セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC(CCA)4.x: LDAP を使用して、ユーザを特定のロールにマッピングする設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ネットワーク アドミッション コントロール(NAC)アプライアンスまたは Cisco Clean Access(CCA)の特定のロールにユーザをマッピングするための Lightweight Directory Access Protocol(LDAP)について説明します。

Cisco NAC アプライアンス(以前の Cisco Clean Access)はネットワークインフラストラクチャをネットワーク コンピューター中央処理装置にアクセスするように努めるすべてのデバイスのセキュリティポリシー 準拠性を実施するのに使用する容易に配備された NAC 製品です。 NAC アプライアンスを使うと、ネットワーク管理者は認証でき、ネットワーク アクセスの前に、ワイヤレスおよびリモートユーザおよびマシン配線される remediate 承認し、評価し。 それはラップトップ、IP 電話、またはゲーム コンソールのようなネットワーク デバイスがネットワークのセキュリティポリシーと対応である識別し、アクセスを許可する前にネットワークに脆弱性をかどうか修復します。

前提条件

要件

この資料は CCA マネージャ、CCA サーバおよび LDAPサーバがきちんとインストールされ、はたらくと仮定します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco NAC アプライアンス 3300 シリーズ- Clean Access Manager 4.0

  • Cisco NAC アプライアンス 3300 シリーズ- Clean Access サーバ 4.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

バックエンド アクティブ ディレクトリに対する認証

Clean Access Manager の認証プロバイダーの複数の型が Microsoft の独自のディレクトリ サービス Active Directory (AD) サーバに対してユーザを認証するのに使用することができます。 これらは Windows NT (NTLM)、Kerberos および LDAP が含まれています(好まれる)。

AD に接続すればのに LDAP を使用する場合 Search(Admin)完全な識別名 (DN)は管理権限または基本ユーザー特権のアカウントの DN に一般的に 設定 されなければなりません。 最初の Common Name (CN) エントリは AD の管理者、または読まれた特権のユーザであるはずです。 検索フィルタが、SAMAccountName、デフォルト AD スキーマのユーザ ログイン名前であることに注目して下さい。

AD/LDAP 設定例

これは LDAP を使用してバックエンド アクティブ ディレクトリと通信するために設定 例を説明します:

  1. Active Directory Users and Computers 内のドメイン 管理者ユーザを作成して下さい。 ユーザ フォルダにこのユーザを置いて下さい。

  2. Active Directory Users and Computers の中では、Actions メニューから『Find』 を選択 して下さい。

    結果が作成されたユーザ向けの団体会員 カラムを示すことを確かめて下さい。 検索結果はアクティブ ディレクトリ内のユーザおよび関連する団体会員を示す必要があります。 これは Clean Access Manager に転送する必要がある情報です。

    /image/gif/paws/91562/cca-ldap-config1.gif

  3. Clean Access Manager Webコンソールから、> 新しい Server 形式はユーザマネージメント > Authサーバに行きます。

  4. サーバタイプとして LDAP を選択して下さい。

  5. Search(Admin)完全な DN に関してはおよび検索基礎コンテキスト フィールドは、Active Directory Users and Computers 内の検索からの結果を入力しました。

    cca-ldap-config2.gif

  6. これらのフィールドはきちんと CAM 内のこの Authサーバを設定して必要のすべてです:

    • ServerURL: ldap://192.168.137.10:389 -これはドメインコントローラ IP アドレスおよび LDAP リスニングポートです。

    • Search(Admin)完全な DN: CN=sheldon muir、CN=Users、DC=domainname、DC=com

    • 検索基礎コンテキスト: DC=domainname、DC=com

    • 既定のロール: ユーザが一度認証を受けられるに入る既定のロールを選択して下さい。

    • 説明 ちょうど参照用の使用される。

    • プロバイダー名: これは CAM の User ページ セットアップに使用する LDAPサーバの名前です。

    • 検索パスワード: sheldon muir のドメイン パスワード

    • 検索フィルタ: SAMAccountName=$user$

  7. サーバを『Add』 をクリック して下さい。

    この時点で、Auth テストははたらく必要があります。

  8. 認証をテストするため:

