Cisco Identity Services Engine 管理者ガイド リリース 1.3
認証ポリシーの管理
認証ポリシーの管理

目次

認証ポリシーの管理

Cisco ISE 認証ポリシー

認証ポリシーは、Cisco ISE がネットワーク デバイスと通信するために使用するプロトコルを定義します。また、認証に使用するソースを特定します。 ポリシーは、一連の条件と結果で構成されています。 ポリシー条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。 複合条件は、1 つ以上の単純条件で構成され、それぞれの条件が AND または OR 演算子で結合されています。 実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義された結果を適用します。

認証ポリシーは次の要素で構成されています。

  • ネットワーク アクセス サービス:このサービスは次のいずれかとなります。

    • 許可されるプロトコル サービス。初期要求およびプロトコル ネゴシエーションを処理するためのプロトコルを選択します。

    • プロキシ サービス。外部 RADIUS サーバが処理を行うように要求をプロキシします。

  • ID ソース:認証に使用する ID ソースまたは ID ソース順序。

インストール後に、認証に使用される Cisco ISE でデフォルトの ID 認証ポリシーが使用できます。 認証ポリシーを更新すると、デフォルトの設定が上書きされます。

ポリシー条件の評価

ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。 ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。 このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。 その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件の場合に、RADIUS 要求に発信側ステーション ID が存在しない場合、この条件は true と評価されます。 この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。

サポートされる認証プロトコル

認証ポリシーの定義時に選択可能なプロトコルを次に示します。

  • パスワード認証プロトコル(PAP)

  • 保護拡張認証プロトコル(PEAP)

  • Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)

  • Extensible Authentication Protocol-Message Digest 5(EAP-MD5)

  • Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)

  • Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS)

サポートされる認証タイプおよびデータベース

認証タイプは、選択されたプロトコルに基づきます。 認証タイプはパスワード ベースです。認証は、要求内に存在するユーザ名とパスワードを使用してデータベースに対して実行されます。

認証ポリシーの結果である ID 特定方法は、次のいずれかになります。

  • アクセスを拒否:ユーザへのアクセスは拒否され、認証は実行されません。

  • ID データベース:次のいずれかの単一の ID データベース。

    • 内部ユーザ

    • ゲスト ユーザ

    • 内部エンドポイント

    • Active Directory

    • Lightweight Directory Access Protocol(LDAP)データベース

    • RADIUS トークン サーバ(RSA または SafeWord サーバ)

    • 証明書認証プロファイル

  • ID ソース順序:認証に使用する ID データベースの順序。

デフォルトでは、Cisco ISE がユーザ情報の検索に使用する ID ソースは、内部ユーザ データベースです。

認証失敗のタイプ

識別方法としてアクセス拒否を選択した場合、要求への応答として拒否メッセージが送信されます。 ID データベースまたは ID ソース順序を選択して、認証が成功した場合、許可ポリシーの処理が続行されます。 一部の認証は失敗し、その場合次のように分類されます。

  • 認証の失敗:クレデンシャルが正しくない、無効なユーザであることなどが原因で認証が失敗したことを示す明確な応答を受信します。 アクションのデフォルト コースは拒否です。

  • ユーザが見つからない:どの ID データベースでもこのユーザが見つかりませんでした。 アクションのデフォルト コースは拒否です。

  • プロセスの失敗:ID データベース(複数の場合もある)にアクセスできません。 アクションのデフォルト コースはドロップです。

Cisco ISE では、認証失敗に対して次のアクションのコースのいずれかを設定することができます。

  • [拒否(Reject)]:拒否応答が送信されます。

  • [ドロップ(Drop)]:応答は送信されません。

  • [続行(Continue)]:許可ポリシーに従って Cisco ISE を継続します。

[続行(Continue)] オプションを選択した場合でも、使用されているプロトコルの制限により Cisco ISE が要求の処理を実行できない場合があります。 認証に失敗した場合、PAP/ASCII、EAP-TLS、または MAC 認証バイパス(MAB またはホスト ルックアップ)の許可ポリシーの処理を続行できます。

その他のすべての認証プロトコルの場合、認証に失敗すると、次のいずれかの状態となります。

  • 認証の失敗:拒否応答が送信されます。

  • ユーザまたはホストが見つからない:拒否応答が送信されます。

  • プロセス障害:応答は送信されず、要求はドロップされます。

認証ポリシーの用語

以下は認証ポリシー ページの一般用語の一部です。

  • 許可されるプロトコル:許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。

  • アイデンティティ ソース:Cisco ISE データベースがユーザ情報に使用する ID ソースを定義します。 データベースは内部データベースの場合や、Active Directory または LDAP などの外部 ID ソースの場合もあります。 一連のデータベースを ID ソース順序に加えて、この順序をポリシー内で ID ソースとしてリストできます。 Cisco ISE は、リストされている順序でデータベース内のクレデンシャルを検索します。

  • フェールオーバー オプション:認証に失敗した、ユーザが見つからない、または処理に失敗した場合に Cisco ISE が取るべきアクションのコースを指定できます。

