意のメニュー プロ ンプトで /cfg/sys (引用符なし)を入力しても、Systemメニュー に進みます。 pwd 現在のメニューに到達するまでのコマンド パスを表示します。 apply 保留中の設定変更を適用します。 diff 保留中の設定変更を表示します。 revert 最後の apply コマンド以降の保留中の設定変更を削除します。 ヒント: revert を使用すると、最後のapplyコマンド以降に設定し たパラメータを復元することができます。 paste 秘密キーを含め、保存されている設定を復元します。ヒント: 設定を貼り付けるためには、include the private keys in the configuration dumpを選択したときに指定したパ スワード フレーズを入力する必要があります。 詳細について は、「Configurationメニュー」(356 ページ)の dump コマンドを参 照してください。 exit 現在のセッションを終了してログアウトします。ヒント:exit コマン ドを実行すると、未適用(保留中)の設定変更があるかどうかが 通知されます。applyコマンドを実行しないでログ アウトした場合 は、保留中の設定変更は失われます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 347 コマンド アクション quit 現在のセッションを終了してログ アウトします。ヒント:quitコマン ドを実行すると、未適用(保留中)の設定変更があるかどうかが 通知されます。applyコマンドを実行しないでログ アウトした場合 は、保留中の設定変更は失われます。 Ctrl+^ Nortel Secure Network Access Switch 4050が応答を停止した場 合、コマンド ライン インタフェースを終了させます。ヒント:この コマンドは、コンソール接続を使用してNortel Secure Network Access Switch 4050に接続している場合にのみ使用できます。 TelnetまたはSSH接続を使用してクラスタの管理IPに接続してい る場合は、このコマンドは使用しないでください。 netstat Nortel Secure Network Access Switch 4050の現在のネットワーク ステータスを表示します。 netstat コマンドでは、アクティブな TCP接続、すべてのTCP/IPサーバーの状態、およびサーバー が使用中のソケットについての情報が表示されます。 nslookup マシンのIPアドレスまたはホスト名を検索します。 ヒント: nslookupコマンドを使用するには、Nortel Secure Network Access Switch 4050でDNSサーバーを使用できるように設定されている 必要があります。 ping <IPaddr or host name> ネットワークにまたがるステーション間接続を確認します。ヒン ト:このコマンドでは、IPアドレスまたはホスト名を指定すること ができます。 ホスト名を指定する場合は、DNSパラメータを設 定しておく必要があります。 traceroute <IPaddr or host name> ネットワークにまたがるステーション間接続で使用されたルート を識別します。ヒント:このコマンドでは、対象ステーションのIP アドレスまたはホスト名を指定することができます。 ホスト名で指 定する場合は、DNSパラメータを設定しておく必要があります。 cur アクティブなメニューの現在の設定を表示します。 curb アクティブなメニューの現在の設定のサマリを表示します。 dump アクティブなメニューの現在の設定をダンプします。ヒント:ダン プした情報を、同じメニューレベルで別のオペレータのCLIに カット アンド ペーストすることができます。ダンプ コマンドは、 すべてのStatisticsメニューで、アクティブなメニューの統計情 報を表示します。 lines <n> 画面に一度に表示される行数を設定します。ヒント:デフォル ト値は、24です。 値を指定しないで実行すると、現在の設定 が表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 348 付録 A CLIリファレンス コマンド アクション verbose <n> 画面に表示される情報のレベルを設定します。 0 = メッセージなし:エラー以外の情報は、プロンプトでさえも 表示されません。 1 = 通常:プロンプトと要求された出力が表示されますが、 メニューはありません。 2 = 詳細情報:すべてが表示されます。 ヒント:デフォルト レベルは2です。 値を指定しないで実行する と、現在の設定が表示されます。 開かれているすべてのAdminユーザー セッションのリストを 表示します。 slist コマンド ラインの履歴と編集 CLIを使用すると、以前に入力したコマンドを検索して変更することができま す。「表 34 コマンド ラインの履歴と編集のオプション」(348 ページ)に、コマ ンド ラインでグローバルに利用できるオプションを示します。 表 34 コマンド ラインの履歴と編集のオプション オプション 説明 history 最近使用した10個のコマンドを、番号を付けて表示します。 !! 最後に使用したコマンドを繰り返します。 ! <n> 履歴リストに表示されているn番目のコマンドを繰り返します。 pushd pushd を使用すると、メニュー階層の現在の位置にブックマーク を付けることができます。ヒント:メニュー階層の別のレベルま たはコマンドに移動した後でpopdコマンドを実行すると、ブッ クマークを付けた位置に戻ることができます。pushdコマンド は、コマンド スタッキングを使用して組み合わせることができま す。 次に例を示します。 >> Information# pushd "/cfg/ssl/server 1/ssl" >> SSL Settings# popdコマンドを実行するとpushdコマンドを発行したプロンプト(こ の例では、Informationプロンプト)に、ただちに戻ります。 oopd pushd コマンドを使用してブックマークを付けたメニュー階層 に戻ります。 [Ctrl+p] 以前に実行したコマンドを履歴リストから呼び出します。ヒント: 上矢印キーを使用する方法もあります。このコマンドを使用する と、最近実行した最大10個のコマンドを遡ることができます。 呼 び出したコマンドは、そのままで、あるいはこの表にあるオプショ ンを使用して、編集してから実行することができます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 349 オプション 説明 [Ctrl+n] 履歴リストの次にあるコマンドを呼び出します。ヒント:下矢印 キーを使用する方法もあります。このコマンドを使用すると、最 大10個先のコマンドに進むことができます。 呼び出したコマン ドは、そのままで、あるいはこの表にあるオプションを使用して 編集してから実行することができます。 [Ctrl+a] カーソルをコマンド ラインの先頭に移動します。 [Ctrl+e] カーソルをコマンド ラインの末尾に移動します。 [Ctrl+b] カーソルを1つ左に戻します。左矢印キーを使用する方法も あります。 [Ctrl+f] カーソルを1つ右に移します。右矢印キーを使用する方法も あります。 バックスペース カーソルの位置の左にある1文字を消去します。[Delete]キー を使用する方法もあります。 [Ctrl+d] カーソルの位置にある1文字を削除します。 [Ctrl+k] カーソルの位置からコマンド ラインの末尾の間にある文字をす べて抹消(消去)します。 [Ctrl+l] 最後のコマンドを書き戻します。 [Ctrl+c] 進行中のトランザクションを中止します。ヒント:進行中のトラン ザクションがないときに[Ctrl+c]を押すと、現在のメニューが表 示されます。 備考: [Ctrl+c]を押しても、 cur コマンドの画面出力を中止させ ることはできません。 cur コマンドの画面出力を中止さ せるには、[q]を押します。 [Ctrl+u] ライン全体をクリアします。 他のキー カーソル位置に1文字を挿入します。 CLIのショートカット 以下のCLIコマンドのショートカットを使用することができます。 • 「コマンド スタッキング」(349 ページ) • 「コマンドの省略」(350 ページ) • 「[Tab]の使用」(350 ページ) • 「サブメニュー名のコマンド引き数としての使用」(350 ページ) コマンド スタッキング サブメニューと関連するメニュー オプションの1つにアクセスするために、1つの ラインに、スラッシュ(/)で区切った複数のコマンドを入力することができます。 たとえば、Mainメニューのプロンプトから、NTP Serversメニューの list コマンド にアクセスするには、以下のキーボード ショートカットを使用します。 >> Main# cfg/sys/time/ntp/list Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 350 付録 A CLIリファレンス また、コマンド スタッキングを使用して、メニュー システム内で1つまたは複数 のメニューに進み、そのサブメニュー内の関連するメニュー オプションの1つ に直接アクセスすることもできます。 たとえば、2つ先のレベル(NTP ServersメニューからSystemメニュー)に進み、 DNS settingsメニューを使用してDNS serversメニューにアクセスするには、 次のコマンドを入力します。 >> NTP Servers# ../../dns/servers コマンドの省略 大部分のコマンドは省略することができます。 コマンドを省略するには、同じメニューまたはサブメニューで、他のコマンドと 区別できる先頭の文字列を入力します。 たとえば、次のコマンド >> Main# cfg/sys/time/ntp/list は、次のように省略できます。 >> Main# c/sy/t/n/l [Tab]の使用 [Tab]キーを、以下のような方法で使用することができます。 • CLIコマンドまたはオプションの検索 — メニュー プロンプトに対してコマンドの最初の文字を入力します。ヒン ト:検索の範囲を狭めるために、多くの文字を入力することもできます。 — [Tab]を押します。 入力した文字から始まるコマンドのリストが表示されます。 入力した文 字にマッチするコマンドが1つのみの場合は、コマンド ラインにその コマンドが表示されます。[ENTER]を押すと、そのコマンドを実行す ることができます。 • アクティブなメニューの表示 — コマンド ラインがブランクであることを確認します。 — メニュー プロンプトに対して、[Tab]キーを押します。 サブメニュー名のコマンド引き数としての使用 特定のサブメニューに関連するプロパティを表示するには、必要なサブメ ニュー情報の1つ上のレベルのメニュー プロンプトに対して、サブメニュー名を cur コマンドの引き数に含めます。 たとえば、Configurationメニューのプロンプトに対して、Systemメニュー ( /cfg/sys )にまで下がらずに、システム情報を表示するには、次のコマン ドを使用します。 >> Configuration# cur sys Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 351 >> Configuration# cur sys System: Management IP (MIP) address = 192.168.128.211 iSD Host 1: Type of the iSD = master IP address = 192.168.128.213 License = IPSEC user sessions: 250 Secure Service Partitioning PortalGuard TPS: unlimited SSL user sessions: 250 Default gateway address = 192.168.128.3 Ports = 1 : 2 Hardware platform = 3070 Host Routes: No items configured Host Interface 1: IP address = 192.168.128.213 Network mask = 255.255.255.0 VLAN tag id = 0 Mode = failover Primary port = 0 Interface Ports: 1 Host Port 1: Autonegotiation = on sys サブメニュー引数を含めないで cur コマンドを使用した場合には、 Configurationメニューとすべてのサブメニューに関連する情報が表示されます。 コマンドでのスラッシュとスペースの使用 コマンド文字列にスラッシュ(/)またはスペースを含める必要があるときは、 スラッシュまたはスペースを含む文字列を二重引用符で囲んでからコマン ドを実行します。 たとえば、CLIの ftp コマンドと同じラインでディレクトリ名とファイル名を指定す るには、次のように二重引用符が必要になります。 >> Software Management# download ftp 10.0.0.1 "pub/SSL5.1.1upgrade_complete.pkg" IPアドレスとネットワーク マスクの形式 IPアドレスとネットワーク マスクは、CLIではいくつかの方法で表現すること ができます。 IPアドレス IPアドレスは次のように指定することができます。 • ドット付き10進数記法:IPアドレスを 10.0.0.1 のように指定します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 352 付録 A CLIリファレンス • 以下の書式で入力します。 — A.B.C.D = A.B.C.D:ドット付き10進数記法と同じです。 — A.B.D = A.B.0.D: 10.1.10 は、 10.1.0.10 に変換されます。 — A.D = A.0.0.D: 10.1 は、 10.0.0.1 に変換されます。 — D = 0.0.0.D: 10 は、 0.0.0.10 に変換されます。 ネットワーク マスク ネットワーク マスクは、ドット付き10進数記法かビット数で指定することができ ます。以下のように指定できます。 • 255.0.0.0 は、 8 と表現することもできます。 • 255.255.0.0 は、 16 と表現することもできます。 • 255.255.255.0 は、 24 と表現することもできます。 • 255.255.255.255 は、 32 と表現することもできます。 変数 いくつかのコマンドとNortel SNAS 4050ソフトウェア機能の中で、変数を使用 することができます。 ヒント:リンクに含めた変数は、URLエンコードされます。スタティック テキス トに含めた変数は、URLエンコードされません。 「表 35 変数」(352 ページ)に、変数とその用途を示します。 表 35 変数 変数 用途 <var:user> ユーザーがドメインへのログオン時に入力したユーザー名に展 開されます。 <var:password> ユーザーがドメインへのログオン時に入力したパスワードに展 開されます。 <var:group> ログオン ユーザーがメンバになっているグループに展開され ます。 <var:portal> ポータルのIPアドレスに展開されます。ヒント:変数を、リダイレク トURLに含めることができます。 <var:domain> ログオン ユーザーの認証方式で指定したドメイン名に展開 されます。 <var:method> 使用するアクセス プロトコル(httpまたはhttps)に展開されます。 <var:sslsid> バイナリ形式のSSLセッションIDに展開されます。 <md5:...> 変数(たとえば、<md5:<user>:<password>>)を展開し、Base 64 でコード化されたMD5チェックサムを計算します。ヒント:動的 HTTPヘッダーを作成するときに使用できます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 353 変数 用途 <base64:...> 変数(たとえば、<base64:<user>:<password>>)を展開し、Base 64を使用してコード化します。ヒント:動的HTTPヘッダーを作 成するときに使用できます。 <var:tgFailureReason> TunnelGuardのルール式と、TunnelGuardチェックの失敗時の現 在のSRSルールに設定されているTunnelGuardルール コメント に展開されます。 <var:tgFailureDetail> TunnelGuardチェックの失敗時の現在のSRSルールに設定され ているソフトウェア定義コメント(追加の失敗詳細情報を含む) に展開されます。 オペレータ定義変数 カスタム変数を作成して、RADIUSやLDAPのデータベースか ら必要な値を取り出すことができます。 CLI Mainメニュー 接続とログインに成功すると、Mainメニューが表示されます。「図32 CLI Main メニュー」(353 ページ)に、管理者としてログオンした場合に表示されるMainメ ニューを示します。オペレータとしてログオンした場合は使用できないコマ ンドがあることに注意してください。 図32 CLI Mainメニュー CLIコマンド リファレンス Mainメニューから、以下のCLIメニューにアクセスすることができます。 • Information:Nortel Secure Network Access Switch 4050の現在のステータ スについての情報を表示するサブメニューが表示されます。Information メニューのコマンドについては、「Informationメニュー」(354 ページ)を 参照してください。 • Statistics:Nortel SNAS 4050のパフォーマンス統計情報を表示するサブメ ニューが表示されます。Statisticsメニューのコマンドについては、「Statistics メニュー」(355 ページ)を参照してください。 • Configuration:Nortel SNAS 4050クラスタを設定するためのサブメニューが 表示されます。Configurationメニュー内のいくつかのコマンドは、管理者と してログオンしたときにのみ表示されます。Configurationメニューのコマン ドについては、「Configurationメニュー」(356 ページ)を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 354 付録 A CLIリファレンス • Boot:Nortel SNAS 4050ソフトウェアのアップグレードと、Nortel SNAS 4050 デバイスのリブートで使用します。Bootメニューは、管理者としてログオン したときにのみ表示されます。Bootメニューのコマンドについては、「Bootメ ニュー」(380 ページ)を参照してください。 • Maintenance:技術サポート情報を外部ファイル サーバーに送信するため に使用します。Maintenanceメニューのコマンドについては、「Maintenance メニュー」(380 ページ)を参照してください。 Informationメニュー Informationメニューには、Nortel SNAS 4050システムのステータスと設定に ついての現在の情報を表示するためのコマンドが含まれています。 「表 36 Informationメニューのコマンド」(354 ページ)に、Informationコマンドをア ルファベット順に示します。 表 36 Informationメニューのコマンド コマンド パラメータ/サブメニュー 目的 /info certs システム ステータスとシステ ム設定についての現在の情 報を表示します。 sys sonmp licenses [<domain ID>] kick <domain ID> <username> domain [<domain ID>] switch [<domainid>] [<switchid>] dist [<hostid>] ip <domain ID> <IPaddr> mac <MACaddr> sessions [<domain ID> [<switch ID> [<usernameprefix>]]] dhcp [<list> [<addr> <subnet> <all>]] [<del> [<addr> <subnet> <all>]] <stats> contlist [<Exclude buffers+cache from mem util: [yes/no]>] Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 355 目的 local ethernet ports events logs アクティブなアラームを表示 します。 alarms /info/events download <protocol> <server> <filename> ログ ファイルの表示とダウン ロードを行います。 list /info/logs download <protocol> <server> <filename> Statisticsメニュー Statisticsメニューには、Nortel SNAS 4050クラスタと個々のデバイスの統計情 報を表示するためのコマンドが含まれています。「表 37 Statisticsメニューのコ マンド」(355 ページ)に、Statisticsコマンドをアルファベット順に示します。 表 37 Statisticsメニューのコマンド コマンド パラメータ/サブメニュー クラスタと個々の Nortel SNAS 4050 ホストのパフォー マンス統計情報を 表示します。 /stats /stats/aaa 目的 total isdhost <host ID> <domain ID> dump /stats/dump Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks Nortel SNAS 4050 クラスタと個々の Nortel SNAS 4050 ホストの認証統計 情報を表示しま す。 Nortel SNAS 4050 クラスタのすべて の統計情報を表 示します。 356 付録 A CLIリファレンス Configurationメニュー Configurationメニューには、Nortel SNAS 4050を設定するために使用するコマ ンドが含まれています。「表 38 Configurationメニューのコマンド」(356 ペー ジ)に、configurationコマンドをアルファベット順に示します。 表 38 Configurationメニューのコマンド コマンド パラメータ/サブメニュー 目的 /cfg/cert <cert ID> name <name> 秘密キーと証 明書を管理し、 Certificateメニュー にアクセスします。 cert key revoke gensigned server|client request sign test import export display [<pass phrase>] show info subject validate keysize keyinfo del Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 357 コマンド パラメータ/サブメニュー 目的 /cfg/domain <domain ID> name <name> ドメインを設定し ます。 pvips <IPaddr> aaa server portal linkset switch vlan dhcp sshkey dnscapt httpredir quick adv del /cfg/domain #/aaa/auth <auth ID> type radius|ldap|local 認証方式を作成 して、設定します。 name <name> display radius|ldap|local adv del /cfg/domain #/aaa/auth #/adv groupauth <auth IDs> secondauth <auth ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ユーザー グルー プ情報を異なる認 証スキームから取 得するように、現 在の認証スキー ムを設定します。 358 付録 A CLIリファレンス コマンド パラメータ/サブメニュー Nortel SNAS 4050 ドメインで、認証 に外部LDAPサー バーを使用するよ うに設定します。 /cfg/domain #/aaa/auth <auth ID> (LDAP用) /cfg/domain #/aaa/auth #/ldap 目的 servers 指定したLDAP設 定を変更します。 searchbase <DN> groupattr <names> userattr <names> isdbinddn <DN> isdbindpas <password> ldapmacro enaldaps true|false enauserpre true|false timeout <interval> activedire enashortgr groupsearc adv /cfg/domain #/aaa/auth #/ldap/activedire enaexpired true|false expiredgro <group> recursivem true|false exppasgrou Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 期限切れのパス ワードを持つクラ イアント、またはパ スワードを交換す る必要があるクラ イアントを管理し ます。 付録 A CLIリファレンス 359 コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/auth #/ldap/ldapmacro list LDAPマクロを設 定します。 del <index number> add <variable name> <LDAP attribute> [<prefix>] [<suffix>] insert <index number> <variable name> move <index number> <new index number> /cfg/domain #/aaa/auth #/ldap/servers list del <index number> add <IPaddr> <port> ドメイン内でクラ イアント認証に使 用するLDAPサー バーを管理しま す。 insert <index number> <IPaddr> move <index number> <new index number> /cfg/domain #/aaa/auth #/ldap/groupsearc groupbase memberattr ena dis /cfg/domain #/aaa/auth #/ldap/adv enaxfilter xfilteratt xfilterval /cfg/domain #/aaa/auth <auth ID> Local認証方式を 作成します。 (ローカル ポータル データベース用) /cfg/domain #/aaa/auth #/local add <user name> <password> <group> passwd <user name> <password> groups <user name> <desired group> del <user name> list Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ローカル ポータル データベースの クライアント ユー ザーとそのパス ワードを管理しま す。 360 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 import <protocol> <server> <filename> <key> export <protocol> <server> <filename> <key> /cfg/domain #/aaa/auth <auth ID> (ローカルMACデータベース用) add <MAC address> <user name> <IP type> <dhcp> <static> [<device type> [<PC> <phone> <passive>]] <IP address> <switch IP address> <switch unit> <switch port> <group names> <comments> ローカルMAC データベースを管 理します。 