nfa_inventory AC 設定

目次
uimpga-ga
nfa_inventory_AC
目次
前提条件
nfa_inventory プローブを展開する前に、以下の点を確認します。
  • CA Unified Infrastructure Management (CA UIM) 8.4 以降を実行している。
  • CA Network Flow Analysis (CA NFA) 9.3.3 以降を実行している。
  • nq_services プローブ v1.2 が trellis と同じハブにインストールされている(CA NFA でマルチ テナントをサポートするため)。
  • SNMP Collector v2.1 以上がインストールされている。
  • nfa_inventory プローブを展開するロボットから CA NFA コンソールに http アクセス(ポート 80/TCP)が可能である。
  • UMP ホスト上の wasp プローブから CA NFA コンソールに http アクセス(ポート 80/TCP)が可能である。
  • CA NFA、UDM、ディスカバリ サーバ、wasp プローブの現在のバージョンは、すべて同じ CA UIM ドメインにある必要があります。
設定の概要
簡略化すると、プローブの設定は以下の手順から構成されます。
v1.2 nfa_inventory の設定
v1.2 nfa_inventory Configuration
  1. NetFlow を CA NFA に送信するようにルータを設定します。
  2. CA NFA コンソールに接続するように nfa_inventory プローブを設定します(IP アドレスを指定)。
  3. すべての snmpcollector インスタンスおよび CA NFA の発生元が同じになるように snmpcollector を設定します。
  4. USM と CA NFA に対してシングル サインオン(SSO)を設定します。
プローブ接続の設定
プローブをインストールした後に、CA UIM アドミン コンソールを使用してプローブ セットアップを設定する必要があります。
  1. [Add NFA Console]
    ダイアログ ボックスで、以下のフィールドに情報を入力します。
    • NFA Console Name
      - CA NFA コンソールの名前。
    • NFA Console Hostname or IP Address
      - CA NFA コンソールの IP アドレス。
      SSL を有効にする場合は、
      NFA コンソールのホスト名
      が自己署名証明書の共通名と一致していることを確認します。
    • Alarm Message
      - CA NFA との通信でエラーが発生した場合に CA UIM に送信されるアラート メッセージのレベル。
    • Active
      - プローブがアクティブかどうか。
    • ポート
      - NFA に接続するポートを指定します。
    • SSL を使用
      - プローブが NFA サーバに安全に接続できるようにします。
      このオプションを有効にする前に、NFA コンソールから生成された自己署名証明書がインポートされていることを確認してください。
  2. [サブミット]
    をクリックします。
    [保存]
    をクリックし、
    [再ロード]
    をクリックします。
  3. nfa_inventory プローブが wasp 以外のハブ上にある場合は、
    /ump_common/nfa_inventory
    キーを
    wasp
    設定に追加します(アドミン コンソールで[RAW 設定]を使用)。
    nfa_inventory
    キーの値は、nfa_inventory プローブのバス アドレス(/
    domain
    /
    hub
    /
    robot
    /nfa_inventory)である必要があります。
snmpCollector の設定
USM で重複したデバイスが発生しないように、discovery_agent、snmpcollector、および nfa_inventory プローブは、次のように構成する必要があります。
  • 同じロボットにインストールするか、または
  • これらのプローブがインストールされている各ロボットを同じ発生元に含める
これらのプローブが別々のロボットにインストールされている場合は、以下の手順を実行して、発生元を共有していることを確認します。
  1. インフラストラクチャ マネージャで、発生元のコピー元にするハブ(snmpcollector を含むハブ)をダブルクリックします。
  2. 全般
    ]タブの、[
    詳細設定
    ]領域で、[
    設定
    ]をクリックします。
  3. 発生元
    ]フィールドの内容をコピーします。
  4. OK
    ]をクリックして、[
    ハブ詳細設定
    ]ダイアログ ボックスを閉じます。
  5. インフラストラクチャ マネージャで、nfa_inventory がインストールされているハブをダブルクリックします。
  6. 全般
    ]タブの、[
    詳細設定
    ]領域で、[
    設定
    ]をクリックします。
  7. 発生元
    ]フィールドに snmpcollector からコピーした発生元を貼り付けます。
  8. [OK]
    をクリックします。
USM と CA NFA に対するシングル サインオン(SSO)の設定
SSO を促進するため、nfa_inventory プローブは CA UIM にインベントリを 15 分ごとに送信します。
  • LDAP または SAML2 なしの SSO の場合は、USM ポータルと同じユーザを CA NFA に作成します。
  • LDAP のみ(SAML2 なし)の場合は、CA NFA および USM で同じ LDAP サーバを使用するように設定します。
  • SAML2 の場合は、CA NFA と USM で同じ SAML2 プロバイダを使用するように設定します。
CA NFA SAML2 サポートの実装
  1. CA NFA コンソール サーバにログインします。
  2. テキスト エディタで
    <drive>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
    を開きます。
  3. 以下のエントリを追加します(
    ip
    は CA NFA コンソールの IP アドレスで、
    hostname
    は CA NFA コンソール サーバのホスト名です)。
    saml.sp.metadata.hostname=<
    ip
    /
    hostname
    > saml.sp.metadata.entityId=<
    ip
    /
    hostname
    > saml.sp.metadata.organizationName=<
    org_name
    > saml.sp.metadata.contactPerson=<
    contact_person
    > saml.sp.metadata.email=<email_address>
  4. saml.properties
    ファイルを保存します。
  5. CA NFA サーバのコマンド プロンプトから、SSO 設定ツール(
    ssoConfig.exe
    )を実行します。
    1. <ドライブ>:\CA\NFA\Portal\SSO\bin\ssoConfig.exe
      1. CA Network Flow Analysis
