Cisco Identity Services Engine 管理者ガイド リリース 1.3
許可ポリシーおよびプロファイルの管理
許可ポリシーおよびプロファイルの管理

目次

許可ポリシーおよびプロファイルの管理

Cisco ISE の許可ポリシー

許可ポリシーは、Cisco ISE ネットワーク許可サービスのコンポーネントです。 このサービスを使用して、ネットワーク リソースにアクセスする特定のユーザおよびグループの許可ポリシーを定義し、許可プロファイルを設定することができます。

許可ポリシーには条件付きの要件を含めることができ、この要件では、1 つ以上の許可プロファイルを返すことができる許可チェックを含む複合条件を使用して、1 つ以上の ID グループを組み合わせます。 また、特定の ID グループを使用しない条件付きの要件が存在する場合もあります(デフォルトの「Any」の使用など)。

許可ポリシーは、Cisco Identity Services Engine(Cisco ISE)で許可プロファイルを作成する場合に使用されます。 許可ポリシーは許可ルールで構成されます。 許可ルールには、名前、属性、および権限の 3 つの要素があります。 権限要素は、許可プロファイルにマッピングする要素です。

Cisco ISE の許可プロファイル

ネットワーク許可ポリシーは、特定のユーザおよびグループの ID にルールを関連付け、対応するプロファイルを作成します。 これらのルールが設定された属性と一致する場合は、常に、権限を付与する、対応する許可プロファイルがポリシーによって返され、ネットワーク アクセスがこれに応じて許可されます。

たとえば、許可プロファイルには、次のタイプに含まれるさまざまな権限を含めることができます。

  • 標準プロファイル

  • 例外プロファイル

  • デバイスベースのプロファイル

プロファイルは、ディクショナリに保存されているリソース セットから選択された属性で構成され、特定の許可ポリシーの複合条件が一致したときに返されます。 許可ポリシーには単一のネットワーク サービス ルールにマッピングする複合条件を含めることができるため、許可チェックのリストを含めることもできます。

単純なシナリオでは、すべての許可チェックがルール内で AND ブール演算子を使用して作成されます。 高度なシナリオでは、任意のタイプの許可確認式を使用できますが、これらのすべての許可確認は、返される許可プロファイルに準拠する必要があります。 許可確認は、通常、ライブラリに追加できるユーザ定義名を含む 1 つ以上の条件から構成され、他の許可ポリシーで再利用できます。

許可ポリシーの用語

Cisco ISE ネットワークやリソースにアクセスするユーザの、ネットワーク許可用の許可プロファイルおよびポリシーを定義できます。 Cisco ISE は、ダウンロード可能 ACL(DACL)も使用します。

ネットワーク許可

許可は、いずれのユーザが Cisco ISE ネットワークおよびそのリソースにアクセスできるかを保証するための重要な要件です。 ネットワーク許可は、ネットワークおよびそのリソースへのユーザ アクセスならびに各ユーザがシステム上でこれらのリソースに対して実行できることを制御します。 Cisco ISE ネットワークは、読み取り、書き込み、および実行の権限を許可する権限セットを定義します。 Cisco ISE では、ネットワークのニーズに合わせて、多数のさまざまな許可ポリシーを作成できます。 このリリースでは、Cisco ISE ネットワークとリソースへの RADIUS アクセスだけをサポートします。

ポリシー要素

ポリシー要素は許可ポリシーを定義するコンポーネントであり、次のものがあります。

  • ルール名

  • ID グループ

  • 条件

  • 権限

これらのポリシー要素は、ポリシー ルールを作成したときに参照され、条件および属性の選択によって、特定のタイプの許可プロファイルを作成できます。

許可プロファイル

許可プロファイルは、多数の特定の権限によって一連のネットワーク サービスへのアクセスが許可されるコンテナとして機能します。 許可プロファイルには、ネットワーク アクセス要求に付与される権限セットを定義し、次のものを含めることができます。

  • プロファイル名

  • プロファイルの説明

  • 関連 DACL

  • 関連 VLAN

  • 関連 SGACL

  • 任意の数の他のディクショナリベースの属性

許可ポリシー

許可ポリシーは、ユーザ定義の単一のルールまたはルールのセットで構成できます。 これらのルールは、特定のポリシーを作成するために機能します。 たとえば、標準ポリシーは、ID グループ用に入力した値と特定の条件または属性をリンクする If-Then 表記法を使用するルール名を含め、一意の許可プロファイルを作成する特定の権限セットを生成できます。 設定できる許可ポリシー オプションは 2 つあります。

