セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC のゲスト サーバの Active Directory シングル サインオンの設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Active Directory Single Sign-On(AD SSO)機能は、Active Directory ドメイン コントローラに対して自動的に guest を認証するために、クライアントの Web ブラウザと Cisco NAC ゲスト サーバとの間で Kerberos を使用します。

注: この資料の為に、NTP および DNSサーバは DC にまたありますが、これは可能性のある 環境の場合にはそうではないです。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • DNS は Cisco NAC ゲスト サーバの作業設定し。

  • DNS はドメインコントローラの作業設定し。

  • Cisco NAC ゲスト サーバのための DNS エントリは定義する必要があります:

    • レコード

    • PTR レコード

  • ドメインコントローラのための DNS エントリは定義する必要があります:

    • レコード

    • PTR レコード

  • Cisco NAC ゲスト サーバ 時間設定はアクティブ ディレクトリ ドメインと同期する必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • NAC ゲスト サーバ 2.0

  • Internet Explorer 6.0 が付いている Microsoft Windows XP

  • Windows サーバ 2003 年

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/109602/config-ad-sso-nac-01.gif

設定

このドキュメントでは、次の IP アドレスを使用します。

  • ドメインコントローラ— 172.23.117.46 (w2k3-server.cca.cisco.com)

  • NAC ゲスト サーバ— 172.23.117.42 (ngs.cca.cisco.com)

  • スポンサー マシン— 172.23.117.45

次の手順を実行します。

  1. NGS Admin インターフェイスにアクセスして下さい。 ブラウザから、http://172.23.117.42/admin に行って下さい

    /image/gif/paws/109602/config-ad-sso-nac-02.gif

  2. NGS ネットワークコンフィギュレーション

    > ネットワーク設定 『Server』 を選択 して下さい。

    1. hostname — ngs

    2. domain — cca.cisco.com

    3. プライマリ DNS — 172.23.117.46

  3. NTP セットアップ

    サーバ > 日付/時間では、DC IP 172.23.117.46 に NTP サーバを設定して下さい。

    config-ad-sso-nac-03.gif

  4. AD SSO セットアップ

    SSO セクションを設定する前に、ドメインコントローラおよび NAC ゲスト サーバのために存在 するために A および PTR レコードを確かめて下さい。

    AuthServer > Auth SSO セクションでは、これを設定して下さい:

    /image/gif/paws/109602/config-ad-sso-nac-04.gif

    設定が正常である場合、成功 メッセージが表示されるはずです。

    /image/gif/paws/109602/config-ad-sso-nac-05.gif

  5. SSO 機能を検証して下さい

    ユーザ マシンから、ドメインにログイン して下さい。 この例では、このマシンは cca ドメインの一部です。 Internet Explorer だけ SSO 機能のためにサポートされます。 NAC ゲスト サーバがローカル イントラネットの一部であり、自動ログインがつくことを確かめる必要があります。

    注: ブラウザからの SSO をテストするためにゲスト サーバのために FQDN を使用して下さい。 たとえば、IP アドレスははたらきません。

    1. Webブラウザ設定を確認して下さい:

      /image/gif/paws/109602/config-ad-sso-nac-06.gif

      /image/gif/paws/109602/config-ad-sso-nac-07.gif

    2. Webブラウザから、http://ngs.cca.cisco.com に行って下さい。 ドメイン 資格情報が付いている ngs に自動的にログオンする必要があります。

      注: ユーザーの資格情報で admin モードの NAC を設定する場合その時だけリンク http://ngs.cca.cisco.com ははたらきます。

      /image/gif/paws/109602/config-ad-sso-nac-08.gif

      NAC ゲスト サーバ 監査ログの下で、ユーザがデフォルト グループにログイン したことを見る Niall ことができます:

      config-ad-sso-nac-09.gif

  6. AD SSO (オプションの)のユーザグループ マッピング

    このセクションでデフォルト グループ以外特定のグループに SSO ユーザをマッピング することを理解します。

    ADSSO のユーザグループをマッピング するために、アクティブディレクトリサーバを Authサーバで設定し、次にスポンサー ユーザグループと AD グループをマッピング する必要があります。

    1. NGS を選択して下さい(http://172.23.117.42/admin) 認証は > > アクティブディレクトリサーバ後援します。 新しいドメインコントローラを追加して下さい。

      /image/gif/paws/109602/config-ad-sso-nac-10.gif

      テスト接続 オプションはトラブルシューティングの容易さのための NGS 2.0 でもたらされました。 DC を正しく設定したかどうかわかります。

    2. ユーザグループを設定して下さい

      新規 ユーザ グループ名を— tme 追加して下さい。 この例では、かさ張るためにアカウント の 作成 『No』 を選択 します。 ユーザが tme グループデフォルト グループに置かれたかどうかこうすればすぐにわかります。

      config-ad-sso-nac-11.gif

      アクティブ ディレクトリ マッピングでは、niall テスト ユーザは既にドメイン Admin の一部です。

      /image/gif/paws/109602/config-ad-sso-nac-12.gif

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

ADSSO ユーザグループ マッピングを確認して下さい

スポンサー マシンにアクセスするために、新しいブラウザを開き、http://ngs.cca.cisco.com に行って下さい。

Niall はアクセス無しに tme グループにかさ張るためにアカウント の 作成置く必要があります。

/image/gif/paws/109602/config-ad-sso-nac-13.gif

監査ログを検知 する場合、スポンサーが正しいロールに置かれることを確認できます。

config-ad-sso-nac-14.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

これらはログのエラーメッセージです。 Kerberos エラーはこれらのエラーの 1 つという結果に終ります:

  • 不正確な/ドメインコントローラ ドメイン 形式はない IP アドレス FQDN である必要があります

    ドメインは正しい形式で入力されませんでした(形式 CCA.CISCO.COM であるべきです)。

  • ホスト名はない IP アドレス FQDN である必要があります

    NAC ゲスト サーバのホスト名はそれが完全修飾ドメイン名例えば nac.cca.cisco.com である必要がある IP アドレスである場合もありません。

  • ドメインコントローラのための IP アドレスを判別できません

    DNS 設定 に関する 問題があります。

  • DNS はドメインコントローラのためのレコードを得ることができません

    DNS 設定 に関する 問題があります。

  • ホスト名のための DNS A レコードを得ることができません

    DNS 設定 に関する 問題があります。

  • ドメインコントローラ IP アドレスのための DNS PTR レコードを得ることができません

    DNS 設定 に関する 問題があります。

  • ホスト名 IP アドレスのための DNS PTR レコードを得ることができません

    DNS 設定 に関する 問題があります。

  • ドメインコントローラのこのサーバのためのコンピューター アカウントを作成されない。 詳細についてはアプリケーションログが表示されて下さい

    が原因です。 エラーの詳細を参照するためにアプリケーションログを調べて下さい。

  • 無効 な username/password

    管理者のユーザ名/パスワードは不正確です。

  • 無効 な ドメインはまたは DC のためのネットワーク アドレスを解決できません

    AD サーバに DNS 問題があります。

  • ドメインコントローラ時間はこのサーバの時間を一致する

    サーバ時間一致を、それサーバ時間を同期するために推奨されます使用 NTP 確認して下さい。

  • DC は逆ルックアップによってゲスト サーバのためのホスト名を判別できません。 DNS confiugration においての問題があるかもしれません。

    AD サーバに DNS 設定 に関する 問題があります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 109602