Cisco ISE ユーザ
この章では、ユーザという用語はネットワークに定期的にアクセスする従業員と請負業者に加え、スポンサーおよびゲスト ユーザを意味します。スポンサーは、スポンサー ポータルからゲスト ユーザ アカウントを作成および管理する組織の従業員または請負業者となります。ゲスト ユーザは、一定期間組織のネットワーク リソースへのアクセスを必要とする外部ビジターです。
Cisco ISE ネットワーク上のリソースとサービスにアクセスするすべてのユーザのアカウントを作成する必要があります。従業員、請負業者、およびスポンサー ユーザは、管理者ポータルから作成されます。
ユーザ ID
ユーザ ID は、ユーザに関する情報を保持するコンテナに似ており、ユーザのネットワーク アクセス クレデンシャルを形成します。各ユーザの ID はデータにより定義され、ユーザ名、電子メール アドレス、パスワード、アカウントの説明、関連付けられている管理者グループ、ユーザ グループ、ロールなどが含まれます。
ユーザ グループ
ユーザ グループは、特定の一連の Cisco ISE サービスおよび機能へのアクセスを許可する共通の権限セットを共有する個々のユーザの集合です。
ユーザ ID グループ
ユーザのグループ ID は、同じグループに属している特定のユーザ グループを識別および説明する要素で構成されています。グループ名は、このグループのメンバーが持っている機能ロールの説明です。グループは、そのグループに属しているユーザのリストです。
デフォルト ユーザ ID グループ
Cisco ISE には、次の事前定義されたユーザ ID グループが用意されています。
-
従業員:組織の従業員はこのグループに所属します。
-
SponsorAllAccount:Cisco ISE ネットワークのすべてのゲスト アカウントを一時停止または復元できるスポンサー ユーザ。
-
SponsorGroupAccounts:同じスポンサー ユーザ グループのスポンサー ユーザが作成したゲスト アカウントを一時停止できるスポンサー ユーザ。
-
SponsorOwnAccounts:自身が作成したゲスト アカウントのみを一時停止できるスポンサー ユーザ。
-
ゲスト:ネットワークのリソースへの一時的なアクセスを必要とする訪問者。
-
ActivatedGuest:アカウントが有効で、アクティブになっているゲスト ユーザ。
ユーザ ロール
ユーザ ロールは、ユーザが Cisco ISE ネットワークで実行できるタスクやアクセスできるサービスを決定する権限セットです。ユーザ ロールは、ユーザ グループに関連付けられています(ネットワーク アクセス ユーザなど)。
ユーザ アカウントのカスタム属性
Cisco ISE では、ネットワーク アクセス ユーザと管理者の両方に対して、ユーザ属性に基づいてネットワーク アクセスを制限することができます。Cisco ISE では、一連の事前定義されたユーザ属性が用意されており、カスタム属性を作成することもできます。両方のタイプの属性が認証ポリシーを定義する条件で使用できます。パスワードが指定された基準を満たすように、ユーザ アカウントのパスワード ポリシーも定義できます。
カスタム ユーザ属性
[ユーザのカスタム属性(User Custom Attributes)] ページ([管理(Administration)] > [IDの管理(Identity Management)] > [設定(Settings)] > [ユーザのカスタム属性(User Custom Attributes)])で、追加のユーザ アカウント属性を設定できます。このページに事前定義済みユーザ属性のリストを表示することもできます。事前定義済みユーザ属性を編集することはできません。
新しいカスタム属性を追加するには、[ユーザのカスタム属性(User Custom Attributes)] ペインに必要な詳細を入力します。[ユーザのカスタム属性(User Custom Attributes)] ページに追加するカスタム属性とデフォルト値が、ネットワーク アクセス ユーザ([管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)] / [編集(Edit)])または管理者ユーザ([管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] > [追加(Add)]/[編集(Edit)])の追加または編集時に表示されます。これらのデフォルト値は、ネットワーク アクセスまたは管理者ユーザの追加または編集時に変更できます。
ユーザが [ユーザのカスタム属性(User Custom Attributes)] ページで、カスタム属性に対し次のデータ型を選択できます。
-
[文字列(String)]:文字列の最大長(文字列属性値の最大許容長)を指定できます。
-
[整数(Integer)]:最小値と最大値を設定できます(最小、最大の許容可能な整数値を指定します)。
-
[列挙(Enum)]:各パラメータに次の値を指定できます。
-
内部値
-
表示値
デフォルト パラメータを指定することもできます。ネットワーク アクセスまたは管理者ユーザの追加または編集時に、[表示(Display)] フィールドに追加する値が表示されます。
-
-
[浮動小数点数(Float)]
-
[パスワード(Password)]:最大文字列の長さを指定できます。
-
[Long 型(Long)]:最小値と最大値を設定できます。
-
[IP]:デフォルトの IPv4 または IPv6 アドレスを指定できます。
-
[ブール型(Boolean)]:True または False をデフォルト値として設定できます。
-
[日付(Date)]:カレンダーから日付を選択し、デフォルト値として設定できます。日付は yyyy-mm-dd 形式で表示されます。