    1. ユーザマネージメント > Authサーバ > Auth Test タブから、プロバイダ リストの資格情報をテストしたいと思うプロバイダを選択して下さい。 プロバイダが現われない場合、確かめて下さいサーバ タブのリストで正しく設定されることを。

    2. ユーザおよびもし必要なら VLAN ID 値のためのユーザ名 および パスワードを入力して下さい。

    3. [Authenticate] をクリックします。

      テスト結果はウィンドウの下部ので現われます。

      /image/gif/paws/91562/cca-ldap-config3.gif

      Authentication successful:

      プロバイダーの種類に関しては、結果: auth テストが成功するとき正常な認証およびユーザのロールは表示する。

      LDAP/RADIUS サーバに関しては、認証が正常なマッピングがルール設定されるとき、Authサーバ(LDAP/RADIUS)がそれらの値を戻す場合マッピング ルールで規定 される属性/値はまた表示する。 次に、例を示します。

      Result: Authentication successful 
      Role: <role name> 
      Attributes for Mapping: 
      <Attribute Name>=<Attribute value>

      Authentication failed :

      認証が失敗するとき、認証結果と共にメッセージ表示は示されているように失敗しました。

      メッセージ 説明
      メッセージ: 無効 なユーザーの資格情報 正しいユーザネーム、不適切なパスワード
      メッセージ: ユーザ <User Name> のための完全な DN を見つけることが不可能 正しいパスワード、間違ったユーザ名(LDAP プロバイダ)
      メッセージ: クライアント レシーブ 例外: パケット レシーブは失敗しました(時間を計られるレシーブ) 正しいパスワード、間違ったユーザ名(RADIUS プロバイダ)
      メッセージ: Admin(Search)無効 な 資格情報 正しいユーザネーム、正しいパスワード、Auth プロバイダ(LDAPサーバのために設定される例えば不正確な CN)の Search(Admin)完全な DN フィールドで設定される不正確な値
      メッセージ: エラー(x.x.x.x を挙げること: x) 正しいユーザネーム、正しいパスワード、Auth プロバイダのサーバ URL フィールドで設定される不正確な値(LDAP のために設定される例えば不正確なポートか URL)

属性または VLAN ID を使用してロールへのマップ ユーザ

マッピング Rules 形式がこれらのパラメータに基づいてユーザの役割にユーザをマッピング するのに使用することができます:

  • ユーザトラフィックの VLAN CAS (すべての Authサーバ型)の信頼できない側から発信する ID

  • LDAP および RADIUS Authサーバから渡される認証 Cisco VPNコンセントレータから渡される属性(および RADIUS特性)

たとえば、同じ IPサブネットの異なるネットワーク アクセス特権の 2 組のユーザが、ワイヤレス従業員および学生のようなあれば、特定のユーザ ロールに 1 組のユーザをマッピング するのに LDAPサーバからのアトリビュートを利用できます。 それから 1 つのロールへのネットワーク アクセスを許可し、他のロールへのネットワーク アクセスを拒否するためにトラフィックポリシーを作成できます。

Cisco NAC アプライアンスは示されているようにマッピング シーケンスを行います:

/image/gif/paws/91562/cca-ldap-config4.gif

Cisco NAC アプライアンスは Kerberos のためにマッピングを定義するとき管理者が支配します、LDAP および RADIUS認証サーバ複雑なブール式を規定 することを可能にします。 ルールをマッピング して分割された状態でであって下さい複数のユーザ ユーザの役割にユーザをマッピング するために属性および複数 の VLAN ID を結合するのにブール式を使用できます。 ルールをマッピング することは VLAN ID の範囲のために作成しアトリビュート一致は大文字と小文字を区別しなく作ることができます。 これは複数の条件が柔軟にマッピング ルールのために設定されるようにします。