del <MAC address> list import <protocol> <server> <filename> export <protocol> <server> <filename> clear ドメインで、外 部RADIUSサー バーを認証に使 用するように設定 します。 /cfg/domain #/aaa/auth <auth ID> (RADIUS用) /cfg/domain #/aaa/auth #/radius servers vendorid <vendor ID> vendortype <vendor type> domainid <domain ID> domaintype <domain type> authproto pap|chapv2 timeout <interval> sessiontim Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 指定したRADIUS 設定を変更しま す。 付録 A CLIリファレンス 361 コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/auth #/radius/servers list ドメイン内でクライ アント認証に使用 するRADIUSサー バーを管理しま す。 del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> /cfg/domain #/aaa/auth #/radius/sessiontim vendorid <vendor ID> vendortype <vendor type> Nortel SNAS 4050 のセッション タイ ムアウトを設定し ます。 ena dis /cfg/domain #/aaa/authorder <auth ID>[,<auth ID>] 認証のフォール バックの順序を指 定します。 /cfg/domain #/aaa/defgroup <group name> ユーザーが認証 データベース内 の特定のグルー プに割り当てられ ていなかった場 合に割り当てるデ フォルト グループ を作成します。 /cfg/domain #/aaa/filter <filter ID> name <name> tg true|false|ignore comment <comment> del Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 拡張プロファイル データをユーザー に適用するかどう かを決定するクラ イアント フィルタ を設定します。 362 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/group <group ID> name <name> ドメインにグルー プを設定します。 restrict linkset extend <profile ID> tgsrs <SRS rule name> tgmode <runonce | continuous | never> mactrust <bypass | none> enftype <filter_only | vlan_filter> admrights <user> <passwd> <action> <reset> macreg <true | false> comment <comment> del /cfg/domain #/aaa/group #/extend [<profile ID>] filter <name> vlan <ID|name> グループの拡張 プロファイルを設 定します。 access [<rule number>] linkset del /cfg/domain #/aaa/group #/extend #/linkset list del <index number> add <linkset name> insert <index number> <linkset name> move <index number> <new index number> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 定義済みのリンク セットを拡張プロ ファイルにマッピ ングします。 付録 A CLIリファレンス 363 コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/group #/linkset list 定義済みのリンク セットをグループ にマッピングしま す。 del <index number> add <linkset name> insert <index number> <linkset name> move <index number> <new index number> cfg/domain nsnas235local/aaa/group 1/syscredent user passwd prevuser prevpasswd actdate earlpush exprprev updclients reset ena dis cfg/domain nsnas235local/aaa/group 1/cachepass Usage: cachepass <true|false> /cfg/domain #/aaa/radacct servers vpnattribu ena dis Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks Nortel SNAS 4050 がRADIUSアカ ウンティングをサ ポートするように 設定します。 364 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/radacct/servers list Nortel SNAS 4050 が外部RADIUS アカウンティング サーバーを使用 するように設定し ます。 del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> cfg/domain nsnas235local/aaa/group 1/syscredent user passwd prevuser prevpasswd actdate earlpush exprprev updclients reset ena dis /cfg/domain #/aaa/radacct/vpnattribu vendorid vendortype Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ベンダ固有属性 を設定してNortel SNAS 4050ドメイ ンを特定できるよ うにします。 付録 A CLIリファレンス 365 コマンド パラメータ/サブメニュー 目的 /cfg/domain #/aaa/tg quick TunnelGuardのホ スト完全性チェッ クとチェック結果 を設定します。 recheck <interval> heartbeat <interval> hbretrycnt <count> statusquo on|off action teardown|restricted list details on|off loglevel fatal|error|warning| info|debug /cfg/domain #/aaa/tg/quick TunnelGuardクイッ ク セットアップ ウィ ザードを使用して SRSルールを設 定します。 cfg/domain nsnas235local/aaa/tg/desktopagent Usage: desktopagent <on|off|auto> /cfg/domain #/adv interface <interface ID> log cfg/domain nsnas235local/server/adv/sslconnect バックエンド イン タフェースをドメ インにマッピング し、ログ オプショ ンを設定します。 protocol cert ciphers verify /cfg/domain #/del Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 現在のドメインを システム設定から 削除します。 366 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/domain #/dhcp subnet <number> [<type> [<hub> [<type> <name> <address> <netmask> <phone> <relaygreen> <vlan> <red> <yellow> <green> <ena> <dis> <del>]] [<filter> [<type> <name> <address> <netmask> <known> <unknown> <ena> <dis> <del>]] [<standard> [<type> <name> <address> <netmask> <settings> <ena> <dis> <del>]]]> <name> <address> <netmask> ローカルDHCP サービスを設定し ます。 stdopts vendopts (<number> <name> <value> <del> /cfg/domain #/dnscapt exclude ena Nortel SNAS 4050 ポータルをキャプ ティブ ポータルと して設定します。 dis /cfg/domain #/dnscapt/exclude list 除外リストを作成 して管理します。 del <index name> add <domain name> insert <index number> <domain name> move <index number> <new index number> /cfg/domain #/httpredir port <port> redir on|off interface <interface ID> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ドメインがHTTP リクエストを、指 定したドメインの HTTPSサーバー に自動的にリダイ レクトするように設 定します。 付録 A CLIリファレンス 367 コマンド パラメータ/サブメニュー 目的 /cfg/domain #/linkset <linkset ID> name <name> リンクセットの作 成と設定を行いま す。 text <text> autorun true|false link <index> del /cfg/domain #/linkset #/link <index> move <new index> text <text> リンクセットに含 まれるリンクの作 成と設定を行いま す。 type external|ftp external ftp del /cfg/domain #/linkset #/link #/external/quick 外部Webページ へのリンクの設定 を行うウィザード を起動します。 /cfg/domain #/linkset #/link #/ftp/quick FTPファイル交換 サーバーのディ レクトリへのリンク の設定を行うウィ ザードを起動しま す。 /cfg/domain #/portal import <protocol> <server> <filename> restore banner redirect <URL> logintext <text> iconmode clean|fancy linktext <text> linkurl on|off Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks クライアントのWeb ブラウザに表示 されるポータル ページの画面を 変更します。 368 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 linkcols <columns> linkwidth <width> companynam colors content lang ieclear on|off /cfg/domain #/portal/colors color1 <code> color2 <code> ポータルで表示さ れる色をカスタマ イズします。 color3 <code> color4 <code> theme default|aqua|apple| jeans|cinnamon|candy /cfg/domain #/portal/content import <protocol> <server> <filename> export <protocol> <server> <filename> Javaアプレットな どのカスタム コン テンツをポータル に追加します。 delete available ena dis /cfg/domain #/portal/lang setlang <code> charset list Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ポータル表示の 好みの言語を設 定します。 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 クイック セットアッ プ ウィザードを起 動して、ネットワー ク アクセス デバイ スをドメインに追 加します。 /cfg/domain #/quick /cfg/domain #/server 369 port <port> interface <interface ID> ドメインで使用す るポータル サー バーを設定しま す。 dnsname <name> trace ssl adv /cfg/domain #/server/adv/traflog sysloghost <IPaddr> udpport <port> protocol ssl2|ssl3|ssl23|tls1 priority debug|info| notice ポータル サー バーが処理する すべてのHTTP リクエストのUDP syslogメッセージ を、syslogサー バーが受信でき るように設定しま す。 facility auth|authpriv| daemon|local07 ena dis /cfg/domain #/server/ssl cert <certificate index> cachesize <sessions> cachettl <ttl> cacerts <certificate index> cachain <certificate index list> protocol ssl2|ssl3|ssl23|tls1 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ポータル サー バーにSSL固有 の設定を行いま す。 370 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 verify none|optional| required ciphers <cipher list> ena dis /cfg/domain #/server/trace ssldump tcpdump ping <host> dnslookup <host> 接続を確認して、 クライアントとポー タル サーバー間 のSSLとTCPのト ラフィックについ ての情報を取得 します。 traceroute <host> /cfg/domain #/sshkey generate show ドメイン用のSSH 公開キーの生成、 表示、エクスポー トを行います。 export /cfg/domain #/switch <switch ID> name <name> type ERS8300|ERS5500 ip <IPaddr> port <port> hlthchk vlan rvid <VLAN ID> sshkey reset ena dis delete Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ドメインにネット ワーク アクセス デ バイスを設定しま す。 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 371 目的 /cfg/domain #/switch #/dis Nortel SNAS 4050 とネットワーク ア クセス デバイス間 の通信を停止しま す。 /cfg/domain #/switch #/ena Nortel SNAS 4050 とネットワーク ア クセス デバイス間 の通信を再開しま す。 /cfg/domain #/switch #/hlthchk interval <interval> deadcnt <count> sqint <interval> /cfg/domain #/switch #/sshkey import add del Nortel SNAS 4050 のヘルス チェッ ク間隔とデッド カウント、および statusquoモード を設定します。 ネットワーク アク セス デバイスの 公開キーを検索 し、その公開キー をドメインにエクス ポートします。 show export user <user> /cfg/domain #/switch #/vlan add <name> <VLAN ID> del <index> list /cfg/domain #/vlan add <name> <VLAN ID> del <index> list 指定したネット ワーク アクセス デバイスのVLAN マッピングを管理 します。 ドメイン内のすべ てのネットワーク アクセス デバイス のVLANマッピン グを管理します。 /cfg/dump [<passphrase>] 設定情報のダン プを行います。 /cfg/gtcfg <protocol> <server> <filename> <passphrase> システム設定を復 元します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 372 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/lang import <protocol> <server> <filename> <code> システム内の言語 定義ファイルを管 理します。 export <protocol> <server> <filename> list vlist [<letter>] del <code> /cfg/ptcfg <protocol> <server> <filename> <passphrase> システム設定を ファイル交換サー バー上のファイ ルとして保存しま す。 /cfg/quick Nortel SNAS 4050 クイック セットアッ プ ウィザードを使 用して、ドメインを 作成します。 /cfg/sys mip <IPaddr> host <host ID> routes time dns rsa <server ID> syslog accesslist adm user distrace Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks クラスタ全体のシ ステム設定の表 示と設定を行いま す。 付録 A CLIリファレンス 373 コマンド パラメータ/サブメニュー 目的 /cfg/sys/accesslist list アクセス リストを 管理して、Nortel SNAS 4050クラス タにアクセスする TelnetとSSHを制 御します。 del <index number> add <IPaddr> <mask> /cfg/sys/adm snmp システムの管理機 能を設定します。 sonmp on|off clitimeout <interval> audit auth telnet on|off ssh on|off srsadmin sshkeys /cfg/sys/adm/audit servers vendorid Nortel SNAS 4050 がRADIUS監査 をサポートするよ うに設定します。 vendortype ena dis /cfg/sys/adm/audit/servers list del <index number> add <IPaddr> <port> <shared secret> insert <index number> <IPaddr> move <index number> <new index number> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks Nortel SNAS 4050 が外部RADIUS 監査サーバーを 使用するように設 定します。 374 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/sys/adm/auth servers Nortel SNAS 4050 が、システム ユー ザーのRADIUS 認証をサポートす るように設定にし ます。 timeout <interval> fallback on|off ena dis /cfg/sys/adm/auth/servers list del <index number> add <IPaddr> <port> <shared secret> Nortel SNAS 4050 が、システム ユー ザーの認証で外 部RADIUSサー バーを使用するよ うに設定します。 insert <index number> <IPaddr> move <index number> <new index number> /cfg/sys/adm/snmp /cfg/sys/adm/snmp Nortel SNASネッ トワークのSNMP を設定します。 ena dis Nortel SNAS 4050 クラスタのSNMP 管理を設定しま す。 versions <v1|v2c|v3> snmpv2mib community users target event /cfg/sys/adm/snmp/community read <name> write <name> trap <name> Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks SNMP監視のコ ミュニティ属性を 設定します。 付録 A CLIリファレンス 375 コマンド パラメータ/サブメニュー 目的 /cfg/sys/adm/snmp/event addmonitor [<options>] b <name> <OID> <op> <value> DISMANEVENT MIBで定義され るモニタとイベント を設定します。 addmonitor [<options>] t <name> <OID> <value and event> addmonitor [<options>] x <name> <OID> [present|absent|changed] delmonitor <name> addevent [c <comment>] <name> <notification> [<OID...>] delevent <name> list /cfg/sys/adm/snmp/snmpv2mib sysContact <contact> snmpEnable disabled|enabled /cfg/sys/adm/snmp/target <target ID> ip <IPaddr> 標準SNMPv2 MIBのパラメータ を設定します。 通知対象を設定 します。 port <port> version v1|v2c|v3 del /cfg/sys/adm/snmp/users <user ID> name <name> seclevel none|auth|priv permission get|set|trap authproto md5|sha authpasswd <password> privproto des|aes privpasswd <password> del Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks Nortel SNAS 4050設定内の SNMPv3ユー ザーを管理しま す。 376 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/sys/adm/srsadmin port <port> SRSルール管理 のサポートを設定 します。 ena dis /cfg/sys/adm/sshkeys generate show knownhosts /cfg/sys/adm/sshkeys/knownhosts list del <index number> セキュアな管理 通信用に、クラス タ内のすべての ホストで使用する SSHキーの生成と 表示を行います。 認識しているリ モート ホストの SSH公開キーを 管理します。 add import <IPaddr> /cfg/sys/dns servers cachesize <entries> retransmit <interval> count <count> ttl <ttl> health <interval> hdown <count> hup <count> cfg/sys/adm/http port ena dis cfg/sys/adm/https port ena dis Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks クラスタのDNS設 定を行います。 付録 A CLIリファレンス 377 コマンド パラメータ/サブメニュー 目的 /cfg/sys/dns/servers list クラスタが外部 DNSサーバーを 使用するように設 定します。 del <index number> add <IPaddr> insert <index number> <IPaddr> move <index number> <new index number> /cfg/sys/host #/interface #/ports list del <port> インタフェースに 割り当てられてい るポートの表示と 管理を行います。 add <port> /cfg/sys/host #/interface #/routes list del <index number> add <IPaddr> <mask> <gateway> /cfg/sys/host #/interface <interface ID> ip <IPaddr> netmask <mask> gateway <IPaddr> 特定のインタ フェースについ て、スタティック ルートを管理しま す。 IPインタフェース を設定し、特定の Nortel SNAS 4050 ホストの物理ポー トを割り当てます。 routes vlanid <tag> mode failover|trunking ports primary <port> delete /cfg/sys/host #/port <port> autoneg on|off speed <speed> mode full|half Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks ポートの接続プロ パティを設定しま す。 378 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 複数のインタ フェースが設定さ れている場合、特 定のNortel SNAS 4050ホストのスタ ティック ルートを 管理します。 /cfg/sys/host #/routes /cfg/sys/host <host ID> 目的 ip <IPaddr> sysName <name> sysLocatio <location> クラスタ内の特 定のNortel SNAS 4050デバイスに、 基本的なTCP/IP プロパティを設定 します。 license <key> gateway <IPaddr> routes interface <interface number> port ports hwplatform halt reboot delete /cfg/sys/routes Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 複数のインタ フェースが設定さ れている場合のク ラスタ全体のスタ ティック ルートを 管理します。 