  • 最初に一致したルールの適用(First Matched Rules Apply)

  • 複数の一致するルールの適用(Multiple Matched Rule Applies)

これら 2 つのオプションは、ユーザの権限セットと一致したときに、標準ポリシー テーブルにリストされている最初に一致したルール タイプの使用または複数の一致したルール タイプの使用のいずれかを Cisco ISE に指示します。 設定できる許可ポリシーには、次の 2 つのタイプがあります。

  • 標準:標準ポリシーは、長期間有効なままにし、ユーザ、デバイス、またはグループの大規模なグループに適用し、特定またはすべてのネットワーク エンドポイントへのアクセスを許可するために作成されるポリシーです。 標準ポリシーは変更しないようにし、権限の共通セットを共有するユーザ、デバイス、グループの大規模なグループに適用します。

    標準ポリシーは、特定の条件または権限を使用する特定の ID グループに使用するために変更したり、新しい事業部門、ユーザ グループ、デバイス、ネットワーク グループのニーズを満たすための別のタイプの標準ポリシーを作成したりするためのテンプレートとして使用できます。

  • 例外:これとは対照的に、例外ポリシーは、標準ポリシーの例外として機能するタイプのポリシーであるため、適切な名前を付けられます。 例外ポリシーは、短期間のポリシー期間、特定のタイプのネットワーク デバイス、ネットワーク エンドポイントまたはグループ、特別な条件や権限を満たすニーズ、あるいは即時要件などのさまざまな要因に基づく制限されたアクセスを許可することを目的としています。

    例外ポリシーは、制限された数のユーザ、デバイス、またはグループにネットワーク リソースへのアクセスを許可するなどの、即時または短期間のニーズを満たすために作成します。 例外ポリシーを使用すると、1 人のユーザまたはユーザのサブセットに合わせて調整された、ID グループ、条件、または権限に対する、カスタマイズされた値の特定のセットを作成できます。 これにより、さまざまな、またはカスタマイズされたポリシーを作成し、企業、グループ、またはネットワークのニーズを満たすことができます。

アクセス コントロール リスト

Cisco ISE システムのアクセス コントロール リスト(ACL)は、特定のオブジェクトまたはネットワーク リソースに接続する権限のリストです。 ACL は、いずれのユーザまたはグループがオブジェクトへのアクセス権を付与されるか、および指定されたオブジェクトまたはネットワーク リソースでどの操作が許可されるかを指定します。 一般的な ACL の各エントリは、サブジェクトおよび操作を指定するか、または状態(許可または拒否など)を提供します。

許可ポリシーとサポートされているディクショナリ

簡易および複合両方の許可ポリシーのタイプで、確認は返される許可プロファイルに準拠する必要があります。

確認には、通常、ライブラリに追加して他のポリシーで再利用できるユーザ定義名を含む 1 つ以上の条件が含まれます。 条件は、Cisco ISE ディクショナリからの属性を使用して条件を定義します。ディクショナリには、次の物があります。

  • システム定義されたディクショナリ:

    • RADIUS

  • RADIUS ベンダー ディクショナリ

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

許可ポリシーおよびプロファイルの設定のガイドライン

許可ポリシーおよびプロファイルを管理または運用する場合、次のガイドラインに従ってください。

  • 作成するルール名は、サポートされている次の文字のみを使用する必要があります。

    • 記号:プラス(+)、ハイフン(-)、アンダースコア(_)、ピリオド(.)、およびスペース( )。

    • アルファベット文字:A ~ Z、a ~ z。

    • 数字:0 ~ 9。

  • ID グループのデフォルトは「Any」です(このグローバル デフォルトを使用してすべてのユーザに適用できます)。

  • 条件では、1 つ以上のポリシー値を設定することが許可されています。 ただし、条件はオプションであり、許可ポリシーを作成する場合に必須ではありません。 次に、条件を作成する 2 つの方法を示します。

