Cisco Identity Services Engine 管理者ガイド リリース 1.3
Cisco ISE の管理
Cisco ISE の管理

目次

Cisco ISE の管理

Cisco ISE へのログイン

管理者のユーザ名とパスワードを使用して Cisco ISE にログインします。

初期設定時に、SSH を有効にしない場合、SSH 経由で ISE 管理コンソールにアクセスできません。 SSH を有効にするには、Cisco ISE CLI にアクセスして、グローバル コンフィギュレーション モードで service sshd enable コマンドを入力します。 グローバル コンフィギュレーション モードで no service sshd コマンドを使用して、SSH を無効にできます。

手順
    ステップ 1   Cisco ISE URL をブラウザのアドレス バーに入力します(たとえば https://<ise hostname or ip address>/admin/)。
    ステップ 2   ユーザ名と、Cisco ISE の初期セットアップで指定して設定した大文字と小文字が区別されるパスワードを入力します。
    ステップ 3   [ログイン(Login)] をクリックするか、Enter を押します。

    ログインが失敗した場合は、[ログイン時の問題(Problem logging in?)] リンクをログイン ページでクリックし、手順に従います。


    管理者ログイン ブラウザのサポート

    Cisco ISE 管理者ポータルは、次の HTTPS 対応ブラウザをサポートします。

    • Mozilla Firefox バージョン 31.x ESR、32.x、および 33.x

    • Microsoft Internet Explorer 10.x および 11.x

    クライアント ブラウザを実行しているシステムに、Adobe Flash Player 11.2.0.0 以降がインストールされている必要があります。

    管理者ポータルを表示してよりよいユーザ エクスペリエンスを得るために必要な最小画面解像度は、1280*800 ピクセルです。

    ログインの試行に失敗した後の管理者のロックアウト

    管理者ユーザ ID に対して誤ったパスワードを入力した回数が所定の数に達すると、ユーザは「ロックアウト」されて管理者ポータルからシステムにアクセスできなくなり、ログ エントリが [サーバ管理者ログイン(Server Administrator Logins)] レポートに記録され、その管理者 ID のクレデンシャルは一時停止されます。一時停止を解除するには、その管理者 ID に関連付けられたパスワードをリセットする必要があります。手順については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.3』の「Performing Post-Installation Tasks」の章を参照してください。 管理者アカウントを無効にするのに必要な試行失敗回数は、「ユーザ アカウントのカスタム属性およびパスワード ポリシー」の項で説明しているガイドラインに従って設定できます。 管理者ユーザ アカウントがロックアウトされると、関連付けられた管理者ユーザに電子メールが送信されます。

    無効になったシステム管理者のステータスは、Active Directory ユーザを含むすべてのスーパー管理者が有効にできます。

    Cisco ISE でのプロキシ設定の指定

    既存のネットワーク トポロジにおいて、外部リソース(たとえば、クライアント プロビジョニングやポスチャ関連のリソースが存在するリモート ダウンロード サイト)にアクセスするために、Cisco ISE に対してプロキシを使用することが要求されている場合は、管理者ポータルを使用してプロキシのプロパティを指定できます。

    プロキシ設定は次の Cisco ISE 機能に影響します。

    • パートナー モバイル管理
    • エンドポイント プロファイラ フィード サービスの更新
    • エンドポイント ポスチャの更新
    • エンドポイント ポスチャ エージェント リソースのダウンロード
    • CRL(証明書失効リスト)のダウンロード

    Cisco ISE プロキシ設定はプロキシ サーバの基本認証をサポートします。 NT LAN Manager(NTLM)認証はサポートされていません。

    手順
      ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] を選択します。
      ステップ 2   プロキシの IP アドレスまたは DNS 解決可能ホスト名を入力し、Cisco ISE との間のプロキシ トラフィックを通過させるポートを [プロキシ ホスト サーバ:ポート(Proxy host server : port)] で指定します。
      ステップ 3   必要に応じて、[パスワード必須(Password required)] チェックボックスをオンにします。
      ステップ 4   [ユーザ名(User Name)] および [パスワード(Password)] フィールドに、プロキシ サーバへの認証に使用するユーザ名とパスワードを入力します。
      ステップ 5   [次のホストとドメインに対するプロキシをバイパス(Bypass proxy for these hosts and domain)] に、バイパスするホストまたはドメインの IP アドレスまたはアドレス範囲を入力します。
      ステップ 6   [保存(Save)] をクリックします。