付録 A CLIリファレンス 379 コマンド パラメータ/サブメニュー 目的 /cfg/sys/rsa rsaname <name> RSAサーバーの シンボリック名を 設定し、sdconf.rec 設定ファイルをイ ンポートします。 import <protocol> <server> <filename> [<FTP user name> <FTP password>] rmnodesecr del /cfg/sys/syslog list del <index number> クラスタのsyslog サーバーを設定 します。 add <IPaddr> <facility> insert <index number> <IPaddr> <facility> move <index number> <new index number> /cfg/sys/time date <date> time <time> クラスタの日付と 時刻の設定を行 います。 tzone ntp /cfg/sys/time/ntp list del <index number> システムで使用す るNTPサーバーを 管理します。 add <IPaddr> /cfg/sys/user password <old password> <new password> <confirm new password> expire <time> list del <username> add <username> edit <username> caphrase Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 現在ログオンして いるユーザーの パスワードの変更 と、ユーザー アカ ウントの追加また は削除を行いま す。 380 付録 A CLIリファレンス コマンド パラメータ/サブメニュー 目的 /cfg/sys/user/edit <username> password <own password> <user password> <confirm user password> 指定したユーザー のログイン パス ワードの設定また は変更と、グルー プ割当ての表示と 管理を行います。 groups cur /cfg/sys/user/edit <username>/groups list del <group index> ユーザーのグ ループ割当ての 設定または変更 を行います。 add admin|oper|certadmin Bootメニュー Bootメニューには、Nortel SNAS 4050のソフトウェアとデバイスの管理のための コマンドが含まれます。「表 39 Bootメニューのコマンド」(380 ページ)に、 Bootコマンドをアルファベット順に示します。 表 39 Bootメニューのコマンド コマンド パラメータ/サブメニュー 目的 /boot software Nortel SNAS 4050 のソフトウェアとデ バイスを管理しま す。 halt reboot delete cur /boot/software activate <version> download <protocol> <server> <filename> 接続先のNortel SNAS 4050デバ イスのソフトウェ ア バージョンを表 示、ダウンロード、 アクティブ化しま す。 del Maintenanceメニュー Maintenanceメニューには、システムや個々のNortel SNAS 4050デバイスの保 守と管理のためのコマンドが含まれています。「表 40 Maintenanceメニューの コマンド」(381 ページ)に、Maintenanceコマンドを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 A CLIリファレンス 381 表 40 Maintenanceメニューのコマンド コマンド パラメータ/サブメニュー 目的 /maint dumplogs <protocol> <server> <filename> <allisds?> 適用されている設 定をチェックし、 技術サポート用に ログ ファイルとシ ステム ステータス 情報をダウンロー ドします。 dumpstats <protocol> <server> <filename> <allisds?> chkcfg starttrace <tags> <domain ID> <output mode> stoptrace Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 382 付録 A CLIリファレンス Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 383 付録 B syslogメッセージ この付録では、システム設定にsyslogサーバーが加えられている場合に、 Nortel SNAS 4050からsyslogサーバーに送信されるsyslogメッセージのリスト を示します。syslogサーバーをシステム設定に追加する方法については、 「syslogサーバーの設定」(227 ページ)を参照してください。 syslogメッセージを、次の2通りの方法で示します。 • 「メッセージ タイプ別のsyslogメッセージ」(383 ページ) • 「アルファベット順のsyslogメッセージ」(397 ページ) メッセージ タイプ別のsyslogメッセージ 以下のタイプのメッセージがあります。 • オペレーティング システム(OS)(「オペレーティング システム(OS)の メッセージ」(383 ページ)を参照) • システム制御(「システム制御処理メッセージ」(385 ページ)を参照) • トラフィック処理(「トラフィック処理サブシステム メッセージ」(388 ペー ジ)を参照) • スタートアップ(「起動メッセージ」(393 ページ)を参照) • AAA(「AAAサブシステム メッセージ」(393 ページ)を参照) • NSNAS(「NSNASサブシステム メッセージ」(395 ページ)を参照) オペレーティング システム(OS)のメッセージ オペレーティング システム(OS)のシステム メッセージには、次の3つのカテ ゴリがあります。 • EMERG(「表 41 オペレーティング システム メッセージ:EMERG」(384 ページ)を参照) • CRITICAL(「表 42 オペレーティング システム メッセージ:CRITICAL」 (384 ページ)を参照) • ERROR(「表 43 オペレーティング システム メッセージ:ERROR」(384 ページ)を参照) 「表 41 オペレーティング システム メッセージ:EMERG」(384 ページ)に、 EMERGカテゴリのオペレーティング システム メッセージを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 384 付録 B syslogメッセージ 表 41 オペレーティング システム メッセージ:EMERG メッセージ カテゴリ 説明/アクション Root filesystem corrupt EMERG システムを起動できません。シングル ユー ザー プロンプトで停止します。fsckは失敗 しました。復旧するには再インストールして ください。 Config filesystem corrupt beyond repair EMERG システムを起動できません。シングル ユー ザー プロンプトで停止します。復旧するには 再インストールしてください。 Failed to write to config filesystem EMERG ハードウェア エラーの可能性があります。再 インストールしてください。 「表 42 オペレーティング システム メッセージ:CRITICAL」(384 ページ)に、 CRITICALカテゴリのオペレーティング システム メッセージを示します。 表 42 オペレーティング システム メッセージ:CRITICAL メッセージ カテゴリ 説明/アクション Config filesystem reinitialized reinstall required CRITICAL 再インストールしてください。 Application filesystem corrupt reinstall required CRITICAL 再インストールしてください。 「表 43 オペレーティング システム メッセージ:ERROR」(384 ページ)に、 ERRORカテゴリのオペレーティング システム メッセージを示します。 表 43 オペレーティング システム メッセージ:ERROR メッセージ カテゴリ 説明/アクション Config filesystem corrupt ERROR 設定が失われた可能性があります。続けて、 Config filesystem reinitialized reinstall required または Config filesystem restored from backup というメッセージが表示されま す。 Missing files in config filesystem ERROR 設定が失われた可能性があります。続けて、 Config filesystem reinitialized reinstall required または Config filesystem restored from backup というメッセージが表示されま す。 Logs filesystem reinitialized ERROR ログが失われました。 Root filesystem repaired rebooting ERROR fsckによってエラーが検出され、修正されま した。おそらく問題はありません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 385 メッセージ カテゴリ 説明/アクション Config filesystem restored from backup ERROR 最新の設定変更が失われました。 Rebooting to revert to permanent OS version ERROR ソフトウェアがアップグレード中だった場合 (新しいOSバージョンでの最初の起動時に障 害が発生した場合)は、 Config filesystem reinitialized reinstall required ま たは Config filesystem restored from backup のメッセージの後に発生します。 システム制御処理メッセージ システム制御処理メッセージには、次の3つのカテゴリがあります。 • INFO(「表 44 システム制御処理メッセージ:INFO」(385 ページ)を参照) • ALARM(「表 46 システム制御処理メッセージ:ALARM」(386 ペー ジ)を参照) • EVENT(「表 47 システム制御処理メッセージ:EVENT」(387 ページ) を参照) イベントとアラームは、イベント ログ ファイルに格納されます。イベント ログ ファ イルには、 /info/events/download コマンドを使用してアクセスすることができ ます。アクティブ アラームは、/info/events/alarmsコマンドを使用して表示す ることができます。 詳細については、「第12章 システム情報およびパフォー マンス統計情報の表示」(279 ページ)を参照してください。 「表 44 システム制御処理メッセージ:INFO」(385 ページ)に、INFOカテゴリ のシステム制御処理メッセージを示します。 表 44 システム制御処理メッセージ:INFO メッセージ カテゴリ 説明/アクション System started [isdssl<version>] INFO システム制御処理が開始(再開)されると必 ず送信されます。 アラーム メッセージについて アラームは、「表 45 アラームの重大度とsyslogレベルの対応」(385 ページ) に示すアラームの重大度に対応したsyslogレベルで送信されます。 表 45 アラームの重大度とsyslogレベルの対応 アラームの重大度 syslogレベル CRITICAL ALERT MAJOR CRITICAL MINOR ERROR WARNING WARNING * ERROR アラームは、以下のパターンに従ってフォーマットされます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 386 付録 B syslogメッセージ Id: < ア ラ ー ム の シ ー ケ ン ス 番 号 > Severity: < 重 大 度 > Name: < ア ラ ー ム 名 > Time. < ア ラ ー ム の 発 生 日 時 > Sender: < 送 信 元 、 た と え ば 、 シ ス テ ム ま た は Nortel SNAS 4050 デ バ イ ス の IP ア ド レ ス > Cause: < ア ラ ー ム の 原 因 > Extra: <アラームに関する追加情報> アラームがクリアされると、次のいずれかのメッセージが送信されます。 • Alarm Cleared Name="<Name>" Id= "<ID>" Sender="<Sender>" • Alarm Cleared Id="<ID>" 「表 46 システム制御処理メッセージ:ALARM」(386 ページ)に、ALARMカ テゴリのシステム制御処理メッセージを示します。アラーム メッセージが探しや すいように、Nameパラメータを最初に示しています。 表 46 システム制御処理メッセージ:ALARM メッセージ カテゴリ 説明/アクション Name: isd_down Sender: <IP> Cause: down Extra: Severity: critical ALARM Nortel SNAS 4050クラスタのメンバ がダウンしています。 このアラーム は、クラスタに複数のNortel SNAS 4050が含まれている場合にのみ 送信されます。 Name: single_master Sender: system Cause: down Extra: Severity: warning ALARM クラスタ内の1つのマスタNortel SNAS 4050のみが動作していて運 用可能な状態です。 Name: log_open_failed Sender: <IP>, event Cause and Extra are explanations of the fault. Severity: major ALARM イベント ログ(すべてのイベントとア ラームが格納されている)を開くこ とができませんでした。 Name: make_software_release_ permanent_failed Sender: <IP> Cause: file_error | not_installed Extra: "Detailed info" Severity: critical ALARM 新しいソフトウェア リリースをアク ティブにした後に、permanentにす ることができませんでした。システ ムは自動的に前のバージョンに戻 ります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 387 メッセージ カテゴリ 説明/アクション Name: copy_software_release_failed Sender: <IP> Cause: copy_failed | bad_release_package | no_release_package | unpack_failed Extra: "Detailed info" Severity: critical ALARM Nortel SNAS 4050に、クラスタ内の 他のすべてのNortel SNAS 4050デ バイスと同じバージョンをインストー ルしようとしましたが、このソフトウェ ア リリースをインストールできません でした。失敗したNortel SNAS 4050 は、新しいソフトウェア バージョンの インストール時に動作していなかっ たので、他のクラスタ メンバと同じ バージョンをインストールします。 Name: license Sender: license_server Cause: license_not_loaded Extra: "All iSDs do not have the same license loaded" Severity: warning ALARM クラスタ内のNortel SNAS 4050の中 で、ライセンスされた同じ機能セッ トを含むライセンスを所有していな いものがあります。 /cfg/sys/cur コ マンドを使用して、ロードされたライ センスを調べてください。 Name: license Sender: <IP> Cause: license_expire_soon Extra: "Expires: <TIME>" Severity: warning ALARM ローカルNortel SNAS 4050にロード された(デモ)ライセンスは、あと7日 で期限切れになります。/cfg/sys/cur コマンドを使用して、ロードされたラ イセンスを調べてください。 イベント メッセージについて イベントはNOTICE syslogレベルで送信されます。イベント メッセージは以下 のパターンに従ってフォーマットされます。 Name: < 名 前 > Sender: < 送 信 元 > Extra: <その他の説明> 「表 47 システム制御処理メッセージ:EVENT」(387 ページ)に、EVENTカテ ゴリのシステム制御処理メッセージを示します。 表 47 システム制御処理メッセージ:EVENT メッセージ カテゴリ 説明/アクション Name: partitioned_network SenderとExtraは下位レベルの情 報です。 EVENT Nortel SNAS 4050が、分断されて いたネットワークを復旧中であるこ とを示します。 Name: ssi_mipishere Sender: ssi Extra: <IP> EVENT 管理IPアドレス(MIP)が、<IP>のホ ストIPアドレスを持っているNortel SNAS 4050に割り当てられている ことを示します。 Name: software_configuration_changed Sender: system Extra: software release version <VSN> <Status> EVENT リリース<VSN>(バージョン)のソ フトウェア ステータスが、<Status> (unpacked/installed/permanent)に なったことを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 388 付録 B syslogメッセージ メッセージ カテゴリ 説明/アクション Name: software_release_copying Sender: <IP> Extra: copy software release <VSN> from other cluster member EVENT <IP>がリリース<VSN>を別のクラ スタ メンバからコピーしていること を示します。 Name: software_release_rebooting Sender: <IP> Extra: reboot with release version <VSN> EVENT Nortel SNAS 4050(<IP>)を新しい リリースで再起動していることを示し ます(通常のインストール中に動作 していなかったNortel SNAS 4050 に、新しいリリースをインストール します)。 Name: audit Sender: CLI Extra: Start <session> <details> Update <session> <details> Stop <session> <details> EVENT /cfg/sys/adm/audit/ena コマンド を使用して監査ログを有効にして いる場合に、CLIシステム管理者が CLIを表示、終了、更新したときに 送信されます。 Name: license_expired Sender = <IP> EVENT ホスト<IP>にロードされているデモ ライセンスが期限切れになったこと を示します。 /cfg/sys/cur を使用 して、ロードされているライセンスを 調べてください。 トラフィック処理サブシステム メッセージ トラフィック処理サブシステム メッセージには、次の4つのカテゴリがあります。 • CRITICAL(「表 48 トラフィック処理メッセージ:CRITICAL」(388 ペー ジ)を参照) • ERROR(「表 49 トラフィック処理メッセージ:ERROR」(389 ページ)を参 照) • WARNING(「表 50 トラフィック処理メッセージ:WARNING」(391 ペー ジ)を参照) • INFO(「表 51 トラフィック処理メッセージ:INFO」(392 ページ)を参照) 「表 48 トラフィック処理メッセージ:CRITICAL」(388 ページ)に、CRITICAL カテゴリのトラフィック処理メッセージを示します。 表 48 トラフィック処理メッセージ:CRITICAL メッセージ カテゴリ 説明/アクション DNS alarm: all dns servers are DOWN CRITICAL すべてのDNSサーバーがダウン しています。Nortel SNAS 4050は DNSルックアップを実行することが できません。 「表 49 トラフィック処理メッセージ:ERROR」(389 ページ)に、ERRORカテゴ リのトラフィック処理メッセージを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 389 表 49 トラフィック処理メッセージ:ERROR メッセージ カテゴリ 説明/アクション internal error: <no> ERROR 内部エラーが発生しました。この メッセージを再現することができ るように、できるだけ多くの情報を 収集してサポート担当に連絡して ください。 javascript error: <reason> for: <host><path> ERROR <host><path>からのコンテンツの解 析中に、JavaScript解析エラーが発 生しました。これは、Nortel SNAS 4050のJavaScriptパーサーの問題 である可能性がありますが、それよ りもそのページのJavaScriptにシン タックス エラーがある可能性の方 が高いと考えられます。 vbscript error: <reason> for: <host><path> ERROR <host><path>からのコンテンツを解 析中に、VBScript解析エラーが発 生しました。これは、Nortel SNAS 4050のVBScriptパーサーの問題で ある可能性がありますが、それより もそのページのVBScriptにシンタッ クス エラーがある可能性の方が高 いと考えられます。 jscript.encode error: <reason> ERROR 符号化されたJavaScriptを解析中に 問題が発生しました。Nortel SNAS 4050のJavaScriptパーサーに問題 があるか、処理されたページに問 題があります。 css error: <reason> ERROR スタイル シートを解析中に問題が 発生しました。Nortel SNAS 4050の cssパーサーに問題があるか、処理 されたページに問題があります。 Failed to syslog traffic :<reason> – disabling traf log ERROR Nortel SNAS 4050がトラフィック ロ グのsyslogメッセージを送信しようと したときに問題が発生しました。 そ のため、トラフィックのsyslogログが 無効になりました。 www_authenticate: bad credentials ERROR ブラウザが形式に誤りのある WWWAuthenticate:credentialsヘッ ダーを送信しました。クライアントに 問題がある可能性があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 390 付録 B syslogメッセージ メッセージ カテゴリ 説明/アクション http error: <reason>, Request="<method> <host><path>" ERROR HTTPトラフィックを解析中に問題 が発生しました。これは、クライアン ト/サーバーが規格に準拠してい ないか、このTCPストリーム上のク ライアントまたはサーバーからの以 前のトランザクションが規格に準拠 していなかったため、Nortel SNAS 4050のHTTPパーサーが同期でき なくなったことを示します。 http header warning cli: <reason> (<header>) ERROR クライアントが不正なHTTPヘッ ダーを送信しました。 http header warning srv: <reason> (<header>) ERROR サーバーが不正なHTTPヘッダー を送信しました。 failed to parse SetCookie <header> ERROR Nortel SNAS 4050が、バックエンド Webサーバーから、形式に誤りの あるSetCookieヘッダーを取得し ました。 Bad IP:PORT data <line> in hc script ERROR ヘルス チェック スクリプトで不正 なip:portが検出されました。 ヘル ス スクリプトを再設定してください。 通常は、これよりも前に、CLIによっ てこの種の問題が把握されます。 Bad regexp (<expr>) in health check ERROR ヘルス チェック スクリプトで不適切 な正規表現が検出されました。 ヘ ルス スクリプトを再設定してくださ い。 通常は、これよりも前に、CLI によってこの種の問題が把握され ます。 Bad script op found <script op> ERROR ヘルス チェック スクリプトで不適切 なスクリプト動作が検出されました。 ヘルス スクリプトを設定しなおして ください。 通常は、これよりも前に、 CLIで把握されます。 Connect failed: <reason> ERROR バックエンド サーバーへの接続が <reason>が原因で失敗しました。 html error: <reason> ERROR HTMLの解析中にエラーが発生し ました。おそらくHTMLが規格に準 拠していません。 socks error: <reason> ERROR クライアントからのsocksトラフィック を解析中にエラーが発生しました。 おそらくsocksクライアントが規格に 準拠していません。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 391 メッセージ カテゴリ 説明/アクション socks request: socks version <version> rejected ERROR バージョンが<version>のsocks要求 が受信され拒否されました。socks クライアントが規格に準拠していな い可能性があります。 Failed to log to CLI :<reason> – disabling CLI log ERROR トラブルシューティング ログをCLI に送信できませんでした。CLIトラ ブルシューティング ログを無効に します。 Can’t bind to local address: <ip>:<port>: <reason> ERROR <ip>:<port>で仮想サーバーを設 定しようとしているときに問題が発 生しました。 Ignoring DNS packet was not from any of the defined names server <ip>:<port> ERROR Nortel SNAS 4050は、設定されて いないDNSサーバーからの応答 を受信しました。 「表 50 トラフィック処理メッセージ:WARNING」(391 ページ)に、WARNING カテゴリのトラフィック処理メッセージを示します。 表 50 トラフィック処理メッセージ:WARNING メッセージ カテゴリ 説明/アクション DNS alarm: all dns servers are DOWN WARNING すべてのDNSサーバーがダウン しています。Nortel SNAS 4050は DNSルックアップを実行することが できません。 TPS license limit (<limit>) exceeded WARNING 1秒あたりのトランザクション(TPS) の制限を超えました。 