Cisco Identity Services Engine 管理者ガイド リリース 1.3
管理のユーザ インターフェイスのリファレンス
管理のユーザ インターフェイスのリファレンス

目次

管理のユーザ インターフェイスのリファレンス

システム管理

展開設定

[展開ノード(Deployment Nodes)] ページを使用すると、Cisco ISE(管理、ポリシー サービス、およびモニタリング)ノードとインライン ポスチャ ノードを設定し、展開を設定することができます。

展開のノード リスト ページ

次の表に、展開内の Cisco ISE とインライン ポスチャ ノードを設定するために使用できる [展開のノード リスト(Deployment Nodes List)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] です。

フィールド

使用上のガイドライン

ホストネーム(Hostname)

ノードのホスト名を表示します。

ノード タイプ(Node Type)

ノード タイプを表示します。 次のいずれかにできます。

  • Cisco ISE(管理、ポリシー サービス、およびモニタリング)ノード

  • インライン ポスチャ ノード

ペルソナ(Personas)

(ノード タイプが Cisco ISE の場合にのみ表示)Cisco ISE ノードが担当してきたペルソナがリストされます。 [管理(Administration)]、[ポリシー サービス(Policy Service)] などがあります。

ロール(Role)

このノードで管理ペルソナまたはモニタリング ペルソナが有効になっている場合、これらのペルソナが担当しているロール(プライマリ、セカンダリ、またはスタンドアロン)が示されます。 ロールは、次のうちの 1 つまたは複数にできます。

  • [PRI(A)]:プライマリ管理ノードを意味します

  • [SEC(A)]:セカンダリ管理ノードを意味します

  • [PRI(M)]:プライマリ モニタリング ノードを意味します

  • [SEC(M)]:セカンダリ モニタリング ノードを意味します

サービス(Services)

(ポリシー サービス ペルソナが有効な場合にのみ表示)この Cisco ISE ノードで実行されているサービスがリストされます。 サービスは次のいずれか 1 つとなります。

  • セッション

  • プロファイリング

  • すべて

ノード ステータス(Node Status)

データ レプリケーション用の展開内の各 ISE ノードのステータスを示します。

  • [緑(接続)]:すでに展開に登録されている ISE ノードがプライマリ管理ノードと同期していることを示します。

  • [赤(切断)]:ISE ノードに到達できないか、ISE ノードがダウンしているか、またはデータ レプリケーションが行われていないことを示します。

  • [オレンジ(進行中)]:ISE ノードがプライマリ管理ノードに新規に登録されているか、手動同期操作を実行したか、または ISE ノードがプライマリ管理ノードと同期していないことを示します。

詳細については、[ノード ステータス(Node Status)] カラムで各 ISE ノードのクイック ビュー アイコンをクリックします。

ノードの一般設定

次の表では、[ノードの一般設定(General Node Settings)] ページのフィールドについて説明します。これらのフィールドを使用して、展開を設定し、各ノード上で実行するサービスを設定できます。 このタブのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ISE ノード(ISE Node)] > [編集(Edit)] > [一般設定(General Settings)] です。
表 1 ノードの一般設定
フィールド 使用上のガイドライン
ホストネーム(Hostname) Cisco ISE ノードのホスト名を表示します。
FQDN Cisco ISE ノードの完全修飾ドメイン名を表示します。 たとえば、ise1.cisco.com などです。
IP アドレス(IP Address) Cisco ISE ノードの IP アドレスを表示します。
ノード タイプ(Node Type) ノード タイプを表示します。 Identity Services Engine(ISE)またはインライン ポスチャ ノードのいずれかのタイプです。
ペルソナ(Personas)
管理(Administration) Cisco ISE ノードに管理ペルソナを担当させるには、このチェックボックスをオンにします。管理ペルソナは、管理サービスを提供するライセンスがあるノードのみで有効にできます。[ロール(Role)]:管理ペルソナに展開内で割り当てられるロールを表示します。 [スタンドアロン(Standalone)]、[プライマリ(Primary)]、[セカンダリ(Secondary)] のいずれかの値になります。[プライマリにする(Make Primary)]:このノードをプライマリ Cisco ISE ノードをするには、このボタンをクリックします。 展開では 1 つのプライマリ Cisco ISE ノードのみを使用できます。 このページの他のオプションは、このノードをプライマリにした後にのみアクティブになります。展開内では管理ノードは 2 個のみ存在できます。 ノードにスタンドアロン ロールが割り当てられている場合、[プライマリにする(Make Primary)] ボタンがノードの横に表示されます。ノードにセカンダリ ロールが割り当てられている場合、[プライマリに昇格(Promote to Primary)] ボタンがノードの横に表示されます。ノードにプライマリ ロールがあり、そのノードを使用して登録されている他のノードがない場合は、ノードの横に [スタンドアロンにする(Make Standalone)] ボタンが表示されます。 このボタンをクリックすると、プライマリ ノードをスタンドアロン ノードにすることができます。
モニタリング(Monitoring) Cisco ISE ノードにモニタリング ペルソナを担当させて、ログ コレクタとして機能させるには、このチェックボックスをオンにします。分散展開では、モニタリング ノードが少なくとも 1 個存在する必要があります。 プライマリ管理ノードの設定時に、モニタリング ペルソナを有効にする必要があります。 展開内にセカンダリ モニタリング ノードを登録した後に、必要に応じてプライマリ管理ノードを編集して、モニタリング ペルソナを無効にできます。VMware プラットフォーム上の Cisco ISE ノードをログ コレクタとして設定するには、必要なディスク領域の最小量を決定するために、次のガイドラインを使用してください。1 日あたりネットワーク内のエンドポイントごとに 180KB。1 日あたりネットワーク内の Cisco ISE ノードごとに 2.5 MB。必要な最大ディスク領域は、モニタリング ノードでデータを保持する月数に応じて計算できます。展開内にモニタリング ノードが 1 個のみ存在する場合、これはスタンドアロン ロールを担当します。 展開に 2 つのモニタリング ノードがある場合は、Cisco ISE に、プライマリ-セカンダリ ロールを設定する他のモニタリング ノードの名前が表示されます。 これらのロールを設定するには、次のいずれかを選択します。[プライマリ(Primary)]:現在のノードをプライマリ モニタリング ノードにする場合。[セカンダリ(Secondary)]:現在のノードをセカンダリ モニタリング ノードにする場合。[なし(None)]:モニタリング ノードにプライマリ-セカンダリ ロールを担当させない場合。いずれかのモニタリング ノードをプライマリまたはセカンダリとして設定した場合、他方のノードはそれに応じて自動的にセカンダリまたはプライマリ ノードになります。 プライマリおよびセカンダリ モニタリング ノードの両方で管理ログとポリシー サービス ログを受信します。1 つのモニタリング ノードのロールを「なし」に変更した場合、他方のモニタリング ノードのロールも同様に「なし」になり、それによって高可用性ペアがキャンセルされます。モニタリング ノードとしてノードを指定すると、そのノードが [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)] ページで syslog ターゲットとして表示されます。
ポリシー サービス(Policy Service) このチェックボックスをオンにして、次のいずれか 1 つまたはすべてのサービスを有効にします。[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにして、ネットワーク アクセス サービス、ポスチャ サービス、ゲスト サービス、およびクライアント プロビジョニング サービスを有効にします。 このポリシー サービス ノードが属するグループを、[ノードをノード グループに含める(Include Node in Node Group)] ドロップダウン リストから選択します。 そのポリシー サービス ノードをグループに含めない場合は、[<なし>(<none>)] を選択します。 ノード グループ内のすべてのノードは、レイヤ 2 で隣接している必要があり(同じサブネット上にある必要があり)、ノード間にマルチキャスト接続がある必要があります。 [プロファイリング サービスの有効化(Enable Profiling Service)] チェックボックスをオンにして、プロファイラ サービスを有効にします。 プロファイリング サービスを有効にする場合は、[プロファイリング設定(Profiling Configuration)] タブをクリックし、必要に応じて詳細を入力する必要があります。 ポリシー サービス ノードで実行されるサービスを有効または無効にしたり、このノードを変更したりする場合は、そのサービスが実行されるアプリケーション サーバ プロセスを再起動します。 これらのサービスが再起動されるまで遅延が発生します。 ノードでアプリケーション サーバがいつ再起動したかを確認するには、CLI で show application status ise コマンドを使用します。
pxGrid pxGrid サービスを有効にするには、このチェックボックスをオンにします。 Cisco pxGrid は、Cisco ISE セッション ディレクトリから Cisco Adaptive Security Appliance(ASA)などの他のポリシー ネットワーク システムへコンテキスト依存情報を共有するために使用されます。 pxGrid フレームワークは、ポリシー データや設定データをノード間で交換するためにも使用できます(たとえば、ISE とサード パーティ ベンダー間でのタグやポリシー オブジェクトの共有)。また、脅威情報など、非 ISE 関連情報の交換用にも使用できます。

プロファイリング ノードの設定

次の表では、プロファイラ サービスのプローブの設定に使用できる [プロファイリング設定(Profiling Configuration)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ISE ノード(ISE Node)] > [編集(Edit)] > [プロファイリング設定(Profiling Configuration)] です。
表 2 プロファイリング ノードの設定
フィールド 使用上のガイドライン

NetFlow

ルータから送信された NetFlow パケットを受信および解析するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに NetFlow を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

  • [ポート(Port)]:NetFlow エクスポートがルータから受信した NetFlow リスナー ポート番号を入力します。 デフォルト ポートは 9996 です。

DHCP

IP ヘルパーから DHCP パケットをリッスンするために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに DHCP を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。[ポート(Port)]:DHCP サーバの UDP ポート番号を入力します。 デフォルト ポートは 67 です。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

  • [ポート(Port)]:DHCP サーバの UDP ポート番号を入力します。 デフォルト ポートは 67 です。

DHCP SPAN

DHCP パケットを収集するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに DHCP SPAN を有効にする場合は、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

HTTP

HTTP パケットを受信および解析するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに HTTP を有効にする場合は、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

RADIUS

IOS センサー対応デバイスから RADIUS セッション属性、さらに CDP 属性と LLDP 属性を収集するために、ポリシー サービス ペルソナを担当した ISE ノードごとに RADIUS を有効にする場合は、このチェックボックスをオンにします。

ネットワーク スキャン(NMAP)(Network Scan (NMAP))

エンドポイントのオープン ポートやオペレーティング システムをスキャンするために、ポリシー サービス ペルソナを担当した ISE ノードから、サブネット上で手動ネットワーク スキャンを実行する場合は、このチェックボックスをオンにします。有効なサブネットを [手動スキャン サブネット(Manual Scan Subnet)] フィールドに入力し、[スキャンの実行(Run Scan)] をクリックして手動サブネット スキャンを開始します。 たとえば、10.0.10.10/24 を入力できます。

DNS

FQDN の DNS ルックアップを実行するために、ポリシー サービス ペルソナを担当した ISE ノードごとに DNS を有効にする場合は、このチェックボックスをオンにします。秒単位でタイムアウト時間を入力します。

(注)      DNS プローブを分散展開内の特定の Cisco ISE ノードで動作させるには、DHCP、DHCP SPAN、HTTP、RADIUS、SNMP のいずれかのプローブを有効にする必要があります。 DNS ルックアップの場合、上記のいずれかのプローブを DNS プローブとともに起動する必要があります。

SNMP クエリー(SNMP Query)

指定した間隔でネットワーク デバイスをポーリングするために、ポリシー サービス ペルソナを担当した ISE ノードごとに SNMP クエリーを有効にする場合は、このチェックボックスをオンにします。[再試行(Retries)]、[タイムアウト(Timeout)]、[イベント タイムアウト(Event Timeout)]、任意の [説明(Description)] の各フィールドに値を入力します。

(注)      SNMP クエリー プローブの設定に加えて、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] の場所にある他の SNMP 設定も行う必要があります。 ネットワーク デバイスで SNMP 設定を行う場合は、ネットワーク デバイスでシスコ デバイス プロトコル(CDP)および Link Layer Discovery Protocol(LLDP)をグローバルに有効にしていることを確認します。

SNMP トラップ(SNMP Trap)

ネットワーク デバイスから linkUp、linkDown、MAC 通知トラップを受信するために、ポリシー サービス ペルソナを担当した ISE ノードごとに SNMP トラップ プローブを有効にする場合は、このチェックボックスをオンにします。次のいずれかを選択します。
  • [リンク トラップ クエリー(Link Trap Query)]:SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。

  • [MAC トラップ クエリー(MAC Trap Query)]:SNMP トラップを介して受信する MAC 通知を受信して解釈するには、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノードのインターフェイスを選択します。

  • [ポート(Port)]:使用するホストの UDP ポートを入力します。 デフォルト ポートは 162 です。

インライン ポスチャ ノードの設定

次の表では、インライン ポスチャ ノードの [展開のノード リスト(Deployment Nodes List)] ページのフィールドについて説明します。これらフィールドを使用して、展開内のインライン ポスチャ ノードを設定できます。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [インライン ポスチャ ノード(Inline Posture Node)] > [編集(Edit)] です。
表 3 インライン ポスチャ ノードの設定
フィールド 使用上のガイドライン
基本情報(Basic Information)

時間同期サーバ(Time Sync Server)

プライマリ、セカンダリ、およびターシャリ時間同期サーバの IP アドレスを入力します。

DNS サーバ(DNS Server)

プライマリ、セカンダリ、およびターシャリ DNS サーバの IP アドレスを入力します。

信頼インターフェイス(保護されたネットワークへの)(Trusted Interface (to protected network))

管理 VLAN ID を入力します(他のすべての情報は、これらのオプションに対して自動的に入力されます)

非信頼インターフェイス(管理ネットワークへの)(Untrusted Interface (to management network))

非信頼インターフェイスの IP アドレス、サブネット マスク、デフォルト ゲートウェイ、管理 VLAN ID を入力します。

展開モード(Deployment Modes)

ルーテッド モード(Routed Mode)

インライン ポスチャにルータ(hop in the wire)機能を提供するには、このノードのこのオプションを選択します。

ブリッジ モード(Bridged Mode)