      管理者ポータルで使用されるポート

      管理者ポータルは HTTP ポート 80 および HTTPS ポート 443 を使用するように設定され、これらの設定は変更できません。 Cisco ISE はまた、あらゆるエンドユーザ ポータルが同じポートを使用することを禁止して、管理者ポータルへのリスクを減らすようになっています。

      システム時刻と NTP サーバ設定の指定

      Cisco ISE では、Network Time Protocol(NTP)サーバを 3 台まで設定することができます。 NTP サーバを使用すると、正確な時刻を維持でき、複数のタイムゾーンの間で時刻を同期できます。 また、認証済みの NTP サーバのみを Cisco ISE で使用するかどうかを指定することもでき、そのための認証キーを入力できます。

      シスコは、すべての Cisco ISE ノードを協定世界時(UTC)の時間帯に設定することを推奨します(特に Cisco ISE ノードが分散展開されてインストールされている場合)。 この手順により、展開内にあるさまざまなノードからのレポートとログのタイムスタンプが常に同期されるようになります。

      はじめる前に

      スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

      プライマリおよびセカンダリの両方の Cisco ISE ノードがある場合は、セカンダリ ノードのユーザ インターフェイスにログインし、展開内の各 Cisco ISE ノードのシステム時間と NTP サーバ設定を個別に設定する必要があります。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [システム時刻(System Time)] を選択します。
        ステップ 2   NTP サーバに一意の IP アドレスを入力します。
        ステップ 3   システムおよびネットワーク時間の維持に認証済みの NTP サーバだけを使用するように Cisco ISE を制限する場合は、[認証済みの NTP サーバのみ可能(Only allow authenticated NTP servers)] チェックボックスをオンにします。
        ステップ 4   指定したサーバのいずれかが認証キーによる認証を必要とする場合は、[NTP 認証キー(NTP Authentication Keys)] タブをクリックし、1 つ以上の認証キーを次のように指定します。
        1. [追加(Add)] をクリックします。
        2. [キー ID(Key ID)] と [キー値(Key Value)] に必要な値を入力します。そのキーが信頼できる場合は、[信頼できるキー(Trusted Key)] オプションをオンにし、[OK] をクリックします。 [キー ID(Key ID)] フィールドは 1 ~ 65535 の数値をサポートし、[キー値(Key Value)] フィールドは最大 15 文字の英数字をサポートします。
        3. NTP サーバの認証キーの入力が終了したら、[NTP サーバ設定(NTP Server Configuration)] タブに戻ります。
        ステップ 5   [保存(Save)] をクリックします。

        システムの時間帯の変更

        一度設定すると、管理者ポータルからの時間帯の編集はできません。 時間帯設定を変更するには、Cisco ISE CLI で次のコマンドを入力します。

        clock timezone timezone


        注意    


        インストール後に Cisco ISE アプライアンスで時間帯を変更するには、ISE サービスをその特定のノードで再起動する必要があります。 そのため、メンテナンス ウィンドウ内でこのような変更を行うことを推奨します。 また、単一 ISE 展開内のすべてのノードが同じ時間帯に設定されていることが重要です。 複数の ISE ノードが異なる地理的な場所や時間帯にある場合は、すべての ISE ノードで UTC などのグローバルな時間帯を使用する必要があります。


        clock timezone コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。

        通知をサポートするための SMTP サーバの設定

        管理者ポータルからアラームの電子メール通知を送信して、スポンサーがゲストにログイン クレデンシャルやパスワードのリセット指示の電子メール通知を送信できるようにしたり、ゲストがアカウント登録に成功した後、自動的にログイン クレデンシャルを受信したり、ゲスト アカウントの期限が切れる前に実行するアクションを受信したりできるようにするには、Simple Mail Transfer Protocol(SMTP)サーバを設定する必要があります。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。
          ステップ 2   [SMTP サーバ(SMTP Server)] フィールドにアウトバウンド SMTP サーバのホスト名を入力します。 この SMTP ホスト サーバは Cisco ISE サーバからアクセス可能である必要があります。 このフィールドの最大長は 60 文字です。
          ステップ 3   次のオプションのいずれかを選択します。
          • スポンサーの電子メール アドレスからゲスト通知メールを送信するには、[スポンサーの電子メール アドレスを使用(Use email address from Sponsor)] を選択して、[通知の有効化(Enable Notifications)] を選択します。