No PortalGuard license loaded: domain <id> *will* use portal authentication WARNING PortalGuardのライセンスが Nortel SNAS 4050にロードさ れていませんが、 /cfg/domain #/server/portal/authenti cate にはoffが設定されています。 No Secure Service Partitioning loaded: server <id> *will not* use interface <n> WARNING セキュア サービスの分割のライセ ンスがNortel SNAS 4050にロードさ れていませんが、サーバーが特定 のインタフェースを使用するように 設定されています。 License expired WARNING Nortel SNAS 4050にロードされてい る(デモ)ライセンスの期限が切れ ました。Nortel SNAS 4050はデフォ ルト ライセンスを使用します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 392 付録 B syslogメッセージ メッセージ カテゴリ 説明/アクション Server <id> uses default interface (interface <n> not configured) WARNING このサーバーは特定のインタフェー スを使用するように設定されていま すが、そのインタフェースがNortel SNAS 4050には設定されていませ ん。 IPSEC server <id> uses default interface (interface <n> not configured) WARNING このIPsecサーバーは特定のインタ フェースを使用するように設定さ れていますが、そのインタフェー スがNortel SNAS 4050には設定さ れていません。 「表 51 トラフィック処理メッセージ:INFO」(392 ページ)に、INFOカテゴリのト ラフィック処理メッセージを示します。 表 51 トラフィック処理メッセージ:INFO メッセージ カテゴリ 説明/アクション gzip error: <reason> INFO 圧縮されたコンテンツを処理中に 問題が発生しました。 gzip warning: <reason> INFO 圧縮されたコンテンツを処理中に 問題が発生しました。 accept() turned off (<nr>) too many fds INFO Nortel SNAS 4050は、新しい接続 を受け入れて一時的に停止しまし た。これはNortel SNAS 4050が過 負荷状態の場合に発生します。 Nortel SNAS 4050は、現在のセッ ションの処理が終われば接続の受 け入れを開始します。 No cert supplied by backend server INFO SSL接続を実行中に、バックエンド サーバーから証明書が提供されま せんでした。バックエンド サーバー へのセッションを終了します。 No CN supplied in server cert <subject> INFO バックエンド サーバーによって提 供された証明書のサブジェクトに CNが見つかりませんでした。 Bad CN supplied in server cert <subject> INFO バックエンド サーバーによって提供 された証明書のサブジェクトに形式 の正しくないCNが見つかりました。 DNS alarm: dns server(s) are UP INFO 少なくとも1つのDNSサーバーが 動作中です。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 393 メッセージ カテゴリ 説明/アクション HC: backend <ip>:<port> is down INFO バックエンドのヘルス チェックに よって、バックエンドの<ip>:<port> がダウンしていることが検出されま した。 HC: backend <ip>:<port> is up again INFO バックエンドのヘルス チェックに よって、バックエンドの<ip>:<port> が動作していることが検出されま した。 起動メッセージ トラフィック処理サブシステムの起動メッセージは、INFOカテゴリのもの のみです。 「表 52 起動メッセージ:INFO」(393 ページ)に、INFOカテゴリの起動メッ セージを示します。 表 52 起動メッセージ:INFO メッセージ カテゴリ 説明/アクション Loaded <ip>:<port> INFO 仮想サーバーの<ip>:<port>を初 期化しています。 Since we use clicerts, force adjust totalcache size to : <size> per server that use clicerts INFO SSLセッションのキャッシュ サイズが 変更された場合に生成されます。 No TPS license limit INFO 無制限のTPSライセンスが使用さ れています。 Found <size> meg of phys mem INFO システム上で検出された物理メモ リのサイズです。 AAAサブシステム メッセージ 認証、許可、アカウンティング(AAA)サブシステム メッセージには、次の 2つのカテゴリがあります。 • ERROR(「表 53 AAAメッセージ:ERROR」(393 ページ)を参照) • INFO(「表 54 AAAメッセージ:INFO」(394 ページ)を参照) 「表 53 AAAメッセージ:ERROR」(393 ページ)に、ERRORカテゴリのAAA メッセージを示します。 表 53 AAAメッセージ:ERROR メッセージ カテゴリ 説明/アクション LDAP backend(s) unreachable Domain=\"<id>\" AuthId=\"<authid>\" ERROR ユーザーがポータルにログインしよ うとしたときに、LDAPサーバーに 到達できなかったことを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 394 付録 B syslogメッセージ 「表 54 AAAメッセージ:INFO」(394 ページ)に、INFOカテゴリのAAAメッ セージを示します。INFOカテゴリのメッセージは、CLIコマンド /cfg/domain #/adv/log を有効にしている場合にだけ生成されます。 表 54 AAAメッセージ:INFO ログの値に 含まれる文 字 login portal メッセージ カテゴリ NSNAS LoginSucceeded Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" Groups="<groups>" INFO Nortel SNAS 4050ドメインへ のログオンに成功しました。 このクライアントのアクセス 方法、IPアドレス、ユーザー 名、グループ メンバシップが 表示されます。 NSNAS LoginSucceeded Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" Groups="<groups>" TunIP="<inner tunnel ip>" INFO Nortel SNAS 4050ドメインへ のログオンに成功しました。 このクライアントのアクセス 方法、IPアドレス、ユーザー 名、およびグループ メンバ シップが表示されます。ま た、Nortel SNAS 4050と宛先 アドレスの間の接続(内部ト ンネル)に割り当てられたIP アドレスも表示されます。 NSNAS AddressAssigned Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" TunIP="<inner tunnel ip>" INFO Nortel SNAS 4050と宛先アド レスの間の接続(内部トンネ ル)に、送信元IPアドレスが 割り当てられました。 NSNAS LoginFailed Domain="<id>" Method=<"ssl"> SrcIp="<ip>" [User="<user>"] Error=<error> INFO Nortel SNAS 4050ドメインへ のログオンに失敗しました。 このクライアントのアクセス方 法、IPアドレス、ユーザー名 が表示されます。 NSNAS Logout Domain="<id>" SrcIp="<ip>" User="<user>" INFO Nortel SNAS 4050ドメインか ら、このクライアントのアクセ ス方法、IPアドレスがログア ウトされました。 PORTAL Domain="<id>" User="<user>" Proto="<proto>" Host="<host>" Share="<share>" Path="<path>" INFO このクライアントは、ポータル の[Files]タブから要求された ファイル サーバー上の、指 定されたフォルダ/ディレクト リに正常にアクセスしました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ ログの値に 含まれる文 字 http reject 395 メッセージ カテゴリ HTTP Domain="<id>" Host="<host>" User="<user>" SrcIP="<ip>" Request="<method> <host> <path>" INFO ユーザーが、ポータルから 要求されたWebサーバーに アクセスしました。 HTTP NotLoggedIn Domain="<id>" Host="<host>" SrcIP="<ip>" Request="<method> <host> <path>" INFO ユーザーが、ポータルから 要求されたWebサーバーに ログオンしませんでした。 HTTP Rejected Domain="<id>" Host="<host>" User="<user>" SrcIP="<ip>" Request="<method> <host> <path>" INFO クライアントが、ポータルから 要求されたWebサーバーへ のアクセスに失敗しました。 PORTAL Rejected Domain="<id>" User="<user>" Proto="<proto>" Host="<host>" Share="<share>" Path="<path>" INFO クライアントは、ポータルの [Files]タブから要求された ファイル サーバー上の、指 定されたフォルダ/ディレク トリへのアクセスに失敗しま した。 SOCKS Rejected Domain="<id>" User="<user>" SrcIP="<ip>" Request="<request>" INFO クライアントは、ポータルの [Advanced]タブのいずれか の機能を使用した操作に失 敗しました。 NSNASサブシステム メッセージ NSNASサブシステム メッセージには、次の2つのカテゴリがあります。 • ERROR(「表 55 NSNAS:ERROR」(395 ページ)を参照) • INFO(「表 56 NSNAS:INFO」(396 ページ)を参照) 「表 55 NSNAS:ERROR」(395 ページ)に、ERRORカテゴリのNSNASメッ セージを示します。 表 55 NSNAS:ERROR メッセージ カテゴリ 説明/アクション Domain:1, Switch: <switchID> ERROR cmd timeout for cmd :<commandID> ERROR 指定したスイッチとNortel SNAS 4050間の内部コマンドがタイムア ウトになりました。スイッチとNortel SNAS 4050間の接続をチェックし てください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 396 付録 B syslogメッセージ 「表 56 NSNAS:INFO」(396 ページ)に、INFOカテゴリのNSNASメッセージ を示します。 表 56 NSNAS:INFO メッセージ カテゴリ 説明/アクション [A:B:C:D] NSNA portup INFO ドメインA、スイッチB、ユニットC、 ポートDのEthernetリンクが動作し ています。 [A:B:C:D] NSNA portdown INFO ドメインA、スイッチB、ユニットC、 ポートDのEthernetリンクがダウン しています。 LoginSucceeded Domain="1" SrcIp="<IPaddr>" Method="ssl" User="<user>" Groups="<group>/<profile>/ " INFO IPが"<IPaddr>"で、グループ "<group>/<profile>/"に属している ユーザー"<user>"が、ドメイン1にロ グインしました。 transferring user <user> on Switch="1:<switchID>(<IPaddr>)", Port="<unit/port>" to Vlan="<vlan>(<vlanID>)" INFO ドメイン1、スイッチ<switchID>(ス イッチのIPアドレスは<IPaddr>)、 ユニット<unit>、ポート<port>のク ライアント デバイスが、VLAN ID が<vlanID>のVLAN<vlan>に移さ れました。 switch controller:switch [1:<switchID>] – Modified INFO ドメイン1、スイッチ<switchID>の CLI設定が変更されました。 switch controller:switch [1:<switchID>] – Disconnected INFO ドメイン1のスイッチ<switchID>が、 NSNASから切断されました。 switch controller:switch [1:<switchID>] – Added INFO ドメイン1に、スイッチ<switchID>が 追加されました。 switch controller:switch [1:<switchID>] Deleted INFO スイッチ<switchID>がドメイン1から 削除されました。 tunnelguard: user <username>[<pVIP>] – SRS check failed, restrictingSRS – <SRS rule> <comment> – <item> – <reason> INFO TunnelGuardアプレットのレポート: ポータル仮想IPアドレス<pVIP>の Nortel SNAS 4050ポータルにログ オンしたユーザー名<username>の ユーザーが、SRSルールのチェッ クで失敗したので、SRSルールの 失敗時の動作に従って、アクセス を制限しました。ルールを特定す るために、メッセージには、ルール で定義されている<SRS rule>名と 追加の<comment>情報が含まれ ています。また、メッセージには、 <reason>(たとえば、ファイルが見 つからなかった)が原因で失敗し Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ メッセージ 397 説明/アクション カテゴリ た、SRSルールの要素(<item>)も 含まれています。 INFO tunnelguard: user <username>[<pVIP>] – SRS checks ok, open session TunnelGuardアプレットのレポート: ポータル仮想IPアドレス<pVIP>の Nortel SNAS 4050ポータルにログ オンした、ユーザー名<username> のユーザーがSRSルールのチェック に合格したので、Green VLANでの セッションの開始を許可しました。 アルファベット順のsyslogメッセージ 「表 57 アルファベット順のsyslogメッセージ」(397 ページ)に、syslogメッセー ジをアルファベット順に示します。 表 57 アルファベット順のsyslogメッセージ メッセージ 重大度 タイプ 説明 [A:B:C:D] NSNA portdown INFO NSNAS ドメインA、スイッチB、ユニッ トC、ポートDのEthernetリンク がダウンしています。 [A:B:C:D] NSNA portup INFO NSNAS ドメインA、スイッチB、ユニッ トC、ポートDのEthernetリンク が動作しています。 accept() turned off (<nr>) too many fds INFO トラフィック 処理 Nortel SNAS 4050は、新しい 接続を受け入れて一時的に 停止しました。これはNortel SNAS 4050が過負荷状態の 場合に発生します。現在の セッションの処理が終わると、 接続の受け入れが開始され ます。 Application filesystem corrupt reinstall required CRITICAL OS 再インストールしてください。 audit EVENT システム制 御 /cfg/sys/adm/audit/ena コ Bad CN supplied in server cert <subject> INFO トラフィック 処理 マンドを使用して監査ログを 有効にしている場合に、CLI システム管理者がCLIを表 示、終了、更新したときに送 信されます。 バックエンド サーバーによっ て提供された証明書のサブ ジェクトに形式の正しくない CNが見つかりました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 398 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 Bad IP:PORT data <line> in hc script ERROR トラフィック 処理 ヘルス チェック スクリプトで 不正なip:portが検出されまし た。ヘルス スクリプトを再設定 してください。 この問題は、通 常はこれよりも前にCLIによっ て把握されているはずです。 Bad regexp (<expr>) in health check ERROR トラフィック 処理 ヘルス チェック スクリプトで 不適切な正規表現が検出さ れました。再設定してくださ い。 通常は、CLIがこれよりも 前に把握しています。 Bad script op found <script op> ERROR トラフィック 処理 ヘルス チェック スクリプトで 不適切なスクリプト動作が検 出されました。再設定してく ださい。 通常は、CLIがこれ よりも前に把握しています。 Bad string found <string> ERROR トラフィック 処理 不適切なロード バランシン グ文字列が見つかりました。 これは通常、CLIによって検 証済みです。 Can’t bind to local address: <ip>:<port>: <reason> ERROR トラフィック 処理 <ip>:<port>で仮想サーバー を設定しようとしているときに 問題が発生しました。 Config filesystem corrupt ERROR OS 設定が失われた可能性が あります。続けて、「Config filesystem reinitialized reinstall required」または 「Config filesystem restored from backup」というメッセージ が表示されます。 Config filesystem corrupt beyond repair EMERG OS システムを起動できません。 シングル ユーザー プロンプト で停止します。復旧するには 再インストールしてください。 Config filesystem reinitialized reinstall required CRITICAL OS 再インストールしてください。 Config filesystem restored from backup ERROR OS 最新の設定変更が失われま した。 Connect failed: <reason> ERROR トラフィック 処理 バックエンド サーバーへの 接続が<reason>が原因で失 敗しました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 399 メッセージ 重大度 タイプ 説明 copy_software_release_failed ALARM (CRITICAL) システム制 御 Nortel SNAS 4050に、クラス タ内の他のすべてのNortel SNAS 4050デバイスと同じ バージョンをインストールし ようとしましたが、このソフト ウェア リリースをインストール できませんでした。失敗した Nortel SNAS 4050は、新しい ソフトウェア バージョンのイン ストール時には動作していな かったので、他のクラスタ メ ンバと同じバージョンをインス トールします。 css error: <reason> ERROR トラフィック 処理 スタイル シートを解析中に 問題が発生しました。Nortel SNAS 4050のcssパーサーに 問題があるか、処理された ページに問題があります。 DNS alarm: all dns servers are DOWN CRITICAL トラフィック 処理 すべてのDNSサーバーがダ ウンしています。Nortel SNAS 4050はDNSルックアップを実 行することができません。 DNS alarm: dns server(s) are UP INFO トラフィック 処理 少なくとも1つのDNSサー バーが動作中です。 Domain:1, Switch: <switchID> ERROR cmd timeout for cmd :<commandID> ERROR NSNAS 指定したスイッチとNortel SNAS 4050間の内部コマンド がタイムアウトになりました。 スイッチとNortel SNAS 4050 間の接続をチェックしてくだ さい。 failed to locate corresponding portal for portal authenticated http server ERROR トラフィック 処理 httpサーバーに対してポータ ル認証が設定されています が、同じxnetドメインを使用し ているポータルが見つかりま せん。同じxnet IDを使用して 実行しているポータルがある ことを確認してください。 Failed to log to CLI :<reason> – disabling CLI log ERROR トラフィック 処理 トラブルシューティング ログ をCLIに送信することができ ませんでした。CLIトラブル シューティング ログを無効に します。 failed to parse SetCookie <header> ERROR トラフィック 処理 Nortel SNAS 4050が、バッ クエンドWebサーバーから、 形式に誤りのあるSetCookie ヘッダーを取得しました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 400 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 Failed to syslog traffic :<reason> – disabling traf log ERROR トラフィック 処理 Nortel SNAS 4050がトラフィッ ク ログのsyslogメッセージを 送信しようとしたときに問題 が発生しました。 そのため、 トラフィックsyslogログが無効 になりました。 Failed to write to config filesystem EMERG OS ハードウェア エラーの可能 性があります。再インストール してください。 Found <size> meg of phys mem INFO 起動 システム上で検出された物理 メモリのサイズです。 gzip error: <reason> INFO トラフィック 処理 圧縮されたコンテンツの処理 中に問題が発生しました。 gzip warning: <reason> INFO トラフィック 処理 圧縮されたコンテンツの処理 中に問題が発生しました。 HC: backend <ip>:<port> is down INFO トラフィック 処理 バックエンドのヘルス チェッ クによって、バックエンドの <ip>:<port>がダウンしている ことが検出されました。 HC: backend <ip>:<port> is up again INFO トラフィック 処理 バックエンドのヘルス チェッ クによって、バックエンドの <ip>:<port>が動作しているこ とが検出されました。 html error: <reason> ERROR トラフィック 処理 HTMLの解析中にエラーが 発生しました。おそらくHTML が規格に準拠していません。 http error: <reason>, Request="<method> <host><path>" ERROR トラフィック 処理 HTTPトラフィックの解析中 に問題が発生しました。これ は、クライアント/サーバーが 規格に準拠していないか、こ のTCPストリーム上のクライア ントまたはサーバーからの以 前のトランザクションが規格 に準拠していなかったため、 Nortel SNAS 4050のHTTP パーサーが同期できなくなっ たことを示します。 http header warning cli: <reason> (<header>) ERROR トラフィック 処理 クライアントが不正なHTTP ヘッダーを送信しました。 http header warning srv: <reason> (<header>) ERROR トラフィック 処理 サーバーが不正なHTTPヘッ ダーを送信しました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 401 メッセージ 重大度 タイプ 説明 HTTP NotLoggedIn Domain="<id>" Host="<host>" SrcIP="<ip>" Request="<method> <host> <path>" INFO AAA ユーザーが、ポータルから要 求されたWebサーバーにログ オンしませんでした。 HTTP Rejected Domain="<id>" Host="<host>" User="<user>" SrcIP="<ip>" Request="<method> <host> <path>" INFO AAA クライアントが、ポータルから 要求されたWebサーバーへ のアクセスに失敗しました。 HTTP Domain="<id>" Host="<host>" User="<user>" SrcIP="<ip>" Request="<method> <host> <path>" INFO AAA ユーザーが、ポータルから要 求されたWebサーバーにアク セスしました。 Ignoring DNS packet was not from any of the defined namesserver <ip>:<port> ERROR トラフィック 処理 Nortel SNAS 4050は、設定さ れていないDNSサーバーか らの応答を受信しました。 internal error: <no> ERROR トラフィック 処理 内部エラーが発生しました。 このメッセージを再現するこ とができるように、できるだけ 多くの情報を収集してサポー ト担当に連絡してください。 IPSEC server <id> uses default interface (interface <n> not configured) WARNING トラフィック 処理 このIPsecサーバーは特定 のインタフェースを使用する ように設定されていますが、 そのインタフェースがNortel SNAS 4050には設定されて いません。 isd_down ALARM (CRITICAL) システム制 御 Nortel SNAS 4050クラスタの メンバがダウンしています。 こ のアラームは、クラスタに複数 のNortel SNAS 4050が含まれ る場合にのみ送信されます。 javascript error: <reason> for: <host><path> ERROR トラフィック 処理 <host><path>からのコンテン ツの解析中に、JavaScript解 析エラーが発生しました。 