簡易認証ポリシー

簡易認証ポリシーでは、Cisco ISE が通信に使用する、許可されるプロトコルおよび ID ソースまたは ID ソース順序を静的に定義できます。 簡易ポリシーでは条件を定義できません。 Cisco ISE ではすべての条件が満たされていると想定され、次の定義を使用して結果が決まります。

  • 常に使用する必要がある許可されるプロトコルおよび ID ソースを静的に定義でき、条件のチェックが必要ない環境では、簡易ポリシーを作成できます。

  • プロキシ サービスベースの簡易ポリシーを作成することもできます。 Cisco ISE は、ポリシー サーバに要求をプロキシして、ユーザ認証に使用する ID ソースを決定します。 要求が別のポリシー サーバにプロキシされた場合、プロトコル ネゴシエーションは発生しません。 ポリシー サーバはどの ID ソースを認証に使用するべきかを評価し、応答を Cisco ISE に返します。

簡易認証ポリシーのフロー

図 1. 簡易認証ポリシーのフロー

簡易ポリシーの結果は、次のいずれかとなります。

  • 認証に成功しました

  • 認証に失敗しました

認証は次のいずれかの原因で失敗することがあります。

  • 正しくないクレデンシャルまたは無効なユーザです。

  • ユーザが見つかりません。

  • 認証プロセスが失敗しました。

簡易認証ポリシー設定のガイドライン

簡易認証ポリシーを設定するときは、次のガイドラインに従ってください。

  • RADIUS サーバ順序を使用する場合は、このアクセス サービスを定義してからポリシーを定義する必要があります。

  • ユーザが外部 ID ソースで定義されている場合、ポリシーを定義する前に Cisco ISE でこれらの ID ソースが設定されていることを確認してください。

  • ID ソース順序を使用してユーザを認証する場合、ポリシーを定義する前に、ID ソース順序が作成済みであることを確認してください。

  • 簡易認証ポリシーとルールベースの認証ポリシーを切り替える場合、最初に設定したポリシーは失われます。 たとえば、簡易認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、簡易認証ポリシーは失われます。 また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。

  • ホスト認証は、MAC アドレスのみを使用して実行されます(MAB)。

ルールベースの認証ポリシー

ルールベースの認証ポリシーは、属性ベースの条件で構成されています。この条件により、要求の処理に使用できるプロトコルおよび ID ソースまたは ID ソース順序が決定されます。 簡易認証ポリシーでは、許可されるプロトコルおよび ID ソースを静的に定義できます。 ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。 複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。

Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。 ポリシー作成ページ内で条件を作成することも可能です。 条件には 2 種類あります。

  • 単純条件

  • 複合条件

ルールベースの認証ポリシーのフロー

ルールベースのポリシーでは、複数のルールを定義できます。 ID データベースは、基準に一致する最初のルールに基づいて選択されます。

異なるデータベースで構成される ID ソース順序を定義することもできます。 Cisco ISE がデータベースを検索する順序を定義できます。 Cisco ISE は、認証が成功するまで指定された順序でこれらのデータベースにアクセスします。 1 つの外部データベースに同一ユーザの複数のインスタンスが存在する場合、認証は失敗します。 1 つの ID ソース内で、ユーザ レコードは重複できません。

ID ソース順序には、3 つのデータベース、または多くとも 4 つのデータベースを使用することを推奨します。

図 2. ルールベースの認証ポリシーのフロー

ルールベースの認証ポリシーのサポート ディクショナリ

Cisco ISE は次のディクショナリをサポートします。

  • システム定義されたディクショナリ

    • CERTIFICATE

    • DEVICE

    • RADIUS

  • RADIUS ベンダー ディクショナリ

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

    • Network Access

ディクショナリによってサポートされる属性

表に、ディクショナリでサポートされる固定属性を示します。これらの属性をポリシー条件内で使用できます。 作成する条件のタイプによっては、使用できない属性もあります。

たとえば、認証ポリシー内でアクセス サービスを選択する条件を作成する場合、使用できるネットワーク アクセス属性は、Device IP Address、ISE Host Name、Network Device Name、Protocol、および Use Case のみです。

次の表に示す属性をポリシー条件に使用できます。

ディクショナリ

属性

許可されるプロトコルのルールおよびプロキシ

ID ルール

Device

Device Type(定義済みのネットワーク デバイス グループ)

Yes

Yes

Device Location(定義済みのネットワーク デバイス グループ)

Other Custom Network Device Group

Software Version

Model Name

RADIUS

すべての属性

Yes

Yes

Network Access

ISE Host Name

Yes

Yes

AuthenticationMethod

No

Yes

AuthenticationStatus

No

No

CTSDeviceID

No

No

Device IP Address

Yes

Yes

EapAuthentication(マシンのユーザの認証時に使用される EAP 方式)

No

Yes

EapTunnel(トンネルの確立に使用される EAP 方式)

