セキュリティ : Cisco Identity Services Engine - Japanese

ISE のポリシー決定の ASA プラットフォームの認証タイプの区別

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)で使用される認証の複数のタイプを区別するためにクライアント の タイプ RADIUS Vendor-specific属性 (VSA)を利用するように Cisco Identity Services Engine (ISE)を設定する方法を記述されています。 組織はユーザが ASA に認証される方法に基づいて政策決定をたいていの場合必要とします。 これはまた私達が TACACS+ の代わりに RADIUS を使用することを可能にする ASA の受信された管理接続にポリシーを適用することを可能にします慎重なとき。

洒落男ウォーレスによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ISE 認証 および 権限。

  • ASA 認証方式および RADIUSコンフィギュレーション。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 適応性があるセキュリティ アプライアンス モデル リリース 8.4.3。

  • Cisco Identity Services Engine リリース 1.1。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS VSA 3076/150 型属性

型属性は ASA リリース 8.4.3 に ASA がクライアントの種類を送信 するようにする Access-Request (およびアカウンティング要求)パケットの ISE に認証する、追加されましたりおよび ISE がそのアトリビュートに基づいて政策決定を作るようにします。 このアトリビュートは ASA の設定を必要としないし、自動的に送信 されます。

型属性はこれらの整数値情報と現在定義されます:

  1. Cisco VPN Client (インターネット鍵交換バージョン(IKEv1))

  2. AnyConnect クライアント SSL VPN

  3. クライアントレス SSL VPN

  4. カットスルー プロキシ

  5. L2TP/IPsec SSL VPN

  6. AnyConnect クライアント IPSec VPN (IKEv2)

設定

このセクションでは、ISE を設定するこの資料に説明がある型属性を利用するために必要がある情報提供されます。

ステップ 1

カスタム属性を作成して下さい

クライアント の タイプ 属性値を ISE に追加するために、アトリビュートを作成し、カスタム辞書として値を読み込んで下さい。

  1. ISE で、ポリシー > ポリシー要素 > 辞書 > システムにナビゲート して下さい。

  2. システム 辞書の中では、に RADIUS > RADIUSベンダー > Cisco-VPN3000 はナビゲート します。

  3. 画面の Vendor ID は 3076 であるはずです。 辞書属性タブをクリックして下さい。

    1. 『Add』 をクリック して下さい(図を 1)参照して下さい。

      図 1: 辞書属性

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-01.gif

    2. 図 2.に見られるようにカスタム RADIUSベンダー アトリビュート形式のフィールドにデータ入力して下さい。

      図 2: RADIUSベンダー アトリビュート

      http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-02.gif

    3. スクリーンの一番下で SAVE ボタンをクリックして下さい。

ステップ 2

型属性を追加して下さい

新しいアトリビュートを政策決定のために利用するために、条件セクションの承認規則にアトリビュートを追加して下さい。

  1. ISE では、ポリシー > 許可にナビゲート して下さい。

  2. 新しいルールを作成するか、または現在のポリシーを修正して下さい。

  3. ルールの条件セクションでは、条件ペインを拡張し、作成しましたり新しい状態を(新しいルールのために)または追加しますアトリビュート/値を選択して下さい(既存ルールのために)。

  4. 選定されたアトリビュート フィールドでは、に Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type はナビゲート します。

  5. 環境のための適切なオペレータを(等号ない等号)選択して下さい。

  6. 一致するたい認証種別を選択して下さい。

  7. 適切なポリシーに許可結果を割り当てて下さい。

  8. [Done] をクリックします。

  9. [Save] をクリックします。

ルールが作成された後、許可状態は図 3.例に類似したに検知 する必要があります。

図 3: 許可状態例

http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-03.gif

確認

型属性を確認することは使用中、検査します ISE の ASA からの認証をです。

  1. オペレーション > 認証へのナビゲート

  2. ASA からの認証のための Details ボタンをクリックして下さい。

  3. 他の属性にスクロールし、CVPN3000/ASA/PIX7x-Client-Type= を探して下さい(図を 4)参照して下さい

    図 4: 他人は詳細を帰因させます

    http://www.cisco.com/c/dam/en/us/support/docs/security/identity-services-engine/115962-differ-auth-types-asa-ise-04.gif

  4. 他の Attributes フィールドは認証の受け取った値を示す必要があります。 コンフィギュレーションセクションのステップ 2 で定義されるルールはポリシーを一致する必要があります。


関連情報


Document ID: 115962