これは、Nortel SNAS 4050 のJavaScriptパーサーの問 題である可能性があります が、それよりもそのページの JavaScriptにシンタックス エ ラーがある可能性の方が高 いと考えられます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 402 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 jscript.encode error: <reason> ERROR トラフィック 処理 符号化されたJavaScriptの 解析中に問題が発生しま した。Nortel SNAS 4050の JavaScriptパーサーに問題が あるか、処理されたページに 問題があります。 LDAP backend(s) unreachable Domain=\"<id>\" AuthId=\"<authid>\" ERROR AAA ユーザーがポータルにログイ ンしようとしたとき、LDAPサー バーに到達できない場合に 表示されます。 license ALARM (WARNING) システム制 御 クラスタ内の1つまたは複数 のNortel SNAS 4050デバイス が、同じSSL VPNライセンス を持っていません(同時ユー ザー数と比較して)。 license ALARM (WARNING) システム制 御 ローカルNortel SNAS 4050に ロードされた(デモ)ライセン スは、あと7日で期限切れに なります。 /cfg/sys/cur コマ ンドを使用して、ロードされた ライセンスを調べてください。 license_expired EVENT システム制 御 ホスト<IP>にロードされてい るデモ ライセンスが期限切 れになったことを示します。 /cfg/sys/cur を使用して、 ロードされているライセンスを 調べてください。 License expired WARNING トラフィック 処理 Nortel SNAS 4050に読み込 まれている(デモ)ライセンス の期限が切れました。Nortel SNAS 4050はデフォルト ライ センスを使用します。 Loaded <ip>:<port> INFO 起動 仮想サーバーの<ip>:<port> を初期化しています。 log_open_failed ALARM (MAJOR) システム制 御 イベント ログ(すべてのイベ ントとアラームが格納されて いる)を開くことができません でした。 LoginSucceeded Domain="1" SrcIp="<IPaddr>" Method="ssl" User="<user>" Groups="<group>/<profile>/ INFO NSNAS IPが"<IPaddr>"で、グループ "<group>/<profile>/"に属して いるユーザー"<user>"が、ド メイン1にログインしました。 Logs filesystem reinitialized ERROR OS ログが失われました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 403 メッセージ 重大度 タイプ 説明 make_software_release_perma nent_failed ALARM (CRITICAL) システム制 御 新しいソフトウェア リリース をアクティブにした後に、 permanentにすることができ ませんでした。システムは自 動的に前のバージョンに戻 ります。 Missing files in config filesystem ERROR OS 設定が失われた可能性が あります。続けて、「Config filesystem reinitialized reinstall required」または 「Config filesystem restored from backup」というメッセージ が表示されます。 No cert supplied by backend server INFO トラフィック 処理 SSL接続を実行中に、バック エンド サーバーから証明書 が提供されませんでした。 バックエンド サーバーへの セッションを終了します。 No CN supplied in server cert <subject> INFO トラフィック 処理 バックエンド サーバーによっ て提供された証明書のサブ ジェクトにCNが見つかりませ んでした。 No more than <nr> backend supported INFO 起動 許可されている最大数を超 えるバックエンド サーバーが 設定された場合に生成され ます。 No PortalGuard license loaded: Domain <id> *will* use portal authentication WARNING トラフィック 処理 PortalGuardのライセン スがNortel SNAS 4050 にロードされていま せんが、 /cfg/domain #/server/portal/ authenticate には off が 設定されています。 No Secure Service Partitioning loaded: server <id> *will not* use interface <n> WARNING トラフィック 処理 セキュア サービスの分割 のライセンスがNortel SNAS 4050にロードされていません が、サーバーが特定のインタ フェースを使用するように設 定されています。 No TPS license limit INFO 起動 無制限のTPSライセンスが使 用されています。 NSNAS AddressAssigned Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" TunIP="<inner tunnel ip>" INFO AAA Nortel SNAS 4050と宛先アド レスの間の接続(内部トンネ ル)に、送信元IPアドレスが 割り当てられました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 404 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 NSNAS LoginFailed Domain="<id>" Method=<"ssl"> SrcIp="<ip>" [User="<user>"] Error=<error> INFO AAA Nortel SNAS 4050ドメインへ のログオンに失敗しました。 クライアントのアクセス方法、 IPアドレス、ユーザー名が表 示されます。 NSNAS LoginSucceeded Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" Groups="<groups>" INFO AAA Nortel SNAS 4050ドメインへ のログインに成功しました。 クライアントのアクセス方法、 IPアドレス、ユーザー名、グ ループ メンバシップが表示 されます。 NSNAS LoginSucceeded Domain="<id>" Method=<"ssl"> SrcIp="<ip>" User="<user>" Groups="<groups>" TunIP="<inner tunnel ip>" INFO AAA Nortel SNAS 4050ドメインへ のログインに成功しました。 クライアントのアクセス方法、 IPアドレス、ユーザー名、お よびグループ メンバシップが 表示されます。また、Nortel SNAS 4050と宛先アドレスと の間の接続(内部トンネル) に割り当てられたIPアドレスも 表示されます。 NSNAS Logout Domain="<id>" SrcIp="<ip>" User="<user>" INFO AAA クライアントがNortel SNAS 4050ドメインからログアウトし ました。 partitioned_network EVENT システム制 御 Nortel SNAS 4050が、分断さ れていたネットワークが復旧 中であることを示します。 PORTAL Rejected Domain="<id>" User="<user>" Proto="<proto>" Host="<host>" Share="<share>" Path="<path>" INFO AAA クライアントは、ポータルの [Files]タブから要求された ファイル サーバー上の、指定 されたフォルダ/ディレクトリへ のアクセスに失敗しました。 PORTAL Domain="<id>" User="<user>" Proto="<proto>" Host="<host>" Share="<share>" Path="<path>" INFO AAA リモート ユーザーは、ポータ ルの[Files]タブから要求され たファイル サーバー上の、指 定されたフォルダ/ディレクトリ に正常にアクセスしました。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 405 メッセージ 重大度 タイプ 説明 Rebooting to revert to permanent OS version ERROR OS ソフトウェアがアップグ レード中だった場合(新 しいOSバージョンでの最 初の起動時に障害が発 生した場合)は、「Config filesystem reinitialized reinstall required」または 「Config filesystem restored from backup」のメッセージの 後に発生します。 reload cert config done INFO 設定の再 ロード 証明書の再ロードが完了し ました。 reload cert config start INFO 設定の再 ロード 証明書の再ロードを開始し ます。 reload configuration done INFO 設定の再 ロード 仮想サーバーの設定の再 ロードが完了しました。 reload configuration network down INFO 設定の再 ロード 新しいセッションの受け入れ は、一時的に保留中です。 reload configuration network up INFO 設定の再 ロード 新しい設定をロードしたら、 新しいセッションの受け入れ を再開します。 reload configuration start INFO 設定の再 ロード 仮想サーバーの設定の再 ロードを開始します。 Root filesystem corrupt EMERG OS システムを起動できません。 シングル ユーザー プロンプ トで停止します。fsckは失敗 しました。復旧するには再イ ンストールしてください。 Root filesystem repaired rebooting ERROR OS fsckによってエラーが検出さ れ、修正されました。おそらく 問題はありません。 Server <id> uses default interface (interface <n> not configured) WARNING トラフィック 処理 このサーバーは特定のインタ フェースを使用するように設 定されていますが、このインタ フェースがNortel SNAS 4050 には設定されていません。 Set CSWIFT as default INFO 起動 CSWIFT SSLハードウェア ア クセラレーションを使用して います Since we use clicerts, force adjust totalcache size to : <size> per server that use clicerts INFO 起動 SSLセッション キャッシュのサ イズが変更された場合に生 成されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 406 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 single_master ALARM (WARNING) システム制 御 クラスタ内の1つのマスタ Nortel SNAS 4050のみが動 作していて運用可能な状態 です。 socks error: <reason> ERROR トラフィック 処理 クライアントからのsocksトラ フィックの解析中にエラーが 発生しました。 socksクライア ントが規格に準拠していない 可能性があります。 SOCKS Rejected Domain="<id>" User="<user>" SrcIP="<ip>" Request="<request>" INFO AAA クライアントは、ポータルの [Advanced]タブのいずれか の機能を使用した操作に失 敗しました。 socks request: socks version <version> rejected ERROR トラフィック 処理 バージョンが<version>の socks要求が受信され、拒否 されました。socksクライアント が規格に準拠していない可 能性があります。 SOCKS Domain="<id>" User="<user>" SrcIP="<ip>" Request="<request>" INFO AAA クライアントは、ポータルの [Advanced]タブのいずれか の機能を使用した操作に成 功しました。 software_configuration_chan ged EVENT システム制 御 リリース<VSN>(バー ジョン)のソフトウェア ス テータスが、<Status> (unpacked/installed/permanent) になったことを示します。 software_release_copying EVENT システム制 御 <IP>がリリース<VSN>を別の クラスタ メンバからコピーして いることを示します。 software_release_rebooting EVENT システム制 御 Nortel SNAS 4050(<IP>)を 新しいリリースで再起動して いることを示します(通常のイ ンストール中に動作していな かったNortel SNAS 4050に、 新しいリリースをインストール します)。 ssi_mipishere EVENT システム制 御 管理IPアドレス(MIP)が現 在、ホストIPアドレス<IP>を持 つNortel SNAS 4050に割り当 てられていることを示します。 switch controller:switch [1:<switchID>] – Added INFO NSNAS ドメイン1に、スイッチ <switchID>が追加されまし た。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 B syslogメッセージ 407 メッセージ 重大度 タイプ 説明 switch controller:switch [1:<switchID>] Deleted INFO NSNAS スイッチ<switchID>がドメイン 1から削除されました。 switch controller:switch [1:<switchID>] – Disconnected INFO NSNAS ドメイン1のスイッチ<switchID> が、NSNASから切断されま した。 switch controller:switch [1:<switchID>] – Modified INFO NSNAS ドメイン1、スイッチ<switchID> のCLI設定が変更されまし た。 System started [isdssl<version>] INFO システム制 御 システム制御処理が開始(再 開)されると必ず送信されま す。 The private key and certificate don’t match for <server nr> ERROR トラフィック 処理 サーバー#でキーと証明書が 一致しません。証明書を変更 する必要があります。 TPS license limit (<limit>) exceeded WARNING トラフィック 処理 1秒あたりのトランザクション (TPS)の制限を超えました。 TPS license limit: <limit> INFO 起動 TPSの制限に<limit>が設定 されています。 transferring user <user> on Switch="1:<switchID>(<IP addr>)", Port="<unit/port>" to Vlan="<vlan>(<vlanID>) INFO NSNAS ドメイン1、スイッチ<switchID> (スイッチのIPアドレスは <IPaddr>)、ユニット<unit>、 ポート<port>にあるクライアン ト デバイスが、VLAN IDが <vlanID>のVLAN <vlan>に 移されました。 tunnelguard: user <username>[<pVIP>] – SRS check failed, restrictingSRS – <SRS rule> <comment> – <item> – <reason> INFO NSNAS TunnelGuardアプレットのレ ポート:ポータル仮想IPアド レス<pVIP>のNortel SNAS 4050ポータルにログオンし たユーザー名<username>の ユーザーが、SRSルールの チェックで失敗したので、SRS ルールの失敗時の動作に 従って、アクセスを制限しまし た。ルールを特定するため に、メッセージには、ルール で定義されている<SRS rule> 名と追加の<comment>情報 が含まれています。また、メッ セージには、<reason>(たと えば、ファイルが見つからな かった)が原因で失敗した、 SRSルールの要素(<item>) も含まれています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 408 付録 B syslogメッセージ メッセージ 重大度 タイプ 説明 tunnelguard: user <username>[<pVIP>] – SRS checks ok, open session INFO NSNAS TunnelGuardアプレットのレ ポート:ポータル仮想IPアド レス<pVIP>のNortel SNAS 4050ポータルにログオンし た、ユーザー名<username> のユーザーがSRSルールの チェックに合格したので、 Green VLANでのセッション の開始を許可しました。 Unable to find client private key for <server #> ERROR トラフィック 処理 sslconnectを行うためのキー が有効ではありません。再設 定してください。 Unable to use client certificate for <server #> ERROR トラフィック 処理 sslconnectを行うための証明 書が有効ではありません。再 設定してください。 Unable to use client private key for <server #> ERROR トラフィック 処理 sslconnectを行うためのキー が有効ではありません。再設 定してください。 Unable to use the certificate for <server nr> ERROR トラフィック 処理 サーバー#に不適切な証明 書が設定されています。 unknown WWWAuthenticate method, closing ERROR トラフィック 処理 バックエンド サーバーが送信 したHTTP認証方式が未知 の方式です。 vbscript error: <reason> for: <host><path> ERROR トラフィック 処理 <host><path>からのコンテン ツの解析中に、VBScript解 析エラーが発生しました。 これは、Nortel SNAS 4050 VBScriptパーサーの問題 である可能性があります が、それよりもそのページの VBScriptにシンタックス エ ラーがある可能性の方が高 いと考えられます。 www_authenticate: bad credentials ERROR トラフィック 処理 ブラウザが形式に誤りのある WWWAuthenticate:credentials ヘッダーを送信しました。クラ イアントに問題がある可能 性があります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 409 付録 C サポート対象のMIB この付録では、Nortel SNAS 4050でサポートされている管理情報ベース (MIB)とトラップについて説明します。 • 「サポート対象のMIB」(409 ページ) • 「サポート対象のトラップ」(413 ページ) 現在SNMPエージェントに実装されているMIBの定義についての詳細は、以 下の操作を行って調べてください。 ステップ 操作 1 http://www.nortel.com/support にアクセスします。 2 Nortel SNAS 4050 Softwareのページにナビゲートします。 3 Nortel SNAS 4050 MIBのtar.gzファイルをダウンロードします。 4 .tarファイルをunzipして、ファイルALTEONSACCAP.mibにアクセ スします。 ALTEONSACCAP.mibには、実装されているMIBを正式に定義し ているAGENTCAPABILITIESステートメントが含まれています。 ― 終わり ― クラスタにSNMPエージェントを設定する方法については、「第11章 SNMPの 設定」(265 ページ)を参照してください。 サポート対象のMIB Nortel SNAS 4050では、以下のMIBがサポートされています。 • ALTEONISDPLATFORMMIB • ALTEONISDSSLMIB • ALTEONROOTMIB • ALTEONSACCAP • ALTEONSSLVPNMIB Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 410 付録 C サポート対象のMIB • ANAifTypeMIB • DISMANEVENTMIB • ENTITYMIB • IFMIB • IPFORWARDMIB • IPMIB • NORTELSECUREACCESSSWITCHMIB • S5ROOTMIB • S5TCSMIB • SNMPFRAMEWORKMIB • SNMPMPDMIB • SNMPNOTIFICATIONMIB • SNMPTARGETMIB • SNMPUSERBASEDSMMIB • SNMPv2MIB • SNMPVIEWBASEDACMMIB • SYNOPTICSROOTMIB • 5ETHMULTISEGTOPOLOGYMIB 「表 58 サポート対象のMIB」(410 ページ)で、Nortel SNAS 4050でサポートさ れるMIBについて詳しく説明します。 表 58 サポート対象のMIB MIB 説明 ALTEONISDPLATFORMMIB 以下のグループとオブジェクトを含みます。 • isdClusterGroup • isdResourceGroup • isdAlarmGroup • isdBasicNotificatioObjectsGroup • isdEventNotificationGroup • isdAlarmNotificationGroup ALTEONISDSSLMIB SSLゲートウェイを監視するためのオブジェクトを含み ます。 以下のグループが実装されています。 • sslBasicGroup • sslEventGroup Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 C サポート対象のMIB MIB 説明 ALTEONSSLVPNMIB 次のグループが実装されています。 411 • vpnBasicGroup DISMANEVENTMIB イベント トリガとアクションを定義するMIBです。 以下 のグループが実装されています。 • dismanEventResourceGroup • dismanEventTriggerGroup • dismanEventObjectsGroup • dismanEventEventGroup • dismanEventNotificationObjectGroup ENTITYMIB 以下のグループが実装されています。 • entityPhysicalGroup • entityPhysical2Group • entityGeneralGroup • entityNotificationsGroup VACMでは、snmpTargetParamsTableへの書込みアク セスはオフになっています。 IFMIB 以下のグループが実装されています。 • ifPacketGroup • ifStackGroup 制限事項 エージェントには、以下のオブジェクトは実装されて いません。 • ifType • ifSpeed • ifLastChange • ifInUnknownProtos • ifOutNUnicast IPFORWARDMIB 次のグループが実装されています。 • ipCidrRouteGroup Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 412 付録 C サポート対象のMIB MIB 説明 IPMIB 以下のグループが実装されています。 • ipGroup • icmpGroup NORTELSECUREACCESS SWITCHMIB Nortel SNAS 4050デバイスを監視するためのオブジェ クトが含まれています。 以下のグループが実装され ています。 • snasBasicGroup • snasEventGroup SNMPFRAMEWORKMIB 次のグループが実装されています。 • snmpEngineGroup SNMPMPDMIB 次のグループが実装されています。 • snmpMPDGroup SNMPNOTIFICATIONMIB 次のグループが実装されています。 • snmpNotifyGroup VACMでは、このMIBのすべてのオブジェクトへの書 込みアクセスはオフになっています。 SNMPTARGETMIB SNMPTARGETMIBには、トラップの送信先 についての情報が含まれています。CLIで /cfg/sys/adm/snmp/target コマンドを使用して、トラッ プ情報の設定や表示を行うことができます(「SNMPの 通知対象の設定」(272 ページ)を参照)。 以下のグループが実装されています。 • snmpTargetCommandResponderGroup • snmpTargetBasicGroup • snmpTargetResponseGroup VACMでは、snmpTargetParamsTableへの書込みアク セスはオフになっています。 SNMPUSERBASEDSMMIB 次のグループが実装されています。 • usmMIBBasicGroup VACMでは、このMIBのすべてのオブジェクトへの書 込みアクセスはオフになっています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 C サポート対象のMIB 413 MIB 説明 SNMP v2MIB すべてのエージェントに実装されている標準のMIBで す。 以下のグループがあります。 • snmpGroup • snmpSetGroup • systemGroup • snmpBasicNotificationsGroup • snmpCommunityGroup SNMPVIEWBASEDACMMIB 次のグループが実装されています。 • vacmBasicGroup VACMでは、このMIBのすべてのオブジェクトへの書 込みアクセスはオフになっています。 サポート対象のトラップ 「表 59 サポート対象のトラップ」(413 ページ)で、Nortel SNAS 4050でサポー トされているトラップについて説明します。 表 59 サポート対象のトラップ トラップ名 説明 authenticationFailure SNMPエージェントが、適切な認証が行われてい ないSNMPメッセージを受信したときに送信されま す。このトラップはデフォルトでは無効になってい ます。SNMPでのこのトラップを有効にするには、 snmpEnableAuthenTraps に有効を設定するか、またはCLI コマンド /cfg/sys/adm/snmp/snmpv2mib/snmpenable を 使用します。 SNMPv2MIBで定義されています。 coldStart Nortel SNAS 4050のリブート時に送信されます。 SNMPv2MIBで定義されています。 isdAlarmCleared アラームのクリア時に送信されます。 isdDown クラスタ内のNortel SNAS 4050デバイスがダウンし、サー ビスが停止中であることを示します。 