ネットワーク アクセスまたは管理者ユーザの追加または編集時、これを必須属性とする場合は、[必須(Mandatory)] チェック ボックスをオンにします。カスタム属性のデフォルト値を設定することもできます。
カスタム属性は、認証ポリシーで使用できます。カスタム属性に設定するデータ型と許容範囲は、ポリシー条件のカスタム属性の値に適用されます。
ユーザ認証の設定
すべての外部 ID ストアで、ネットワーク アクセス ユーザが自分のパスワードを変更できるわけではありません。詳細については、各 ID ソースのセクションを参照してください。
ネットワーク使用パスワード ルールは、
で設定できます。。[パスワードポリシー(Password Policy)] タブの一部のフィールドに関する追加情報を次に示します。
- 必須の文字:
大文字または小文字が必要なユーザ パスワード ポリシーを設定するときに、ユーザの言語でこれらの文字がサポートされていない場合、ユーザはパスワードを設定できません。UTF-8 文字をサポートするには、次のチェックボックス オプションをオフにする必要があります。
-
[小文字の英文字(Lowercase alphabetic characters)]
-
大文字の英文字(Uppercase alphabetic characters)
-
-
パスワード変更差分:
現在のパスワードを新しいパスワードに変更するときに変更する必要がある最小文字数を指定します。Cisco ISE では、文字の位置を変更することは変更とみなされません。
たとえば、パスワードの差分が 3 で、現在のパスワードが「?Aa1234?」の場合、「?Aa1567?」(「5」、「6」、「7」は 3 つの新しい文字です)は有効な新しいパスワードです。「?Aa1562?」は、「?」、「2」、および「?」文字が現在のパスワードに含まれているため無効です。文字位置が変更された場合でも、同じ文字が現在のパスワードに含まれているため、「Aa1234??」は無効になります。
また、パスワード変更差分では、以前の X パスワードが考慮されます。この X は、[パスワードは前のバージョンと異なっている必要があります(Password must be different from the previous versions)] の値です。パスワードの差分が 3 で、パスワードの履歴が 2 である場合は、過去 2 つのパスワードの一部ではない 4 文字を変更する必要があります。
-
[辞書の単語(Dictionary words)]:辞書の単語、辞書の単語の逆順での使用、単語内の文字を別の文字で置き換えた単語の使用を制限する場合は、このチェックボックスをオンにします。。
「s」を「$」、「a」を「@」、「o」を「0」、「l」を「1」、「i」を「!」、「e」を「3」に置き換えることはできません。たとえば、「Pa$$w0rd」です。
-
[デフォルトの辞書(Default Dictionary)]:Cisco ISE でデフォルトの Linux 辞書を使用するには、このオプションを選択します。デフォルトの辞書には約 480,000 件の英単語が含まれています。
-
[カスタム辞書(Custom Dictionary]:カスタマイズした辞書を使用するには、このオプションを選択します。[ファイルの選択(Choose File)] をクリックし、カスタム辞書ファイルを選択します。このテキスト ファイルでは、単語が改行文字で区切られており、拡張子は .dic、サイズは 20 MB 以下である必要があります。
-
[アカウント無効化ポリシー(Account Disable Policy)] タブでは、既存のユーザ アカウントを無効にするタイミングに関するルールを設定できます。詳細については、「グローバルにユーザアカウントを無効にする」を参照してください。
ユーザおよび管理者用の自動パスワードの生成
Cisco ISE では、ユーザおよび管理者の作成ページで Cisco ISE パスワード ポリシーに従うインスタント パスワードを生成するための [パスワードの生成(Generate Password)] オプションが導入されています。これにより、ユーザまたは管理者は設定する安全なパスワードを考えるために時間を費やすことなく、Cisco ISE によって生成されたパスワードを使用することができます。
-
ユーザ:[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)]。
-
管理者:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)]。
-
ログイン管理者(現在の管理者):[設定(Settings)] >[アカウント設定(Account Settings)] > [パスワードの変更(Change Password)]。
ユーザの追加
Cisco ISE では、Cisco ISE ユーザの属性を表示、作成、編集、複製、削除、ステータス変更、インポート、エクスポート、または検索できます。
Cisco ISE 内部データベースを使用する場合、Cisco ISE ネットワークのリソースまたはサービスへのアクセスを必要とするすべての新規ユーザのアカウントを作成する必要があります。
手順
ステップ 1 |
を選択します。 ページにアクセスすることによって、ユーザを作成することもできます。 |
ステップ 2 |
新しいユーザを作成するには、[追加(Add)](+)をクリックします。 |
ステップ 3 |
フィールドの値を入力します。 |
ステップ 4 |
[送信(Submit)] をクリックして、Cisco ISE 内部データベースに新しいユーザを作成します。 |
Cisco ISE ユーザ データのエクスポート
Cisco ISE 内部データベースからユーザ データをエクスポートしなければならない場合があります。Cisco ISE では、パスワード保護された csv ファイル形式でユーザ データをエクスポートすることができます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