インライン ポスチャの管理対象サブネットに VLAN マッピング機能を提供するには、このノードのこのオプションを選択します。 [ブリッジ モード(Bridged Mode)] チェックボックスをオンにした後で、非信頼ネットワークおよび信頼ネットワークの VLAN ID 情報を入力します。VLAN マッピングに対して、次を実行する必要があります。
  • 管理トラフィックのためのマッピングを追加します。信頼ネットワークと非信頼ネットワークの該当する VLAN ID を入力してください。

  • クライアント トラフィックのためのマッピングを追加します。信頼ネットワークと非信頼ネットワークの該当する VLAN ID を入力してください。

フィルタ(Filters)

MAC アドレス(MAC Address)

ポリシー適用を回避するデバイスの MAC アドレスを入力します。 セキュリティ上の理由から、MAC フィルタ エントリでは常に IP アドレスを MAC アドレスとともに指定することを推奨します。 直接接続された ASA VPN デバイスの MAC アドレスを MAC フィルタで設定するときは、必ず IP アドレスも入力してください。 任意の IP アドレスが追加されていない場合は、VPN クライアントがポリシー適用をバイパスできてしまいます。 このようにバイパスできるのは、VPN がクライアントにとってはレイヤ 3 のホップであり、デバイスは自身の MAC アドレスを送信元アドレスとして使用して、インライン ポスチャ ノードに向けてパケットをネットワークで送信するからです。

IP アドレス(IP Address)

ポリシー適用を回避するデバイスの IP アドレスを入力します。

説明(Description)

MAC フィルタの説明を入力します。

サブネット アドレス(Subnet Address)

ポリシー適用を回避するデバイスのサブネット アドレスを入力します。

サブネット マスク(Subnet Mask)

ポリシー適用を回避するデバイスのサブネット マスクを入力します。

説明(Description)

サブネット フィルタの説明を入力します。

RADIUS 設定(RADIUS Config)

プライマリ サーバ(Primary Server)

通常はポリシー サービス ノードであるプライマリ RADIUS サーバの IP アドレス、共有秘密、タイムアウト(秒)、および再試行回数を入力します。

タイムアウトと再試行の値は、WLC や ASA などのクライアントで定義するタイムアウトおよび再試行に基づいている必要があります。 次を推奨します。(IPEP RADIUS 設定タイムアウト * 再試行回数)<(クライアント デバイスのタイムアウト * 再試回数)。 たとえば、プライマリおよびセカンダリ サーバで、タイムアウトを 5 秒、再試行回数を 1 に設定し、クライアントで、タイムアウトを 5 秒、再試行回数を 3 に設定できます。 したがって、IPEP サーバに設定されているタイムアウト * 再試行回数(5*1=5)は、クライアント(5*3=15)で設定されている値よりも小さくなります。

セカンダリ サーバ(Secondary Server)

セカンダリ RADIUS サーバの IP アドレス、共有秘密、タイムアウト(秒)、および再試行回数を入力します。

タイムアウトと再試行の値は、WLC や ASA などのクライアントで定義するタイムアウトおよび再試行に基づいている必要があります。 次を推奨します。(IPEP RADIUS 設定タイムアウト * 再試行回数)<(クライアント デバイスのタイムアウト * 再試回数)。 たとえば、プライマリおよびセカンダリ サーバで、タイムアウトを 5 秒、再試行回数を 1 に設定し、クライアントで、タイムアウトを 5 秒、再試行回数を 3 に設定できます。 したがって、IPEP サーバに設定されているタイムアウト * 再試行回数(5*1=5)は、クライアント(5*3=15)で設定されている値よりも小さくなります。

クライアント(Client)

クライアント、WLC または VPN に代わってアクセスを要求するデバイスの IP アドレス、共有秘密、タイムアウト(秒)、および再試行回数を入力します。
(注)      Cisco ISE Release 1.1.1 では、WLC ローミングはサポートされません。

KeyWrap の有効化(Enable KeyWrap)

このチェックボックスをオンにして、次の認証設定を指定してください。
  • キー暗号キー(Key Encryption Key)

  • メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

  • [キー入力形式(Key Input Format)]:[ASCII] または [16 進数(Hexadecimal)]

展開においてワイヤレス LAN 技術を利用している場合は、RADIUS サーバからネットワーク アクセス ポイントへの送信のセキュリティを保護する必要があります。 キーラップの属性によって、保護が強化され、柔軟性が高まります。
フェールオーバー(Failover)

インライン ポスチャのハイ アベイラビリティ ペアを展開している場合にのみ表示されます。

HA ピア ノード(HA Peer Node)

ドロップダウン リストから、[HA ピア ノード(HA Peer Node)] を選択します。 選択可能なスタンドアロン インライン ポスチャ ノードのリストが表示されます。セカンダリ ノードはプライマリ ノードと同期します。
  • [複製ステータス(Replication Status)]:(表示されるのはセカンダリ ノードの場合のみ)プライマリ ノードからセカンダリ ノードへの差分複製が完了したかどうかを示します。 次のステータスの 1 つが表示されます。

    • [失敗(Failed)]:差分データベース複製が失敗しました。

    • [進行中(In-Progress)]:データベース複製を実行中です。

    • [完了(Complete)]:差分データベース複製が完了しました。[適用なし(Not Applicable)]:Cisco ISE ノードがスタンドアロン ノードまたはプライマリ ノードである場合に表示されます。

    • [適用なし(Not Applicable)]:Cisco ISE ノードがスタンドアロン ノードまたはプライマリ ノードである場合に表示されます。

  • [同期ステータス(Sync Status)]:(表示されるのはセカンダリ Cisco ISE ノードの場合のみ)プライマリ ノードからセカンダリ ノードへの複製が完了したかどうかを示します。 複製が行われるのは、ノードをセカンダリとして登録したときや、複製を強制的に実行するために [同期を更新(Syncup)] がクリックされたときです。 次のステータスの 1 つが表示されます。

    • [同期完了(Sync Completed)]:完全データベース複製が完了しました。

    • [同期進行中(Sync in Progress)]:データベース複製を実行中です。

    • [同期していない(Out of Sync)]:セカンダリ ノードをプライマリ Cisco ISE ノードに登録したときにデータベースはダウンしていました。

    • [適用なし(Not Applicable)]:Cisco ISE ノードがスタンドアロン ノードである場合に表示されます。

サービス IP(信頼)(Service IP (Trusted))

プライマリ ノードのトラフィック インターフェイスの信頼サービス IP アドレス(eth0)を入力します。

サービス IP(非信頼)(Service IP (Untrusted))

プライマリ ノードのトラフィック インターフェイスの非信頼サービス IP アドレス(eth1)を入力します。ブリッジ モードでは、サービス IP アドレスは、信頼ネットワークと非信頼ネットワークで同じです。

リンク検出(信頼)(Link Detect (Trusted))

信頼側と非信頼側のリンク検出システムの IP アドレス(オプション、ベスト プラクティスとして推奨)を入力します。 このアドレスは、通常はポリシー サービス ノードの IP アドレスです。アクティブとスタンバイの両方のノードが常に、ポリシー サービス ノードに到達可能であることが必要であるからです。

リンク検出(非信頼)

非信頼側リンク検出のシステムの IP アドレスを入力します。

リンク検出タイムアウト(Link Detect Timeout)

リンク検出タイムアウト値を入力します。 デフォルト値である 30 秒が推奨されます。 ただし、最大値はありません。リンク検出は、インライン ポスチャ ノードがポリシー サービス ノードとの通信を維持することを保障します。 アクティブ ノードが通知(ping)をポリシー サービス ノードから指定の間隔で受信していない場合は、アクティブ ノードはスタンバイ ノードにフェールオーバーします。

ハートビート タイムアウト(Heart Beat Timeout)

ハートビート タイムアウト値を入力します。 デフォルト値である 30 秒が推奨されます。 ただし、最大値はありません。ハートビートは指定された間隔で 2 つのインライン ポスチャ ノード間で送信されるメッセージです。 ハートビートには、eth2 と eth3 のインターフェイスが使用されます。 ハートビートが停止するか、割り当てられた時間内に応答がない場合は、フェールオーバーが発生します。

ピア ノードの同期を更新(Syncup Peer Node)

いずれかのセカンダリ ノードの同期ステータスが非同期である場合、[ピア ノードの同期を更新(Syncup Peer Node)] をクリックして、完全データベース複製を強制します。

(注)      同期更新オプションを使用して完全複製を強制的に実行する必要があるのは、[同期ステータス(Sync Status)] が [同期していない(Out of Sync)] であるか、[複製ステータス(Replication Status)] が [失敗(Failed)] である場合です。

証明書ストアの設定

[証明書ストア(Certificate Store)] ページでは、認証に使用できる証明書を Cisco ISE で設定することができます。

エンドポイント証明書の概要ページ

次の表に、[証明書管理の概要(Certificate Management Overview)] ページのフィールドを示します。 展開内の PSN ノードがエンドポイントに証明書を発行します。 このページでは、展開内の各 PSN ノードが発行するエンドポイント証明書に関する情報を示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [概要(Overview)] です。

フィールド 使用上のガイドライン

ノード名(Node Name)

証明書を発行したポリシー サービス ノード(PSN)の名前。

発行されたエンドポイント証明書

PSN ノードが発行したエンドポイント証明書の数。

失効したエンドポイント証明書

失効したエンドポイント証明書(PSN ノードが発行した証明書)の数。

エンドポイント証明書の要求

PSN ノードが処理した証明書ベースの認証要求の数。

失敗したエンドポイント証明書

PSN ノードが処理する失敗した認証要求の数。

自己署名証明書の設定

次の表では、[自己署名証明書の生成(Generate Self Signed Certificate)] ページのフィールドについて説明します。 このページでは、ノード間通信、EAP-TLS 認証、Cisco ISE Web ポータル、および pxGrid コントローラとの通信用のシステム証明書を作成できます。 このページのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [自己署名証明書の生成(Generate Self Signed Certificate)] です。

フィールド 使用上のガイドライン

ノードの選択(Select Node)

(必須)システム証明書を生成するノード。

一般名(Common Name)(CN)

(SAN を指定しない場合に必須)デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。

組織ユニット(Organizational Unit)(OU)

組織ユニット名。 Engineering など。

組織(Organization)(O)

組織名。 Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国名。 2 文字の ISO 国番号を入力する必要があります。 US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられた IP アドレスまたは DNS 名。

キーの長さ(Key Length)

パブリック CA 署名付き証明書を取得する場合、2048 を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュ アルゴリズム SHA-1 または SHA-256 を選択します。

TTL 有効期限(Expiration TTL)

証明書が失効するまでの日数を指定します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、<common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

自己署名したワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。

使用方法(Usage)

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

証明書署名要求の設定

次の表に、認証局(CA)が署名可能な証明書署名要求(CSR)の生成に使用できる [証明書署名要求(Certificate Signing Request)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書署名要求(Certificate Signing Request)] です。

Cisco ISE のこのリリースでは、1 つの要求の管理者ポータルから、展開内のすべてのノードの CSR を生成することができます。 また、展開内の単一ノードまたは複数ノードのどちらの CSR を生成するのか選択することもできます。 単一ノードの CSR を生成する場合、ISE は証明書サブジェクトの [CN=] フィールドの特定ノードの FQDN を自動的に置き換えます。 証明書の [サブジェクト代替名(Subject Alternative Name (SAN))] フィールドにエントリを含めることを選択した場合、他の SAN 属性に加えて ISE ノードの FQDN を入力する必要があります。 展開内のすべてのノードの CSR を生成することを選択した場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにして、[SAN] フィールド(DNS 名)にワイルドカード表記で FQDN を入力します(*.amer.example.com など)。 EAP 認証に証明書を使用する場合は、[CN=] フィールドにワイルドカード値を入力しないでください。

ワイルドカード証明書を使用することにより、各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。 SAN フィールドでアスタリスク(*)を使用すると、展開内の複数のノードで単一の証明書を共有できるようになり、証明書名の不一致による警告を防止することができます。 ただし、ワイルドカード証明書は、各 Cisco ISE ノードに固有のサーバ証明書を割り当てる場合よりも安全性が低いと見なされます。

複数の使用(管理者、EAP-TLS 認証、pxGrid、およびポータル)に対して単一の証明書を作成することを選択できます。 複数使用の証明書は、クライアントとサーバ両方のキーの用途を使用します。 署名認証局(CA)の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

  • キーの用途:デジタル署名(署名)

  • キーの拡張用途:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

フィールド 使用上のガイドライン

証明書の用途(Certificate(s) will be used for)

証明書を使用するサービスを選択します。

  • 管理者:サーバ認証に使用されます(管理者ポータルとの通信および展開内の ISE ノード間の通信を保護するため)。 署名 CA の証明書テンプレートは、Web サーバ証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • キーの用途:デジタル署名(署名)

    • キーの拡張用途:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • EAP 認証:サーバ認証に使用されます。 署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • キーの用途:デジタル署名(署名)

    • キーの拡張用途:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • ポータル:サーバ認証に使用されます(すべての ISE Web ポータルとの通信を保護するため)。 署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • キーの用途:デジタル署名(署名)

    • キーの拡張用途:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • pxGrid:クライアント認証とサーバ認証の両方に使用されます(pxGrid クライアントとサーバ間の通信を保護するため)。 署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • キーの用途:デジタル署名(署名)

    • キーの拡張用途:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

  • ISE ルート CA(内部 CA サービスにのみ適用可能):PAN のルート CA および PSN の下位 CA で構成される内部 CA 証明書チェーン全体を再生成するために使用されます。

  • ISE 中間 CA(内部 CA サービス、および ISE が外部 PKI の中間 CA として機能する場合にのみ適用可能):PAN の中間 CA 証明書および PSN の下位 CA 証明書の生成に使用されます。 署名 CA の証明書テンプレートは、下位認証局と呼ばれます。 このテンプレートには、次のプロパティがあります。

    • 基本制約:重要、認証局

    • キーの用途:証明書の署名、デジタル署名

    • キーの拡張用途:OCSP 署名(1.3.6.1.5.5.7.3.9)