isdLicense クラスタ内のNortel SNAS 4050デバイスが他とは異なるラ イセンスを持ち、デモ ライセンスの有効期限が残り7日で ある場合に送信されます。 ALTEONISDPLATFORMMIBで定義されています。 isdLicenseExpired ライセンスの有効期限が切れた場合に送信されます。 isdMipMigration マスタIPが別のNortel SNAS 4050に移ったことを示します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 414 付録 C サポート対象のMIB トラップ名 説明 isdSingleMaster クラスタ内の1つのマスタNortel SNAS 4050のみが動作中 で、運用可能な状態にあることを示します。 クラスタ内にマ スタが1つのみ存在するということは、耐障害性レベルが著 しく低いことを意味します。その最後のマスタで障害が発生 すると、システムを再構成できなくなります。 linkDown エージェントがいずれかのリンク(インタフェース)がダウン していることを検出した場合に送信されます。 IFMIBで定義されています。 linkUp エージェントがいずれかのリンク(インタフェース)が動作し ていることを検出した場合に送信されます。 IFMIBで定義されています。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 415 付録 D サポート対象の暗号 Nortel SNAS 4050は、SSLバージョン2.0、SSLバージョン3.0、TLSバージョ ン1.0をサポートしています。Nortel SNAS 4050では、これらのバージョンの SSLに含まれるすべての暗号がサポートされています(ただし、IDEA暗号、 FORTEZZA暗号、およびDHまたはDSS認証による暗号は除く)。 表 60 サポート対象の暗号 暗号名 SSL プロトコ ル キー交換 アルゴリズム、 認証 暗号化 アルゴリ ズム MACダイ ジェスト アルゴリズ ム DHERSAAES256SHA SSLv3 DH、RSA AES(256) SHA1 AES256SHA SSLv3 RSA、RSA AES(256) SHA1 EDHRSADESCBC3SHA SSLv3 DH、RSA 3DES (168) SHA1 DESCBC3SHA SSLv3 RSA、RSA 3DES (168) SHA1 DESCBC3MD5 SSLv2 RSA、RSA 3DES (168) MD5 DHERSAAES128SHA SSLv3 DH、RSA AES(128) SHA1 AES128SHA SSLv3 RSA、RSA AES(128) SHA1 RC4SHA SSLv3 RSA、RSA RC4(128) SHA1 RC4MD5 SSLv3 RSA、RSA RC4(128) MD5 RC2CBCMD5 SSLv2 RSA、RSA RC2(128) MD5 RC4MD5 SSLv2 RSA、RSA RC4(128) MD5 RC464MD5 SSLv2 RSA、RSA RC4(64) MD5 EXP1024RC4SHA SSLv3 RSA(1024)、 RSA RC4(56) SHA1 EXPORT EXP1024DESCBCSHA SSLv3 RSA(1024)、 RSA DES(56) SHA1 EXPORT EXP1024RC2CBCMD5 SSLv3 RSA(1024)、 RSA RC2(56) MD5 EXPORT Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 416 付録 D サポート対象の暗号 暗号名 SSL プロトコ ル キー交換 アルゴリズム、 認証 暗号化 アルゴリ ズム MACダイ ジェスト アルゴリズ ム EXP1024RC4MD5 SSLv3 RSA(1024)、 RSA RC4(56) MD5 EXPORT EDHRSADESCBCSHA SSLv3 DH、RSA DES(56) SHA1 DESCBCSHA SSLv3 RSA、RSA DES(56) SHA1 DESCBCMD5 SSLv2 RSA、RSA DES(56) MD5 EXPEDHRSADESCBCSHA SSLv3 DH(512)、RSA DES(40) SHA1 EXPORT EXPDESCBCSHA SSLv3 RSA(512)、 RSA DES(40) SHA1 EXPORT EXPRC2CBCMD5 SSLv3 RSA(512)、 RSA RC2(40) MD5 EXPORT EXPRC4MD5 SSLv3 RSA(512)、 RSA RC4(40) MD5 EXPORT EXPRC2CBCMD5 SSLv2 RSA(512)、 RSA RC2(40) MD5 EXPORT EXPRC4MD5 SSLv2 RSA(512)、 RSA RC4(40) MD5 EXPORT ADHAES256SHA SSLv3 DH、なし AES(256) SHA1 ADHDESCBC3SHA SSLv3 DH、なし 3DES (168) SHA1 ADHAES128SHA SSLv3 DH、なし AES(128) SHA1 ADHRC4MD5 SSLv3 DH、なし RC4(128) MD5 ADHDESCBCSHA SSLv3 DH、なし DES(56) SHA1 EXPADHDESCBCSHA SSLv3 DH(512)、なし DES(40) SHA1 EXPORT EXPADHRC4MD5 SSLv3 DH(512)、なし RC4(40) MD5 EXPORT Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 417 付録 E ユーザー プリファレンス属性の Active Directoryへの追加 リモート ユーザーがユーザー プリファレンスをNortel SNAS 4050に格納できる ようにするには、isdUserPrefs属性をActive Directoryに追加する必要が あります。この属性は、ポータル セッション中にユーザーが保存した各種の 情報など、不透明なデータ構造を持っています。 ここでの説明は、Windows 2000 ServerとWindows Server 2003に基づいて います。スキーマ管理者グループのメンバのアカウントを使用していること を確認してください。 すべての管理ツールのインストール (Windows 2000 Server) ステップ 操作 1 コントロール パネルを開き、[Add/Remove Programs]をダブル ク リックします。 2 Windows 2000 [Administrative Tools]を選択し、[Change]をクリッ クします。 3 [Next]をクリックし、[Install All Administrative Tools]を選択します。 4 指示に従ってインストールを続けます。 ― 終わり ― ス キ ー マ 管 理 dll の 登 録 (Windows Server 2003) ステップ 操作 1 [Start]をクリックし、[Run]を選択します。 2 [Open]フィールドに、 regsvr32 schmmgmt.dll を入力します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 418 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 regsvr32とschmmgmt.dllとの間にはスペースが必要です。 3 [Ok]をクリックします。 このコマンドによって、schmmgmt.dllがコンピュータに登録され ます。 ― 終わり ― Active Directory Schema Snapin の 追 加 (Windows 2000 Server/Windows Server 2003) ステップ 操作 1 [Start]をクリックし、[Run]を選択します。 2 Windows 2000 Serverの場合は、[Open]フィールドに mmc を入力し ます。 Windows Server 2003の場合は、 mmc /a を入力します。 mmc と /a の間にはスペースが必要です。 3 [Ok]をクリックします。 [Console]ウィンドウが表示されます。 4 [File (Console)]メニューで、[Add/Remove Snapin]を選択します。 [Add/Remove Snapin]ウィンドウが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 5 [Add]をクリックします。 [Add Standalone Snapin]ウィンドウが表示されます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 419 420 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 6 [Snapin]で[Active Directory Schema]を選択し、[Add]をクリックし ます。 [Add/Remove Snapin]ウィンドウにActive Directoryスキーマが追加 されます。 7 [Close]をクリックし、[Add Standalone Snapin]ウィンドウを閉じます。 [Add/Remove Snapin]ウィンドウが再表示されます。 8 [Ok]をクリックします。 [Console]ウィンドウが再表示されます。 9 Schema snapinを含むコンソールを保存するには、[File (Console)] メニューを選択し、[Save]を選択します。 [Save As]ウィンドウが表示されます。 10 Windows\System 32のルート フォルダにコンソールを保存します。 ファイル名として、 schmmgmt.msc を入力します。 11 [Save]をクリックします。 ― 終わり ― [Console]ウィンドウのショートカットの作成 ステップ 操作 1 [Start]を右クリックし、[Open all Users]を選択します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 421 2 [Programs and Administrative Tools]フォルダをダブル クリックし ます。 3 [File]メニューで[New]をポイントし、[Shortcut]を選択します。 ショートカットの作成ウィザードが表示されます。 4 [Type the location of the item]フィールドに、 schmmgmt.msc を入力し ます。 5 [Next]をクリックします。 [Select a Title for the Program]ページが表示されます。 6 [Type a name for this shortcut]フィールドに、 Active Directory Schema を入力します。 7 [Finish]をクリックします。 ― 終わり ― スキーマへの書込み操作の許可 (Windows 2000 Server) ドメイン コントローラに対してスキーマへの書込みを許可するには、スキーマ の更新を許可するレジストリ エントリを設定する必要があります。 ステップ 操作 1 [Console]ウィンドウの左側のペインで、[Active Directory Schema]を 右クリックします。 2 [Operations Master]を選択します。 3 [The Schema may be modified on this Domain Controller]チェック ボックスをオンにします。 4 [Ok]をクリックします。 ― 終わり ― 新しい属性の作成 (Windows 2000 Server/Windows Server 2003) isdUserPrefs属性を作成するには、次の手順を実行します。 ステップ 操作 1 [Console]ウィンドウの左側のペインでプラス(+)記号をクリックして、 [Active Directory Schema]を展開します。 [Attributes]フォルダと[Classes]フォルダが表示されます。 2 [Attributes]を右クリックし、[New]をポイントし、[Attribute]を選択し ます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 422 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 スキーマ オブジェクトの作成は恒久的な操作であり、取り消すこと ができないことを示す警告が表示されます。 3 [Continue]をクリックします。 [Create New Attribute]ウィンドウが表示されます。 4 isdUserPrefs属性を以下のように作成します。 5 [Ok]をクリックします。 ― 終わり ― 新しいクラスの作成 nortelSSLOffloadクラスを作成するには、次の手順を実行します。 ステップ 操作 1 [Console]ウィンドウで[Classes]を右クリックし、[New]をポイントし て[Class]を選択します。 スキーマ クラスの作成は恒久的な操作であり、取り消すことができ ないことを示す警告が表示されます。 2 [Continue]をクリックします。 [Create New Schema Class]ウィンドウが表示されます。 3 nortelSSLOffloadクラスを以下のように作成します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 4 [Ok]をクリックします。 ― 終わり ― nortelSSLOffloadクラスへのisdUserPrefs属性の追加 ステップ 操作 1 [Console]ウィンドウの左側のペインで、[Classes]を展開します。 2 nortelSSLOffloadクラスを選択します。 3 右クリックし、[Properties]を選択します。 [Properties]ウィンドウが表示されます。 4 [Attributes]タブを選択し、[Add]をクリックします。 5 オプションでisdUserPrefs属性を追加します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 423 424 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 6 [Default Security (Security)]タブで、ユーザー プリファレンスを属性 に書き込む権限を持つグループの読み書きの権限を設定します。 7 [Ok]をクリックします。 ― 終わり ― ユーザー クラスへのnortelSSLOffloadクラスの追加 ステップ 操作 1 [Console]ウィンドウの左側のペインで[Classes]を展開し、ユーザー を選択します。 2 右クリックして、[Properties]を選択します。 [Properties]ウィンドウが表示されます。 3 [Relationship]タブを選択します。 4 [Auxiliary Classes]の隣の[Add Class(Add)]をクリックします。 5 以下に示すように、補助クラスとしてnortelSSLOffloadクラスを追 加します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 6 425 [Ok]をクリックします。 Nortel SNAS 4050でユーザー プリファレンス機能を有効にする (CLIコマンド /cfg/domain #/aaa/auth #/ldap/enauserpre を使用 するか、または[VPN Gateways>Authentication>Auth Servers (LDAP)>Modify]で[BBI setting User Preferences]を使用する)と、リ モート ユーザーはActive Directoryにユーザー プリファレンスを格 納することができるようになります。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 426 付録 E ユーザー プリファレンス属性のActive Directoryへの追加 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 427 付録 F IP Phoneを自動設定するため のDHCPの設定 DHCPサーバーとIP Phone 2002、IP Phone 2004、IP Phone 2007では、IP Phone が設定データをDHCPサーバーから自動的に取り込むように設定することがで きます。この機能を使用すると、多数のIP Phoneのオンライン運用に関連した 作業の管理オーバーヘッドが大幅に軽減します。 また、DHCPサーバーとIP Phoneは、IP Phoneで自動VLAN検出機能(IP PhoneでPhone VLAN IDを検出することができる機能)を使用できるように設定 することもできます。 この付録では、以下の作業について説明します。 • IP Phoneが、Windows 2000 ServerのDHCPサーバーから、設定データ を取得するようにするための設定 • 自動VLAN検出機能を利用するために必要なVLAN情報の取得 この付録では、DHCPサーバーのセットアップについては説明しません。 Windows 2000 ServerのDHCPサーバーについて、読者が実務的な知識を 持っていることを前提にします。また、この付録では、IP PhoneがDHCPサー バーと交信したり、Phone VLAN内でブートする際のプロセスについての 説明も省略します。 備考: アドレスの範囲を定義するのに必要なDHCPスコープとリース期 間は作成済みであることを前提にします。 自動VLAN検出機能を利用するには、2つのVLANが必要です。1つのVLAN はPhoneが初期ブートを行うVLANであり、これはDHCPサーバーと通信して適 切なPhone VLAN IDを学習するために必要です。もう1つのVLANはPhone VLANそのものです。 Nortel SNAソリューションでIP Phoneをサポートするために必要となる最 低限のファームウェア バージョンについては、『Release Notes for the Nortel Secure Network Access Solution, Software Release 1.6.1 (NN47230400)』を参照してください。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 428 付録 F IP Phoneを自動設定するためのDHCPの設定 IP Phone自動設定機能の設定 IP Phoneを自動設定するように、Windows 2000 ServerのDHCPを設定するに は、以下の操作を行います。 ステップ 操作 1 DHCPオプションを作成します(「DHCPオプションの作成」(428 ページ)を参照)。 • コール サーバー情報 • IP Phone VLAN IDの自動検出のためのVLAN情報 2 DHCPオプションを設定します(「コール サーバー情報とVLAN情 報の設定」(431 ページ)を参照)。 データ(またはブート)VLANとPhone VLANについて、以上の手 順を繰り返します。 3 IP Phoneをセットアップします(「IP Phoneのセットアップ」(434 ペー ジ)を参照)。 ― 終わり ― DHCPオプションの作成 ステップ 操作 1 Windows 2000 Serverの[Start]メニューで、[Programs > Administrative Tools > DHCP]と選択します。 [DHCP Management Console]が表示されます(「図33 [DHCP Management Console]」(429 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 F IP Phoneを自動設定するためのDHCPの設定 429 図33 [DHCP Management Console] 2 設定するDHCPサーバーを選択します。 備考: DHCPサーバーのナビゲーション ツリー コンポーネン トを展開すると、サーバー名とIPアドレスの下に、その サーバーのスコープがリストされます。 3 [DHCP Management Console]ツールバーから、[Action > Set Predefined Options]を選択します。 [Predefined Options and Values]ダイアログボックスが表示されます (「図34 [Predefined Options and Values]ダイアログボックス」(430 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 430 付録 F IP Phoneを自動設定するためのDHCPの設定 図34 [Predefined Options and Values]ダイアログボックス 4 [Add]をクリックします。 [Option Type]ダイアログボックスが表示されます(「図35 [Option Type]ダイアログボックス」(430 ページ)を参照)。 図35 [Option Type]ダイアログボックス 5 コール サーバー情報のDHCPオプションを作成します。 a. [Option Type]ダイアログボックスに、必要な情報を入力します (「表 61 コール サーバー 情報用の[Option Type]ダイアログ ボックスのフィールドの値」(431 ページ)を参照)。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 F IP Phoneを自動設定するためのDHCPの設定 431 表 61 コール サーバー 情報用の[Option Type]ダイアログボック スのフィールドの値 フィールド 値 Name コール サーバー情報 Data type 文字列 Code 128(コール サーバー設定) Description コメント(オプション) b. [OK]をクリックします。 6 VLAN ID情報の自動検出用のDHCPオプションを作成します。 a. [Predefined Options and Values]ダイアログボックスで[Add]をク リックします。 [Option Type]ダイアログボックスが表示されます(「図35 [Option Type]ダイアログボックス」(430 ページ)を参照)。 b. [Option Type]ダイアログボックスに必要な情報を入力します (「表 62 VLAN情報用の[Option Type]ダイアログボックスの フィールドの値」(431 ページ)を参照)。 表 62 VLAN情報用の[Option Type]ダイアログボックスのフィール ドの値 フィールド 値 Name VLAN情報 Data type 文字列 Code 191 Description コメント(オプション) c. [OK]をクリックします。 7 [Predefined Options and Values]ダイアログボックスで、[OK]をクリッ クして、[DCHP Management Console]に戻ります。 ― 終わり ― コール サーバー情報とVLAN情報の設定 自動VLAN検出機能用に、データ(または、ブート)VLANとPhone VLANの 両方のオプションを設定する必要があります。最初にデータ(または、ブー ト)VLANのオプションを設定してから、同じ手順でPhone VLANのオプショ ンを設定します。 オプションを設定するには、以下の操作を行います。 ステップ 操作 1 [DHCP Management Console]で、必要な以下のVLANを展開し ます。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 432 付録 F IP Phoneを自動設定するためのDHCPの設定 • 最初は、IP Phoneで使用されるデータ(またはブート)VLAN • 2 手順を繰り返すときには、Phone VLAN [Scope Options]を右クリックして、[Configure Options]を選択し ます。 [Scope Options]ダイアログボックスが表示されます(「図36 [Scope Options]ダイアログボックス」(432 ページ)を参照)。 図36 [Scope Options]ダイアログボックス 3 スクロール バーを使用して、リストを下にスクロールし、作成したば かりの2つのDHCPオプションを見つけます。 4 コール サーバー情報を設定するには、以下の操作を行います。 a. [128 Call Server Information]の横にあるチェック ボックスをオ ンにします。 b. [String value]フィールドに、次の文字列を入力します。 Norteli2004A,iii.iii.iii.iii:ppppp,aaa,rrr;iii.iii.iii.iii:ppppp,aaa,rrr. 備考: Nortel IP Phone 2002、IP Phone 2004、IP Phone 2007は、同じシグネチャを使用します。したがっ て、Call Server Informationの文字列の値は、3つ のIP Phoneで同じです。 「表 63 Call Server Information文字列パラメータの値」(433 ページ)で、パラメータを説明します。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 F IP Phoneを自動設定するためのDHCPの設定 433 表 63 Call Server Information文字列パラメータの値 パラメータ 説明 A IP Phoneのハードウェア リビジョン iii.iii.iii.iii Call Server(S1またはS2)のIPア ドレス ppppp Call Serverのポート番号 aaa サーバーのアクション rrr サーバーのリトライ カウント DHCP Option #128には、IP Phoneをコール サーバーに接続す るために必要なCall Server情報が格納されます。 以下のルールが適用されます。 • IPアドレスは、ポートとはコロン(:)で区切ります。 • Primary(S1)とSecondary(S2)のパラメータは、セミコロン (;)で区切ります。 • 文字列は、ピリオド(.)で終わる必要があります。 備考: 文字列を入力すると、オプションをスコープに追 加するたびに、その文字列が自動的に表示され ます。 c. [Apply]をクリックします。 5 VLAN Informationの設定 a. [Scope Options]ダイアログボックス(「図36 [Scope Options] ダイアログボックス」(432 ページ)を参照)で、[191 VLAN Information]を選択します。 b. [String value]フィールドに、次の文字列を入力します。 VLANA:vvvv. 「表 64 VLAN ID Informationの文字列パラメータの値」(433 ページ)で、パラメータを説明します。 表 64 VLAN ID Informationの文字列パラメータの値 パラメータ 説明 A IP Phoneのハードウェア リビジョン vvvv 10進数形式のVLANのID サイト固有のオプション#191には、IP PhoneがPhone VLANで ブートするのに必要なVLAN ID情報が格納されます。 以下のルールが適用されます。 • ハードウェア リビジョンとVLAN IDは、コロン(:)で区切り ます。 • 文字列は、ピリオド(.)で終わる必要があります。 c. [Apply]をクリックします。 6 [OK]をクリックします。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 434 付録 F IP Phoneを自動設定するためのDHCPの設定 7 ステップ1~6を繰り返して、Phone VLANのオプションを設定します。 ― 終わり ― IP Phoneのセットアップ IP PhoneがDHCP自動設定機能を利用できるようにするには、IP Phoneを次の ようにセットアップする必要があります。 ステップ 操作 1 IP PhoneのDHCPオプションに 1 を設定して、DHCPを使用する ようにします。 2 0を選択して、PhoneではFULL DHCPを使用するように設定します。 3 [Automatic]では2を選択して、PhoneがVLAN IDをDHCPサーバー から学習するように設定します。