データをエクスポートするユーザに対応するチェックボックスをオンにします。 |
ステップ 3 |
[選択済みをエクスポート(Export Selected)] をクリックします。 |
ステップ 4 |
[キー(Key)] フィールドに、パスワードを暗号化するためのキーを入力します。 |
ステップ 5 |
[エクスポート開始(Start Export)] をクリックして、users.csv ファイルを作成します。 |
ステップ 6 |
[OK] をクリックして、users.csv ファイルをエクスポートします。 |
Cisco ISE 内部ユーザのインポート
新しい内部アカウントを作成するために、CSV ファイルを使用して新しいユーザ データを ISE にインポートできます。ユーザ アカウントをインポートできるページから、テンプレート CSV ファイルをダウンロードできます。スポンサーはスポンサー ポータルでユーザをインポートできます。ゲスト アカウントのインポート方法については、『Sponsor Portal Guide』で説明しています。スポンサー ゲスト アカウントで使用される情報タイプの設定に関する詳細については、スポンサー アカウント作成のためのアカウント コンテンツの設定 を参照してください。
でユーザをインポートできます。(注) |
CSV ファイルにカスタム属性が含まれている場合、カスタム属性に設定するデータ タイプと許容範囲は、インポート時にカスタム属性の値に適用されます。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[インポート(Import)] をクリックして、カンマ区切りテキスト ファイルからユーザをインポートします。 カンマ区切りテキスト ファイルがない場合は、[テンプレートの生成(Generate a Template)] をクリックし、ヘッダー行に値が取り込まれている CSV ファイルを作成します。 |
ステップ 3 |
[ファイル(File)] テキスト ボックスに、インポートするユーザが含まれたファイル名を入力するか、[参照(Browse)] をクリックして、ファイルが配置されている場所に移動します。 |
ステップ 4 |
新しいユーザの作成、および既存のユーザの更新の両方を実行する必要がある場合は、[新しいユーザの作成、および新しいデータで既存のユーザを更新(Create new user(s) and update existing user(s) with new data)] チェックボックスをオンにします。 |
ステップ 5 |
Cisco ISE 内部データベースに変更を保存するには、[保存(Save)] をクリックします。 |
(注) |
すべてのネットワーク アクセス ユーザを一度に削除しないことを推奨します。一度に削除すると、特に非常に大規模なデータベースを使用している場合は、CPU スパイクとサービスのクラッシュにつながる場合があるためです。 |
ユーザ ID グループの作成
ユーザ ID グループを追加する前に、ユーザ ID グループを作成する必要があります。
手順
ステップ 1 |
を選択します。 ページにアクセスして、ユーザ ID グループを作成することもできます。 |
ステップ 2 |
[名前(Name)] フィールドおよび [説明(Description)] フィールドに値を入力します。[名前(Name)] フィールドでサポートされる文字は次のとおりです:スペース、# $ & ‘ ( ) * + - . / @ _。 |
ステップ 3 |
[送信(Submit)] をクリックします。 |
ユーザ ID グループのエクスポート
Cisco ISE では、ローカルに設定されたユーザ ID グループを csv ファイル形式でエクスポートすることができます。
手順
ステップ 1 |
[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。 |
ステップ 2 |
エクスポートするユーザ ID グループに対応するチェックボックスをオンにし、[エクスポート(Export)] をクリックします。 |
ステップ 3 |
[OK] をクリックします。 |
ユーザ ID グループのインポート
Cisco ISE では、ユーザ ID グループを csv ファイル形式でインポートすることができます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
インポート ファイルに使用するテンプレートを取得するには、[テンプレートの生成(Generate a Template)] をクリックします。 |
ステップ 3 |
[インポート(Import)] をクリックして、カンマ区切りテキスト ファイルからネットワーク アクセス ユーザをインポートします。 |
ステップ 4 |
新しいユーザ ID グループの追加、および既存のユーザ ID グループの更新の両方を実行する必要がある場合は、[新しいデータで既存のデータを上書き(Overwrite existing data with new data)] チェックボックスをオンにします。 |
ステップ 5 |
[インポート(Import)] をクリックします。 |
ステップ 6 |
Cisco ISE データベースに変更を保存するには、[保存(Save)] をクリックします。 |
最大同時セッション数の設定
最適なパフォーマンスを得るために、同時ユーザ セッション数を制限できます。ユーザ レベルまたはグループ レベルで制限を設定できます。最大ユーザ セッションの設定に応じて、セッション カウントはユーザに適用されます。