    • 選択肢の対応するディクショナリから既存の条件または属性を選択します。

    • 推奨値を選択またはテキスト ボックスを使用してカスタム値を入力できるカスタム条件を作成します。

  • 作成する条件名は、サポートされている次の文字のみを使用する必要があります。

    • 記号:ハイフン(-)、アンダースコア(_)、およびピリオド(.)。

    • アルファベット文字:A ~ Z、a ~ z。

    • 数字:0 ~ 9。

  • 権限は、ポリシーに使用する許可プロファイルを選択するときに重要です。 権限は、特定のリソースへのアクセス権を付与したり、特定のタスクの実行を可能にしたりできます。 たとえば、あるユーザが特定の ID グループ(デバイス管理者など)に属しており、そのユーザが定義済みの条件(サイトがボストンにあるなど)を満たしている場合、このユーザは、そのグループに関連付けられた権限(特定のネットワーク リソースのセットへのアクセス権、デバイスへの特定の操作を実行する権限など)を付与されます。

  • 必ず [保存(Save)] をクリックして、新規または変更したポリシーやプロファイルを Cisco ISE データベースに保存します。

デフォルトの許可ポリシー、ルール、プロファイルの設定

Cisco ISE ソフトウェアには、共通設定を提供する多数のデフォルトの条件、ルール、プロファイルが事前インストールされているため、Cisco ISE の許可ポリシーおよびプロファイルで必要なルールおよびポリシーを容易に作成できます。

表に、Cisco ISE で指定された値が含まれている組み込み設定のデフォルトを示します。

表 1 許可ポリシー、プロファイル、およびルールの設定のデフォルト

名前

ユーザ インターフェイスのパス

説明

その他の情報

許可ポリシーのデフォルト

許可ポリシーのデフォルトの複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]

これらは、許可ポリシーで使用される条件、ルール、およびプロファイルの事前インストールされた設定のデフォルトです。

許可ポリシーを作成するために、次の関連属性を使用できます。

  • 有線 802.1x

  • 有線 MAB

  • 無線 802.1x

  • Catalyst スイッチ ローカル Web 認証

  • WLC Web 認証

有線 MAB 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Call-Check

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件は、有線 MAB 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、有線 MAB 許可ポリシーに基づいて評価されます。

無線 802.1X 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Framed

  • RADIUS:NAS-Port-Type = Wireless-IEEE802.11

この複合条件は、無線 802.1X 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、無線 802.1X 許可ポリシーに基づいて評価されます。

許可プロファイル設定のデフォルト

Blacklist_Access

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可プロファイル(Authorization Profiles)] > [Blacklist_Access]

この許可プロファイルは、ブラックリストに登録されているデバイスへのアクセスを拒否します。 ブラックリストに登録されているデバイスはすべて、次の URL にリダイレクトされます。url-redirect=https://ip:port/mydevices/blackhole.jsp

このデフォルトの許可プロファイルは、デバイス ポータルで「失われた」として宣言されているすべてのエンドポイントに適用されます。

Cisco_IP_Phones

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可プロファイル(Authorization Profiles)] > [Cisco_IP_Phones]

この許可プロファイルでは、次の値の設定デフォルト プロファイルを使用します。

  • [名前(Name)]:[Cisco IP Phone]

  • [DACL]:[PERMIT_ALL_TRAFFIC]

  • [VSA]:[cisco:av-pair:device-traffic-class=voice]

このプロファイルは、このプロファイルで指定された基準に一致する要求を評価します。

このデフォルトの許可プロファイルは、DACL およびベンダー固有属性(VSA)を使用して、すべての「音声」トラフィックを許可します(PERMIT_ALL_TRAFFIC)。

許可ポリシーのデフォルト

有線 802.1X 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Framed

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件は、有線 802.1X 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、有線 802.1X 許可ポリシーに基づいて評価されます。

Catalyst スイッチのローカル Web 認証複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Outbound

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件を使用するには、この条件を確認する許可ポリシーを作成する必要があります。

ワイヤレス LAN コントローラ(WLC)ローカル Web 認証複合条件(Wireless Lan Controller (WLC) Local Web Authentication Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Outbound

  • RADIUS:NAS-Port-Type = Wireless-IEEE802.11

この複合条件を使用するには、この条件を確認する許可ポリシーを作成する必要があります。

ブラックリストのデフォルトの許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[ブラックリストのデフォルト(Black List Default)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[ブラックリスト(Blacklist)]

  • 条件:すべて

  • 権限/許可プロファイル:Blacklist_Access

このデフォルト ルールは、「失われた」ユーザ デバイスがシステムから削除されるか、または「復元される」まで、このようなデバイスを適切にプロビジョニングするように設計されています。