マッピング ルールは auth プロバイダーの種類、およびユーザをマッピング する ユーザの役割ルール式から成り立ちます。 ルール式は 1 つから成り立ちますまたはユーザ パラメータが指定 ユーザ ロールにマッピング されるために一致する必要がある条件の組み合せ。 条件は条件の種類、ソース属性名、オペレータおよび特定のアトリビュートが一致する属性値で構成されます。

マッピング ルールを作成するために、最初に(ルール式を設定するために保存)状態を追加します。 それから、一度ルール式は指定 ユーザ ロールのための Authサーバに、マッピング ルールを追加できます作成されます。

ルールをマッピング することはカスケードできます。 ソースに複数のマッピング するルールがある場合、ルールはマッピング ルール リストに現われる順序で評価されます。 最初の肯定的なマッピング ルールのためのロールは使用されます。 ルールが合われれば、他のルールはテストされません。 ルールが本当ではない場合、その認証 ソースのための既定のロールは使用されます。

マッピング ルールを設定して下さい

次の手順を実行します。

  1. ユーザマネージメント > Authサーバ > マッピング ルールに行き、認証サーバへの追加マッピング ルール リンクをクリックして下さい。

    追加マッピング ルール形式は現われます。

    /image/gif/paws/91562/cca-ldap-config5.gif

  2. ルール(a)をマッピング するための条件を設定して下さい:

  3. (b)ロールのにマッピング ルールを追加して下さい: 状態を設定した、追加した後マッピング ルール(のステップ B)を追加して下さい。

    • 少なくとも 1 つの条件を追加した後役割は name —、ドロップダウンメニューからマッピングを適用するユーザの役割を選択します。

    • priority —マッピング ルールがテストされる順序を判別するためにドロップダウンから優先順位を選択して下さい。 本当に評価する最初のルールがユーザにロールを割り当てるのに使用されています。

    • ルール式—マッピング ルールのための条件付きステートメントの設定を援助するために、このフィールドは追加されるべき最後の条件のコンテンツを表示する。 条件を追加した後、ルールにすべての条件を保存するためにマッピング ルールを『Add』 をクリック して下さい。

    • description —マッピング ルールのオプション の 記述。

    • 追加して下さいマッピング(保存マッピングを) —このボタンをクリックしま終了した時ロールのためのマッピング ルールを作成するために条件を追加します。 指定されたロールのためのマッピングを追加するか、または保存しなければなりませんまたは設定および状態は保存されません。

マッピング ルールを編集して下さい

  • priority —マッピング ルール以降の優先順位を変更するために、サーバのユーザマネージメント > Authサーバ > リストのエントリの隣で up/down 矢印をクリックして下さい。 優先順位はルールがテストされる順序を判別します。 本当に評価する最初のルールがロールにユーザを割り当てるのに使用されています。

  • 編集して下さい—マッピング ルールを修正するために Edit ボタンをルールの隣でクリックするかまたはルールから条件を削除して下さい。 複合条件(COBOL)を編集した場合、状態が下に(作成された以降)表示することに注目して下さい。 これはループを回避することです。

  • delete —その個々のマッピング ルールを削除するために Authサーバのためのマッピング ルール エントリの隣で Delete ボタンをクリックして下さい。 マッピング ルールからその条件を取除くために編集マッピング ルール形式の条件の隣で Delete ボタンをクリックして下さい。 複合ステートメントで別のルールに依存している条件を取除くことができないことに注目して下さい。 個々の状態を削除するために、複合条件(COBOL)を最初に削除しなければなりません。

トラブルシューティング

CCA ユーザの役割への AD ユーザのマッピング することがはたらかない場合、アトリビュート Names= memberof、Operator=contains およびアトリビュート Value= (グループ名)の属性に基づいてロールにユーザをマッピング することを確かめて下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91562