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 435 付録 G Nortel SNAS 4050 ポ ー タ ル を 起動するためのWindowsドメインのログ オン スクリプトの使用方法 この付録では、Windowsドメインのログオン スクリプトが、起動時にエンド ユー ザーのブラウザを自動的に起動して、Nortel SNAS 4050のポータル ページを 表示するように設定する方法について説明します。 この付録は、以下のトピックで構成されています。 • 「ログオン スクリプトの設定」(435 ページ) • 「ログオン スクリプトの作成」(436 ページ) • 「ログオン スクリプトの割当て」(437 ページ) 備考: この付録には、Nortel SNAS 4050のポータル ページを起動する ための非常に基本的なログオン スクリプトの例を示してあります。 この単純なスクリプトによって、エンド ユーザーがログオンするた びに、エンド ユーザーのブラウザが起動します。接続方法には 依存しません。Nortel SNASポートへの接続に使用される各種の モードに対応するスクリプト例は、このガイドでは取り扱いません。 ログオン スクリプトの設定 エンド ユーザーのブラウザを自動的に起動するログオン スクリプトを設定 するには、以下の操作を行います。 ステップ 操作 1 ログオン スクリプトを作成します(「ログオン スクリプトの作成」(436 ページ)を参照)。 2 Windows 2000のドメイン コントローラの以下のディレクトリに、スクリ プトを保存します。 %systemroot% \ SYSVOL \ sysvol \ [Domain Name] \ Policies \ [GUID] \ User \ Scripts \ Logon パラメータの意味は以下のとおりです。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 436 付録 G Nortel SNAS 4050ポータルを起動するためのWindowsドメインのログオン スクリプトの 使用方法 • %systemroot%は、オペレーティング システムのルート フォルダ を表わす環境変数です。Windows 2000オペレーティング シス テムのデフォルトでは、ルート フォルダはWINNTです。 • [Domain Name]は、ログオン スクリプトを使用するドメインを表 わしています。同じスクリプトを複数のドメインで使用して、同じ 作業を行わせることができます。 • [GUID]は、関連付けられるグループ ポリシー オブジェクトに割 り当てられるグローバルに一意のIDです。 デフォルトのドメイン ポリシーが、スクリプトをドメイン内のすべての ユーザーに割り当てるように設定します(「ログオン スクリプトの割 当て」(437 ページ)を参照)。 3 ― 終わり ― ログオン スクリプトの作成 エンド ユーザーのブラウザを自動的に起動するために、Windowsドメイン コ ントローラが使用するログオン スクリプトを作成するには、以下の操作のい ずれかを行います。 • 「スクリプトのバッチ ファイルとしての作成」(436 ページ) • 「スクリプトのVBScriptファイルとしての作成」(437 ページ) スクリプトのバッチ ファイルとしての作成 ステップ 操作 1 Windowsを使用して、メモ帳などのテキスト エディタを開きます。 2 次のサンプル フォーマットを使用して、スクリプトを作成します。 explorer.exe https://10.10.10.1 10.10.10.1は、Nortel SNAS 4050のポータル仮想IPアドレス(pVIP) です。 備考: Explorerを使用してブラウザを起動する代わりに、 explorer.exeを、引用符で囲んだデフォルトの実行可能 なブラウザのパスとファイル名で置き換えることができ ます。 次に例を示します。 "%programfiles%\Netscape\Netscape Browser\netscape.exe" 3 このファイルをバッチ ファイル(*.bat)として保存します。 ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 G Nortel SNAS 4050ポータルを起動するためのWindowsドメインのログオン スクリプトの使用 方法 437 スクリプトのVBScriptファイルとしての作成 ステップ 操作 1 Windowsを使用して、メモ帳などのテキスト エディタを開きます。 2 以下の例を参考にして、スクリプトを作成します。 Dim IE Set IE = CreateObject("InternetExplorer.Application") IE.visible = true IE.Navigate "https://10.10.10.1" 10.10.10.1は、Nortel SNAS 4050のポータル仮想IPアドレス(pVIP) です。 3 このファイルをVBScriptファイル(*.vbs)として保存します。 ― 終わり ― ログオン スクリプトの割当て ログオン スクリプトが実行されるように割り当てるには、以下の操作を行いま す。「図37 ログオン スクリプトの割当て」(438 ページ)に、手順を図示します。 ステップ 操作 1 [Start > Administrative Tools > Active Directory Users and Computers]をクリックします。 2 スクリプトを追加するドメインを右クリックして、[Properties]を選 択します。 3 [Group Policy]タブで、[Open]をクリックします。 4 [Default Domain Policy]をダブルクリックします。 5 [Default Domain Policy]を右クリックして、[Edit]を選択します。 6 [User Configuration > Windows Settings]を展開して、 [Scripts (Logon/Logoff)]を選択します。 7 右ペインで、[Logon]をダブルクリックします。 8 [Add]をクリックします。 9 割り当てるスクリプト名を入力して、[OK]をクリックします。 10 [OK]をクリックします。ログオン スクリプトが割り当てられ、次回の ユーザー ログオンから有効になります。 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 438 付録 G Nortel SNAS 4050ポータルを起動するためのWindowsドメインのログオン スクリプトの 使用方法 図37 ログオン スクリプトの割当て ― 終わり ― Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 439 付録 H ライセンス情報 OpenSSL License issues The OpenSSL toolkit stays under a dual license: both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit.See below for the actual license texts.Both licenses are actually BSDstyle Open Source licenses.In case of any license issues related to OpenSSL contact openssl[email protected]. OpenSSL License Copyright © 19981999 The OpenSSL Project.All rights reserved.Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions, and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. ( http://www.openssl.org)" 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact openssl[email protected]. 5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org)" THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 440 付録 H ライセンス情報 EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This product includes cryptographic software written by Eric Young ([email protected]). This product includes software written by Tim Hudson ([email protected]). Original SSLeay License Copyright © 19951998 Eric Young ([email protected]) All rights reserved.This package is an SSL implementation written by Eric Young ([email protected]).The implementation was written so as to conform with Netscape SSL.This library is free for commercial and noncommercial use as long as the following conditions are adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson ([email protected]).Copyright remains Eric Young’s, and as such, any Copyright notices in the code are not to be removed.If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used.This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package.Redistribution and use in source and binary forms, with or without modification, are permitted, provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions, and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: "This product includes cryptographic software written by Eric Young ([email protected])".The word "cryptographic" can be left out if the routines from the library being used are not cryptographic related. 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code), you must include an acknowledgement: "This product includes software written by Tim Hudson ([email protected])". THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 H ライセンス情報 441 SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The licence and distribution terms for any publicly available version or derivative of this code cannot be changed.That is, this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.] GNU General Public License Version 2, June 1991 Copyright © 1989, 1991 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 021111307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. GNU GENERAL PUBLIC LICENSE TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 0. This License applies to any program or other work that contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License.The "Program," below, refers to any such program or work.A "work based on the Program" means either the Program or any derivative work under copyright law: that is, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language.(Hereinafter, translation is included without limitation in the term "modification.")Each licensee is addressed as "you." Activities other than copying, distribution and modification are not covered by this License; they are outside its scope.The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program).Whether that is true depends on what the Program does. 1. You may copy and distribute verbatim copies of the Program’s source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program. You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. 2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1, above, provided that you also meet all of these conditions: Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 442 付録 H ライセンス情報 a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change. b) You must cause any work that you distribute or publish in whole or in part that contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License. c) If the modified program normally reads commands interactively when run, you must cause it (when started running for such interactive use in the most ordinary way) to print or display an announcement, including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty), and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License.(Exception: If the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.) These requirements apply to the modified work as a whole.If identifiable sections of that work are not derived from the Program and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works.But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it. Thus, it is not the intent of this section to claim rights or contest your rights to the work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program. In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License. 3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2, above, provided that you also do one of the following: a) Accompany it with the complete corresponding machinereadable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, b) Accompany it with a written offer, valid for at least three years, to give any third party (for a charge no more than your cost of physically performing source distribution) a complete machinereadable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2, above, on a medium customarily used for software interchange; or, c) Accompany it with the information you received as to the offer to distribute corresponding source code.(This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accordance with Subsection b, above.) The source code for a work means the preferred form of the work for making modifications to it.For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 H ライセンス情報 443 executable.However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code. 4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License.Any attempt otherwise to copy, modify, sublicense or distribute the Program is void and will automatically terminate your rights under this License.However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 5. You are not required to accept this License, since you have not signed it.However, nothing else grants you permission to modify or distribute the Program or its derivative works.These actions are prohibited by law if you do not accept this License.Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it. 6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute, or modify the Program subject to these terms and conditions.You may not impose any further restrictions on the recipients’ exercise of the rights granted herein.You are not responsible for enforcing compliance by third parties to this License. 7. If, as a consequence of a court judgment, or allegation of patent infringement, or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License.If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all.For example, if a patent license would not permit royaltyfree redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances. It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices.Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system.It is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License. Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 444 付録 H ライセンス情報 8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded.In such case, this License incorporates the limitation as if written in the body of this License. 9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time.Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.Each version is given a distinguishing version number.If the Program specifies a version number of this License which applies to it and "any later version," you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation.If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation. 10. If you wish to incorporate parts of the Program into other free programs in which distribution conditions are different, write to the author for permission.For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this.Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally. NO WARRANTY 11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW.EXCEPT WHEN OTHERWISE STATED IN WRITING, THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU.SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR, OR CORRECTION. 12. IN NO EVENT, UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING, WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. END OF TERMS AND CONDITIONS. Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 付録 H ライセンス情報 445 Apache Software License, Version 1.1 Copyright (c) 2000 The Apache Software Foundation.All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. The enduser documentation included with the redistribution, if any, must include the following acknowledgment: "This product includes software developed by the Apache Software Foundation ( http://www.apache.org)".Alternately, this acknowledgment may appear in the software itself, if and wherever such thirdparty acknowledgments normally appear. 4. The names "Apache" and "Apache Software Foundation" must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact [email protected]. 