プロファイリングされた Cisco IP Phone 許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[プロファイリングされた Cisco IP Phone(Profiled Cisco IP Phones)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[Cisco-IP-Phones]

  • 条件:すべて

  • [権限/許可プロファイル(Permissions/Authorization Profile)]:[Cisco_IP_Phones]

このデフォルト ルールは、デフォルトのエンドポイント ID グループとして Cisco IP Phone を使用し、このテーブルにリストされている値を使用します。

許可ルール設定のデフォルト

デフォルトの許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[デフォルト(Default)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[任意(Any)]

  • 条件:すべて

  • [許可プロファイル(Authorization Profile)]:[PermitAccess]

このデフォルト ルールは、デフォルトのエンドポイント ID グループとして [任意(Any)] を使用し、このテーブルにリストされている値を使用します。

許可ポリシーの設定

[許可ポリシー(Authorization Policy)] ページでは、許可ポリシーを表示、作成、複製/変更、削除できます。 次の許可ポリシー プロファイルの各項には、標準許可ポリシーで指示されるアクションの例が示されています。 同じプロセスに従って例外許可ポリシーを管理できます。

はじめる前に

この手順を開始する前に、管理者ポータルで使用される管理およびルールベース条件、ID グループ、状態、権限の基本構成要素と利用方法の基本を理解している必要があります。

手順
    ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] > [標準(Standard)] を選択します。
    ステップ 2   右端にある下矢印をクリックし、[新規ルールを上に挿入(Insert New Rule Above)] または [新規ルールを下に挿入(Insert New Rule Below)] のどちらかを選択します。
    ステップ 3   ルール名を入力し、許可ポリシーの ID グループ、条件、属性、および権限を選択します。

    選択するすべての属性に「Equals」、「Not Equals」、「Matches」、「Starts With」、「Not Starts With」の演算子オプションが含まれているわけではありません。

    「Matches」演算子は、ワイルドカードなしの正規表現(REGEX)をサポートし、使用します。

    ステップ 4   [完了(Done)] をクリックします。
    ステップ 5   [保存(Save)] をクリックして、変更を Cisco ISE システム データベースに保存し、この新しい許可ポリシーを作成します。

    許可ポリシーの属性および条件

    許可ポリシー条件を作成するときに、有効な属性を再利用するには、サポートされている属性を含むディクショナリから選択します。 たとえば、Cisco ISE は、AuthenticationIdentityStore という属性を提供しています。これは NetworkAccess ディクショナリにあります。 この属性は、ユーザの認証中にアクセスされた最後の ID ソースを識別します。

    • 認証中に単一の ID ソースが使用されると、この属性には認証が成功した ID ストアの名前が含まれます。

    • 認証中に ID ソース順序を使用する場合、この属性にはアクセスされた最後の ID ソースの名前が含まれます。

    AuthenticationStatus 属性を AuthenticationIdentityStore 属性と組み合わせて使用し、ユーザが正常に認証された ID ソースを識別する条件を定義できます。 たとえば、許可ポリシーで LDAP ディレクトリ(LDAP13)を使用してユーザが認証された条件をチェックするために、次の再利用可能な条件を定義できます。

    
    If NetworkAccess.AuthenticationStatus EQUALS AuthenticationPassed AND NetworkAccess.AuthenticationIdentityStore EQUALS LDAP13
    

    (注)  


    AuthenticationIdentityStore は、条件にデータを入力できるテキストフィールドを表します。 このフィールドには、名前を必ず正しく入力またはコピーします。 ID ソースの名前が変更された場合は、ID ソースの変更と一致するように、この条件を変更する必要があります。


    以前認証されたエンドポイント ID グループに基づく許可条件を定義するために、Cisco ISE では、エンドポイント ID グループ 802.1X 認証ステータスの間に定義された許可をサポートしています。 Cisco ISE では、802.1X 認証を実行するとき、RADIUS 要求の「Calling-Station-ID」フィールドから MAC アドレスを抽出し、この値を使用して、デバイスのエンドポイント ID グループ(endpointIDgroup 属性として定義)のセッション キャッシュを検索して読み込みます。

    このプロセスによって、許可ポリシー条件の作成に endpointIDgroup 属性を使用できるようになり、ユーザ情報に加えてこの属性を使用して、エンドポイント ID グループ情報に基づく許可ポリシーを定義できます。