No

Yes

Protocol

Yes

Yes

UseCase

Yes

Yes

UserName

No

Yes

WasMachineAuthenticated

No

No

Certificate

Common Name

No

Yes

Country

E-mail

LocationSubject

Organization

Organization Unit

Serial Number

State or Province

Subject

Subject Alternative Name

Subject Alternative Name - DNS

Subject Alternative Name - E-mail

Subject Alternative Name - Other Name

Subject Serial Number

Issuer

Issuer - Common Name

Issuer - Organization

Issuer - Organization Unit

Issuer - Location

Issuer - Country

Issuer - Email

Issuer - Serial Number

Issuer - State or Province

Issuer - Street Address

Issuer - Domain Component

Issuer - User ID

認証のプロトコル設定

プロトコルを使用して認証要求を処理するには、初めに Cisco ISE でグローバル プロトコル設定を定義する必要があります。 [プロトコル設定(Protocol Settings)] ページを使用して、ネットワーク内の他のデバイスと通信する Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)、および保護拡張認証プロトコル(PEAP)の各プロトコルのグローバル オプションを定義できます。

認証プロトコルとして EAP-FAST を使用するためのガイドライン

EAP-FAST を認証プロトコルとして使用する場合は、次のガイドラインに従ってください。

  • EAP-FAST 受信クライアント証明書が認証されたプロビジョニングで有効な場合は、EAP-TLS 内部方式を有効にすることを強く推奨します。 認証されたプロビジョニングの EAP-FAST 受信クライアント証明書は別の認証方式ではなく、ユーザを認証するのと同じ証明書のクレデンシャルのタイプを使用した略式のクライアント証明書認証ですが、内部方式を実行する必要がありません。

  • PAC なしの完全なハンドシェイクおよび認定 PAC プロビジョニングとの認証プロビジョニング作業に対するクライアント証明書を受け入れます。 PAC なしのセッション再開、匿名 PAC プロビジョニング、PAC ベース認証には動作しません。

  • EAP 属性は、認証の順序とは関係なく、ID ごとにモニタリング ツールの認証詳細に、まずユーザ順、次にマシン順に表示されます(したがって EAP チェーニングは 2 回表示されます)。

  • EAP-FAST 認可 PAC が使用される場合、ライブ ログに表示される EAP 認証方式は完全認証に使用される認証方式と同じ(PEAP でのように)であり、参照としてではありません。

  • EAP チェーン モードでは、トンネル PAC が期限切れになると、ISE がプロビジョニングにフォールバックし、AC 要求ユーザおよびマシン認可 PAC(マシン許可 PAC)はプロビジョニングできません。 後続の PAC ベースの認証通信で AC が要求したときにプロビジョニングされます。

  • Cisco ISE がチェーンに、AC がシングル モードに設定されている場合は、AC は IdentityType TLV で ISE に応答します ただし、2 番目の ID 認証は失敗します。 この通信から、クライアントのチェーニング実行は適切であるが、現在はシングル モードで構成されていることがわかります。

  • Cisco ISE は AD にのみチェーンしている EAP-FAST のマシンとユーザの両方の属性およびグループをサポートします。 LDAP および内部 DB ISE に対しては、最新の ID 属性のみを使用します。

EAP-FAST の設定

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FAST の設定(EAP-FAST Settings)] を選択します。
    ステップ 2   EAP-FAST プロトコルの定義に必要な詳細を入力します。
    ステップ 3   以前に生成されたマスター キーおよび PAC をすべて失効させるには、[失効(Revoke)] をクリックします。
    ステップ 4   EAP-FAST 設定を保存するには、[保存(Save)] をクリックします。

    EAP-FAST の PAC の生成

    Cisco ISE の [PAC の生成(Generate PAC)] オプションを使用して、EAP-FAST プロトコルのトンネル PAC またはマシン PAC を生成できます。

    はじめる前に

    次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

    手順
      ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
      ステップ 2   左側の [設定(Settings)] ナビゲーション ペインの [プロトコル(Protocols)] をクリックします。
      ステップ 3   [EAP-FAST] > [PAC の生成(Generate PAC)] を選択します。
      ステップ 4   EAP-FAST プロトコルのマシン PAC を生成する場合に必要な詳細を入力します。
      ステップ 5   [PAC の生成(Generate PAC)] をクリックします。

      EAP-TLS の設定

      はじめる前に

      次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TLS] を選択します。
        ステップ 2   EAP-TLS プロトコルの定義に必要な詳細を入力します。
        ステップ 3   EAP-TLS 設定を保存するには、[保存(Save)] をクリックします。

        PEAP の設定

        はじめる前に

        次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
          ステップ 2   左側の [設定(Settings)] ナビゲーション ペインの [プロトコル(Protocols)] をクリックします。
          ステップ 3   [PEAP] を選択します。
          ステップ 4   PEAP プロトコルの定義に必要な詳細を入力します。
          ステップ 5   PEAP 設定を保存するには、[保存(Save)] をクリックします。

