セキュリティ : Cisco Identity Services Engine Software

複数の名前にバインドする ISE のための認証を生成して下さい

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

ゲストが Cisco 識別サービス エンジン(ISE)のための教会法名前レコード(CNAME)にリダイレクトされる時またはスポンサーは短い URL を ISE のスポンサー入口に達するために与えられます、認証エラーを得ます。 この文書はこの問題にソリューションを提供したものです。

注: Vivek Santuka によって貢献される、Cisco TAC エンジニア。

前提条件

要件

この手順を完了する必要があります:

  • ise.yourdomain.com の代りに guests.yourdomain.com のような総称 URL にゲストをリダイレクトしたいと思います

  • ise.yourdomain.com の代りに sponsors.yourdomain.com のような総称 URL にスポンサーをリダイレクトしたいと思います

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

問題

ISE は単一認証だけ管理目的でインストールされるようにします。 この認証はゲストおよびスポンサー セッションを含む ISE で、終わるすべての HTTP セッションのために使用されます。 認証の認証対象名前は ISE のホストネームが含まれていなければならないのですべてのゲスト セッションは ISE のホストネームにリダイレクトされる必要があります。 これは時々セキュリティか他の理由で好ましくないです。 これを回避する一般の方法はワイルドカード認証を使用することです。 但し、ISE はその対応策をサポートしません。

この文書に複数の DNS 名にマップその ISE のための認証を作成する方法を記述されています。

ソリューション

ISE は複数の認証対象代替ネーム(SAN)フィールドが付いている認証をインストールすることを可能にします。 リストされた SAN 名前の何れかを使用して ISE に達するブラウザはエラーなしで認証に署名した CA を信頼する限り認証を受け入れます。

そのような認証のための CSR は ISE GUI から生成することができません。 認証を生成するために openSSL を使用する必要があります。

これらのステップを完了して下さい:

  1. openSSL が取付けられているホストで、次の内容でコンフィギュレーション・ファイルを作成して下さい。 この例では、私csr.cnf のそれを示します

    [ req ]
    default_bits        = 1024
    default_keyfile     = privatekey.pem
    distinguished_name  = req_distinguished_name
    req_extensions     = req_ext
     
    [ req_distinguished_name ]
    commonName            = Common Name (eg, YOUR name)
    commonName_max        = 100
     
    [ req_ext ]
    subjectAltName          = @alt_names
     
    [alt_names]
    DNS.1   = <FQDN of ISE>
    DNS.2   = sponsor.<yourdomain>
    DNS.3   = guest.<yourdomain>
  2. コンフィギュレーション・ファイル:

    • DNS.1 および commonName は同じであるはずです。

    • DNS.2 および DNS.3 を要求に応じて修正して下さい。

    • DNS.4 として SANs 等多くを、DNS.5 加える、ことができます。

    • コンフィギュレーション・ファイルの commonName の値を変更しないで下さい。 実際の commonName は次のステップで設定されます。

  3. このコマンドを使用して CSR を生成して下さい:

    openssl req -new -nodes -out newise.csr -config csr.cnf
    
  4. 認証のための commonName を書き入れるためにプロンプト表示され、それからコマンドは 2 つのファイルを- newise.csr および privatekey.pem 作成します。 最初のファイルは認証を生成するために CA によって使用できる CSR が含まれています。

  5. 証明書ファイルがあったら、次のコマンドを使用して SAN フィールドを確認して下さい。 この例に関しては、認証ファイル名は私newise cert.pem であると仮定されます:

    openssl x509 -text -in my-newise-cert.pem
    

    上記のコマンドの出力では、に類似した出力を捜して下さい:

    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
    (...)
            X509v3 extensions:
                X509v3 Subject Alternative Name: 
                    DNS:myise.mycompany.com, DNS:sponsor.mycompany.com, 
                       DNS:guest.mycompany.com.com
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Key Encipherment
    (...)
    
    
  6. 確認される、ISE に認証およびプライベート キー ファイルを加えるために証明書ファイルおよび privatekey.pem ファイルを使用して下さい。 それらを加えるためにこれらのステップを完了して下さい:

    1. ISE GUI では、> ローカル認証は Administration > 認証に行きます。

    2. 加え、選びます輸入ローカル サーバー認証をクリックして下さい。

    3. 証明書ファイル フィールドで、CA.によって生成される証明書ファイルを選んで下さい。

    4. プライベート キー ファイル フィールドで、上で生成される privatekey.pem ファイルを選んで下さい。

    5. プロトコル セクションで、管理インターフェイスを選んで下さい: Webサーバ(GUI)を認証するのに認証を使用して下さい

    6. 堤出しますクリックして下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113675