ISE ノードごとに各ユーザの同時セッションの最大数を設定できます。この制限を超えるセッションは拒否されます。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [最大セッション数(Max Sessions)] > [ユーザ(User)] の順に選択します。 |
ステップ 2 |
次のいずれかを実行します。
|
ステップ 3 |
[保存(Save)] をクリックします。 |
最大セッション数を 1 に設定しており、ユーザが接続する WLC でサポートされているバージョンの WLC が稼働していない場合、ユーザに対し、切断してから再接続するよう指示するエラーが表示されます。
グループの最大同時セッション数
ID グループの最大同時セッション数を設定できます。
グループ内の少人数のユーザによってすべてのセッションが使用される場合があります。他のユーザからの新しいセッションの作成要求は、セッション数がすでに最大設定値に達しているため、拒否されます。Cisco ISE では、グループ内の各ユーザに最大セッション制限を設定できます。特定の ID グループに所属する各ユーザは、同じグループの他のユーザが開いているセッション数に関係なく、制限以上はセッションを開くことができません。特定のユーザのセッション制限を計算する場合は、ユーザ 1 人あたりのグローバル セッション制限、ユーザが所属する ID グループあたりのセッション制限、グループ内のユーザ 1 人あたりのセッション制限のいずれかの最小設定値が優先されます。
ID グループの同時セッションの最大数を設定するには、次の手順に従います。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [最大セッション数(Max Sessions)] > [グループ(Group)] の順に選択します。 設定した ID グループがすべて一覧表示されます。 |
||
ステップ 2 |
編集するグループの横にある [編集(Edit)] アイコンをクリックして、次の値を入力します。
グループの同時セッションの最大数、またはグループ内のユーザの同時セッションの最大数を [無制限(Unlimited)] に設定するには、[グループの最大セッション数/グループ内のユーザの最大セッション数(Max Sessions for User in Group/Max Sessions for User in Group)] フィールドを空白にし、ティック アイコンをクリックし、[保存(Save)] をクリックします。デフォルトでは、両方の値が [無制限(Unlimited)] に設定されています。 |
||
ステップ 3 |
[保存(Save)] をクリックします。 |
カウンタの時間制限の設定
同時ユーザ セッションのタイムアウトを設定できます。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [最大セッション数(Max Sessions)] > [カウンタの時間制限(Counter Time Limit)] の順に選択します。 |
ステップ 2 |
次のオプションのいずれかを選択します。
|
ステップ 3 |
[保存(Save)] をクリックします。 |
[RADIUS ライブ ログ(RADIUS Live Logs)] ページでセッション カウントをリセットできます。[ID(Identity)]、[ID グループ(Identity Group)]、[サーバ(Server)] 列に表示される [アクション(Actions)] アイコンをクリックして、セッション カウントをリセットします。セッションをリセットすると、セッションはカウンタから削除されます(これにより、新しいセッションが許可されます)。ユーザのセッションがカウンタから削除されても、ユーザの接続は切断されません。
個別のユーザ アカウントの無効化
Cisco ISE では、アカウントの無効日が管理者ユーザによって指定された日付を超えた場合は、各個人ユーザのユーザ アカウントを無効にすることができます。
手順
ステップ 1 |
[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] の順に選択します。 |
||
ステップ 2 |
[追加(Add)] をクリックして新しいユーザを作成するか、既存のユーザの横のチェックボックスをオンにして [編集(Edit)] をクリックして既存のユーザの詳細を編集します。 |
||
ステップ 3 |
[日付を超えたらアカウントを無効化する(Disable account if the date exceeds)] チェックボックスをオンにして、日付を選択します。 このオプションによって、ユーザ レベルで設定した日付を超えたときに、ユーザ アカウントをディセーブルにすることができます。必要に応じて、異なるユーザに異なる失効日を設定できます。このオプションは、個々のユーザのグローバル コンフィギュレーションを無効にします。日付には、現在のシステム日付または将来の日付を設定できます。
|
||
ステップ 4 |
[送信(Submit)] をクリックして、個々のユーザのアカウント無効化ポリシーを設定します。 |
グローバルにユーザ アカウントを無効にする
特定の日付、アカウントの作成日または最終アクセス日から数日後、およびアカウントが非アクティブになってから数日後に、ユーザ アカウントを無効にすることができます。
手順
ステップ 1 |
[管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ認証設定(User Authentication Settings)] > [アカウント無効化ポリシー(Account Disable Policy)] を選択します。 |
ステップ 2 |
次のいずれかの操作を実行します。
|
ステップ 3 |
[送信(Submit)] をクリックし、グローバル アカウント無効化ポリシーを設定します。 |