          • すべてのゲスト通知の送信元となる電子メールアドレスを指定するには、[デフォルトの電子メール アドレスを使用(Use Default email address)] を選択して、それを [デフォルトの電子メール アドレス(Default email address)] フィールドに入力します。
          ステップ 4   [保存(Save)] をクリックします。

          アラーム通知の受信者は、[電子メールにシステム アラームを含む(Include system alarms in emails)] オプションが有効になっている内部管理ユーザです。 アラーム通知を送信する送信者の電子メール アドレスは、ise@<hostname> としてハード コードされています。

          SMS プロバイダーおよびサービス

          SMS サービスは、ユーザおよびスポンサーがクレデンシャルを持つゲスト ポータルを使用しているゲストに SMS 通知を送信する場合に必要となります。 可能な限り、会社の経費を削減するために、無料の SMS サービス プロバイダーを設定および提供します。

          Cisco ISE は、加入者に無料の SMS サービスを提供するさまざまなセルラー サービス プロバイダーを提供します。 Cisco ISE でサービス契約とアカウント クレデンシャルを設定せずに、これらのプロバイダーを使用できます。 セルラー サービス プロバイダーには、ATT、Orange、Sprint、TMobile、Verizon などがあります。

          また、無料の SMS サービスを提供するその他のセルラー サービス プロバイダー、または Click-A-Tell などのグローバル SMS サービス プロバイダーも追加できます。 デフォルトのグローバル SMS サービス プロバイダーには、サービス契約が必要です。また、Cisco ISE のアカウント クレデンシャルを設定する必要があります。

          • アカウント登録ゲストがアカウント登録フォームで無料 SMS サービス プロバイダーを選択すると、SMS 通知がログイン クレデンシャルとともに無料で送信されます。 SMS サービス プロバイダーを選択しない場合は、会社が契約したデフォルトのグローバル SMS サービス プロバイダーが SMS 通知の送信に使用されます。

          • 自分が作成したゲスト アカウントに対してスポンサーが SMS 通知を送信できるようにする場合は、スポンサー ポータルをカスタマイズして、スポンサーが使用できる適切な SMS サービス プロバイダーをすべて選択することも必要になります。 スポンサー ポータル用の SMS サービス プロバイダーを選択しない場合は、会社が契約したデフォルトのグローバル SMS サービス プロバイダーが SMS サービスを提供します。

          ゲストに SMS 通知を送信するための SMS ゲートウェイの設定

          次のことができるようにするには、Cisco ISE で SMS ゲートウェイを設定する必要があります。
          • ログイン クレデンシャルおよびパスワード リセット手順に関する SMS 通知をスポンサーがゲストに手動で送信します。
          • ゲストが、アカウント登録に成功した後、ログイン クレデンシャルに関する SMS 通知を自動的に受信します。
          • ゲスト アカウントの期限が切れる前に実行するアクションに関する SMS 通知をゲストが自動的に受信します。

          情報をフィールドに入力するときは、[USERNAME]、[PASSWORD]、[PROVIDER_ID] など、[ ] 内のすべてのテキストを、SMS プロバイダーのアカウントに固有の情報で更新する必要があります。