          RADIUS の設定

          認証に失敗、または認証成功のレポートの繰り返しの抑制に失敗したクライアントを検出するように RADIUS 設定を設定することができます。

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
            ステップ 2   [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。
            ステップ 3   [RADIUS] を選択します。
            ステップ 4   RADIUS 設定の定義に必要な詳細を入力します。
            ステップ 5   [保存(Save)] をクリックして、設定を保存します。

            ネットワーク アクセス サービス

            ネットワーク アクセス サービスには、要求に対する認証ポリシー条件が含まれています。 たとえば有線 802.1X や有線 MAB など、さまざまな用途向けに個別のネットワーク アクセス サービスを作成することができます。

            ネットワーク アクセスの許可されるプロトコルの定義

            許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。 許可されるプロトコル アクセス サービスは、認証ポリシーを設定する前に作成する必要がある独立したエントリです。 許可されるプロトコル アクセス サービスは、特定の使用例に対して選択されたプロトコルが含まれているオブジェクトです。

            [許可されるプロトコル サービス(Allowed Protocols Services)] ページには、作成した許可されるプロトコル サービスがすべて表示されます。 Cisco ISE で事前に定義されたデフォルトのネットワーク アクセス サービスが存在します。

            はじめる前に

            この手順を開始する前に、認証に使用するプロトコル サービスの基本を理解している必要があります。

            • この章の「Cisco ISE 認証ポリシー」の項を参照して、さまざまなデータベースでサポートされる認証タイプおよびプロトコルについて理解します。

            • 「PAC オプション」を確認して、各プロトコル サービスの機能とオプションを理解し、使用しているネットワークに最適な選択ができるようにしてください。

            • 手順を進める前に、グローバル プロトコル設定を必ず定義してください。

            次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

            手順
              ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] を選択します。
              ステップ 2   [追加(Add)] をクリックします。
              ステップ 3   必要な情報を入力します。
              ステップ 4   ネットワークに適切な認証プロトコルとオプションを選択します。
              ステップ 5   PAC の使用を選択した場合、適切な選択を行います。

              匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と Extensible Authentication Protocol-Generic Token Card(EAP-GTC)の両方を選択する必要があります。 また Cisco ISE では、マシン認証の外部 ID ソースとしては Active Directory だけがサポートされる点に注意してください。

              ステップ 6   [送信(Submit)] をクリックして、許可されるプロトコル サービスを保存します。

              許可されるプロトコル サービスは、単純な認証ポリシーおよびルールベースの認証ポリシーのページで独立したオブジェクトとして表示されます。 このオブジェクトは異なるルールに使用できます。

              これで、単純な認証ポリシーおよびルールベースの認証ポリシーを作成できるようになります。

              内部方式として EAP-MSCHAP を無効にし、PEAP または EAP-FAST の EAP-GTC と EAP-TLS 内部方式を有効にすると、ISE は内部方式のネゴシエーション中に EAP-GTC 内部方式を開始します。 最初の EAP-GTC メッセージがクライアントに送信される前に、ISE は ID 選択のポリシーを実行して、ID ストアから GTC パスワードを取得します。 このポリシーの実行中、EAP 認証は EAP-GTC と同じです。 EAP-GTC 内部方式がクライアントによって拒否され、EAP-TLS がネゴシエートされても、ID ストア ポリシーが再び実行されることはありません。 ID ストア ポリシーが EAP 認証属性に基づいている場合、本当の EAP 認証は EAP-TLS でありながら ID ポリシー評価後に設定されたため、予期しない結果になることがあります。


              シスコ以外のデバイスからの MAB の有効化

              次の設定を順番に設定して、シスコ以外のデバイスから MAB を設定します。

              手順
                 コマンドまたはアクション目的
                ステップ 1認証されたエンドポイントの MAC アドレスが、エンドポイント データベースで使用可能なことを確認します。 プロファイラ サービスによって、これらのエンドポイントを追加したり、自動的にプロファイリングしたりできます。    
                ステップ 2シスコ以外のデバイス(PAP、CHAP、EAP-MD5)で使用される MAC 認証のタイプに基づいて許可されるプロトコル サービスを作成します。    
                ステップ 3シスコ以外のデバイスから MAB を有効にする認証ポリシー ルールを設定します。  
                1. [ポリシー(Policy)] > [認証(Authentication)] を選択します。

                2. ルールベースの認証ポリシーを選択します。

                3. MAB の新しいルールを挿入します。

                4. このルールのステップ 2 で作成した許可されたプロトコル サービス(シスコ以外のデバイス用の MAB)を選択します。

                5. このルールの ID ソースとしての内部エンドポイント データベースを選択します。

                6. 認証ポリシーを保存します。

                 

                シスコ デバイスからの MAB の有効化

                次の設定を順番に設定して、シスコ デバイスから MAB を設定します。

                手順
                   コマンドまたはアクション目的
                  ステップ 1認証されたエンドポイントの MAC アドレスが、エンドポイント データベースで使用可能なことを確認します。 プロファイラ サービスによって、これらのエンドポイントを追加したり、自動的にプロファイリングしたりできます。    
                  ステップ 2シスコ デバイス(PAP、CHAP、EAP-MD5)で使用される MAC 認証のタイプに基づいて許可されるプロトコル サービスを作成します。    
                  ステップ 3シスコ デバイスから MAB を有効にする認証ポリシー ルールを設定します。    