5. Products derived from this software may not be called "Apache", nor may "Apache" appear in their name, without prior written permission of the Apache Software Foundation. THIS SOFTWARE IS PROVIDED "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE APACHE SOFTWARE FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This software consists of voluntary contributions made by many individuals on behalf of the Apache Software Foundation. For more information on the Apache Software Foundation, please see http://www.apache.org. Portions of this software are based upon public domain software originally written at the National Center for Supercomputing Applications, University of Illinois, UrbanaChampaign. Bouncy Castle license Copyright (c) 2000 2004 The Legion Of The Bouncy Castle (http://www.bouncycastle.org) Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 446 付録 H ライセンス情報 Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 447 索引 記号・数字 /(CLI) 1アーム構成 346 29 A Active Directory パスワード ユーザー プリファレンス属性の追 加 Apache software license ASCIIターミナル、コンソール接続 用 151 417 445 312 B Bouncy Castle license 445 verbose CLI(コマンド ライン インタフェース) Nortel SNAでの コマンド リファレンス 使用法 ショートカット 変数 CLI表示オプション lines verbose CSR(証明書署名要求) 関連付けられた秘密キー 生成 提出 必要な情報 CSRの提出 CTRL、^(CLIグローバル コマンド) cur(CLIグローバル コマンド) curb(CLIグローバル コマンド) 348 30 353 345 349 352 347 348 252 249 253 249 253 347 347 347 C CA(認証局) へCSRを提出 CLIオンライン ヘルプ CLIグローバル コマンド CTRL、^ cur curb dump exit help lines netstat nslookup paste ping pwd quit slist traceroute up D 253 346 347 347 347 347 346 346 347 347 347 346 347 346 347 348 347 346 DHCP Settingsメニュー DHCPサービス Nortel SNASでの DNS Nortel SNAS 4050をプロキシにす る DNSサーバー プロキシ用のNortel SNAS 4050 dump(CLIグローバル コマンド) 102 100 180 36 347 E Enterprise Policy Manager。 EPMを参 照 30 EPM(Enterprise Policy Manager)、Nortel SNA 30 exit(CLIグローバル コマンド) 346 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 448 索引 F filter DHCPサブネット タイプ filter onlyエンフォースメント filter DHCPサブネット タイプ 106 106 441 24 H help(CLIグローバル コマンド) HTTPリダイレクト 設定 Hub DHCPサブネット タイプ 346 93 104 I IP Phone、Nortel SNAのサポート対 象 IPアドレス MIP pVIP RIP サブネット要件 21 36 36 36 37 37 J JREのアップロード、ポータル ページか ら JRE要件、Nortel SNA 188 21 L LDAP認証 Nortel SNAでの サーバーの管理 設定の変更 方式の作成 方式の追加 マクロ LDAP認証。ローカル認証、RADIUS認 証も参照 Lightweight Directory Access Protocol。 LDAPを参照 lines(CLI表示オプション) 26 146 143 140 141 148 26 26 347 M MACデータベース、ローカル 管理 MIB(管理情報ベース) 409 36 338 N G GNU general public license Green VLAN、Nortel SNAソリューショ ン サポート対象 MIP(管理IPアドレス) MIP(管理IPアドレス) 接続できない 158 netstat(CLIグローバル コマンド) 347 Nortel Secure Network Access。 Nortel SNAを参照 20 Nortel Secure Network Access Switch 4050。 Nortel SNAS 4050を参照 22 Nortel SNA(Nortel Secure Network Access) JRE要件 21 VLAN 23 グループ 110 グループとプロファイル 25 構成要素 20 サポート対象のユーザー 21 設定と管理のためのツール 30 ソリューションの概要 20 認証 26 必要なブラウザ 21 フィルタ 23 ユーザーの要件 21 Nortel SNAS(Secure Network Access Switch) 4050 MIP 36 Nortel SNAソリューションでの役割 22 pVIP 36 RIP 37 SSH公開キー、エクスポート 59 機能 23 キャプティブポータル 36 クラスタ 28 初期セットアップ 37 設定と管理のためのツール 30 ドメイン 67 Nortel SNAソフトウェア ライセンス ファイ ル 21 Nortel SNAのオペレーティング システム 要件 21 Nortel SNAのユーザー要件 JRE 21, 188 オペレーティング システム 21 ブラウザ 21 nslookup(CLIグローバル コマンド) 347 NSNAネットワーク アクセス デバイス 19 O OpenSSL license issues Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 439 索引 P paste(CLIグローバル コマンド) ping (CLIグローバル コマンド) pVIP(ポータル仮想IPアドレス) pwd(CLIグローバル コマンド) 346 347 36 346 Q quit(CLIグローバル コマンド) 347 R RADIUSアカウンティング サーバー サーバーの管理 設定 ベンダ固有の属性 RADIUS認証 Nortel SNAでの サーバーの管理 サーバーの設定 セッション タイムアウト 設定の変更 ベンダ固有のコード 方式の作成 方式の追加 RADIUS認証サーバー 管理 Real IPアドレス。 RIPを参照 Red VLAN、Nortel SNAソリューショ ン Remote Authentication DialIn User Service。 RADIUSを参照 RIP(Real IPアドレス) rootユーザー、アクセス レベル 96 97 96 98 26 138 128 140 136 129 134 135 138 37 24 26 37 315 S Secure Shell(SSH) SREMへのアクセスを有効にする アクセスを有効にする Secure Shell。 SSHを参照 Security and Routing Element Manager。 SREMを参照 slist(CLIグローバル コマンド) SNMPv2 MIB 設定 説明 SNMPv3ユーザー 設定 SNMP(簡易ネットワーク管理プロトコル) Nortel SNAでの 46 46 314 30 348 268 413 269 265 449 SNMPv2 MIBの設定 268 SNMPv3ユーザーの設定 269 イベントの設定 273 監視 273 管理を有効にする 267 コミュニティの設定 268 サポート対象のMIB 409 サポート対象のトラップ 413 サポート対象のバージョン 265 しきい値モニタ 273 設定 266 存在確認モニタ 273 通知対象の設定 272 ブール値モニタ 273 Software Requirement Set。 SRSを参 照 47 SREM(Security and Routing Element Manager) Nortel SNAでの 30 アクセスを有効にする 46 SRS(Software Requirement Set) 管理を有効にする 47 SRSルール 111 TunnelGuardチェックの設定 77 障害の詳細情報の表示 80 チェック 26 チェックの設定、TunnelGuardクイック セットアップ ウィザードを使った 81 SRSルールも参照 26 SSCP 19 SSH(Secure Shell) アクセスの制限 314 アクセスを有効にする 314 キーのタイプ 28 接続 314 接続できない 335 ホスト キー 28 SSHキー Nortel SNAS公開キーのエクスポー ト 59 管理 59, 62 生成 60 ネットワーク アクセス デバイスの公開 キーをインポート 60 ネットワークアクセスデバイスの公開 キーの再インポート 63 SSL 設定 86 設定サーバー 81 設定済みのサーバーの表示 341 トラフィックのトレース 83 SSLeay license (original) 440 statusquoモード、ドメイン 79 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 450 索引 syslogサーバー エラー ログ ファイル トラフィックのログ syslogメッセージ、リスト 343 91 383 T Telnet アクセスの制限 313 アクセスを有効にする 47, 313 接続できない 335 接続の確立 313 traceroute(CLIグローバル コマンド) 347 TunnelGuardアプレット 26 TunnelGuardクイック セットアップ ウィザー ド 81 TunnelGuardチェック Nortel SNAでの 26 設定 77 U up (CLIグローバル コマンド) 346 Telnetを有効にする アクセス リスト SREM クラスタに追加する前にアイテムを追 加 アクセス レベル rootユーザー オペレータ ユーザー 管理者ユーザー ブート ユーザー アクティブにする ソフトウェア アップグレード パッケー ジ ソフトウェア バージョン アップグレード ソフトウェア パッケージをアクティブに する ソフトウェア バージョンの管理 マイナーまたはメジャーのリリースの アップグレード 暗号化 秘密キー 暗号、サポート対象 47 47 44 315 315 315 315 306 306 306 306 304 259 415 V い verbose(表示オプション) 348 VLAN Nortel SNAソリューションの 23 説明の色 23 デフォルト マッピング、ドメイン クイック セットアップ ウィザード 74 マッピング 57 VoIP Phone、Nortel SNAのサポート対 象 21 VoIP VLAN、Nortel SNAソリューショ ン 24 色テーマ、ポータル ページ 183 色、ポータル ページ 183 インストール 証明書とキー 243, 253 インポート 証明書とキー 256 ネットワーク アクセス デバイスSSH公 開キー 60 W Windowsドメインのログオン スクリプ ト 189 24 あ アイドル タイム、コマンド ライン インタ フェース アクセス SSHを有効にする 81 40 51 71 え Y Yellow VLAN、Nortel SNAソリューショ ン う ウィザード TunnelGuardクイック セットアップ クイック セットアップ スイッチのクイック セットアップ ドメイン クイック セットアップ 317 46 エクスポート Nortel SNAS SSH公開キー 59 証明書とキー 244, 260 エスケープ シーケンス、除外リストで許さ れる 181 エッジ スイッチ。 ネットワーク アクセス デ バイスを参照 50 エラー ログ ファイル 343 エンド ユーザーのスキル 188 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 索引 エンフォースメント タイプ 23 お オペレータ ユーザー、アクセス レベ ル オンライン ヘルプ CLI 315 346 か 外部データベース認証 Nortel SNAでの 26 拡張プロファイル クライアント フィルタ 111 グループ 111 作成 122 設定 113, 122 リンクセットの並び替え 125 リンクセットのマッピング 124 カスタマ サポート 17 仮想IPアドレス。 pVIPを参照 36 簡易ネットワーク管理プロトコル、 SNMP を参照 265 監視 スイッチのヘルス 64 管理 Active Directoryのパスワード 151 LDAP認証サーバー 146 LDAPマクロ 148 RADIUSアカウンティング サー バー 97 RADIUS認証サーバー 138 SSHキー 59, 62 証明書 241 証明書とキー 245 ネットワーク アクセス デバイス 50 ローカル認証データベース 155 管理IPアドレス。 MIPを参照 36 管理者ユーザー、アクセス レベル 315 管理情報ベース、 MIBを参照 409 管理ツール 30 き 技術サポート 技術マニュアル キャプティブ ポータル Nortel SNAS 4050の機能 負荷分散ログオン リクエスト 許可方式 異なる認証方式を使う キーのタイプ、SSHホスト キー 17 17 180 36 133–134 28 451 く クイック セットアップ ウィザード 作成した設定 42 実行 40 クライアント フィルタ 拡張プロファイル 111 作成 120 設定 120 クラスタ IPアドレス 36–37 Nortel SNASデバイスの追加 43 Nortel SNAでの 28 アクセス リスト 44 新しいクラスタの最初のデバイスのセッ トアップ 37 加入できない 337 作成 29 ソフトウェア要件 44 メリット 28 クラスタに加入 43 グループ Nortel SNAでの 25, 110 拡張プロファイル 111 作成 114 設定 113–114 デフォルト グループ 110 リンクセットの並び替え 125 リンクセットのマッピング 124 グループ検索の設定 150 グローバル コマンド、CLI CTRL、^ 347 cur 347 curb 347 dump 347 exit 346 help 346 lines 347 netstat 347 nslookup 347 paste 346 ping 347 pwd 346 quit 347 slist 348 traceroute 347 up 346 verbose 348 け 形式、証明書とキーのサポート対象 言語 ポータル ページ Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 242 184 452 索引 ポータル ページの変更 185 こ 工場出荷時の設定 初期セットアップ 工場出荷時のデフォルトの設定に戻され る 構成 オプション コピー 証明書 コマンド、CLIで中止 コマンド ライン インタフェース。 CLIを参 照 コマンド リファレンス CLIコマンド コンソール ポート 接続 通信の設定 316 308 29 253 349 30 353 312 312 さ 最初の設定 削除 ドメイン ネットワーク アクセス デバイス 作成 LDAP認証方式 RADIUS認証方式 拡張プロファイル クライアント フィルタ グループ デフォルト グループ ドメイン ドメイン、ドメイン クイック セットアップ ウィザードを使った 認証方式 ローカル認証方式 サブネット要件 IPアドレス クラスタ用 サポート サードパーティ ネットワーク アクセス デバイス 単一ポート上の複数のクライアン ト 非NSNAネットワーク アクセス デバイ ス サポート対象 Nortel SNAユーザー SNMP MIB SNMPトラップ SNMPバージョン 265 SSHキーのタイプ 28 VoIP Phone 21 暗号 415 エッジ スイッチ 49 証明書とキーの形式 242 認証方式 26, 127 リンク タイプ、ポータル ページ 185 サポート、ノーテル 17 サードパーティ ネットワーク アクセス デ バイス サポート 104 サーバー LDAP認証の管理 146 RADIUSアカウンティング 96 RADIUS認証の管理 138 37 75 55 140 134 122 120 114 126 70 71 132 153 37 29 104 104 104 21 409 413 し しきい値モニタ、SNMPイベント用 273 システムの診断 syslogサーバーのエラー ログ ファイ ル 343 アクティブなアラーム 343 イベント ログ ファイル 343 ネットワークの診断 342 自動JREアップロード 188 自動リダイレクション、ポータルから 187 情報の表示 証明書 246 認証方式 162 証明書 インストール 243 インストール済みの証明書の表示 341 インポート 256 エクスポート 244, 260 管理 241, 245 基本情報の表示 246 形式 242 更新 244 コピー 253 追加 253 テスト 262 バックアップ 258 表示 258 保存 244, 258 証明書署名要求、 CSRを参照 249 証明書の更新 244 証明書のテスト 生成 262 除外リスト エスケープ シーケンス 181 説明 180 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 索引 デフォルトのエントリ 表現 初期セットアップ 180 181 37 す スイッチのクイック セットアップ ウィザー ド スクリプト、ログオン時のブラウザの起 動 51 デフォルト ドメイン トラフィック ログの設定 認証 ネットワーク アクセス デバイス バックアップ バックエンド インタフェース ポータル ページの画面 ログ オプション 453 42 67, 75 91 130 55 47 95 182 95 189 せ 制限 SSHアクセス 314 Telnetアクセス 313 生成 SSHキー 60 証明書のテスト 262 製品サポート 17 セッション タイムアウト 設定 140 接続 SSHを使用 314 Telnetを使用 313 コンソールを使用 312 設定 HTTPリダイレクト 93 LDAP認証 143 Nortel SNAS 4050、初期セットアッ プ 37 Nortel SNAS(Secure Network Access Switch) 4050、ロードマップ 31 RADIUSアカウンティング 96 RADIUS認証 136 SNMP 266–267 SNMPv2 MIB 268 SNMPイベント 273 SNMPコミュニティ 268 SNMPの通知対象 272 SSLサーバー 81 SSL設定 86 TunnelGuardチェック 77 ウィザードを使ったTunnelGuardチェッ ク 81 拡張プロファイル 122 クイック セットアップ ウィザードで作 成 42 クライアント フィルタ 120 グループ 114 グループと拡張プロファイル 113 セッション タイムアウト 140 ツール 30 そ ソフトウェア アップグレード時のバージョン管 理 クラスタの要件 工場出荷時のデフォルトの設定に戻さ れる 再インストール ダウンロードしたソフトウェア パッケー ジをアクティブにする マイナーまたはメジャーのリリースの アップグレード ソフトウェアの再インストール ソフトウェアの再インストール、外部ファイ ルサーバーから ソフトウェア ライセンス ファイル 存在確認モニタ、SNMPイベント用 306 44 308 308 306 304 308 309 21 273 た タイムアウト値、コマンド ライン インタ フェース 317 単一ポート上の複数のクライアント 104 ターミナル エミュレーション ソフトウェア、 コンソール接続用 312 ち 中止コマンド(CLI) 349 つ 追加 LDAP認証方式 Nortel SNASデバイスをクラスタへ RADIUS認証方式 アクセス リストのエントリ グループ 証明書 ネットワーク アクセス デバイス 秘密キー Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 141 43 135 44 114 253 51, 53 255 454 索引 ローカル認証方式 通信 制御、Nortel SNASとネットワーク アク セス デバイス間 ツール 設定と管理 153 65 30 て デフォルト 除外リストのエントリ ポータル ページの表示形式 デフォルト グループ Nortel SNAS 4050ドメインでの 作成 デフォルトの設定、クイック セットアップ ウィザード 180 182 110 126 42 と ドメイン Nortel SNASでの 67 statusquoモード 79 クイック セットアップ ウィザード 71 削除 75 作成 70 作成、クイック セットアップ ウィザード を使った 71 設定 67, 75 トラップ サポート対象 413 トラフィックのログ 設定 91 トラブルシューティング MIPに接続できない 338 Nortel SNAS 4050が応答しない 338 SSHに接続できない 335 Telnetに接続できない 335 失ったパスワード 339 クラスタに追加できない 337 証明書とSSLサーバーの表示 341 ネットワークの診断 342 ユーザーがポータルでの認証に失 敗 340 トレース SSLトラフィック 83 な 並び替え グループ内のリンクセット プロファイル内のリンクセット 125 125 に 認証 Nortel SNAでの 26 設定 130 方式 26 認証。Nortel SNA、 グループを参照 110 認証局。 CAを参照 253 認証方式 LDAP 26 RADIUS 26 異なる許可方式を使う 133–134 作成 132 サポート対象 127 情報の表示 162 バックアップの二次方式 134 フォールバックの順序 161 ポータル ログイン ページに表示 128 ローカル 26 ね ネットワーク 診断 342 ネットワーク アクセス デバイス SSH公開キー、インポート 60 SSH公開キーの再インポート 63 管理 50 削除 55 スイッチのヘルスの監視 64 設定 55 追加 51, 53 通信の制御 65 無効にする 55, 65 有効にする 65 ネットワーク アクセス デバイスとしての エッジ スイッチ 49 は 初めての設定 パスワード Active Directory、管理 失ったアクセスの再取得 バックアップ 証明書とキー 設定 二次認証方式 バックエンド インタフェース 設定 316 315 151 339 244, 258 47 134 ひ 非NSNAネットワーク アクセス デバイス Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 95 索引 サポート 秘密キー 暗号化 インストール インポート エクスポート 管理 形式 証明書に接続 追加 バックアップ 表示 保存 表現、除外リストで許される 表示 証明書とキー 標準DHCPサブネット タイプ 104 259 243 256 244, 260 245 242 252–253 255 258 258 244, 258 181 258 107 ふ フィルタ ネットワーク アクセス デバイス上の フォールバックの順序、認証方式 ブックマーク、属性の追加 ソフトウェアの再インストール、CDか ら ブラウザ要件、Nortel SNA プロファイル Nortel SNAでの ブート ユーザー アクセス レベル ソフトウェアの再インストール ブール値モニタ、SNMPイベント用 23 161 417 310 21 25 315 309 273 へ ヘルス チェック スイッチ ?(ヘルプ、CLI) 変数。 マクロを参照 変数、CLIで使用される ベンダ固有のコード RADIUS認証用 ベンダ固有の属性 RADIUSアカウンティング 64 346 148 352 129 98 ほ ホストIPアドレス。 RIPを参照 37 ホスト完全性チェック。 TunnelGuard チェックを参照 26 保存 証明書とキー 244, 258 設定 ポータル Nortel SNASの機能 エンド ユーザーのスキル 自動リダイレクション 設定可能な表示 ポータル IPアドレス。 pVIPを参照 ポータル サーバー IPアドレス(pVIP) ポータル データベース、ローカル 管理 ポータル ブックマーク、属性の追加 ポータル ページ 色 色テーマ 言語 言語の変更 デフォルトの表示形式 表示 マクロ リンク リンクセット ポータル ログイン ページ 認証方式を表示 ボー レート、コンソール接続 455 47 23 188 187 182 36 36 155 417 183 183 184 185 182 182 186 185 186 128 312 ま マイナー リリース アップグレード マクロ LDAP ポータル ページで使われる マッピング VLAN リンクセットからグループまたはプロ ファイルへ マニュアル 304 148 186 57 124 17 む 無効にする ネットワーク アクセス デバイス 55, 65 め メジャー リリース アップグレード 304 ゆ 有効にする SSHアクセス Telnetアクセス Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 314 313 456 索引 ネットワーク アクセス デバイス 許される表現とエスケープ シーケンス、 除外リスト ユーザー アクセス レベル カテゴリ 再インストールのためのブート ユー ザー 追加サポート パスワード プリファレンス ユーザー プリファレンス属性 65 181 315 315 309 21 315 417 417 ローカルDHCPリース 管理 ローカルDHCPリースの管理 ローカル認証 Nortel SNAでの データベースの管理 方式の作成 方式の追加 ローカルデータベース認証。 ローカル認 証を参照 ら ライセンス情報 Apache software license Bouncy Castle license GNU general public license OpenSSL SSLeay license (original) ライセンス ファイル 445 445 441 439 440 21 り リブート ASAがdownを表示 リモート管理 SSHを有効にする Telnetを有効にする リンク タイプ、ポータル ページ リンクセット オートラン グループ内での並び替え グループまたはプロファイルへマッピ ング プロファイル内の並び替え ポータル ページ リンクセットのオートラン 339 46 47 185 110 186 125 124 125 186 186 ろ ログ オプション ログオン スクリプト、ブラウザの起動 ローカルDHCPサービス DHCP Settingsメニュー filter DHCPサブネット タイプ Hub DHCPサブネット タイプ サブネット タイプ 設定 標準DHCPサブネット タイプ リース 95 189 102 106 104 100 100 107 107 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 107 107 26 155 153 153 26 索引 Nortel Secure Network Access Switch 4050 設定 CLIの使用 NN47230100JA 02.01 Standard 1.6.1 2007年12月 Copyright ©2007, Nortel Networks 457 Nortel Secure Network Access Switch 4050 設定 CLIの使用 Copyright © 2007, Nortel Networks All Rights Reserved. ド キ ュ メ ン ト 番 号 : NN47230100JA ド キ ュ メ ン ト ス テ ー タ ス : Standard ド キ ュ メ ン ト バ ー ジ ョ ン : 02.01 発行日: 2007年12月 本書の内容は、予告なく変更する場合があります。Nortel Networksは、技術や製造の進歩を保証するため、設計や構成品を変 更する権利を保持します。 *Nortel、Nortel Networks、Nortelのロゴ、GlobemarkはNortel Networksの商標です。
© Copyright 2025 Paperzz