    エンドポイント ID グループの条件は、[許可ポリシー設定(authorization policy configuration)] ページの [ID グループ(ID Groups)] カラムで定義できます。 ユーザ関連情報に基づく条件は、許可ポリシーの [その他の条件(Other Conditions)] のセクションで定義する必要があります。 ユーザ情報が内部ユーザ属性に基づいている場合は、内部ユーザ ディクショナリの ID グループ属性を使用します。 たとえば、「User Identity Group:Employee:US」のような値を使用して、ID グループに完全な値のパスを入力できます。

    時刻と日付の条件

    [ポリシー要素条件(Policy Elements Conditions)] ページを使用して、時刻と日付のポリシー要素条件を表示、作成、変更、削除、複製、および検索します。 ポリシー要素は、設定した特定の時刻と日付の属性設定に基づく条件を定義する共有オブジェクトです。

    時刻と日付の条件を使用すると、Cisco ISE システム リソースにアクセスする権限を、作成した属性設定で指定された特定の時刻と日付に設定または制限できます。

    許可プロファイルの権限

    許可プロファイルの権限設定を開始する前に、以下を確認します。

    • 許可ポリシーおよび許可プロファイル間の関係を理解している

    • [許可プロファイル(Authorization Profile)] ページをよく理解している

    • ポリシーおよびプロファイルを設定する場合に必要な基本ガイドラインを知っている

    • 許可プロファイルの権限の構成を理解している

    • 関連リンクに示される設定のデフォルト値を認識している

    ネットワークでさまざまなタイプの許可プロファイルのポリシー要素権限を表示、作成、変更、削除、複製、または検索するプロセスの開始点として [結果(Results)] ナビゲーション ペインを使用します。 [結果(Results)] ペインには、最初 [認証(Authentication)]、[許可(Authorization)]、[プロファイリング(Profiling)]、[ポスチャ(Posture)]、[クライアント プロビジョニング(Client Provisioning)]、および [TrustSec] のオプションが表示されています。

    許可プロファイルでは、RADIUS 要求が受け入れられたときに返される属性を選択できます。 Cisco ISE では、[共通タスク(Common Tasks)] 設定を指定して共通で使用される属性をサポートできるメカニズムが提供されます。 Cisco ISE によって基本となる RADIUS 値に変換される [共通タスク(Common Tasks)] 属性の値を入力する必要があります。

    新しい標準許可プロファイルの権限の設定

    手順
      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。
      ステップ 2   [追加(Add)] をクリックします。
      ステップ 3   必要に応じて値を入力して、新しい許可プロファイルを設定します。 [名前(name)] フィールドでサポートされる文字は次のとおりです:スペース、! # $ % & ‘ ( ) * + , - . / ; = ? @ _ {。
      ステップ 4   [送信(Submit)] をクリックして変更を Cisco ISE システム データベースに保存し、許可プロファイルを作成します。

      ダウンロード可能 ACL

      DACL を定義して、Access-Accept メッセージを返すことができます。 ACL を使用して、ネットワークに不要なトラフィックが発生することを防止します。 ACL では、RADIUS プロトコルを使用して、送信元 IP アドレスと宛先 IP アドレス、トランスポート プロトコルなどをフィルタリングできます。

      名前付き権限オブジェクトとして作成した DACL は、許可プロファイルに追加できます。その後、これらの許可プロファイルを許可ポリシーの結果として指定できます。

      既存の DACL と同じか、または類似する新しい DACL を作成する場合は、ダウンロード可能 ACL を複製できます。

      複製の完了後、各 DACL(元の DACL および複製された DACL)に個別にアクセスして、編集または削除します。


      (注)  


      DACL 作成中は、キーワード Any が DACL のすべての ACE のソースである必要があります。 DACL がプッシュされると、ソースの Any がスイッチに接続されているクライアントの IP アドレスで置き換えられます。


      ダウンロード可能 ACL に対する権限の設定

      手順
        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [ダウンロード可能 ACL(Downloadable ACLs)] を選択します。
        ステップ 2   [操作(Action)] アイコンをクリックし、[DACL の作成(Create DACL)] を選択するか、[DACL 管理ページ(DACL Management)] ページにある [追加(Add)] をクリックします。
        ステップ 3   DACL に値を入力します。 [名前(name)] フィールドでサポートされる文字は次のとおりです:スペース、! # $ % & ‘ ( ) * + , - . / ; = ? @ _ {。
        ステップ 4   [送信(Submit)] をクリックします。