          はじめる前に

          [SMS 電子メール ゲートウェイ(SMS Email Gateway)] オプションに使用するデフォルト SMTP サーバを設定します。

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] を選択します。
            ステップ 2   [追加(Add)] をクリックします。
            ステップ 3   [SMS ゲートウェイ プロバイダー名(SMS Gateway Provider Name)] を入力します。
            ステップ 4   [プロバイダー インターフェイス タイプ(Provider Interface Type)] を選択し、必要な情報を入力します。
            • [SMS 電子メール ゲートウェイ(SMS Email Gateway)]:電子メール サーバ経由で SMS を送信する場合。
            • [SMS HTTP API]:HTTP API を介して SMS を送信する場合(GET または POST 方式)。
            ステップ 5   [長いメッセージを複数に分割する(Break up long message into multiple parts)] をオンにして、Cisco ISE で 140 バイトを超えるメッセージを複数のメッセージに分割できるようにします。 ほとんどの SMS プロバイダーは、長い SMS メッセージを自動的に複数に分割します。 MMS メッセージは SMS メッセージよりも長くなる可能性があります。
            ステップ 6   [送信(Submit)] をクリックします。

            ソフトウェア パッチのインストール

            展開内の Cisco ISE にパッチをインストールする作業は、プライマリ管理ノードから行うことができます。 管理者ポータルからパッチをインストールするには、Cisco.com からクライアント ブラウザを実行しているシステムにパッチをダウンロードします。


            (注)  


            Cisco ISE のパッチをインライン ポスチャ ノードにインストールする作業を実行できるのは、CLI からに限られます。


            CLI からパッチをインストールするには、『Cisco Identity Services Engine CLI Reference Guide, Release 1.3』を参照してください。

            はじめる前に

            スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

            手順
              ステップ 1   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] > [インストール(Install)] を選択します。
              ステップ 2   [参照(Browse)] をクリックし、Cisco.com からダウンロードしたパッチを選択します。
              ステップ 3   [インストール(Install)] をクリックしてパッチをインストールします。

              プライマリ管理ノードでのパッチのインストールが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

              (注)     

              パッチ インストールの進行中は、[パッチ管理(Patch Management)] ページ上の機能のうち、アクセスできるのは [ノード ステータスを表示(Show Node Status)] のみです。

              ステップ 4  
              ステップ 5   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択して、[パッチのインストール(Patch Installation)] ページに戻ります。
              ステップ 6   セカンダリ ノードにインストールしたパッチの横のオプション ボタンをクリックし、[ノード ステータスを表示(Show Node Status)] をクリックしてインストールが完了したことを確認します。

              次の作業

              1 つ以上のセカンダリ ノードでパッチをインストールする必要がある場合は、ノードが動作中であることを確認し、プロセスを繰り返して残りのノードにパッチをインストールします。

              Cisco ISE ソフトウェア パッチ

              通常 Cisco ISE パッチは累積されます。 ただし、パッチ インストールの制限事項については、パッチに付属している README ファイルで説明されています。 Cisco ISE では、パッチのインストールおよびロールバックを CLI または GUI から実行できます。

              ソフトウェア パッチ インストールのガイドライン

              パッチのインストールまたはロールバックをスタンドアロンまたはプライマリの管理ノードから実行したときは、Cisco ISE によってアプリケーションが再起動されます。 再びログインできる状態になるまで、数分かかることがあります。

              インストールするパッチが、ネットワーク内に展開されている Cisco ISE のバージョンに適用されるものであることを確認してください。 Cisco ISE はパッチ ファイルのバージョンの不一致とあらゆるエラーをレポートします。

              Cisco ISE に現在インストールされているパッチよりも低いバージョンのパッチをインストールできません。 同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco ISE にインストール済みの場合は、ロールバックはできません。 たとえば、パッチ 3 が Cisco ISE サーバにインストール済みの場合に、パッチ 1 または 2 をインストールしたり、パッチ 1 または 2 にロールバックすることはできません。

              分散展開の一部であるプライマリ管理ノードからパッチのインストールを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリ ノードとすべてのセカンダリ ノードにインストールされます。 パッチのインストールがプライマリ ノードで成功すると、Cisco ISE はセカンダリ ノードでパッチのインストールを続行します。 プライマリ ノードで失敗した場合は、インストールはセカンダリ ノードに進みません。 ただし、何らかの理由でセカンダリ ノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリ ノードでインストールが実行されます。 パッチがセカンダリ Cisco ISE ノード上にインストールされると、そのノードは続けて再起動されます。 パッチをセカンダリ ノードにインストールしている間も、プライマリ ノードの管理タスクの実行を続けることができます。