  • ISE OCSP 応答側証明書の更新(内部 CA サービスにのみ適用可能):展開全体の ISE OCSP 応答側証明書の更新に使用されます(証明書署名要求ではありません)。 セキュリティ上の理由から、ISE OCSP 応答側証明書を 6 ヵ月ごとに更新することを推奨します。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字(*)を使用するには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、展開内のすべてのノードが自動的に選択されます。 左端のラベルの位置にアスタリスク(*)ワイルドカード文字を使用する必要があります。 ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。 たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。 ドメインを分割しないと、セキュリティ問題が発生する可能性があります。

これらのノードの CSR の生成(Generate CSRs for these Nodes)

証明書を生成するノードの隣のチェックボックスをオンにします。 展開内の選択されたノードの CSR を生成するには、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオフにします。

一般名(Common Name)(CN)

デフォルトでは、一般名は CSR を生成する ISE ノードの完全修飾ドメイン名(FQDN)です。 $FQDN$ は ISE ノードの FQDN を意味します。 展開内の複数ノードの CSR を生成すると、CSR の [一般名(Common Name)] フィールドは各 ISE ノードの FQDN に置き換えられます。

組織ユニット(Organizational Unit)(OU)

組織ユニット名。 Engineering など。

組織(Organization)(O)

組織名。 Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国名。 2 文字の ISO 国番号を入力する必要があります。 US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられた IP アドレスまたは DNS 名。 DNS 名を選択した場合は、ISE ノードの完全修飾ドメイン名を入力します。 [ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオンにした場合は、ワイルドカード表記(ドメイン名の前にアスタリスクとピリオドを入力)を指定します。 *.amer.example.com など。

キーの長さ(Key Length)

パブリック CA の署名付き証明書を取得する場合は 2048 以上を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュ アルゴリズム SHA-1 または SHA-256 を選択します。

システム証明書のインポート設定

次の表では、サーバ証明書をインポートするために使用できる [システム証明書のインポート(Import System Certificate)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [インポート(Import)] です。

フィールド 説明

ノードの選択(Select Node)

(必須)システム証明書をインポートする Cisco ISE ノードを選択します。

証明書ファイル(Certificate file)

(必須)[参照(Browse)] をクリックして、ローカル システムから証明書ファイルを選択します。

秘密キー ファイル(Private key file)

(必須)[参照(Browse)] をクリックして、秘密キー ファイルを選択します。

パスワード(Password)

(必須)秘密キー ファイルを復号化するためのパスワードを入力します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、<common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

ワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)をインポートする場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。

証明書の検証を有効にする(Enable Validation of Certificate)

Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

使用方法(Usage)

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

[信頼できる証明書ストア(Trusted Certificate Store)] ページ

次の表では、管理ノードに追加された証明書を表示するために使用できる [信頼できる証明書ストア(Trusted Certificates Store)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] です。

表 4 信頼できる証明書ページ

フィールド

使用上のガイドライン

フレンドリ名(Friendly Name)

証明書の名前を表示します。

ステータス(Status)

有効または無効にします。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

信頼対象(Trusted for)

証明書を使用するサービスを表示します。

発行先(Issued To)

証明書のサブジェクトの一般名(CN)。

発行元(Issued By)

証明書の発行元の一般名(CN)。

有効期限の開始(Valid From)

「Not Before」証明書属性。

期限日(Expiration Date)

「Not After」証明書属性。

有効期限ステータス(Expiration Status)

証明書の有効期限のステータスに関する情報です。 このコラムに表示される情報メッセージには 5 つのアイコンとカテゴリがあります。

  • 緑:期限切れまで 90 日を超える

  • 青色:90 日以内に期限切れ

  • 黄:60 日以内に期限切れ

  • オレンジ:30 日以内に期限切れ

  • 赤:期限切れ

信頼できる証明書の編集設定

次の表では、認証局(CA)証明書属性を編集するために使用できる [証明書ストアの証明書編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] > [証明書(Certificate)] > [編集(Edit)] です。

表 5 証明書ストア編集設定

フィールド

使用上のガイドライン

証明書発行元(Certificate Issuer)

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。

ステータス(Status)

[有効(Enabled)] または [無効(Disabled)] を選択します。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

説明(Description)

任意で説明を入力します。

使用方法(Usage)

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書で(他の ISE ノードまたは LDAP サーバから)サーバ証明書を検証する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコルを使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィード サービスなどの外部シスコ サービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書ステータスの検証(Certificate Status Validation)

ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。 1 つは、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP は、CA によって保持される OCSP サービスに要求を行います)。 もう 1 つは、ISE に CA からダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。 両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。

OCSP サービスに対して検証する(Validate Against OCSP Service)

OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。 このボックスをオンにするには、まず OCSP サービスを作成する必要があります。

OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status)

認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。 このチェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。

CRL のダウンロード(Download CRL)

Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。

CRL 配信 URL(CRL Distribution URL)

CA から CRL をダウンロードするための URL を入力します。 認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。 URL は「http」、「https」、または「ldap」で始まる必要があります。

CRL の取得(Retrieve CRL)

CRL は、自動的または定期的にダウンロードできます。 ダウンロードの時間間隔を設定します。

ダウンロードが失敗した場合は待機する(If download failed, wait)

Cisco ISE が CRL を再度ダウンロードするまでに待機する時間間隔を設定します。

CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)

このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。

CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired)

Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。

Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。 CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。

信頼できる証明書のインポート設定

次の表では、認証局(CA)証明書を Cisco ISE に追加するために使用できる [信頼できる証明書のインポート(Trusted Certificate Import)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] です。

表 6 信頼できる証明書のインポート設定

フィールド

説明

参照(Browse)

[参照(Browse)] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、<common name>#<issuer>#<nnnnn> の形式で自動的に名前が作成されます。ここで、<nnnnn> は固有の 5 桁の数値です。

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書を(他の ISE ノードまたは LDAP サーバから)サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコルを使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィード サービスなどの外部シスコ サービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)

([クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)] オプションの両方をオンにした場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。

説明(Description)

任意で説明を入力します。

OCSP クライアント プロファイル設定

次の表では、OCSP クライアント プロファイル設定を行うために使用できる [OCSP クライアント プロファイル(OCSP Client Profile)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [OCSP プロファイル(OCSP Profile)] です。

フィールド 使用上のガイドライン

名前(Name)

OCSP クライアント プロファイル名。

説明(Description)

任意で説明を入力します。

セカンダリ サーバの有効化(Enable Secondary Server)

ハイ アベイラビリティのセカンダリ OCSP サーバを有効にするには、このチェックボックスをオンにします。

常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)

このオプションは、セカンダリ サーバへの移動を試行する前にプライマリ サーバをチェックする場合に使用します。 プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリ サーバに移動する前にプライマリ サーバへの要求の送信を試行します。

n 分経過後にプライマリ サーバにフォールバック(Fallback to Primary Server After Interval n Minutes)

このオプションは、Cisco ISE がセカンダリ サーバに移動してから、再度プライマリ サーバにフォールバックする場合に使用します。 この場合、その他の要求はすべてスキップされ、テキスト ボックスで設定した時間セカンダリ サーバが使用されます。 許可される時間の範囲は 1 ~ 999 分です。

URL

プライマリおよびセカンダリ OCSP サーバの URL を入力します。

ナンス拡張サポートの有効化(Enable Nonce Extension Support)

ナンスが OCSP 要求の一部として送信されるように設定できます。 ナンスには、OCSP 要求の疑似乱数が含まれます。 応答で受信される数値は要求に含まれる数値と同じであることが検証されています。 このオプションにより、リプレイ アタックで古い通信を再利用できないことが保証されます。

応答の署名の検証(Validate Response Signature)

OCSP レスポンダは、次のいずれかの証明書を使用して応答に署名します。

  • CA 証明書

  • CA 証明書とは別の証明書

    Cisco ISE が応答の署名を検証するためには、OCSP 応答側が応答を証明書とともに送信する必要があります。そうでない場合、応答の検証は失敗し、証明書のステータスは利用できません。 RFC に従い、OCSP は異なる証明書を使用して応答に署名できます。 このことは、OCSP が Cisco ISE による検証用に応答に署名した証明書を送信する限り当てはまります。 OCSP が Cisco ISE で設定されているものとは異なる証明書を使用して応答に署名した場合、応答の検証は失敗します。

キャッシュ エントリの存続可能時間 n 分(Cache Entry Time To Live n Minutes)

キャッシュ エントリが期限切れになる時間を分単位で入力します。

OCSP サーバからの各応答には nextUpdate 値が含まれています。 この値は、証明書のステータスがサーバで次にいつ更新されるかを示します。 OCSP 応答がキャッシュされるとき、2 つの値(1 つは設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の期間だけ応答がキャッシュされます。 nextUpdate 値が 0 の場合、応答はまったくキャッシュされません。

Cisco ISE は設定された時間 OCSP 応答をキャッシュします。 キャッシュは複製されず、永続的でもないため、Cisco ISE が再起動するとキャッシュはクリアされます。

次の理由により、OCSP キャッシュは OCSP 応答を保持するために使用されます。
  • 既知の証明書に関する OCSP サーバからのネットワーク トラフィックと負荷を低減するため

  • 既知の証明書のステータスをキャッシュすることによって Cisco ISE のパフォーマンスを向上させるため

キャッシュのクリア(Clear Cache)

OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア(Clear Cache)] をクリックします。

展開内で、[キャッシュのクリア(Clear Cache)] はすべてのノードと相互作用して、処理を実行します。 このメカニズムでは、展開内のすべてのノードが更新されます。

内部 CA の設定

次の表では、内部 CA の設定ページのフィールドについて説明します。 内部 CA の設定を表示し、このページから内部 CA サービスを無効にできます。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部 CA の設定(Internal CA Settings)] です。

フィールド 使用上のガイドライン

認証局の無効化(Disable Certificate Authority)

内部 CA サービスを無効にするには、このボタンをクリックします。

ホスト名(Host Name)

CA サービスを実行している Cisco ISE ノードのホスト名。

ペルソナ(Personas)

CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。 たとえば、管理、ポリシー サービスなどです。

ロール(Role(s))

CA サービスを実行する Cisco ISE ノードが担当するロール。 たとえば、スタンドアロンまたはプライマリまたはセカンダリです。

CA および OCSP 応答側のステータス(CA & OCSP Responder Status)

有効または無効

OCSP 応答側 URL(OCSP Responder URL)

OCSP サーバにアクセスするための Cisco ISE ノードの URL。

証明書テンプレートの設定

次の表に、クライアント プロビジョニング ポリシーで使用される SCEP RA プロファイルの定義に使用できる [CA 証明書テンプレート(CA Certificate Template)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書テンプレート(Certificate Templates)] > [追加(Add)] です。


(注)  


証明書テンプレート フィールド([組織ユニット(Organizational Unit)]、[組織(Organization)]、[都市(City)]、[州(State)]、および [国(Country)])の UTF-8 文字はサポートしていません。 UTF-8 文字を証明書テンプレートで使用すると、証明書プロビジョニングが失敗します。


フィールド 使用上のガイドライン

名前(Name)

(必須)証明書テンプレートの名前を入力します。 たとえば、Internal_CA_Template とします。

説明(Description)

(任意)説明を入力します。

一般名(Common Name)(CN)

(表示のみ)一般名にはユーザ名が自動入力されます。

組織ユニット(Organizational Unit)(OU)

組織ユニット名。 Engineering など。

組織(Organization)(O)

組織名。 Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国名。 2 文字の ISO 国番号を入力する必要があります。 US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

(表示のみ)エンドポイントの MAC アドレス。

キー サイズ(Key Size)

1024 以上のキー サイズを指定します。

SCEP RA プロファイル(SCEP RA Profile)

ISE 内部 CA または作成した外部 SCEP RA プロファイルを選択します。

有効期限(Valid Period)

証明書の期限が切れるまでの日数を入力します。

ロギングの設定

次の各ページでは、デバッグ ログの重大度の設定、外部ログ ターゲットの作成が可能です。また、Cisco ISE がこれらの外部ログ ターゲットにログ メッセージを送信できるようにできます。

リモート ロギング ターゲットの設定

次の表では、外部の場所(syslog サーバ)を作成してロギング メッセージを保存するために使用できる [リモート ロギング ターゲット(Remote Logging Targets)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)] です。

表 7 リモート ロギング ターゲットの設定

フィールド

使用上のガイドライン

名前(Name)

新しいターゲットの名前を入力します。

ターゲット タイプ(Target Type)

ターゲット タイプを選択します。 デフォルトでは、[UDP Syslog] に設定されます。

説明(Description)

新しいターゲットの簡単な説明を入力します。

IP アドレス(IP Address)

ログを格納する宛先マシンの IP アドレスを入力します。

ポート(Port)

宛先マシンのポート番号を入力します。

ファシリティ コード(Facility Code)

ロギングに使用する syslog ファシリティ コードを選択します。 有効なオプションは、Local0 ~ Local7 です。

最大長(Maximum Length)

リモート ログ ターゲット メッセージの最大長を入力します。 有効なオプションは 200 ~ 1024 バイトです。

サーバ ダウン時のバッファ メッセージ(Buffer Message When Server Down)

TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファするには、このチェックボックスをオンにします。 ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。 接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。 バッファがいっぱいになると、古いメッセージが廃棄されます。

バッファ サイズ(MB)(Buffer Size (MB))

各ターゲットのバッファ サイズを設定します。 デフォルトでは、100 MB に設定されます。 バッファ サイズを変更するとバッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。

再接続タイムアウト(秒)(Reconnect Timeout (Sec))

サーバがダウンしている場合に TCP およびセキュア syslog を廃棄する前に保持する期間を秒単位で指定します。

CA 証明書の選択(Select CA Certificate)

クライアント証明書を選択します。

サーバ証明書有効性を無視(Ignore Server Certificate validation)

ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。

ロギング カテゴリの設定

次の表では、[ロギング カテゴリ(Logging Categories)] ページのフィールドについて説明します。これらのフィールドを使用して、ログの重大度レベルを設定し、選択したカテゴリのログが保存されるロギング ターゲットを選択できます。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング カテゴリ(Logging Categories)] です。
表 8 ロギング カテゴリの設定
フィールド 使用上のガイドライン

名前(Name)