        に対して
        2
        をクリックします。
      2. SAML2 認証(
        SAML2 Authentication
        )に対して
        2
        をクリックします。
      3. ローカル オーバーライド(
        Local Override
        )に対して
        2
        をクリックします。
      4. デフォルト ユーザ アカウントの複製(
        Clone Default User Accounts
        )に対して
        2
        を入力します。 値を
        user
        に変更します。
      5. SAML2 自動再認証有効(
        SAML2 Auto-Reauthentication Enabled
        )に対して
        4
        を入力します。 値を 1 に変更します。
      6. SAML2 自動再認証期間(
        SAML2 Auto-Reauthentication Time Period
        )に対して
        5
        を入力します。 値を 5 に変更します。
      7. SAML2 IDP セッション タイムアウト(
        SAML2 IDP Session Timeout
        )に対して
        6
        を入力します。 値を 10 に変更します。
      8. b
        を入力して戻ります。
      9. b
        を入力して再び戻ります。
      10. SAML2 サービス プロバイダ メタデータのエクスポート(
        Export SAML2 Service Provider Metadata
        )に対して
        6
        を入力します。 有効なパスとファイル名を指定します。 ファイル タイプは、たとえば
        xml
        などである必要があります。
        c:\temp\saml2SPmetadata.xml
      11. q
        を入力して SSO 設定ツールを終了します。
    2. 手順 5.a.x で保存したメタデータ ファイルを SAML2 サービス プロバイダに送信します。
    3. テキスト エディタで
      <drive>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
      を開きます。
      1. 手順 5.a.x で作成したメタデータ xml ファイルの完全パスとファイル名で
        saml.idp.metadata.file
        プロパティを更新します。
      2. 手順 5.a.vii (10)で選択した IDP セッション タイムアウト値で
        saml.idp.sessionTimeout
        プロパティを更新します。
    4. saml.properties
      ファイルを保存します。
CA NFA 用のマルチテナンシー
CA UIM では、CA NFA でのマルチテナンシーを有効にするため、発生元のエンリッチメントが実装されています。 以前は、バスのユーザのみが CA UIM から CA NFA にドリルダウンできました。 nfa_inventory プローブ v1.3 では、バス ユーザ
および
アカウント コンタクト ユーザは、CA UIM でユーザに付与されている権限に基づいて、CA NFA にドリルダウンできます。 nfa_inventory プローブは、CA UIM から取得した情報に基づいて CA NFA を更新します。 すべてのユーザは、CA NFA にドリルダウンするには ACL 権限が必要です。
  • CA UIM のアカウントごとに、CA NFA は権限セットを作成します。
  • CA NFA 権限セットには、インターフェース グループへのアクセスがあります。
  • インターフェース グループは、CA UIM アカウントでの一意の CA UIM 発生元に対応します。
  • CA UIM ACL ごとに、対応する CA NFA の役割が作成され、CA UIM の ACL 権限に対応する権限が付与されます。
    • CA UIM では、マッピングを容易にするために、
      NFA
      というプレフィックスの付いた CA NFA 権限を追加します。
  • CA UIM アカウント コンタクト ユーザに対応する CA NFA ユーザ アカウントが作成されます。 CA NFA ユーザ アカウントには、CA UIM アカウントに対応する CA NFA 権限セットへのアクセス権があります。
  • CA UIM の ACL に対応する CA NFA の役割が作成されます。
  • バスのユーザには、CA NFA のすべてのテナントへのアクセス権があります。
RAW 設定(アドミン コンソール)を使用して設定を変更するには、以下のパラメータを使用できます。
  • interfaceMappingDelay - インターフェース グループの発生元へのマッピングを実行するインベントリの更新後の分単位での時間。 最小値は 1、最大値は 15、およびデフォルト値は 5 です。
  • interfaceMappingBatchSize - バッチで発生元をリクエストするインターフェースの数。 最小値は 1、最大値は 20000、およびデフォルト値は 1000 です。
UMP での CA NFA インターフェース情報の参照
  1. UMP ユーザ インターフェースから、CA NFA に NetFlow 情報を送信しているデバイスをクリックします。
  2. [インターフェース]
    をクリックします。
  3. デバイスが NetFlow 情報を受信しているインターフェースを選択します。
  4. CA NFA 情報のグラフまたは表を選択します。
    • 積み重ねプロトコル トレンド - イン
    • 積み重ねプロトコル トレンド - アウト
    • 上位ホスト
    • トップ カンバセーション
  5. 選択した表またはグラフの右上の近くにカーソルを置くと、
    ドリルダウン
    アイコンが表示されます。
    ドリルダウン
    アイコンをクリックすると、CA NFA にリダイレクトされます。
    • シングル サインオン(SSO)が適切に設定されていれば、CA NFA へのログインは必要ありません。
インターフェースに関する詳細情報にアクセスするには、UMP インターフェース ページで
[ 詳細]
タブをクリックします。 CA NFA からは、以下のテーブルとグラフが提供されます。
  • 積み重ね ToS トレンド - イン
  • 積み重ね ToS トレンド - アウト
  • ToS ごとの上位ホスト
  • ToS ごとの上位カンバセーション
UMP から CA NFA のサービスのタイプ(ToS)テーブルの 1 つにドリルダウンすると(
Top Hosts per ToS (ToS ごとの上位ホスト)
または
Top Conversations per ToS (ToS ごとの上位カンバセーション)
)、CA NFA ToS ページにリダイレクトされます。 CA NFA の ToS ページには、
ToS Summary Table (ToS サマリ テーブル)
の下に異なる ToS 名がリスト表示されます。 ToS 名をクリックすると、その ToS 名に対するすべてのテーブルとグラフを表示するページにアクセスできます。