              ソフトウェア パッチのロールバック

              分散展開の一部であるプライマリ管理ノードからパッチのロールバックを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリ ノードとすべてのセカンダリ ノードにインストールされます。

              はじめる前に

              スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

              手順
                ステップ 1   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。
                ステップ 2   変更をロールバックするパッチ バージョンのオプション ボタンをクリックしてから、[ロールバック(Rollback)] をクリックします。
                (注)     

                パッチのロールバックの進行中は、[パッチ管理(Patch Management)] ページ上の機能のうち、アクセスできるのは [ノード ステータスを表示(Show Node Status)] のみです。

                プライマリ管理ノードからのパッチのロール バックが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

                ステップ 3   ログイン後に、ページの一番下にある [アラーム(Alarms)] リンクをクリックしてロールバック操作のステータスを表示します。
                ステップ 4   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。
                ステップ 5   パッチのロールバックの進行状況を表示するには、[パッチ管理(Patch Management)] ページでパッチを選択し、[ノード ステータスを表示(Show Node Status)] をクリックします。
                ステップ 6   パッチのオプション ボタンをクリックし、すべてのセカンダリ ノード上で [ノード ステータスを表示(Show Node Status)] をクリックして、そのパッチが展開内のすべてのノードからロールバックされたことを確認します。

                そのパッチがロールバックされていないセカンダリ ノードがある場合は、そのノードが稼働中であることを確認してから、プロセスをもう一度実行して残りのノードから変更をロールバックしてください。 Cisco ISE は、このバージョンのパッチがインストールされているノードからのみパッチをロールバックします。


                ソフトウェア パッチ ロールバックのガイドライン

                展開の Cisco ISE ノードからパッチをロールバックするには、最初にプライマリ ノードから変更をロールバックします。 これに成功すると、セカンダリ ノードからパッチがロールバックされます。 プライマリ ノードでロールバック プロセスが失敗した場合は、セカンダリ ノードからのパッチ ロールバックは行われません。 ただし、セカンダリ ノードでパッチが失敗しても、展開内の次のセカンダリ ノードからのパッチのロールバックは継続されます。

                Cisco ISE によるセカンダリ ノードからのパッチ ロールバックが進行中のときも、引き続きプライマリ管理ノード GUI から他の作業を実行することができます。 セカンダリ ノードは、ロールバック後に再起動されます。

                パッチのインストールおよびロールバックの変更の表示

                Cisco ISE のモニタリングおよびトラブルシューティングのコンポーネントは、指定した期間に Cisco ISE ノードで実施されたパッチのインストールとロールバック操作の情報を提供します。

                はじめる前に

                スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

                手順
                  ステップ 1   [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] を選択します。
                  ステップ 2   [サーバ操作監査(Server Operations Audit)] オプション ボタンをクリックしてから [実行(Run)] をクリックし、レポートを生成する期間を選択します。
                  ステップ 3   ページ右上の [Interactive Viewer を起動(Launch Interactive Viewer)] リンクをクリックすると、このレポートのデータの表示、並べ替え、およびフィルタリングを行うことができます。

                  FIPS モードのサポート

                  Cisco ISE Release 1.3 は FIPS モードをサポートしていません。

                  管理者 CAC 認証のための Cisco ISE の設定

                  はじめる前に

                  設定を始める前に、次の手順を実行してください。

                  • Cisco ISE のドメイン ネーム サーバ(DNS)が Active Directory に設定されていることを確認します。

                  • Active Directory のユーザとユーザ グループ メンバーシップが、管理者証明書ごとに定義されていることを確認します。

                  Cisco ISE による管理者の認証と許可を、ブラウザから送信された CAC ベースのクライアント証明書に基づいて実行できるようにするには、次の設定が完了していることを確認してください。

                  • 外部 ID ソース(次の例では Active Directory)

                  • 管理者が属する Active Directory のユーザ グループ

                  • ユーザの ID を証明書の中で見つける方法

                  • Active Directory ユーザ グループから Cisco ISE RBAC 権限へのマッピング

                  • クライアント証明書に署名する認証局(信頼)証明書

                  • クライアント証明書がすでに CA によって失効させられたかどうかを判断する方法

                  Cisco ISE にログインする場合、クレデンシャルを認証するために Common Access Card(CAC)を使用できます。

                  手順
                    ステップ 1   Cisco ISE の Active Directory ID ソースを設定し、Active Directory にすべての Cisco ISE ノードを追加します。
                    ステップ 2   ガイドラインに従って証明書認証プロファイルを設定します。