ロギング カテゴリの名前を表示します。

ログの重大度レベル(Log Severity Level)

次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。

  • [重大(FATAL)]:緊急事態。 このオプションは、Cisco ISE が使用できないため、緊急措置が必要であることを意味します

  • [エラー(ERROR)]:このオプションは深刻な状態またはエラー状態を示します。

  • [警告(WARN)]:このオプションは、通常の状態ではあるが重大な状態を示します。 これがデフォルトの条件です。

  • [情報(INFO)]:このオプションは、情報メッセージを示します。

  • [デバッグ(DEBUG)]:このオプションは、診断バグ メッセージを示します。

ローカル ロギング(Local Logging)

ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。

ターゲット(Target)

左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。 [使用可能(Available)] ボックスには、ローカル(事前定義済み)と外部(ユーザ定義)の両方の既存のロギング ターゲットが含まれています。 最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリ用に選択されたターゲットが含まれます。

メンテナンスの設定

これらのページでは、バックアップ、復元、およびデータ消去機能を使用してデータを管理できます。

リポジトリの設定

次の表では、リポジトリを作成してバックアップ ファイルを保存するために使用できる [リポジトリ リスト(Repository List)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] です。

表 9 リポジトリの設定

フィールド

使用上のガイドライン

リポジトリ(Repository)

リポジトリの名前を入力します。 最大 80 文字の英数字を使用できます。

プロトコル(Protocol)

使用する使用可能なプロトコルの 1 つを選択します。

サーバ名(Server Name)

(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの作成先サーバのホスト名または IPv4 アドレスを入力します。

パス(Path)

リポジトリへのパスを入力します。 この値は、2 つのスラッシュ(//)で開始する必要があります。

このパスは、リポジトリの作成時に有効であり、存在している必要があります。 次の 3 つのフィールドは、選択したプロトコルに応じて必須項目となります。

ユーザ名(User Name)

(FTP、SFTP、および NFS で必須)指定されたサーバに対する書き込み権限を持つユーザ名を入力します。 使用できる文字は英数字のみです。

パスワード(Password)

(FTP、SFTP、および NFS で必須)指定されたサーバへのアクセスに使用するパスワードを入力します。 パスワードに使用できる文字は、0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。

オンデマンド バックアップの設定

次の表では、バックアップを任意の時点で取得するために使用できる [オンデマンド バックアップ(On-Demand Backup)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup & Restore)] です。
表 10 オンデマンド バックアップの設定
フィールド 使用上のガイドライン

バックアップ名(Backup Name)

バックアップ ファイルの名前を入力します。

タイプ(Type)

次のいずれかを選択します。
  • [設定バックアップ(Configuration backup)]:アプリケーション固有および Cisco ADE オペレーティング システム両方の設定データが含まれます。

  • [操作バックアップ(Operational backup)]:モニタリングおよびトラブルシューティングのデータが含まれます。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリ。 ここにリポジトリ名を入力することはできません。 ドロップダウン リストから利用可能なリポジトリを選択することのみができます。 バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

このキーは、バックアップ ファイルの暗号化および復号化に使用されます。

スケジュール バックアップの設定

次の表では、フル バックアップまたは差分バックアップの復元に使用できる [スケジュール バックアップ(Scheduled Backup)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] です。
表 11 スケジュール バックアップの設定
フィールド 使用上のガイドライン

名前(Name)

バックアップ ファイルの名前を入力します。任意の説明的な名前を入力できます。 Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。 一連のバックアップを設定しても、バックアップ ファイル名は一意になります。[スケジュール バックアップ(Scheduled Backup)] リスト ページでは、ファイルが kron occurrence ジョブであることを示すために、バックアップ ファイル名に「backup_occur」が付加されます。

説明(Description)

バックアップの説明を入力します。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。 ドロップダウン リストから利用可能なリポジトリを選択することのみができます。 バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

バックアップ ファイルを暗号化および復号化するためのキーを入力します。

スケジューリング オプション(Schedule Options)

スケジュール バックアップの頻度を選択し、適宜他のオプションに入力します。

管理者アクセスの設定

これらのページにより、管理者のアクセス設定を行うことができます。

管理者パスワード ポリシーの設定

次の表に、管理者パスワードが満たす必要のある基準を定義するために使用できる [管理者パスワード ポリシー(Administrator Password Policy)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] です。

表 12 管理者パスワード ポリシーの設定

フィールド

使用上のガイドライン

最小長(Minimum Length)

パスワードの最小長(文字数)を設定します。 デフォルトは 6 文字です。

パスワードには、管理者名またはその文字の逆順は使用できません(Password should not contain the admin name or its characters in reversed order)

このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。

パスワードには、「cisco」またはその文字の逆順は使用できません(Password should not contain ‘cisco’ or its characters in reversed order)

このチェックボックスをオンにして、単語「cisco」またはその文字の逆順での使用を制限します。

パスワードには、変数またはその文字の逆順は使用できません(Password should not contain variable or its characters in reversed order)

このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。

パスワードには、4 回以上連続する繰り返し文字は使用できません(Password should not contain repeated characters four or more times consecutively)

このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。

パスワードには選択したタイプの文字がそれぞれ 1 文字以上含まれている必要があります(Password must contain at least one character of each of the selected types)

管理者パスワードに、次の選択肢から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。

  • 小文字の英文字(Lowercase alphabetic characters)

  • 大文字の英文字(Uppercase alphabetic characters)

  • 数字(Numeric characters)

  • 英数字以外の文字(Non-alphanumeric characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。

また、以前のパスワードと異なる必要がある文字数を指定します。

ユーザがパスワードを再使用できない日数を入力します。

パスワード ライフタイム(Password Lifetime)

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

  • パスワードが変更されなかった場合に管理者アカウントを無効にするまでの時間(日数)(Time (in days) before the administrator account is disabled if the password is not changed) (使用可能な範囲は 0 ~ 2,147,483,647 日です)。

  • 管理者アカウントが無効になるまでのリマインダ(日数)。(Reminder (in days) before the administrator account is disable.)

ログイン試行の不正なアカウントをロックまたは一時停止する(Lock or Suspend Account with Incorrect Login Attempts)

Cisco ISE が、管理者を Cisco ISE からロックアウトし、アカウント クレデンシャルを一時停止または無効にするまでに、誤った管理者パスワードを記録する回数を指定します。

アカウントがロックされる管理者に電子メールが送信されます。 カスタム電子メール修復メッセージを入力することができます。

セッション タイムアウトおよびセッション情報の設定

次の表では、セッション タイムアウトを定義し、アクティブな管理セッションを終了するために使用できる [セッション(Session)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [セッション(Session)] です。

表 13 セッション タイムアウトおよびセッション情報の設定

フィールド

使用上のガイドライン

セッションのタイムアウト(Session Timeout)

セッション アイドル タイムアウト(Session Idle Timeout)

アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。 デフォルト値は 60 分です。 有効な範囲は 6 ~ 100 分です。

セッション情報(Session Info)

無効化(Invalidate)

終了するセッション ID の隣にあるチェックボックスをオンにし、[無効化(Invalidate)] をクリックします。

設定

これらのページでは、さまざまなサービスの全般設定を行うことができます。

ポスチャの全般設定

次の表では、修復時間およびポスチャ ステータスなどの一般的なポスチャ設定を行うために使用できる [ポスチャの全般設定(Posture General Settings)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] です。

表 14 ポスチャの全般設定

フィールド

使用上のガイドライン

修復タイマー(Remediation Timer)

分単位で時間値を入力します。 デフォルト値は 4 分です。 有効な範囲は 1 ~ 300 分です。

ネットワーク遷移遅延(Network Transition Delay)

秒単位で時間値を入力します。 デフォルト値は 3 秒です。 有効な範囲は 2 ~ 30 秒です。

デフォルトのポスチャ ステータス(Default Posture Status)

準拠または非準拠を選択します。 Linux のような非エージェント デバイスは、ネットワークに接続している間、このステータスを想定します。

一定時間(秒)経過後にログイン成功画面を自動的に閉じる(Automatically Close Login Success Screen After)

このチェックボックスをオンにすると、指定された時間後に、ログイン成功画面が自動的に閉じます。

チェックボックスの隣のフィールドに、時間値を秒単位で入力します。

0 ~ 300 秒にログイン画面が自動的に閉じるようにタイマーを設定できます。 時間をゼロに設定すると、NAC Agent および Web Agent にログイン成功画面が表示されなくなります。

ポスチャのリース

ユーザがネットワークに接続するたびにポスチャ評価を行う(Perform posture assessment every time a user connects to the network)

ユーザがネットワークに接続するたびにポスチャ評価を開始するには、このオプションを選択します。

n 日おきにポスチャ評価を行う(Perform posture assessment every n days)

クライアントがすでにポスチャ準拠であるものの、指定された日数が経過したら、ポスチャ評価を開始する場合は、このオプションを選択します。

ポスチャ再評価の構成設定

次の表では、ポスチャ再評価の設定に使用できる [ポスチャ再評価設定(Posture Reassessment Configurations)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [再評価(Reassessments)] です。

表 15 ポスチャ再評価の構成設定

フィールド

使用上のガイドライン

設定名(Configuration Name)

PRA 設定の名前を入力します。

設定の説明(Configuration Description)

PRA 設定の説明を入力します。

再評価適用を使用?(Use Reassessment Enforcement?)

ユーザ ID グループの PRA 設定を適用するには、チェックボックスをオンにします。

適用タイプ(Enforcement Type)

適用する次のアクションを選択します。

  • [続行(Continue)]:ユーザはポスチャ要件に関係なくクライアントを修復できるようにユーザ介入なしの特権アクセスが引き続き提供されます。

  • [ログオフ(Logoff)]:クライアントが非準拠の場合、ユーザを強制的にネットワークからログオフします。 クライアントが再度ログインしたときのコンプライアンス ステータスは不明です。

  • [修復(Remediate)]:クライアントが非準拠の場合、エージェントは修復のために指定の期間待機します。 クライアントが修復された後、エージェントはポリシー サービス ノードに PRA レポートを送信します。 修復がクライアントで無視された場合、エージェントはクライアントにネットワークからログオフすることを強制するために、ポリシー サービス ノードにログオフ要求を送信します。

    ポスチャ要件が [必須(mandatory)] に設定されている場合、RADIUS セッションは PRA 障害アクションの結果としてクリアされ、クライアントを再びポスチャするには新しい RADIUS セッションを開始する必要があります。

    ポスチャ要件が [オプション(optional)] に設定されている場合、NAC Agent ではユーザがエージェントから [続行(continue)] オプションをクリックできます。 ユーザは、制限なしで現在のネットワークにとどまることができます。

間隔(Interval)

最初のログイン成功後にクライアントで PRA を開始する間隔を分単位で入力します。

デフォルト値は 240 分です。 最小値は 60 分、最大値は 1440 分です。

猶予時間(Grace time)

クライアントが修復を完了することのできる時間間隔を分単位で入力します。 猶予時間をゼロにすることはできません。また、PRA 間隔より大きくする必要があります。 デフォルトの最小間隔(5 分)から最小 PRA 間隔までの範囲にすることができます。

最小値は 5 分、最大値は 60 分です。

(注)     

猶予時間は、クライアントがポスチャの再評価に失敗した後、適用タイプが修復アクションに設定されている場合にだけ有効です。

ユーザ ID グループの選択(Select User Identity Groups)

PRA 設定に対して一意のグループまたはグループの一意の組み合わせを選択します。

PRA の設定(PRA configurations)

既存の PRA 設定と PRA 設定に関連付けられたユーザ ID グループを表示します。

ポスチャの利用規定の構成設定

次の表では、ポスチャのアクセプタブル ユース ポリシーを設定するために使用できるポスチャの [利用規定設定(Acceptable Use Policy Configurations)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [利用規定(Acceptable Use Policy)] です。

表 16 ポスチャ AUP の設定

フィールド

使用上のガイドライン

設定名(Configuration Name)

ユーザが作成する AUP 設定の名前を入力します。

設定の説明(Configuration Description)

ユーザが作成する AUP 設定の説明を入力します。

エージェント ユーザへの AUP の表示(Show AUP to Agent users)(Windows の NAC Agent および Web Agent のみ)

オンにした場合、[エージェント ユーザへの AUP の表示(Show AUP to Agent users)] チェックボックスはユーザ(Windows の NAC Agent と Web Agent のみ)にネットワークの利用規約へのリンクを表示し、それをクリックすると、認証およびポスチャ評価が成功したときに AUP が表示されます。

AUP メッセージの URL を使用(Use URL for AUP message)オプション ボタン

選択した場合、認証およびポスチャ評価が成功したときにクライアントがアクセスする必要がある AUP メッセージへの URL を AUP URL に入力する必要があります。

AUP メッセージのファイルを使用(Use file for AUP message)オプション ボタン

選択した場合、場所を参照し、トップ レベルに index.html を含む AUP ファイルにジップ形式のファイルをアップロードします。

.zip ファイルには、index.html ファイルに加えて、他のファイルおよびサブディレクトリを含めることができます。 これらのファイルは、HTML タグを使用して相互に参照できます。

AUP URL

クライアントは認証およびポスチャ評価が成功したときにアクセスする必要がある AUP への URL を入力します。

AUP ファイル(AUP File)

[AUP ファイル(AUP File)] で、ファイルを参照し、Cisco ISE サーバにアップロードします。 これは zip 形式のファイルで、zip 形式のファイルではトップ レベルに index.html ファイルを含める必要があります。

ユーザ ID グループの選択(Select User Identity Groups)

[ユーザ ID グループの選択(Select User Identity Groups)] ドロップダウン リストで、AUP 設定の一意のユーザ ID グループまたはユーザ ID グループの一意の組み合わせを選択します。

