セキュリティ : Cisco Identity Services Engine Software

RADIUS/802.1x 認証用の ISE ゲスト アカウントの設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Identity Services Engine(ISE)で RADIUS ベース認証およびポータル ベース認証のゲスト アカウントを設定する方法について説明します。

著者:Cisco TAC エンジニア、ヴィヴェック・サンツカおよびボウ・ウォレス。

前提条件

要件

このドキュメントの手順では、Cisco Identity Services Engine (ISE)および IEEE 802.1x の基本的な知識が必要です。

使用するコンポーネント

このドキュメントの情報は、Cisco Identity Services Engine (ISE)に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

このドキュメントで説明されているこの機能の動作は、ISE のバージョンによって異なります。

  • ISE 1.1.1 より前: すべてのゲスト アカウントは、作成された時点では非アクティブのままで、ゲスト ポータルで最初にログインされるまでアクティブにはなりません。 非アクティブ状態では、RADIUS を使用したログインはできません。

  • ISE 1.1.1 以降: デフォルト グループ(ActivatedGuest)で作成したゲスト アカウントは、作成後すぐにアクティブになります。 Cisco Bug ID CSCuc76477登録ユーザ専用)がこれらのバージョンに該当します。 この問題が原因で、DefaultFirstLogin 時間プロファイルが使用されている場合、アカウントはアクティブ状態で作成されません。 この問題を解決するには、別のデフォルトまたはカスタムの時間プロファイルを使用してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

すべてのバージョンの設定に関する考慮事項

以下の考慮事項は、すべてのバージョンに適用されます。

  • ゲスト アカウントを使用する認証規則では、ソースとして内部ユーザが必要です。

  • このようなシーケンスの承認規則は、ゲスト(ISE1.1.1 より前)またはアクティブ ゲスト(ISE 1.1.1 以降)と一致していなければなりません。

  • スポンサー ポータルと自己登録の設定では、正しいグループにゲスト アカウントを配置する必要があります。 ISE 1.1.1 では、ゲスト ポータルで最初にログインしなくても済むように、正しいグループとして ActivatedGuest を使用する必要があります。

ISE 1.1.1 以降の設定

ISE 1.1.1 以降を設定するには、次の手順を実行してください。

  1. ActivatedGuest ロールを割り当てるために、スポンサー グループを設定します。

    115802-radius-authentication-01.png

  2. ActivatedGuest グループにアクセスを許可するため、承認ポリシーを設定します。

    115802-radius-authentication-02.png

これで、スポンサー ユーザは ActivatedGuest ロールを持ったゲストを作成できるようになります。 ここで作成したユーザは、802.1x、または内部 ID ストアをサポートする他の認証方式でログインできます。 ライブ認証のログには、次の画像に示されているテキストが表示されるはずです。

115802-radius-authentication-03.png

この ID グループは正しいグループであり、ID ストアは「Internal Users」です。


関連情報


Document ID: 115802