                    [プリンシパル名 X.509 属性(Principal Name X.509 Attribute)] フィールドでは、証明書内で管理者ユーザ名が格納されている属性を選択します (CAC カードの場合は、カード上の署名証明書が通常は Active Directory でのユーザの検索に使用されます。 プリンシパル名は、この証明書の「Subject Alternative Name」拡張情報の中にあります。具体的には、この拡張情報の「Other Name」というフィールドです。したがって、ここで選択する属性は「Subject Alternative Name - Other Name」となります)。

                    ユーザの AD レコードにユーザの証明書が格納されている場合に、ブラウザから受信した証明書を AD の証明書と比較するには、[証明書のバイナリ比較(Binary Certificate Comparison)] チェックボックスをオンにして、以前に指定した Active Directory インスタンス名を選択します。

                    ステップ 3   パスワード ベースの admin 認証用の Active Directory を有効にします。 Cisco ISE に接続し結合された Active Directory インスタンス名を選択します。
                    (注)     

                    その他の設定が完了するまでは、パスワード ベースの認証を使用します。 この手順の最後に、認証タイプをクライアント証明書ベースに変更できます。

                    ステップ 4   外部管理者グループを作成して、Active Directory グループにマッピングします。 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理グループ(Admin Groups)] を選択します。 外部システム管理者グループを作成します。
                    ステップ 5   外部管理グループに RBAC 権限を割り当てる管理者許可ポリシーを設定します。
                    注意       

                    外部スーパー管理者グループを作成して Active Directory グループにマッピングし、スーパー管理者権限を持つ管理者許可ポリシー(メニュー アクセスおよびデータ アクセス)を設定し、Active Directory グループに少なくとも 1 人のユーザを作成することを強く推奨します。 このマッピングにより、クライアント証明書ベースの認証が有効になると、少なくとも 1 人の外部管理者がスーパー管理者権限を持つことが保障されます。 これができないと、Cisco ISE 管理者が管理者ポータルの重要な機能から締め出される状況になる可能性があります。

                    ステップ 6   [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] を選択して、認証局証明書を Cisco ISE 証明書信頼ストアにインポートします。

                    Cisco ISE がクライアント証明書を受け入れるには、そのクライアント証明書の信頼チェーンの CA 証明書が Cisco ISE 証明書ストアの中にあることが条件となります。 Cisco ISE 証明書ストアには適切な CA 証明書をインポートする必要があります。

                    1. [参照(Browse)] をクリックして証明書を選択します。
                    2. [クライアント認証を信頼(Trust for client authentication)] チェックボックスをオンにします。
                    3. [送信(Submit)] をクリックします。

                      Cisco ISE は、証明書をインポートしたら展開内のすべてのノードを再起動することを促します。 すべての証明書をインポートするまで、再起動を遅らせることができます。 ただし、すべての証明書をインポートしたら、次に進む前に Cisco ISE を再起動する必要があります。

                    ステップ 7   失効ステータス確認のための認証局証明書を設定します。
                    1. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [OSCP サービス(OSCP Services)] を選択します。
                    2. OSCP サーバの名前、説明(任意)、サーバの URL を入力します。
                    3. [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] を選択します。
                    4. クライアント証明書に署名できる CA 証明書のそれぞれについて、その CA の失効ステータス チェックを行う方法を指定する必要があります。 リストから CA 証明書を選択して [編集(Edit)] をクリックします。 編集ページで、OCSP または CRL 検証の一方あるいは両方を選択します。 OCSP を選択した場合は、CA に使用する OCSP サービスを選択します。 CRL を選択した場合は、CRL Distribution URL などの設定パラメータを指定します。
                    ステップ 8   クライアント証明書ベースの認証を有効にします。 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] を選択します。
                    1. [認証方式(Authentication Method)] タブの [クライアント証明書ベース(Client Certificate Based)] 認証タイプを選択します。
                    2. 設定済みの証明書認証プロファイルを選択します。
                    3. Active Directory のインスタンス名を選択します。
                    4. [保存(Save)] をクリックします。