AUP 設定を作成する場合は、次の点に注意してください。

  • ポスチャ AUP は、ゲスト フローには適用できません。

  • 各設定には、一意のユーザ ID グループ、またはユーザ ID グループの一意の組み合わせが必要です。

  • 2 つの設定が共通のユーザ ID グループを持つことはできません。

  • ユーザ ID グループ「Any」で AUP 設定を作成する場合は、まず他のすべての AUP 設定を削除します。

  • ユーザ ID グループ「Any」を使用して AUP 設定を作成した場合、一意のユーザ ID グループ、または複数のユーザ ID グループを使用して他の AUP 設定を作成することはできません。 Any 以外のユーザ ID グループを使用して AUP 設定を作成するには、最初にユーザ ID グループ「Any」を使用した既存の AUP 設定を削除するか、ユーザ ID グループ「Any」を使用した既存の AUP 設定を一意のユーザ ID グループまたは複数のユーザの ID グループを使用して更新します。

利用規定設定 - 設定リスト(Acceptable use policy configurations—Configurations list)

既存の AUP 設定と AUP 設定に関連付けられたエンドユーザ ID グループを一覧表示します。

EAP-FAST 設定

次の表に、EAP-FAST、EAP-TLS、および PEAP プロトコルを設定するために使用できる [プロトコル設定(Protocol Settings)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FAST 設定(EAP-FAST Settings)] です。

表 17 EAP-FAST の設定

フィールド

使用上のガイドライン

機関識別情報の説明(Authority Identity Info Description)

クレデンシャルをクライアントに送信する Cisco ISE ノードを説明したわかりやすい文字列を入力します。 クライアントは、この文字列をタイプ、長さ、および値(TLV)の Protected Access Credentials(PAC)情報で認識できます。 デフォルト値は、Identity Services Engine です。

マスター キー生成期間(Master Key Generation Period)

マスター キー生成期間を、秒、分、時間、日、または週単位で指定します。 値は、1 ~ 2147040000 秒の正の整数である必要があります。 デフォルトは 604800 秒で、これは 1 週間と同等です。

すべてのマスター キーおよび PAC の失効(Revoke all master keys and PACs)

すべてのマスターキーと PAC を失効させるには、[失効(Revoke)] をクリックします。

PAC なしセッション再開の有効化(Enable PAC-less Session Resume)

PAC ファイルなしで EAP-FAST を使用する場合は、このチェックボックスをオンにします。

PAC なしセッションのタイムアウト(PAC-less Session Timeout)

PAC なしセッションの再開がタイムアウトするまでの時間を秒単位で指定します。 デフォルトは 7200 秒です。

EAP-FAST の PAC の生成の設定

次の表では、[PAC の生成(Generate PAC)] ページ上のフィールドについて説明します。これらのフィールドを使用して、EAP-FAST 認証用の Protected Access Credentials を設定します。 このページのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [PAC の生成(Generate PAC)] です。
表 18 EAP-FAST の PAC の生成の設定
フィールド 使用上のガイドライン

トンネル PAC(Tunnel PAC)

トンネル PAC を生成するには、このオプション ボタンをクリックします。

マシン PAC(Machine PAC)

マシン PAC を生成するには、このオプション ボタンをクリックします。

TrustSec PAC

TrustSec PAC を生成するには、このオプション ボタンをクリックします。

ID(Identity)

(トンネル PAC およびマシン PAC の ID フィールド用)EAP-FAST プロトコルによって「内部ユーザ名」として示されるユーザ名またはマシン名を指定します。 ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。 これは、適応型セキュリティ アプライアンス(ASA)で定義されているホスト名です。 ID 文字列は、ASA ホスト名に一致する必要があります。一致しない場合、ASA は生成された PAC ファイルをインポートできません。 TrustSec PAC を生成する場合、[ID(Identity)] フィールドにより TrustSec ネットワーク デバイスのデバイス ID が指定され、EAP-FAST プロトコルによりイニシエータ ID とともに提供されます。 ここに入力した ID 文字列がそのデバイス ID に一致しない場合、認証は失敗します。

PAC 存続可能時間(PAC Time To Live)

(トンネル PAC およびマシン PAC 用)PAC の有効期限を指定する値を秒単位で入力します。 デフォルトは 604800 秒で、これは 1 週間と同等です。 この値は、1 ~ 157680000 秒の正の整数である必要があります。 TrustSec PAC に対しては、日、週、月、または年単位で値を入力します。 デフォルト値は 1 年です。 最小値は 1 日、最大値は 10 年です。

暗号化キー(Encryption Key)

暗号キーを入力します。 キーの長さは 8 ~ 256 文字にする必要があります。 キーはアルファベットの大文字または小文字、数字、または英数字の組み合わせを含むことができます。

期限日(Expiration Date)

(TrustSec PAC のみ)有効期限は、PAC 存続可能時間に基づいて計算されます。

EAP-TLS 設定

次の表に、EAP-TLS プロトコル設定を行うために使用できる [EAP-TLS 設定(EAP-TLS Settings)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TLS] です。
表 19 EAP-TLS 設定
フィールド 使用上のガイドライン

EAP-TLS セッションの再開を有効にする(Enable EAP-TLS Session Resume)

C

完全な EAP-TLS 認証に成功したユーザの簡略化された再認証をサポートする場合にオンにします。 この機能により、Secure Sockets Layer(SSL)ハンドシェイクのみでユーザの再認証が可能となり、証明書の適用が不要になります。 EAP-TLS セッションは、タイムアウトしていない限り動作を再開します。

EAP-TLS セッション タイムアウト(EAP-TLS Session Timeout)

EAP-TLS セッションがタイムアウトするまでの時間を秒単位で指定します。 デフォルト値は 7200 秒です。

PEAP 設定

次の表では、PEAP プロトコル設定を行うために使用できる [PEAP 設定(PEAP Settings)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [PEAP] です。
表 20 PEAP 設定
フィールド 使用上のガイドライン

PEAP セッションの再開を有効にする(Enable PEAP Session Resume)

このチェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証のフェーズ 2 で正常に認証された場合に限り、PEAP 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。 ユーザが再接続する必要があり、元の PEAP セッションがタイムアウトしていない場合、Cisco ISE ではキャッシュ TLS セッションを使用するため、PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。PEAP セッション再開機能が機能するためには、PEAP セッション タイムアウト値を指定する必要があります。

PEAP セッション タイムアウト(PEAP Session Timeout)

PEAP セッションがタイムアウトするまでの時間を秒単位で指定します。 デフォルト値は 7200 秒です。

高速再接続を有効にする(Enable Fast Reconnect)

このチェックボックスをオンにすると、セッション再開機能が有効な場合に、ユーザ クレデンシャルを確認しないで PEAP セッションが Cisco ISE で再開することが許可されます。

RADIUS 設定

次の表では、認証に失敗したクライアントを検出し、成功した認証が繰り返しレポーティングされるのを抑制するために使用できる [RADIUS 設定(RADIUS Settings)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [RADIUS] です。

異常なクライアントの抑制を有効にし、設定された検出間隔内にエンドポイント認証が 2 回失敗すると、Cisco ISE はサプリカントを誤設定とマークし、以後同じ理由による認証失敗を抑制します。 [ライブ認証(Live Authentications)] ページで [誤って設定されたサプリカント カウンタ(Misconfigured Supplicant Counter)] リンクをクリックして、抑制についての詳細を確認できます。 抑制されたエンドポイントからの認証が成功すると、抑制がクリアされ、[ライブ認証(Live Authentications)] ページの [誤って設定されたサプリカント カウンタ(Misconfigured Supplicant Counter)] 値が減少します。 また、6 時間抑制されたエンドポイントから認証アクティビティがなかった場合、抑制は自動的にクリアされます。

Cisco ISE では、[検出後に要求を拒否する(Reject Requests After Detection)] オプションを有効にして、より強力な抑制を有効にできます。 [検出後に要求を拒否する(Reject Requests After Detection)] チェックボックスをオンにし、エンドポイント認証が同じ失敗理由で 5 回失敗した場合、Cisco ISE は強力な抑制をアクティブにします。 すべての後続の認証は、成功するかどうかに関係なく、抑制され、認証は実行されません。 この「強力な」抑制は、設定された [要求拒否間隔(Request Rejection Interval)] が経過するか、または認証非アクティビティが 6 時間続くと、エンドポイントからクリアされます。

表 21 RADIUS 設定

フィールド

使用上のガイドライン

異常なクライアントの抑制(Suppress Anomalous Clients)

繰り返し認証に失敗したクライアントを検出するには、このチェックボックスをオンにします。 失敗の概要が [レポート インターバル(Reporting Interval)] ごとに報告されます。

検出間隔(Detection Interval)

検出対象のクライアントの時間間隔を分単位で入力します。

レポート インターバル(Reporting Interval)

報告対象の認証失敗の時間間隔を分単位で入力します。

検出後に要求を拒否する(Reject Requests After Detection)

異常または誤設定と識別されたクライアントからの要求を拒否するには、このチェックボックスをオンにします。 [要求拒否間隔(Request Rejection Interval)] 中、異常なクライアントからの要求は拒否されます。

要求拒否間隔(Request Rejection Interval)

要求を拒否する時間間隔を分単位で入力します。 このオプションは、[検出後に要求を拒否する(Reject Requests After Detection)] をオンにした場合のみ使用できます。

繰り返される認証成功の抑制(Suppress Repeated Successful Authentications)

直近の 24 時間で、ID、ネットワーク デバイス、および許可のコンテキストに変更がない認証要求成功が繰り返し報告されないようにするには、このチェックボックスをオンにします。

アカウンティング抑制間隔(Accounting Suppression Interval)

アカウンティング要求の報告を抑制する時間間隔を秒単位で入力します。

長い処理ステップのしきい値間隔(Long Processing Step Threshold Interval)

ミリ秒単位で時間間隔を入力します。 ステップは、認証詳細レポートに表示されます。 1 つのステップの実行が指定のしきい値を超えた場合、それが認証詳細レポートで強調表示されます。

TrustSec の設定

Cisco ISE が TrustSec サーバとして機能して TrustSec サービスを提供するには、いくつかのグローバル TrustSec 設定を定義する必要があります。 次の表では、[TrustSec] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [TrustSec 設定(TrustSec Settings)] です。
表 22 TrustSec 設定の設定
フィールド 使用上のガイドライン

トンネル PAC の存続可能時間(Tunnel PAC Time to Live)

PAC の有効期限を指定します。 トンネル PAC は EAP-FAST プロトコル用のトンネルを生成します。 時間を秒、分、時、日数、または週数で指定できます。 デフォルト値は 90 日です。 有効な範囲は次のとおりです。
  • 1 ~ 157680000 秒

  • 1 ~ 2628000 分

  • 1 ~ 43800 時間

  • 1 ~ 1825

  • 1 ~ 260 週

プロアクティブ PAC 更新は後で実行する(Proactive PAC Update Will Occur After)

Cisco ISE は、認証に成功した後、設定したパーセンテージのトンネル PAC TTL が残っているときに、新しい PAC をクライアントに予防的に提供します。 トンネル PAC 更新は、最初に正常に認証が実行されてから、PAC の有効期限が切れるまでの間に、サーバによって開始されます。 このメカニズムにより、クライアントは常に有効な PAC で更新されます。 デフォルト値は 10% です。

システムですべてのタグを自動生成(All Tags Automatically Generated by System)

Cisco ISE ですべての SGT を自動的に生成する場合は、このオプションを選択します。 TrustSec デバイスに特定のセキュリティ グループおよびポリシーを手動で設定する予定の場合にのみ、このオプションを使用します。

範囲の予約(Reserve a Range)

デバイスに手動で設定するためにセキュリティ グループ タグ(SGT)の範囲を予約する場合は、このオプションを選択します。 Cisco ISE はデフォルトでは [不明(Unknown)] で SGT を作成し、これは 0 の値をとります。SGT の範囲を設定した場合、Cisco ISE は SGT 値を生成するときにこの範囲の値を使用しません。

すべてのタグは手動で定義される(All tags are manually defined)

SGT を手動で定義するには、このオプションを選択します。

SMS ゲートウェイ設定

これらの設定へのナビゲーション パスは、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] です。

電子メール サーバ経由でゲストとスポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。



表 23 SMS 電子メール ゲートウェイの SMS ゲートウェイ設定
フィールド 使用上のガイドライン

SMS ゲートウェイ プロバイダー ドメイン(SMS Gateway Provider Domain)

プロバイダー ドメインと、ゲスト アカウントの携帯電話の番号を入力します。プロバイダーの SMS/MMS ゲートウェイにメッセージを送信するとき、前者が電子メール アドレスのホスト部として使用され、後者はユーザ部分として使用されます。

プロバイダー アカウント アドレス(Provider account address)

(オプション)

アカウント アドレスを入力します。これは、電子メールの送信元アドレス(通常、アカウント アドレス)として使用され、[ゲスト アクセス(Guest Access)] > [設定(Settings)] の [デフォルトの電子メール アドレス(Default Email Address)] グローバル設定を上書きします。

SMTP API 宛先アドレス(SMTP API destination address)

(オプション)

Clickatell SMTP API などの、特定のアカウント受信者アドレスを必要とする SMTP SMS API を使用する場合は、SMTP API 宛先アドレスを入力します。

これは、電子メールの送信先アドレスとして使用され、メッセージ本文のテンプレートはゲスト アカウントの携帯電話の番号に置き換えられます。

SMTP API 本文テンプレート(SMTP API body template)

(オプション)

Clicketell SMTP API など、SMS の送信に特定の電子メール本文テンプレートを必要とする SMTP SMS API を使用する場合は、SMTP API 本文テンプレートを入力します。

サポートされる動的置換は $mobilenumber$ および $message$ です。

これらの設定へのナビゲーション パスは、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] です。

HTTP API(GET 方式または POST 方式)でゲストとスポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。



表 24 SMS HTTP API 用の SMS ゲートウェイ設定(SMS Gateway Settings for SMS HTTP API)
フィールド 使用上のガイドライン

URL

API の URL を入力します。

このフィールドは、符号化された URL ではありません。 ゲスト アカウントの携帯電話の番号は、URL に置き換えられます。 サポートされる動的置換は $mobilenumber$ および $message$ です。

HTTP API で HTTPS を使用した場合、HTTPS を URL 文字列に含め、Cisco ISE にプロバイダーの信頼できる証明書をアップロードします。 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

データ(URL エンコード部分)(Data (Url encoded portion))