                  RADIUS プロキシ サーバとして機能する CIsco ISE

                  Cisco ISE は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。 プロキシ サーバとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。 Cisco ISE は要求の結果を受け取り、NAS に返します。

                  Cisco ISE は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。 RADIUS サーバ順序で設定した外部 RADIUS サーバを使用できます。 次に説明する [外部 RADIUS サーバ(External RADIUS Server)] ページには、Cisco ISE で定義した外部 RADIUS サーバがすべて表示されます。 フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の RADIUS サーバを検索することができます。 単純な認証ポリシーとルールベースの認証ポリシーの両方で、RADIUS サーバ順序を使用して要求を RADIUS サーバにプロキシできます。

                  RADIUS サーバ順序は、RADIUS-Username 属性からドメイン名を抜き取り(ストリッピング)、RADIUS 認証に使用します。 このドメイン ストリッピングは EAP 認証には使用できません。EAP 認証では EAP-Identity 属性が使用されます。 RADIUS プロキシ サーバは RADIUS-Username 属性からユーザ名を取得し、RADIUS サーバ順序の設定時に指定した文字列からユーザ名を抜き取ります。 EAP 認証の場合は、RADIUS プロキシ サーバはユーザ名を EAP-Identity 属性から取得します。 RADIUS サーバ順序を使用する EAP 認証は、EAP-Identity 値と RADIUS-Username 値が同一である場合のみ成功します。

                  外部 RADIUS サーバの設定

                  Cisco ISE で外部 RADIUS サーバを設定して、要求を外部 RADIUS サーバに送信できるようにする必要があります。 タイムアウト時間および接続試行回数を定義できます。

                  はじめる前に
                  • この項で作成した外部 RADIUS サーバは、それだけでは使用できません。 RADIUS サーバ順序を作成して、この項で作成した RADIUS サーバを使用するように設定する必要があります。 これにより、RADIUS サーバ順序を認証ポリシーで使用できるようになります。

                  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                  手順
                    ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] を選択します。

                    [RADIUS サーバ(RADIUS Servers)] ページが表示され、Cisco ISE で定義された外部 RADIUS サーバのリストが示されます。

                    ステップ 2   外部 RADIUS サーバを追加するには、[追加(Add)] をクリックします。
                    ステップ 3   必要に応じて値を入力します。
                    ステップ 4   [送信(Submit)] をクリックして、外部 RADIUS サーバの設定を保存します。

                    RADIUS サーバ順序の定義

                    Cisco ISE の RADIUS サーバ順序を使用すると、NAD からの要求を外部 RADIUS サーバにプロキシできます。外部 RADIUS サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。

                    [RADIUS サーバ順序(RADIUS Server Sequences)] ページに、Cisco ISE で定義したすべての RADIUS サーバの順序が表示されます。 このページを使用して、RADIUS サーバの作成、編集、または複製が可能です。

                    はじめる前に
                    • この手順を開始する前に、プロキシ サービスの基本を理解し、関連リンクの最初のエントリのタスクを正常に完了している必要があります。

                    • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                    手順
                      ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [RADIUS サーバ順序(RADIUS Server Sequences)] を選択します。
                      ステップ 2   [追加(Add)] をクリックします。
                      ステップ 3   必要に応じて値を入力します。
                      ステップ 4   [送信(Submit)] をクリックして、ポリシーに使用する RADIUS サーバ順序を保存します。

                      ポリシー モード

                      Cisco ISE には、簡易モードとポリシー セット モードの 2 種類のポリシー モードがあります。 2 種類のうちのどちらかのモードを選択して、認証ポリシーと許可ポリシーを設定します。 ポリシー モードを変更すると、Cisco ISE インターフェイスに再度ログインするように促されます。 ポリシー セット モードから簡易モードに切り替えた場合、すべてのポリシー セットのデータがデフォルト ポリシーを除いて削除されます。 [ポリシー(Policy)] メニュー オプションはポリシー モードの選択に基づいて変化します。

                      • 簡易モード:簡易モードを選択した場合は、[ポリシー(Policy)] メニューで認証ポリシーと許可ポリシーを別々に定義できます。

                        図 3. 簡易モードの [ポリシー(Policy)] メニュー

                      • ポリシー セット モード:ポリシー セット モードを選択した場合は、ポリシー セットを作成して、認証と許可を論理的に同一グループにグループ化できます。 必要に応じて複数のグループを作成できます。

                        図 4. ポリシー セット モードの [ポリシー(Policy)] メニュー

                      ポリシー モードの変更

                      ポリシー モード変更のためのガイドラインは、次のとおりです。

                      • Cisco ISE、リリース 1.1 から新たにインストールまたは更新すると、簡易モード ポリシー モデルがデフォルトで選択されます。

                      • 簡易モードからポリシー セット モードに切り替えると、認証および許可ポリシーはデフォルト ポリシー セットに移行されます。

                      • ポリシー セット モードから簡易モードに切り替えると、デフォルト ポリシー セットの認証および許可が認証および認可ポリシーに移行されます。 その他のすべてのポリシー セット ポリシーは削除されます。