                      ここで、パスワード ベースの認証からクライアント証明書ベースの認証に切り替えます。 設定済みの証明書認証プロファイルにより、管理者による証明書の認証方法を指定します。 管理者は外部 ID ソースを使用して許可されます。この例では、Active Directory です。

                      Active Directory での管理者の検索には、証明書認証プロファイルからのプリンシパル名属性が使用されます。

                      Cisco ISE は、管理者 CAC 認証に設定されています。


                    サポートされる Common Access Card 標準

                    Cisco ISE は、米国の Common Access Card(CAC)認証デバイスを使用して、自身を認証する政府ユーザをサポートします。 CAC は特定の従業員を識別する一連の X.509 クライアント証明書を含む電子チップの認識票です。 CAC によるアクセスには、カードを挿入し PIN を入力するカード リーダーが必要です。 カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などのローカル ブラウザで実行されているアプリケーションで使用可能です。

                    Windows Internet Explorer バージョン 8 または 9 を Windows 7 オペレーティング システムで使用している場合は、ActiveIdentity の ActivClient バージョン 6.2.0.133 をインストールする必要があります。このミドルウェアは、Cisco ISE を CAC とともに相互運用するためのサードパーティ製品です。 ActiveIdentity のセキュリティ クライアント製品の詳細については、http:/​/​www.actividentity.com/​products/​securityclients/​ActivClient/​ を参照してください。

                    Cisco ISE での共通アクセス カードの動作

                    管理者ポータルは、クライアント証明書を使用してのみ Cisco ISE との認証が許可されるように設定できます。 ユーザ ID とパスワードなどのクレデンシャル ベースの認証はできません。 クライアント証明書認証では、共通アクセス カード(CAC)カードを挿入して PIN を入力してから、ブラウザのアドレス フィールドに Cisco ISE 管理者ポータルの URL を入力します。 ブラウザによって証明書が Cisco ISE に転送され、Cisco ISE はログイン セッションを証明書の内容に基づいて認証および許可します。 このプロセスが完了すると、[Cisco ISE モニタリングおよびトラブルシューティング(Cisco ISE Monitoring and Troubleshooting)] ホーム ページに表示され、適切な RBAC 権限が与えられます。

                    Diffie-Hellman アルゴリズムを使用した SSH キー交換の保護

                    Diffie-Hellman-Group14-SHA1 SSH キー交換しか許可しないように Cisco ISE を設定することができます。 このためには、Cisco ISE の Command-Line Interface(CLI)コンフィギュレーション モードから次のコマンドを入力します。

                    service sshd key-exchange-algorithm diffie-hellman-group14-sha1

                    次に例を示します。

                    ise/admin#conf t

                    ise/admin (config)#service sshd key-exchange-algorithm diffie-hellman-group14-sha1

                    コモン クライテリア準拠に対応したセキュア syslog 送信のための Cisco ISE の設定

                    コモン クライテリア(CC)準拠認証によって、Cisco ISE ノード間で、およびモニタリング ノードに対して、TLS 保護されたセキュア syslog だけを Cisco ISE が送信することが要求されます。 Cisco ISE ノード間で、およびモニタリング ノードに対して、TLS 保護されたセキュア syslog を送信するように Cisco ISE を設定するには、次の手順を実行します。

                    はじめる前に
                    • 展開内のすべての Cisco ISE ノードに適切なサーバ証明書が設定されていることを確認します。

                    • デフォルト ネットワーク アクセス認証ポリシーが、あらゆるバージョンの SSL プロトコルを許可しないことを確認します。

                    • 展開内のすべてのノードがプライマリ管理ノードに登録されていることを確認します。 また、展開の少なくとも 1 つのノードに、セキュア syslog レシーバ(TLS サーバ)としての動作が有効になっているモニタリング ペルソナが含まれることも確認します。