GET 要求または POST 要求のデータ(URL エンコード部分)を入力します。

このフィールドは、符号化された URL です。 デフォルトの GET 方式を使用している場合、データが上で指定した URL に付加されます。

データ部分に HTTP POST 方式を使用(Use HTTP POST method for data portion)

POST 方式を使用する場合は、このオプションをオンにします。

上で指定したデータは、POST 要求の内容として使用されます。

HTTP POST データ コンテンツ タイプ(HTTP POST data content type)

POST 方式を使用する場合は、「plain/text」や「application/xml」などのコンテンツ タイプを指定します。

HTTPS ユーザ名(HTTPS Username)

HTTPS パスワード(HTTPS Password)

HTTPS ホスト名(HTTPS Host name)

HTTPS ポート番号(HTTPS Port number)

この情報を入力します。

ID の管理

これらのページは、Cisco ISE の ID を設定し、管理することができます。

エンドポイント

これらのページでは、ネットワークに接続するエンドポイントを設定および管理することができます。

エンドポイント設定

次の表に、エンドポイントを作成し、エンドポイントにポリシーを割り当てるために使用できる [エンドポイント(Endpoints)] ページのフィールドを示します。 このページへのナビゲーションパスは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

表 25 エンドポイント設定

フィールド

使用上のガイドライン

MAC アドレス(MAC Address)

エンドポイントを静的に作成するには、MAC アドレスを 16 進数形式で入力します。

MAC アドレスは、Cisco ISE 対応のネットワークに接続するインターフェイスのデバイス ID です。

スタティック割り当て(Static Assignment)

[エンドポイント(Endpoints)] ページでエンドポイントを静的に作成する場合このチェックボックスをオンにすると、静的割り当てのステータスが static に設定されます。

エンドポイントのスタティック割り当てのステータスを静的から動的に、または動的から静的に切り替えできます。

ポリシー割り当て(Policy Assignment)

(スタティック割り当てが選択されていない限り、デフォルトで無効)[ポリシー割り当て(Policy Assignment)] ドロップダウン リストから一致するエンドポイント ポリシーを選択します。

次のいずれかを実行できます。

  • 一致するエンドポイント ポリシーを選択しないで、デフォルトのエンドポイント ポリシーである不明を使用する場合、スタティック割り当てステータスはエンドポイントに対して動的に設定され、それにより、エンドポイントの動的プロファイリングが可能になります。

  • 不明ではなく、一致するエンドポイント ポリシーを選択する場合、スタティック割り当てステータスはそのエンドポイントに対して静的に設定され、[スタティック割り当て(Static Assignment)] チェックボックスが自動的にオンにされます。

スタティック グループ割り当て(Static Group Assignment)

([スタティック グループ割り当て(Static Group Assignment)] が選択されていない限り、デフォルトで無効)エンドポイントを ID グループに静的に割り当てる場合、このチェックボックスをオンにします。

このチェックボックスをオンにした場合、プロファイリング サービスは、前に他のエンドポイント ID グループに動的に割り当てられたエンドポイントの次のエンドポイント ポリシーの評価時に、そのエンドポイント ID グループを変更しません。

このチェックボックスをオフにした場合、エンドポイント ID グループは、ポリシー設定に基づいて ISE プロファイラにより割り当てられたダイナミック グループです。 [スタティック グループ割り当て(Static Group Assignment)] オプションを選択しない場合、エンドポイントは、エンドポイント ポリシーの次回評価時に一致する ID グループに自動的に割り当てられます。

ID グループ割り当て(Identity Group Assignment)

エンドポイントを割り当てるエンドポイント ID グループを選択します。

エンドポイントを静的に作成する場合、またはエンドポイントのエンドポイント ポリシーの評価時に [一致する ID グループの作成(Create Matching Identity Group)] オプションを使用しない場合は、エンドポイントを ID グループに割り当てることができます。

Cisco ISE には、次のシステムによって作成された次のエンドポイント ID グループがあります。

  • ブラックリスト

  • GuestEndpoints

  • プロファイル済み

    • Cisco IP-Phone

    • ワークステーション

  • RegisteredDevices

  • 不明

エンドポイントの、LDAP からのインポートの設定

次の表では、LDAP サーバからのエンドポイントのインポートに使用できる [LDAP からのインポート(Import from LDAP)] ページのフィールドについて説明します。 このページのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

表 26 エンドポイントの、LDAP からのインポートの設定

フィールド

使用上のガイドライン

接続の設定

ホスト(Host)

LDAP サーバのホスト名または IP アドレスを入力します。

ポート(Port)

LDAP サーバのポート番号を入力します。 デフォルト ポート 389 を使用して LDAP サーバからインポートするか、デフォルト ポート 636 を使用して SSL を介して LDAP サーバからインポートできます。

(注)     

Cisco ISE では、任意の設定済みポート番号をサポートします。 設定済みの値は、LDAP サーバ接続詳細に一致する必要があります。

セキュア接続を有効にする(Enable Secure Connection)

SSL を介して LDAP サーバからインポートするには、[セキュア接続を有効にする(Enable Secure Connection)] チェックボックスをオンにします。

ルート CA 証明書名(Root CA Certificate Name)

ドロップダウン矢印をクリックして、信頼できる CA 証明書を表示します。

ルート CA 証明書名は、LDAP サーバに接続する場合に必要となる信頼できる CA 証明書を指します。 Cisco ISE 内の CA 証明書は、追加(インポート)、編集、削除、およびエクスポートが可能です。

匿名バインド(Anonymous Bind)

匿名バインドを有効にするには、[匿名バインド(Anonymous Bind)] チェックボックスをオンにします。

[匿名バインド(Anonymous Bind)] チェックボックスをオンにするか、または slapd.conf コンフィギュレーション ファイルの LDAP 管理者クレデンシャルを入力する必要があります。

管理者 DN(Admin DN)

slapd.conf コンフィギュレーション ファイルで LDAP 管理者に設定されている識別名(DN)を入力します。

管理者 DN フォーマット例:cn=Admin, dc=cisco.com, dc=com

パスワード(Password)

slapd.conf コンフィギュレーション ファイルで LDAP 管理者に設定されているパスワードを入力します。

ベース DN(Base DN)

親エントリの識別名を入力します。

ベース DN フォーマット例:dc=cisco.com, dc=com

クエリー設定(Query Settings)

MAC アドレス objectClass(MAC Address objectClass)

MAC アドレスのインポートに使用するクエリー フィルタを入力します。 たとえば、ieee802Device です。

MAC アドレス属性名(MAC Address Attribute Name)

インポートに対して返される属性名を入力します。 たとえば、macAddress です。

プロファイル属性名(Profile Attribute Name)

LDAP 属性の名前を入力します。 この属性は、LDAP サーバで定義されている各エンドポイント エントリのポリシー名を保持します。

[プロファイル属性名(Profile Attribute Name)] フィールドを設定する場合は、次の点を考慮してください。

  • [プロファイル属性名(Profile Attribute Name)] フィールドでこの LDAP 属性を指定しない場合、またはこの属性を誤って設定した場合、インポート操作時にエンドポイントは「不明」としてマークされ、これらのエンドポイントは一致するエンドポイント プロファイリング ポリシーに個別にプロファイリングされます。

  • [プロファイル属性名(Profile Attribute Name)] フィールドで LDAP 属性を設定した場合、その属性値は、エンドポイント ポリシーが Cisco ISE 内の既存のポリシーに一致することを確認するために検証され、エンドポイントがインポートされます。 エンドポイント ポリシーが既存のポリシーと一致しない場合、それらのエンドポイントはインポートされません。

タイムアウト(秒)(Time Out [seconds])

時間を秒単位(1 ~ 60 秒)で入力します。

グループ

これらのページでは、エンドポイント ID グループを設定および管理することができます。

エンドポイント ID グループの設定

次の表に、エンドポイント グループを作成するために使用できる [エンドポイント ID グループ(Endpoint Identity Groups)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] です。

表 27 エンドポイント ID グループの設定

フィールド

使用上のガイドライン

名前(Name)

作成するエンドポイント ID グループの名前を入力します。

説明(Description)

作成するエンドポイント ID グループの説明を入力します。

親グループ(Parent Group)

新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを、[親グループ(Parent Group)] ドロップダウン リストから選択します。

Cisco ISE には、次の 5 つのエンドポイント ID グループがあります。

  • ブラックリスト

  • GuestEndpoints

  • プロファイル済み

  • RegisteredDevices

  • 不明

さらに、プロファイル済み(親)ID グループに関連付けられている追加の 2 つの ID グループである Cisco-IP-Phone およびワークステーションを作成します。

外部 ID ソース

これらのページでは、Cisco ISE が認証および認可に使用するユーザ データが含まれる外部 ID ソースを設定および管理することができます。

LDAP ID ソースの設定

次の表では、[LDAP ID ソース(LDAP Identity Sources)] ページのフィールドについて説明します。これらのフィールドを使用して LDAP インスタンスを作成し、これに接続します。 このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] です。

LDAP 一般設定

以下の表では、[一般(General)] タブのフィールドについて説明します。

表 28 LDAP 一般設定

フィールド

使用上のガイドライン

名前(Name)

LDAP インスタンスの名前を入力します。 この値は、サブジェクト DN および属性を取得するために検索で使用されます。 この値は string 型で、最大長は 64 文字です。

説明(Description)

LDAP インスタンスの説明を入力します。 この値は string 型で、最大長は 1024 文字です。

スキーマ(Schema)

次のいずれかの組み込みスキーマ タイプを選択します。スキーマの詳細は事前に入力済みであり、非表示になっています。

  • Active Directory

  • Sun Directory Server

  • Novell eDirectory

    (注)     

    事前定義されたスキーマの詳細を編集できますが、Cisco ISE は変更を検出し、カスタム スキーマを作成します。 [スキーマ(Schema)] の隣の矢印をクリックすると、スキーマの詳細を表示できます。

(注)     

次のフィールドには、カスタム スキーマを選択した場合だけ表示されるスキーマの詳細が含まれます。

サブジェクト オブジェクト クラス(Subject Objectclass)

サブジェクト DN および属性を取得するために検索で使用する値を入力します。 この値は string 型で、最大長は 256 文字です。

サブジェクト名属性(Subject Name Attribute)

要求内のユーザ名を含む属性の名前を入力します。 この値は string 型で、最大長は 256 文字です。

証明書属性(Certificate Attribute)

証明書定義を含む属性を入力します。 証明書ベースの認証の場合、クライアントによって提示された証明書を検証するために、これらの定義が使用されます。

グループ オブジェクト クラス(Group Objectclass)

グループとして認識されるオブジェクトを指定するために、検索に使用する値を入力します。 この値は string 型で、最大長は 256 文字です。

グループ マップ属性(Group Map Attribute)

マッピング情報を含む属性を指定します。 この属性は、選択した参照方向に基づいて、ユーザまたはグループ属性を指定できます。

サブジェクト オブジェクトにグループへの参照が含まれる(Subject Objects Contain Reference To Groups)

所属するグループを指定する属性がサブジェクト オブジェクトに含まれている場合は、このオプション ボタンをクリックします。

グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)

サブジェクトを指定する属性がグループ オブジェクトに含まれている場合は、このオプション ボタンをクリックします。 この値はデフォルト値です。

グループ内のサブジェクトをメンバー属性に保存(Subjects In Groups Are Stored In Member Attribute As)

([グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)] オプション ボタンの選択時に限り使用可能)グループ メンバー属性にメンバーが供給される方法を指定します(デフォルトは DN)。

LDAP の接続設定

以下の表では、[接続設定(Connection Settings)] タブのフィールドについて説明します。

表 29 LDAP の接続設定

フィールド

使用上のガイドライン

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリ LDAP サーバに障害が発生した場合にバックアップとして使用するセカンダリ LDAP サーバを有効にする場合は、このオプションをオンにします。 このチェックボックスをオンにする場合は、セカンダリ LDAP サーバの設定パラメータを入力する必要があります。

プライマリ サーバとセカンダリ サーバ(Primary and Secondary Servers)

ホスト名/IP(Hostname/IP)

LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。 ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。 ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。

ポート(Port)

LDAP サーバがリッスンしている TCP/IP ポート番号を入力します。 有効な値は 1 ~ 65,535 です。 デフォルトは、LDAP 仕様の記述に従って 389 です。 ポート番号が不明な場合は、LDAP サーバの管理者からポート番号を取得できます。

アクセス(Access)

[匿名アクセス(Anonymous Access)]:LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。 サーバではクライアントが区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへの、クライアント読み取りアクセスが許可されます。 認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。

[認証されたアクセス(Authenticated Access)]:LDAP ディレクトリの検索が管理クレデンシャルによって行われるようにする場合にクリックします。 その場合、[管理者 DN(Admin DN)] および [パスワード(Password)] フィールドの情報を入力します。

管理者 DN(Admin DN)

管理者の DN を入力します。 管理者 DN は、[ユーザ ディレクトリ サブツリー(User Directory Subtree)] 下のすべての必要なユーザの検索およびグループの検索を行う権限を持つ LDAP アカウントです。 指定した管理者に対して、検索でのグループ名属性の表示が許可されていない場合、該当 LDAP サーバで認証されたユーザのグループ マッピングは失敗します。

パスワード(Password)

LDAP 管理者アカウントのパスワードを入力します。

セキュアな認証(Secure Authentication)

SSL を使用して Cisco ISE とプライマリ LDAP サーバ間の通信を暗号化する場合にクリックします。 [ポート(Port)] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。 このオプションを有効にした場合は、ルート CA を選択する必要があります。

ルート CA(Root CA)

ドロップダウン リスト ボックスから信頼できるルート認証局を選択して、証明書によるセキュアな認証を有効にします。

サーバ タイムアウト(Server timeout)

プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に Cisco ISE がプライマリ LDAP サーバからの応答を待つ秒数を入力します。 有効な値は 1 ~ 300 です。 デフォルトは 10 です。

最大 管理接続数(Admin Connections)

特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。 これらの接続は、ユーザ ディレクトリ サブツリーおよびグループ ディレクトリ サブツリーの下にあるユーザおよびグループのディレクトリの検索に使用されます。 有効な値は 1 ~ 99 です。 デフォルト値は 20 です。

サーバへのバインドをテスト(Test Bind To Server)

LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテストおよび確認する場合にクリックします。 テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。

LDAP のディレクトリ構成の設定

次の表では、[ディレクトリ構成(Directory Organization)] タブのフィールドについて説明します。

表 30 LDAP のディレクトリ構成の設定

フィールド

使用上のガイドライン

サブジェクト検索ベース(Subject Search Base)

すべてのサブジェクトを含むサブツリーの DN を入力します。 次に例を示します。

o=corporation.com

サブジェクトを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。 詳細については、LDAP データベースに関するドキュメントを参照してください。

グループ検索ベース(Group Search Base)

すべてのグループを含むサブツリーの DN を入力します。 次に例を示します。

ou = 組織ユニット、ou = 次の組織ユニット、o = corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。 詳細については、LDAP データベースに関するドキュメントを参照してください。

形式での MAC アドレスの検索(Search for MAC Address in Format)

LDAP データベースでの検索に使用する、Cisco ISE の MAC アドレス形式を入力します。 内部 ID ソースの MAC アドレスは、xx-xx-xx-xx-xx-xx の形式で供給されます。 LDAP データベースの MAC アドレスは、異なる形式で供給できます。 ただし、Cisco ISE でホスト ルックアップ要求が受信されると、MAC アドレスは内部形式からこのフィールドで指定した形式に変換されます。

ドロップダウン リストを使用して、特定の形式での MAC アドレスの検索を有効にします。<format> は次のいずれかです。

  • xxxx.xxxx.xxxx

  • xxxxxxxxxxxx

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

選択する形式は、LDAP サーバに供給されている MAC アドレスの形式と一致している必要があります。

サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip start of subject name up to the last occurrence of the separator)

ユーザ名からドメイン プレフィクスを削除するための適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。 ユーザ名に、<start_string> ボックスに指定した文字が複数含まれている場合は、Cisco ISE によって最後の区切り文字までの文字が削除されます。 たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\user1 である場合、Cisco ISE によって user1 が LDAP サーバに送信されます。

(注)     

<start_string> ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。 Cisco ISE では、ユーザ名にこれらの文字を使用できません。

最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip end of subject name from the first occurrence of the separator)

ユーザ名からドメイン サフィックスを削除するための適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。 ユーザ名に、このフィールドに指定した文字が複数含まれている場合は、Cisco ISE によって最初の区切り文字から文字が削除されます。 たとえば、区切り文字が@で、ユーザ名が user1@domain であれば、Cisco ISE は user1 を LDAP サーバに送信します。

(注)     

<end_string> ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。 Cisco ISE では、ユーザ名にこれらの文字を使用できません。

RADIUS トークン ID ソースの設定

次の表では、RADIUS 外部 ID ソースを設定し、それに接続するために使用できる [RADIUS トークン ID ソース(RADIUS Token Identity Sources)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RADIUS トークン(RADIUS Token)] です。
表 31 RADIUS トークン ID ソースの設定
フィールド 使用上のガイドライン

名前(Name)

RADIUS トークン サーバの名前を入力します。 許容最大文字数は 64 文字です。

説明(Description)

RADIUS トークン サーバの説明を入力します。 最大文字数は 1024 です。

SafeWord サーバ(SafeWord Server)

RADIUS ID ソースが SafeWord サーバである場合はこのチェックボックスをオンにします。

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリに障害が発生した場合にバックアップとして使用する Cisco ISE のセカンダリ RADIUS トークン サーバを有効にするには、このチェックボックスをオンにします。 このチェックボックスをオンにする場合は、セカンダリ RADIUS トークン サーバを設定する必要があります。

常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)

Cisco ISE が常にプライマリ サーバに最初にアクセスするには、このオプション ボタンをクリックします。

経過後にプライマリ サーバにフォールバック(Fallback to Primary Server after)

プライマリ サーバに到達できない場合に Cisco ISE がセカンダリ RADIUS トークン サーバを使用して認証できる時間(分単位)を指定するには、このオプション ボタンをクリックします。 この時間を過ぎると、Cisco ISE はプライマリ サーバに対する認証を再試行します。

プライマリ サーバ(Primary Server)

ホスト名/アドレス(Host IP)

プライマリ RADIUS トークン サーバの IP アドレスを入力します。 このフィールドには、文字列として表される有効な IP アドレスを入力できます。 このフィールドで使用できる文字は、数字とドット(.)です。

共有秘密鍵(Shared Secret)

この接続のプライマリ RADIUS トークン サーバで設定されている共有秘密鍵を入力します。

認証ポート(Authentication Port)

プライマリ RADIUS トークン サーバがリッスンしているポート番号を入力します。 有効な値は 1 ~ 65,535 です。 デフォルトは 1812 です。

サーバ タイムアウト(Server Timeout)

プライマリ サーバがダウンしていると判断する前に Cisco ISE がプライマリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。 有効な値は 1 ~ 300 です。 デフォルトは 5 です。

接続試行回数(Connection Attempts)

セカンダリ サーバ(定義されている場合)に移動する前、またはセカンダリ サーバが定義されていない場合は要求をドロップする前に、Cisco ISE がプライマリ サーバへの再接続を試行する回数を指定します。 有効な値は 1 ~ 9 です。 デフォルトは 3 です。

セカンダリ サーバ(Secondary Server)

ホスト名/アドレス(Host IP)

セカンダリ RADIUS トークン サーバの IP アドレスを入力します。 このフィールドには、文字列として表される有効な IP アドレスを入力できます。 このフィールドで使用できる文字は、数字とドット(.)です。

共有秘密鍵(Shared Secret)

この接続のセカンダリ RADIUS トークン サーバで設定されている共有秘密鍵を入力します。

認証ポート(Authentication Port)

セカンダリ RADIUS トークン サーバがリッスンしているポート番号を入力します。 有効な値は 1 ~ 65,535 です。 デフォルトは 1812 です。

サーバ タイムアウト(Server Timeout)

セカンダリ サーバがダウンしていると判断する前に Cisco ISE がセカンダリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。 有効な値は 1 ~ 300 です。 デフォルトは 5 です。

接続試行回数(Connection Attempts)

要求をドロップする前に Cisco ISE がセカンダリ サーバへの再接続を試行する回数を指定します。 有効な値は 1 ~ 9 です。 デフォルトは 3 です。

RSA SecurID ID ソースの設定

次の表では、RSA SecurID ID ソースを作成し、それに接続するために使用できる [RSA SecurID ID ソース(RSA SecurID Identity Sources)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] です。
RSA プロンプトの設定

次の表では、[RSA プロンプト(RSA Prompts)] タブ内のフィールドについて説明します。

表 32 RSA プロンプトの設定

フィールド

使用上のガイドライン

パスコード プロンプトの入力(Enter Passcode Prompt)

パス コードを取得するテキスト文字列を入力します。

次のトークン コードの入力(Enter Next Token Code)

次のトークンを要求するテキスト文字列を入力します。

PIN タイプの選択(Choose PIN Type)

PIN タイプを要求するテキスト文字列を入力します。

システム PIN の受け入れ(Accept System PIN)

システム生成の PIN を受け付けるテキスト文字列を入力します。

英数字 PIN の入力(Enter Alphanumeric PIN)

英数字 PIN を要求するテキスト文字列を入力します。

数値 PIN の入力(Enter Numeric PIN)

数値 PIN を要求するテキスト文字列を入力します。

PIN の再入力(Re-enter PIN)

ユーザに PIN の再入力を要求するテキスト文字列を入力します。

RSA メッセージ設定(RSA Message Settings)

次の表では、[RSA メッセージ(RSA Messages)] タブ内のフィールドについて説明します。

表 33 RSA メッセージ設定(RSA Messages Settings)

フィールド

使用上のガイドライン

システム PIN メッセージの表示(Display System PIN Message)

システム PIN メッセージのラベルにするテキスト文字列を入力します。

システム PIN 通知の表示(Display System PIN Reminder)

ユーザに新しい PIN を覚えるように通知するテキスト文字列を入力します。

数字を入力する必要があるエラー(Must Enter Numeric Error)

PIN には数字のみを入力するようにユーザに指示するメッセージを入力します。

英数字を入力する必要があるエラー(Must Enter Alpha Error)

PIN には英数字のみを入力するようにユーザに指示するメッセージを入力します。

PIN 受け入れメッセージ(PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

PIN 拒否メッセージ(PIN Rejected Message)

ユーザの PIN がシステムによって拒否されたときに表示されるメッセージを入力します。

ユーザの PIN が異なるエラー(User Pins Differ Error)

ユーザが不正な PIN を入力したときに表示されるメッセージを入力します。

システム PIN 受け入れメッセージ(System PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

不正パスワード長エラー(Bad Password Length Error)

ユーザが指定した PIN が、PIN 長ポリシーで指定されている範囲に収まらない場合に表示されるメッセージを入力します。

ID の管理の設定

ユーザ パスワード ポリシーの設定

次の表では、ユーザ パスワードの基準を定義するために使用できる [ユーザ パスワード ポリシー(User Password Policy)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [パスワード ポリシー(Password Policy)] です。

表 34 ユーザ パスワード ポリシーの設定

オプション

説明

最小長(Minimum Length)

パスワードの最小長を設定します(文字単位)。

ユーザ名(Username)

ユーザ名またはその文字の逆順での使用を制限します。

Cisco

「cisco」またはその文字の逆の順序での使用を制限します。

特殊文字(Special characters)

定義した特殊文字の逆の順序での使用を制限します。

文字の繰り返し(Repeated characters)

同じ文字を 4 回以上連続して繰り返すことを制限します。

必須の文字(Required characters)

パスワードに、次のタイプがそれぞれ少なくとも 1 つは含まれている必要があります。

  • 小文字の英文字(Lowercase alphabetic characters)

  • 大文字の英文字(Uppercase alphabetic characters)

  • 数字(Numeric characters)

  • 英数字以外の文字(Non-alphanumeric characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されるのを防ぐために、パスワードと異なっている必要がある前のバージョンの数を入力します。

また、以前のパスワードと異なる必要がある文字数を入力できます。

ユーザがパスワードを再使用できない日数を入力します。

パスワード ライフタイム(Password Lifetime)

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

  • パスワードが変更されなかった場合にユーザ アカウントを無効にするまでの時間(日数)(Time (in days) before the user account is disabled if the password is not changed)

  • ユーザ アカウントが無効になるまでのリマインダ(日数)(Reminder (in days) before the user account is disabled)

ログイン試行の不正なアカウントをロックまたは一時停止する(Lock or Suspend Account with Incorrect Login Attempts)

Cisco ISE が、管理者を Cisco ISE からロックアウトし、アカウント クレデンシャルを一時停止または無効にするまでに、誤った管理者パスワードを記録する回数を指定します。

アカウントがロックされる管理者に電子メールが送信されます。 カスタム電子メール修復メッセージを入力することができます。

ネットワーク リソース

ネットワーク デバイス

これらのページを使用すると、ネットワーク デバイスを追加し、管理することができます。

ネットワーク デバイス定義の設定

次の表では、Cisco ISE のネットワーク アクセス デバイスを設定するために使用できる [ネットワーク デバイス(Network Devices)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

ネットワーク デバイスの設定

次の表に、[ネットワーク デバイス(Network Device)] セクションのフィールドを示します。

表 35 ネットワーク デバイスの設定

フィールド

説明

名前(Name)

ネットワーク デバイスの名前を入力します。

ネットワーク デバイスに、デバイスのホスト名とは異なるわかりやすい名前を指定できます。 デバイス名は論理識別子です。

(注)     

一度設定したデバイスの名前は編集できません。

説明(Description)

デバイスの説明を入力します。

IP アドレス/マスク(IP Address/Mask)

1 つの IP アドレスおよびサブネット マスクを入力します。

IP アドレスとサブネット マスクを定義するときに従う必要があるガイドラインを次に示します。

  • 特定の IP アドレスを定義するか、サブネット マスクを使用して範囲を定義できます。 デバイス A の IP アドレス範囲が定義されている場合、デバイス A に定義されている範囲の個別のアドレスを別のデバイス B に設定できます。

  • 同じ IP アドレスを持つ 2 台のデバイスを定義することはできません。

  • 同じ IP 範囲を持つ 2 台のデバイスを定義することはできません。 IP 範囲は、一部または全部がオーバーラップすることはできません。

モデル名(Model Name)

ドロップダウン リストをクリックして、Cisco Catalyst 6K、Cisco Nexus 7K などのデバイス モデルを選択します。

モデル名は、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。 この属性は、デバイス ディクショナリにあります。

ソフトウェア バージョン(Software Version)

ドロップダウン リストをクリックして、ネットワーク デバイス上で実行されているソフトウェアのバージョン(Cisco IOS Release 12.3、12.3(2)など)を選択します。

ソフトウェア バージョンは、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。 この属性は、デバイス ディクショナリにあります。

ネットワーク デバイス グループ(Network Device Group)

[ロケーション(Location)] および [デバイス タイプ(Device Type)] ドロップダウン リストをクリックし、ネットワーク デバイスに関連付けることができるロケーションとデバイス タイプを選択します。

グループを設定するときに、明確にデバイスをグループに割り当てないと、そのデバイスはデフォルトのデバイス グループ(ルート NDG)に含まれます。これにより、ロケーションはすべてのロケーション、デバイス タイプはすべてのデバイス タイプとなり、デフォルトのデバイス グループ(ルート NDG)が割り当てられます。 たとえば、すべてのロケーションとすべてのデバイス グループなどです。

RADIUS 認証設定

次の表では、[RADIUS 認証設定(RADIUS Authentication Settings)] セクションのフィールドについて説明します。

表 36 RADIUS 認証設定

フィールド

使用上のガイドライン

プロトコル(Protocol)

選択したプロトコルとして RADIUS を表示します。

共有秘密鍵(Shared Secret)

共有秘密鍵を入力します。長さは、最大 128 文字です。

共有秘密鍵は、pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。

KeyWrap の有効化(Enable KeyWrap)

ネットワーク デバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。

(注)     

FIPS モードで Cisco ISE を実行する場合は、ネットワーク デバイス上で KeyWrap を有効にする必要があります。

キー暗号キー(Key Encryption Key)