                      手順
                        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポリシー セット(Policy Sets)] を選択します。
                        ステップ 2   ポリシー セット モードを有効または無効にします。
                        ステップ 3   [保存(Save)] をクリックします。

                        新しいポリシー モードを有効にするために、もう一度ログインするよう促されます。


                        簡易認証ポリシーの設定

                        簡易認証ポリシーの設定手順には、許可されるプロトコル サービスの定義および簡易認証ポリシーの設定が含まれます。

                        はじめる前に
                        • RADIUS サーバを使用して簡易認証ポリシーを設定するには、さまざまなデータベースがサポートする認証タイプとプロトコルの理解のために、Cisco ISE 認証ポリシーおよびプロキシ サービスの基本を理解している必要があります。

                        • 許可されるプロトコル アクセス サービスや RADIUS サーバ順序を定義する必要があります。

                        • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                        このプロセスにより、RADIUS サーバ順序を使用した簡易ポリシーの設定も可能です。

                        手順
                          ステップ 1   [ポリシー(Policy)] > [認証(Authentication)] を選択します。
                          ステップ 2   メッセージが表示されたら、[OK] をクリックします。
                          ステップ 3   必要に応じて値を入力します。
                          ステップ 4   [保存(Save)] をクリックして、設定した簡易認証ポリシーを保存します。

                          ルールベースの認証ポリシーの設定

                          ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。 複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。


                          ヒント


                          ルールベースの認証ポリシーを作成する前に、許可されるプロトコル アクセス サービス、条件、および ID ソース順序を作成することを推奨します。 RADIUS サーバ順序を使用する場合、ポリシーを作成する前に RADIUS サーバ順序を定義できます。


                          はじめる前に
                          • ルールベースの認証ポリシー、ネットワーク アクセスに許可される定義済みのプロトコル、作成された ID ソース順序、および RADIUS サーバ順序(許可されるプロトコル アクセス サービスの代わりに RADIUS サーバ順序を使用する場合)の基本的な理解が必要です。

                          • Cisco ISE では、有線 802.1X、無線 802.1X、および有線 MAB を使用する場合の標準的なルールベースの認証ポリシーが事前に用意されています。

                          • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                          • ユーザが外部の ID ソースで定義されている場合、Cisco ISE でこれらの ID ソースが設定されていることを確認してください。


                            (注)  


                            簡易ポリシーとルールベースのポリシーを切り替えると、最初に設定したポリシーは失われます。 たとえば、簡易認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、簡易認証ポリシーは失われます。 また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。


                          手順
                            ステップ 1   [ポリシー(Policy)] > [認証(Authentication)] を選択します。
                            ステップ 2   [ルールベース(Rule-Based)] オプション ボタンをクリックします。
                            ステップ 3   メッセージが表示されたら、[OK] をクリックします。
                            ステップ 4   アクション アイコンをクリックして、新しいポリシーを表示するリスト上の位置に応じて [新しい行を上に挿入(Insert new row above)] または [新しい行を下に挿入(Insert new row above)] をクリックします。 ポリシーは、順序に従って評価されます。

                            このルールベースのポリシーのページ内の各行は、簡易認証ポリシーと同等です。 各行には、許可されるプロトコルおよび ID ソースを決定する一連の条件が含まれています。

                            ステップ 5   必要に応じて新しい認証ポリシーを作成するための値を入力します。
                            ステップ 6   [保存(Save)] をクリックして、作成したルールベースの認証ポリシーを保存します。

                            EAP-FAST クライアント証明書が外部の TLS ネゴシエーションで送信される場合の認証ポリシーを設定するときに、「Username」属性は指定できません。 「CN」や「SAN」などの証明書フィールドを使用することをお勧めします。

                            Active Directory のアカウントが logon hours、locked-out、workstations のいずれかの属性を使用してユーザまたはマシンを拒否するように設定されている場合、ISE は Active Directory に対してユーザまたはマシンの EAP-TLS 認証を制限しません。 これらの属性を使用して、EAP-TLS 認証のユーザまたはマシンを制限しないでください。


                            デフォルトの認証ポリシー

                            認証ポリシー ページの最後の行は、どのルールも要求と一致しない場合に適用されるデフォルト ポリシーです。 このデフォルトのポリシーの許可されるプロトコルおよび ID ソースを編集できます。

                            他のいかなる作成済みポリシーにも要求が一致しない場合のデフォルトのポリシーで、ID ソースとして [アクセスを拒否(Deny Access)] を選択することを推奨します。

                            ポリシー セット

                            ポリシー セットでは、論理的に同じセット内の認証および許可ポリシーをグループ化することができます。 ロケーション、アクセス タイプ、類似パラメータに基づくポリシー セットなどの領域に基づいて、複数のポリシー セットを作成できます。