                    手順
                      ステップ 1   セキュア syslog リモート ロギング ターゲットを設定します。
                      ステップ 2   セキュア syslog リモート ロギング ターゲットに監査可能なイベントを送信するロギング カテゴリを有効にします。
                      ステップ 3   TCP syslog および UDP syslog コレクタを無効にします。 TLS 保護された syslog コレクタのみを有効にします。

                      セキュア syslog リモート ロギング ターゲットの設定

                      Cisco ISE システム ログは、さまざまな目的のために、ログ コレクタによって収集され保存されます。 セキュア syslog ターゲットを設定するためには、ログ コレクタとして Cisco ISE モニタリング ノードを選択する必要があります。

                      手順
                        ステップ 1   管理者ポータルにログインします。
                        ステップ 2   [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)] を選択します。
                        ステップ 3   [追加(Add)] をクリックします。
                        ステップ 4   セキュア syslog サーバの名前を入力します。
                        ステップ 5   [ターゲット タイプ(Target Type)] ドロップダウン リストからセキュア syslog を選択します。
                        ステップ 6   [ステータス(Status)] ドロップダウン リストで [有効化(Enabled)] を選択します。
                        ステップ 7   展開の Cisco ISE モニタリング ノードの IP アドレスを入力します。
                        ステップ 8   ポート番号として 6514 を入力します。 セキュア syslog レシーバは TCP ポート 6514 をリッスンします。
                        ステップ 9   syslog ファシリティ コードを選択します。 デフォルトは LOCAL6 です。
                        ステップ 10   [サーバ ダウンの場合はバッファ メッセージ(Buffer Messages When Server is Down)] チェックボックスをオンにします。 このオプションがオンの場合、Cisco ISE は、セキュア syslog レシーバが到達不能な場合にはログを格納し、セキュア syslog レシーバを定期的に検査し、セキュア syslog レシーバが起動すると転送します。
                        1. バッファ サイズを入力します。
                        2. 定期的にセキュア syslog レシーバを検査するように、Cisco ISE の再接続タイムアウトを秒単位で入力します。
                        ステップ 11   Cisco ISE がセキュア syslog サーバに提示する CA 証明書を選択します。
                        ステップ 12   [サーバ証明書有効性を無視(Ignore Server Certificate validation)] チェックボックスをオフにします。 このオプションをオンにしてはいけません。
                        ステップ 13   [送信(Submit)] をクリックします。

                        セキュア syslog ターゲットに監査可能なイベントを送信するためのロギング カテゴリの有効化

                        Cisco ISE によってセキュア syslog ターゲットに監査可能なイベントが送信されるようにするには、ロギング カテゴリを有効にする必要があります。

                        手順
                          ステップ 1   管理者ポータルにログインします。
                          ステップ 2   [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] を選択します。
                          ステップ 3   AAA 監査ロギング カテゴリの横にあるオプション ボタンをクリックし、次に [編集(Edit)] をクリックします。
                          ステップ 4   [ログ重大度レベル(Log Severity Level)] ドロップダウン リストから [警告(WARN)] を選択します。
                          ステップ 5   作成済みのセキュア syslog リモート ロギング ターゲットを、選択したボックスに移動します。
                          ステップ 6   [保存(Save)] をクリックします。
                          ステップ 7   次のロギング カテゴリを有効にする場合は、この手順を繰り返し行います。
                          • 管理および操作の監査(Administrative and Operational Audit)

                          • ポスチャおよびクライアント プロビジョニングの監査(Posture and Client Provisioning Audit)


                          TCP syslog および UDP syslog コレクタの無効化

                          コモン クライテリアに準拠するには、TCP および UDP syslog コレクタを無効にして、セキュア syslog コレクタのみを有効にする必要があります。

                          手順
                            ステップ 1   管理者ポータルにログインします。
                            ステップ 2   [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)] を選択します。
                            ステップ 3   TCP または UDP syslog コレクタの横にあるオプション ボタンをクリックします。
                            ステップ 4   [編集(Edit)] をクリックします。
                            ステップ 5   [ステータス(Status)] ドロップダウン リストから [無効化(Disabled)] を選択します。
                            ステップ 6   [保存(Save)] をクリックします。
                            ステップ 7   すべての TCP または UDP syslog コレクタが無効になるまで、このプロセスを繰り返します。