セキュリティ : Cisco Identity Services Engine

AD 資格情報 設定例の ISE 管理上の門脈アクセス

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco Identity Services Engine (ISE)管理 GUI に管理アクセスのための外部識別ストアとして Microsoft Active Directory (AD)の使用のための設定例を記述したものです。

Jatin Katyal によって貢献される、Cisco TAC エンジニア。

前提条件

次の項目に関する知識があることが推奨されます。

  • Cisco ISE バージョン 1.1.x または それ 以降の設定
  • Microsoft AD

Componenets は使用しました

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ISE バージョン 1.1.x
  • Windows サーバ 2008 リリース 2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

Cisco ISE 管理 GUI に管理アクセスのための外部識別ストアで Microsoft AD の使用のために設定するためにこのセクションを使用して下さい。

ISE に AD に加入して下さい

  1. Administration > アイデンティティ管理へのナビゲートは > 外部識別 > アクティブ ディレクトリ ソースをたどります
  2. AD ドメイン名および識別ストア名を入力し、加入をクリックして下さい。
  3. コンピュータ オブジェクトへの変更を追加し、行なうことができる入力し設定を『SAVE』 をクリック して下さい AD アカウントの資格情報を。

     

グループを『Directory』 を選択 して下さい

  1. Administration > アイデンティティ管理へのナビゲートは > 外部識別 > アクティブ ディレクトリ > Groups > Add > 『Groups』 を選択 します形式ディレクトリをソースをたどります。 
  2. 管理者が属する少なくとも 1 AD グループをインポートして下さい。

     

AD のための管理アクセスをイネーブルにして下さい

AD のためのパスワードベース 認証を有効に するためにこれらのステップを完了して下さい:

  1. Administration > システム > Admin アクセス > 認証へのナビゲート。
  2. 認証方式タブから、パスワードを基づいてオプション選択して下さい。
  3. 識別ソース ドロップダウン メニューから AD を選択して下さい。
  4. [Save Changes] をクリックします。

AD グループ マッピング することに Admin group を設定して下さい

Cisco ISE Admin group を定義し、AD グループにそれをマッピング して下さい。 これは AD の団体会員に基づいて管理者のための基づいたアクセスコントロール(RBAC)権限ロールの判別する許可を可能にします。 

  1. Administration > システム > Admin アクセス > 管理者 > Admin グループへのナビゲート。
  2. 新しい Admin group 設定 ペインを表示するためにテーブル ヘッダーで『Add』 をクリック して下さい。
  3. 新しい Admin group の名前を入力して下さい。
  4. Type フィールドでは、External チェックボックスをチェックして下さい。
  5. 外部 の グループ ドロップダウン メニューから、この Admin group にマッピング してほしい『Directory』 を選択グループ セクションで定義されたように AD グループを選択して下さい。
  6. [Save Changes] をクリックします。

     

Admin group のための RBAC 権限を設定 して下さい

前のセクションで作成される Admin グループに RBAC 権限を割り当てるためにこれらのステップを完了して下さい:

  1. Administration > システム > Admin アクセス > 許可 > ポリシーへのナビゲート。
  2. 右の操作ドロップダウン メニューから、新しいポリシーを追加するために下記の新しいポリシーを『Insert』 を選択 して下さい。
  3. ISE_administration_AD と呼ばれる新しいルールを作成し AD セクションのためのイネーブル 管理アクセスで定義される Admin group とマッピング しそれに権限を割り当てて下さい。

    : この例では、標準管理者アカウントと同等である Super Admin と呼ばれる Admin group は割り当てられます。

  4. 『Save Changes』 をクリック すれば、保存される GUI の右下隅で変更の確認は表示する。

     

AD 資格情報とのアクセス ISE

AD 資格情報との ISE にアクセスするためにこれらのステップを完了して下さい:

  1. 管理上の GUI のログアウト。
  2. 識別ソース ドロップダウン メニューからの選定された AD1
  3. AD データベースからユーザ名 および パスワード、およびログインを入力して下さい。

: AD が到達不能なら内部ユーザ ストアへの ISE デフォルト、または使用されるアカウント クレデンシャルは AD にありません。 これは AD が管理アクセスのために設定される間、内部 ストアを使用する場合速いログインを促進します。

確認

設定がきちんと機能することを確認するために、ISE GUI の右上隅で認証済みユーザ名を確認して下さい。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116503