                            ポリシー セットは最初に一致したポリシーです。 各ポリシーには簡易または複合条件のどちらかがあり、次のサポート ディクショナリがあります。

                            • Airspace

                            • Cisco

                            • Cisco-BBSM

                            • Cisco-VPN3000

                            • Device、Microsoft

                            • NetworkAccess

                            • RADIUS

                            ポリシー セットが一致し選択されたら、認証および許可ポリシーが評価されます。 さらに、ポリシー セット モデルの一部として、グローバル許可例外ポリシーを利用できます。

                            常時 1 つのポリシー セットが定義されています。それがデフォルト ポリシー セットです。

                            ポリシー セットの評価フロー

                            図 5. ポリシー セットの認証および許可の評価フロー

                            ポリシー セットの順序および認証と許可の評価フローは、次のとおりです。

                            1. ポリシー セットを評価します(ポリシー セットの条件を評価する)。 その結果、ポリシー セットが 1 つ選択されます。

                            2. 選択したポリシー セットの許可されたプロトコル ルールを評価します。

                            3. 選択したポリシー セットの ID ストア ルールを評価します。

                            4. 次のパラダイムに基づいて、選択したポリシー セットの許可ルールを評価します。

                              ローカル例外ポリシーが定義されている場合は、これを評価する

                              上記手順 1 で一致がない場合、定義されていればグローバル例外ポリシーを評価する

                              上記手順 2 で一致がない場合、許可ルールを評価する

                            どのポリシー セットにも一致しない場合は、デフォルトのポリシー セットが選択されます。

                            ポリシー セット作成のガイドライン

                            ポリシー セット作成のためのガイドラインは、次のとおりです。

                            • ルールは、名前、条件、結果で指定する必要があります。 すべての認証および許可のルールが定義されていない限り、ポリシー セットを保存できません。

                            • 同じルール タイプ(認証または許可)と同じポリシー セットからのみであれば、ルールを複製できます。

                            • 異なるポリシー セットはルールを共有できません。各ポリシー セットには独自のルールがあります。ただし、条件ライブラリを使用している場合は、条件を共有することができます。

                            グローバル許可例外ポリシー

                            グローバル許可例外ポリシーにより、すべてのポリシー セットに適用するルールを定義できます。 グローバル許可例外ポリシーは、すべてのポリシー セットのすべての許可ポリシーに追加されます。 グローバル許可例外ポリシーは、ポリシー セットのリストからグローバル例外オプションを選択することによって更新できます。

                            各許可ポリシーには、ローカル例外規則、グローバル例外規則、通常ルールがあります。 ローカル許可例外ルールを設定すると、(ある許可ポリシー用の)グローバル例外許可ルールが、ローカル許可例外ルールと並んで読み取り専用モードで表示されます。 ローカル許可例外ルールは、グローバル例外ルールに優先します。 許可ルールは、許可ポリシーのローカル例外規則、グローバル例外規則、通常ルールの順番で処理されます。

                            ポリシー セットの設定

                            このページを使用して、ポリシー セットを設定できます。

                            はじめる前に

                            ポリシー セットが設定できるように、ポリシー モードをポリシー セットとして選択しておくする必要があります。 これを行うには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポリシー セット(Policy Sets)] に移動します。

                            手順
                              ステップ 1   [ポリシー(Policy)] > [ポリシー セット(Policy Sets)] を選択します。
                              ステップ 2   [デフォルト(Default)] ポリシーをクリックします。 デフォルト ポリシーが右側に表示されます。
                              ステップ 3   上部のプラス(+)記号をクリックして、[上を作成(Create Above)] を選択します。
                              ステップ 4   このグループ ポリシーの名前、説明、条件を入力します。
                              ステップ 5   認証ポリシーを定義します。
                              ステップ 6   許可ポリシーを定義します。
                              ステップ 7   [送信(Submit)] をクリックします。 ポリシー セットの設定後、Cisco ISE からログアウトされます。 管理者ポータルにアクセスするために再度ログインする必要があります。

                              認証ポリシーの組み込み設定

                              Cisco ISE には、一部の一般的な用途に対応した、さまざまなデフォルト設定が含まれています。

                              表 1 認証ポリシー設定のデフォルト

                              名前

                              ユーザ インターフェイスのパス

                              説明

                              その他の情報

                              ネットワーク アクセスのデフォルトの許可されるプロトコル アクセス サービス

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [設定(Configuration)] > [許可されるプロトコル(Allowed Protocols)]

                              このデフォルトは、認証ポリシーに使用されるネットワーク アクセスの組み込みの許可されるプロトコル サービスです。

                              このアクセス サービスは、有線および無線の 802.1X、および有線 MAB の認証ポリシーに使用できます。

                              有線 802.1X 複合条件

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                              この複合条件は次の属性と値をチェックします。

                              • RADIUS:Service-Type equals Framed

                              • RADIUS:NAS-Port-Type equals Ethernet

                              この複合条件は、有線 802.1X 認証ポリシーに使用できます。 このポリシーに指定された基準に一致するすべての要求は、有線 802.1X 認証ポリシーに基づいて評価されます。