        インライン ポスチャ ノードでサポートされるダウンロード可能 ACL フォーマット

        DACL では、次の形式がサポートされます。

        ACTION PROTOCOL SOURCE_SUBNET WILDCARD_MASK [OPERATOR [ PORT ]] DEST_SUBNET WILDCARD_MASK [OPERATOR [ PORT ]] [ICMP_TYPE_CODE]
        表 2 DACL 形式のオプション

        オプション

        説明

        ACTION

        ポリシー要素の権限が、アクセスを許可または拒否するべきかどうかを指定します。

        PROTOCOL

        次のプロトコルのどれかを指定します。

        • ICMP

        • UDP

        • TCP

        • IP

        SOURCE_SUBNET

        [任意(any)] として送信元サブネット形式を指定します。

        DEST_SUBNET

        次の宛先サブネット形式のどれかを指定します。

        • 任意

        • host x.x.x.x

        • <subnet>

        WILDCARD_MASK

        サブネット マスクのリバースを指定します。 たとえば、0.0.0.255 と指定します。

        OPERATOR

        次の演算子のどれかを指定します。

        • eq

        • lt

        • gt

        • neq

        • range

        PORT

        ポートを指定します。 有効な範囲は 1 ~ 65535 です。

        ICMP_TYPE_CODE

        次の ICMP タイプ コードのどれかを指定します。

        • 0:エコー応答

        • 8:エコー要求

        • 3:[0 ~ 15]:宛先到達不能

        • 5:[0 ~ 3]:ICMP リダイレクト

        許容可能な ACL 形式の例

        permit tcp any host 192.168.1.100 eq 80:ホスト 192.168.1.100 へのすべての場所からの www トラフィックを許可します

        permit udp any eq 68 any eq 67:DHCP トラフィックを許可します

        permit icmp any any 8, permit icmp any any 0:ICMP エコー要求とエコー応答を許可します

        deny icmp any any 5:0:ICMP ネットワーク リダイレクトを拒否します

        permit ip any 67.2.2.0 0.0.0.255:そのホストから 67.2.2.0 サブネットへのすべてのトラフィックを許可します。

        permit udp any any range 16384 32767:UDP ポートの範囲を使用する音声トラフィックを許可します。

        正しくない構文の例

        permit ip 192.168.2.100 192.168.1.100:ホスト/ワイルドカード キーワードが欠落しています

        permit tcp host 192.168.2.100 host 192.168.1.100 eq 88 389 636 454 3268 3269 1025 1026(eq 演算子を使用して複数のポートをまとめて指定することはできないため、この ACL は、宛先ポートごとに 1 つずつ、複数行に分ける必要があります)


        (注)  


        すべての ACE の送信元アドレスは ANY として定義する必要があります。


        Active Directory ユーザ許可のためのマシン アクセス制限

        Cisco ISE には、Microsoft Active Directory 認証ユーザの許可を制御する追加の方法を提供する、マシン アクセス制限(MAR)コンポーネントが含まれています。 この形式の許可は、Cisco ISE ネットワークにアクセスするために使用されるコンピュータのマシン認証に基づきます。 成功したマシン認証ごとに、Cisco ISE は、RADIUS Calling-Station-ID 属性(属性 31)で受信した値を、成功したマシン認証の証拠としてキャッシュします。

        Cisco ISE は、[Active Directory の設定(Active Directory Settings)] ページの [存続可能時間(Time to Live)] パラメータで設定された時間が失効になるまで各 Calling-Station-ID 属性値をキャッシュに保持します。 失効したパラメータは、Cisco ISE によってキャッシュから削除されます。

        ユーザをエンドユーザ クライアントから認証する場合、Cisco ISE は、成功したマシン認証の Calling-Station-ID 値のキャッシュを検索して、ユーザ認証要求で受信した Calling-Station-ID 値を見つけようとします。 Cisco ISE が一致するユーザ認証 Calling-Station-ID 値をキャッシュで見つけた場合、これは、次の方法で、認証を要求するユーザに Cisco ISE が権限を割り当てる方法に影響します。

        • Calling-Station-ID 値が Cisco ISE キャッシュで見つかった値と一致する場合、成功した許可の許可プロファイルを割り当てます。

        • Calling-Station-ID 値が Cisco ISE キャッシュの値と一致しないことがわかった場合、マシン認証のない成功したユーザ認証の許可プロファイルを割り当てます。