セキュリティ : Cisco Identity Services Engine - Japanese

LDAPサーバで統合のための ISE を設定して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料に Cisco Lightweight Directory Access Protocol (LDAP) サーバで統合のための Cisco Identity Services Engine (ISE)を設定する方法を記述されています。

: この資料は ISE 認証 および 権限のために外部識別ソースとして LDAP を使用するセットアップ用の有効です。

ピョートル Borowiec によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

情報はこれらのソフトウェア および ハードウェア バージョンにこの資料基づいています:

  • パッチ 2 が付いている Cisco ISE バージョン 1.3

  • OpenLDAP の Microsoft Windows バージョン 7 x64 はインストールしました

  • Ciscoワイヤレス LAN コントローラ(WLC)バージョン 8.0.100.0

  • Microsoft Windows のための Cisco AnyConnect バージョン 3.1

  • Ciscoネットワーク Access Manager プロファイル エディタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

これらの認証方式は LDAP でサポートされます:

  • Extensible Authentication Protocol –一般的 な トークンカード(EAP-GTC)

  • Extensible Authentication Protocol – Transport Layer Security (EAP-TLS)

  • 保護された Extensible Authentication Protocol – Transport Layer Security (PEAP-TLS)

設定

このセクションはネットワークデバイスを設定し LDAPサーバと ISE を統合方法を記述します。

ネットワーク図

この設定例では、エンドポイントは無線ネットワークと関連付けるためにワイヤレスアダプタを使用します。 WLC の Wireless LAN (WLAN)は ISE によってユーザを認証するために設定されます。 ISE で、LDAP は外部識別ストアで設定されます。

このイメージは使用するネットワーク トポロジを説明します:

OpenLDAP を設定して下さい

Microsoft Windows のための OpenLDAP のインストールは GUI によって完了し、簡単です。 デフォルト の ロケーションは C です: > OpenLDAP。 インストールの後で、このディレクトリを見るはずです:

2 つのディレクトリを特に書き留めて下さい:

  • ClientTools –このディレクトリは LDAP データベースを編集するために使用する一組のバイナリが含まれています。

  • ldifdata –これは LDAP オブジェクトが付いているファイルを保存する必要がある位置です。

LDAP データベースにこの構造を追加して下さい:

ルート ディレクトリの下で、2 つの組織ユニット(OU)を設定して下さい。 OU=groups OU は 1 つの子グループ(この例の cn=domainusers)があるはずです。 OU=people OU は cn=domainusers グループに属する 2 つのユーザアカウントを定義します。

データベースを読み込むために、ldif ファイルを最初に作成して下さい。 以前に述べられた構造はこのファイルから作成されました:

dn: ou=groups,dc=maxcrc,dc=com
changetype: add
ou: groups
description: All groups in organisation
objectclass: organizationalunit

dn: ou=people,dc=maxcrc,dc=com
changetype: add
ou: people
description: All people in organisation
objectclass: organizationalunit

dn: uid=john.doe,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: john.doe
givenName: John
sn: Doe
cn: John Doe
mail: john.doe@example.com
userPassword: password

dn: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: jan.kowalski
givenName: Jan
sn: Kowalski
cn: Jan Kowalski
mail: jan.kowalski@example.com
userPassword: password

dn: cn=domainusers,ou=groups,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: posixGroup
gidNumber: 678
memberUid: uid=john.doe,ou=people,dc=maxcrc,dc=com
memberUid: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com

LDAP データベースへのオブジェクトを追加するために、ldapmodify バイナリを使用できます:

C:\OpenLDAP\ClientTools>ldapmodify.exe -a -x -h localhost -p 389 -D "cn=Manager,
dc=maxcrc,dc=com" -w secret -f C:\OpenLDAP\ldifdata\test.ldif
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 496
ldap_prepare_socket: 496
ldap_connect_to_host: Trying ::1 389
ldap_pvt_connect: fd: 496 tm: -1 async: 0
attempting to connect:
connect success
adding new entry "ou=groups,dc=maxcrc,dc=com"

adding new entry "ou=people,dc=maxcrc,dc=com"

adding new entry "uid=john.doe,ou=people,dc=maxcrc,dc=com"

adding new entry "uid=jan.kowalski,ou=people,dc=maxcrc,dc=com"

adding new entry "cn=domainusers,ou=groups,dc=maxcrc,dc=com"

ISE と OpenLDAP を統合

情報を使用して下さい ISE の外部識別ストアで LDAP を設定するためにこのセクション全体のイメージで提供される。

 

General タブからのこれらの属性を設定できます:

  • 認証対象 Objectclass –このフィールドは ldif ファイルのユーザアカウントのオブジェクト クラスに対応します。 LDAP設定によって、4 つのクラスの 1 つをここでは使用できます:

    • 先頭へ戻る



    • OrganizationalPerson

    • InetOrgPerson

  • サブジェクト名 アトリビュート– LDAP によって特定のユーザネームはデータベースに含まれているかどうか ISE が尋ねるとき取得されるこれはアトリビュートです。 このシナリオでは、エンドポイントのユーザネーム john.doe か jan.kowalskias を使用して下さい。

  • グループ Objectclass –このフィールドは ldif ファイルのグループに対するオブジェクト クラスに対応します。 このシナリオでは、cn=domainusers グループに対するオブジェクト クラスは posixGroup です。

  • グループ マップ アトリビュート–このアトリビュートはユーザがグループにどのようにマッピング されるか定義します。 ldif ファイルの cn=domainusers グループの下で、ユーザに対応する 2 つの memberUid 属性を表示できます。

ISE はまたいくつかの前もって構成されたスキーマ(Microsoft Active Directory、Sun、Novell)を提供します:

正しい IP アドレスおよび管理ドメイン名前を設定 した後、サーバにバインドをテストできます。 この時点で検索ベースがまだ設定されていないので、サブジェクトかグループを取得しないで下さい。

Next タブでは、認証対象/グループ検索ベースを設定できます。 これは LDAP へ ISE のための加入ポイントです。 加入ポイントの子供のグループおよびサブジェクトだけ取得できます。 このシナリオでは、OU=people からのサブジェクトおよび OU=groups からのグループは取得されます:

Groups タブから、ISE の LDAP からグループをインポートできます:

WLC の設定

情報を使用して下さい 802.1X 認証のための WLC を設定するためにこれらのイメージで提供される:

EAP-GTC を設定して下さい

LDAP におけるサポートされた認証方式の 1 つは EAP-GTC です。 それは Cisco AnyConnect で利用可能です、しかしプロファイルを正しく設定するためにネットワーク アクセス マネージャ プロファイル エディタをインストールして下さい。 またデフォルトでここに見つけられるネットワーク アクセス マネージャコンフィギュレーションを書き換えて下さい:

C: > ProgramData > Cisco > Cisco AnyConnect セキュア モビリティ クライアント > ネットワーク アクセス マネージャ > システム > configuration.xml ファイル

情報を使用して下さいエンドポイントの EAP-GTC を設定するためにこれらのイメージで提供される:

情報を使用して下さい ISE の認証 および 権限ポリシーを変更するためにこれらのイメージで提供される:

設定を適用した後、ネットワークに接続できるはずです:

確認

LDAP および ISE コンフィギュレーションを確認するために、サーバへのテスト接続のサブジェクトおよびグループを取得できるはずです:

これらのイメージは ISE からのサンプル レポートを説明します:

トラブルシューティング

このセクションはこの設定とおよびそれらを解決する方法を見つけられるいくつかのよくある エラーを記述します:

  • OpenLDAP のインストールの後で、gssapi.dll が抜けていることを示すためにエラーに出会うかもしれません。 エラーを除去するために、Microsoft Windows.を再起動して下さい

  • Cisco AnyConnect のための configuration.xml ファイルを直接編集することは可能性のあるではないかもしれません。 別の位置の新しい設定を保存し、次に古いファイルを置き換えるのにそれを使用して下さい。

  • 認証レポートでは、このエラーメッセージが表示されるかもしれません:
    Authentication method is not supported by any applicable identity store
    このエラーメッセージは LDAP によってサポートされない選んだ方式ことを示します。 同じレポートの認証プロトコルがサポートされた方法(EAP-GTC、EAP-TLS、または PEAP-TLS)の 1 つを示すようにして下さい。

  • 認証レポートでは、サブジェクトが識別ストアで見つけられなかったことに注意するかもしれません。 これはレポートからのユーザネームが LDAP データベースのあらゆるユーザ向けのサブジェクト名 アトリビュートを一致することを意味します。 このシナリオでは、値はこのアトリビュートのための uid に設定 されました、つまり一致を見つけるように試みるとき LDAP ユーザ向けの uid 値にことを ISE 外観意味します。

  • クライアント サーバ テストへのサブジェクトおよびグループはバインドの間に正しく取得されないかもしれません。 この問題のほとんどの推定 原因は検索ベースのための誤ったコンフィギュレーションです。 LDAP 階層がリーフにルートおよび dc から規定 する必要があることを覚えていて下さい(複数のワードで構成される場合があります)。

ヒント: WLC 側の EAP 認証を解決するために、WLAN コントローラ(WLC)設定例 Ciscoドキュメントとの EAP 認証を参照して下さい。



Document ID: 119149