                              無線 802.1X 複合条件

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                              この複合条件は次の属性と値をチェックします。

                              • RADIUS:Service-Type equals Framed

                              • RADIUS:NAS-Port-Type equals Wireless-IEEE802.11

                              この複合条件は、無線 802.1X 認証ポリシーに使用できます。 このポリシーに指定された基準に一致するすべての要求は、無線 802.1X 認証ポリシーに基づいて評価されます。

                              有線 MAB 複合条件

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                              この複合条件は次の属性と値をチェックします。

                              • RADIUS:Service-Type は Call-Check

                              • RADIUS:NAS-Port-Type equals Ethernet

                              この複合条件は、有線 MAB 認証ポリシーに使用できます。 このポリシーに指定された基準に一致するすべての要求は、有線 MAB 認証ポリシーに基づいて評価されます。

                              Catalyst スイッチのローカル Web 認証複合条件

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                              この複合条件は次の属性と値をチェックします。

                              • RADIUS:Service-Type equals Outbound

                              • RADIUS:NAS-Port-Type equals Ethernet

                              この複合条件を使用するには、この条件を確認する認証ポリシーを作成する必要があります。 また、要件に基づいてアクセス サービスを定義するか、このポリシーのデフォルト ネットワーク アクセス許可プロトコル サービスを利用できます。

                              ワイヤレス LAN コントローラ(WLC)ローカル Web 認証複合条件(Wireless Lan Controller (WLC) Local Web Authentication Compound Condition)

                              [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                              この複合条件は次の属性と値をチェックします。

                              • RADIUS:Service-Type equals Outbound

                              • RADIUS:NAS-Port-Type equals Wireless-IEEE802.11

                              この複合条件を使用するには、この条件を確認する認証ポリシーを作成する必要があります。 また、要件に基づいてアクセス サービスを定義するか、このポリシーのデフォルト ネットワーク アクセス許可プロトコル サービスを利用できます。

                              有線 802.1X 認証ポリシー

                              [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                              このポリシーは、有線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。 このポリシーは、有線 802.1X 複合条件で指定された基準に一致する要求を評価します。

                              このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。 このポリシーを編集して、あらゆる ID ソース順序やアイデンティティ ソースを必要に応じて設定できます。

                              無線 802.1X 認証ポリシー

                              [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                              このポリシーは、無線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。 このポリシーは、無線 802.1X 複合条件で指定された基準に一致する要求を評価します。

                              このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。 このポリシーを編集して、あらゆる ID ソース順序やアイデンティティ ソースを必要に応じて設定できます。

                              有線 MAB 認証ポリシー

                              [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                              このポリシーは、有線 MAB 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。 このポリシーは、有線 MAB 複合条件で指定された基準に一致する要求を評価します。

                              このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。

                              認証結果の表示

                              Cisco ISE にはリアルタイムで認証の概要を表示するさまざまな方法があります。

                              はじめる前に

                              次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                              手順
                                ステップ 1   [操作(Operations)] > [認証(Authentications)] を選択して、リアルタイムで認証の概要を表示します。
                                ステップ 2   認証の概要を表示するには、次のような方法があります。
                                • [ステータス(Status)] アイコンの上にマウス カーソルを移動すると、認証の結果と概要を表示できます。 図に示すようなポップアップが表示されます。

                                • 結果をフィルタリングするには、リストの最上部に表示される 1 つ以上の任意のテキスト ボックスに検索条件を入力して Enter を押します。

                                • 詳細レポートを表示するには、[詳細(Details)] カラムにある虫眼鏡アイコンをクリックします。

                                  (注)     

                                  認証概要レポートまたはダッシュボードが失敗または成功した認証に対応する最新のデータを収集して表示するため、レポートの内容は数分の遅延の後に表示されます。


                                認証ダッシュレット

                                Cisco ISE のダッシュボードには、ネットワークで行われたすべての認証の概要が表示されます。 これには、認証ダッシュレットにある認証および許可の失敗についての概要情報が表示されます。

                                認証ダッシュレットには、Cisco ISE が処理した RADIUS 認証に関する次の統計情報が表示されます。

                                • 認証成功、認証失敗、同一ユーザによる同時ログインなど、Cisco ISE が処理した RADIUS 認証要求の総数。

                                • Cisco ISE が処理した、失敗した RADIUS 認証要求の総数。

                                認証レポートおよびトラブルシューティング ツール

                                認証の詳細の他に、Cisco ISE では、ネットワークの効率的な管理に使用できるさまざまなレポートおよびトラブルシューティング ツールが提供されます。

                                ネットワーク内の認証の傾向およびトラフィックを把握するために実行できるさまざまなレポートがあります。 現在のデータに加えて履歴のレポートを生成できます。 認証レポートのリストは次のとおりです。

                                • AAA の診断

                                • RADIUS アカウンティング

                                • RADIUS 認証

                                • 認証概要