(KeyWrap を有効にしている場合だけ表示されます)セッション暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

(KeyWrap を有効にしている場合だけ表示されます)RADIUS メッセージのキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次の形式のいずれか 1 つを選択します。

  • [ASCII]:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号キーの長さは 32 バイトであり、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります (指定する値はキーの正しい(全体の)長さにする必要があり、それよりも短い値は許可されません)。

SNMP 設定

次の表では、[SNMP 設定(SNMP Settings)] セクションのフィールドについて説明します。

表 37 SNMP 設定

フィールド

使用上のガイドライン

SNMP バージョン(SNMP Version)

[バージョン(Version)] ドロップダウン リストから要求に使用される SNMP のバージョンを選択します。

次のバージョンがあります。

  • 1:SNMPv1 は informs をサポートしていません。

  • 2c

  • 3:SNMPv3 は、[Priv] セキュリティ レベルを選択した場合にパケット暗号化が可能であるため、最もセキュアなモデルです。

    (注)     

    ネットワーク デバイスに SNMPv3 パラメータを設定した場合、モニタリング サービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワーク デバイス(Network Device)] > [セッション ステータス概要(Session Status Summary)])によって提供されるネットワーク デバイス セッション ステータス概要レポートを生成できません。 ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。

SNMP RO コミュニティ(SNMP RO Community)

(SNMP バージョン 1 および 2c で選択された場合のみ)Cisco ISE にデバイスへの特定タイプのアクセスを提供する読み取り専用コミュニティ ストリングを入力します。

SNMP ユーザ名(SNMP Username)

(SNMP バージョン 3 の場合のみ)SNMP ユーザ名を入力します。

セキュリティ レベル(Security Level)

(SNMP バージョン 3 の場合のみ)次からセキュリティ レベルを選択します。

  • [Auth]:Message Digest 5 またはセキュア ハッシュ アルゴリズム(SHA)パケット認証をイネーブルにします

  • [No Auth]:認証なし、プライバシーなしのセキュリティ レベルです

  • [Priv]:データ暗号規格(DES)パケットの暗号化をイネーブルにします

認証プロトコル(Auth Protocol)

(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)ネットワーク デバイスで使用する認証プロトコルを選択します。

認証プロトコルには、Auth および Priv のセキュリティ レベルに対して次のいずれかが含まれます。

  • MD5

  • SHA

認証パスワード(Auth Password)

(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)認証キーを入力します。このキーは 8 文字以上の長さにする必要があります。

デバイスにすでに設定されている認証パスワードを表示するには、[表示(Show)] をクリックします。

プライバシー プロトコル(Privacy Protocol)

(SNMP バージョン 3 でセキュリティ レベル Priv を選択した場合のみ)ネットワーク デバイスで使用するプライバシー プロトコルを選択します。

プライバシー プロトコルは次のいずれかです。

  • DES

  • AES128

  • AES192

  • AES256

  • 3DES

プライバシー パスワード(Privacy Password)

(SNMP バージョン 3 でセキュリティ レベル Priv を選択した場合のみ)プライバシー キーを入力します。

デバイスにすでに設定されているプライバシー パスワードを表示するには、[表示(Show)] をクリックします。

ポーリング間隔(Polling Interval)

ポーリング間隔を秒単位で入力します。 デフォルトは 3600 秒です。

リンク トラップ クエリー(Link Trap Query)

SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。

MAC トラップ クエリー(MAC Trap Query)

SNMP トラップを介して受信する MAC 通知を受信して解釈するには、このチェックボックスをオンにします。

送信元ポリシー サービス ノード(Originating Policy Service Node)

SNMP データのポーリングに使用される ISE サーバを示します。 デフォルトでは自動ですが、別の値を割り当てて設定を上書きできます。

高度な TrustSec 設定

次の表では、[高度な TrustSec 設定(Advanced TrustSec Settings)] セクションのフィールドについて説明します。

表 38 高度な TrustSec 設定

フィールド

使用上のガイドライン

TrustSec デバイスの通知および更新の設定

TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)

デバイス名をデバイス ID として [デバイス ID(Device ID)] フィールドにリストする場合は、このチェックボックスをオンにします。

このチェックボックスをオンにした場合、デバイス名が [デバイス ID(Device Id)] フィールドに表示されます。 また、このデバイス ID は、任意の説明的な名前に変更できます。

デバイス ID(Device Id)

([TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)] チェックボックスがオフの場合のみ)。 このフィールドに入力されたデバイス名を論理識別子として使用できます。

パスワード(Password)

TrustSec デバイスを認証するためのパスワードを入力します(TrustSec デバイスのコマンドライン インターフェイス(CLI)で設定したパスワードと同じ)。

TrustSec デバイスの認証に使用されるパスワードを表示するには、[表示(Show)] をクリックします。

環境データのダウンロード間隔(Download Environment Data Every)

Cisco ISE から TrustSec デバイス環境情報をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できるようにする有効期限を指定します。

たとえば、秒単位で 60 を入力すると、デバイスは Cisco ISE から環境データを毎分ダウンロードします。 デフォルト値は 86,400 秒または 1 日です。 有効な範囲は 1 ~ 24850 です。

ピア許可ポリシーのダウンロード間隔(Download Peer Authorization Policy Every)

Cisco ISE からピア許可ポリシーをダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できる有効期限を指定します。

たとえば、60 秒を入力すると、デバイスは 1 分ごとに Cisco ISE からそのピア許可ポリシーをダウンロードします。 デフォルト値は 86,400 秒または 1 日です。 有効な範囲は 1 ~ 24850 です。

再認証間隔(Reauthentication Every)

再認証の秒、分、時間、週、または日単位の時間間隔を設定できる 802.1X 再認証期間を指定します。

TrustSec ソリューションを使用して設定されたネットワークでは、TrustSec デバイスは初期認証後に Cisco ISE に対して自分自身の再認証を行います。

たとえば、1000 秒を入力すると、デバイスは 1000 秒ごとに Cisco ISE に対して自身を認証します。 デフォルト値は 86,400 秒または 1 日です。 有効な範囲は 1 ~ 24850 です。

SGACL リストのダウンロード間隔(Download SGACL Lists Every)

Cisco ISE から SGACL をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できる有効期間を指定します。

たとえば、3600 秒を入力すると、ネットワーク デバイスは 3600 秒ごとに Cisco ISE から SGACL のリストを取得します。 デフォルト値は 86,400 秒または 1 日です。 有効な範囲は 1 ~ 24850 です。

その他の TrustSec デバイスでこのデバイスを信頼する(信頼できる TrustSec)(Other TrustSec Devices to Trust This Device (TrustSec Trusted))

すべてのピア デバイスでこの TrustSec デバイスを信頼する場合は、このチェックボックスをオンにします。 このチェックボックスをオフにした場合、ピア デバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けされるかまたはタグ付けされます。

TrustSec 設定の変更についてこのデバイスに通知する(Notify this device about TrustSec configuration changes)

Cisco ISE でこの TrustSec デバイスに TrustSec CoA 通知を送信する場合は、このチェックボックスをオンにします。

デバイス設定の展開設定

セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates)

この TrustSec デバイスで、デバイス インターフェイス クレデンシャルを使用して IP と SGT とのマッピングを取得する場合は、このチェックボックスをオンにします。

EXEC モード ユーザ名(Exec Mode Username)

EXEC モードでデバイス設定を編集する権限を持つユーザ名を入力します。

EXEC モード パスワード(Exec Mode Password)

EXEC モードでデバイス設定を編集する権限を持つユーザのパスワードを入力します。

有効モード パスワード(Enable Mode Password)

設定を編集できるデバイスの EXEC モード パスワードを有効にするためのパスワードを入力します。

このデバイスにすでに設定されている EXEC モード パスワードを表示するには、[表示(Show)] をクリックします。

アウトオブバンド(OOB)TrustSec PAC(Out Of Band (OOB) Trustsec PAC)の表示

発行日(Issue Date)

この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行日を表示します。

期限日(Expiration Date)

この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の有効期限を表示します。

発行元(Issued By)

このデバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行者(TrustSec 管理者)の名前を表示します。

PAC の生成(Generate PAC)

TrustSec Protected Access Credentials(PAC)を作成するには、[PAC の生成(Generate PAC)] をクリックします。

デフォルトでは、アウトオブバンド TrustSec Protected Access Credentials(PAC)情報は空ですが、入力されている場合は無効と表示されます。 TrustSec PAC 情報は、TrustSec 対応デバイスの TrustSec PAC を生成するときに自動的に入力できます。

デフォルトのネットワーク デバイス定義の設定

次の表に、Cisco ISE が RADIUS 認証に使用できる、デフォルトのネットワーク デバイスを設定できるようにする [デフォルトのネットワーク デバイス(Default Network device)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] > [デフォルト デバイス(Default Device)] です。

表 39 デフォルトのネットワーク デバイス定義の設定

フィールド

使用上のガイドライン

デフォルトのネットワーク デバイスのステータス(Default Network Device Status)

デフォルトのネットワーク デバイス定義を有効にするには、[デフォルトのネットワーク デバイスのステータス(Default Network Device Status)] ドロップダウン リストから [有効化(Enable)] を選択します。

プロトコル(Protocol)

選択したプロトコルとして RADIUS を表示します。

共有秘密鍵(Shared Secret)

長さが最大 128 文字の共有秘密を入力します。

共有秘密鍵は、pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。

KeyWrap の有効化(Enable KeyWrap)

ネットワーク デバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。

キー暗号キー(Key Encryption Key)

KeyWrap を有効にしているときに、セッションの暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

KeyWrap を有効にしているときに、RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次の形式のいずれか 1 つを選択します。

  • [ASCII]:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号キーの長さは 32 バイトであり、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

ネットワーク デバイスのインポート設定

次の表では、ネットワーク デバイスの詳細を Cisco ISE にインポートするために使用する [ネットワーク デバイス インポート(Network Device Import)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

表 40 ネットワーク デバイスのインポート設定

フィールド

使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワーク デバイス情報でテンプレートを更新し、それらのネットワーク デバイスを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス情報を含むネットワーク デバイスを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイスをインポート ファイル内のデバイスに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス定義がネットワーク デバイス リポジトリに追加されます。 重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生したときに Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイスをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイスを引き続きインポートします。

ネットワーク デバイス グループ

これらのページを使用すると、ネットワーク デバイス グループを設定し、管理することができます。

ネットワーク デバイス グループの設定

次の表では、ネットワーク デバイス グループを作成するために使用できる [ネットワーク デバイス グループ(Network Device Groups)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

表 41 ネットワーク デバイス グループの設定

フィールド

使用上のガイドライン

名前(Name)

ルート ネットワーク デバイス グループ(NDG)の名前を入力します。 ルート NDG の下の後続のすべての子ネットワーク デバイス グループに対して、新しいネットワーク デバイス グループの名前を入力します。

ネットワーク デバイス グループの完全な名前には最大で 100 文字使用できます。 たとえば、親グループ Global > Asia の下にサブグループ India を作成している場合、作成している NDG の完全な名前は Global#Asia#India になります。この完全な名前は 100 文字を超えないようにしてください。 NDG の完全な名前が 100 文字を超えた場合、NDG の作成は失敗します。

説明(Description)

ルートまたは子のネットワーク デバイス グループの説明を入力します。

タイプ(Type)

ルート ネットワーク デバイス グループのタイプを入力します。

ルート NDG の下の後続のすべての子ネットワーク デバイス グループの場合、タイプは親 NDG から継承されるため、ルート NDG の下にあるすべての子 NDG は同じタイプになります。

この NDG がルート NDG の場合、そのタイプがデバイス ディクショナリで属性として使用できるようになります。 この属性に基づいて条件を定義できます。 NDG の名前は、この属性が取得できる値のいずれかです。

ネットワーク デバイス グループのインポート設定

次の表では、Cisco ISE にネットワーク デバイス グループをインポートするために使用できる [ネットワーク デバイス グループ インポート(Network Device Group Import)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

表 42 ネットワーク デバイス グループのインポート設定

フィールド

使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワーク デバイス グループ情報でテンプレートを更新し、それらのネットワーク デバイス グループを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス グループ情報を含むネットワーク デバイス グループを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイス グループをインポート ファイル内のデバイス グループに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス グループがネットワーク デバイス グループ リポジトリに追加されます。 重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生すると、Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイス グループをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイス グループを引き続きインポートします。

外部 RADIUS サーバの設定

次の表では、[外部 RADIUS サーバ(External RADIUS Server)] ページのフィールドについて説明します。これらのフィールドを使用して、RADIUS サーバを設定できます。 Cisco ISE が RADIUS サーバとして機能するためには、このページで設定する必要があります。 このページのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] です。

表 43 外部 RADIUS サーバの設定

フィールド

使用上のガイドライン

名前(Name)

外部 RADIUS サーバの名前を入力します。

説明(Description)

外部 RADIUS サーバの説明を入力します。

ホスト名/アドレス(Host IP)

外部 RADIUS サーバの IP アドレスを入力します。

共有秘密鍵(Shared Secret)

外部 RADIUS サーバの認証に使用される、Cisco ISE と外部 RADIUS サーバの間の共有秘密を入力します。 共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証されるようにこれらの情報を提示する必要があります。 ユーザが共有秘密情報を提示するまで、接続は拒否されます。 共有秘密情報の長さは、最大 128 文字です。

KeyWrap の有効化(Enable KeyWrap)

このオプションをオンにすると、AES KeyWrap アルゴリズムにより RADIUS プロトコルのセキュリティが強化されます。

キー暗号キー(Key Encryption Key)

([keyWrap を有効にする(Enable keyWrap)] チェックボックスをオンにした場合のみ)セッション暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

([keyWrap を有効にする(Enable keyWrap)] チェックボックスをオンにした場合のみ)RADIUS メッセージ上のキー付き HMAC 計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

Cisco ISE 暗号キーの入力に使用する形式を指定します。これは、WLAN コントローラ上の設定と一致する必要があります。 (指定する値の長さは、次に定義されているキーの最大長と正確に一致している必要があります。これより短い値は許可されません)。

  • [ASCII]:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号キーの長さは 32 バイトであり、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

認証ポート(Authentication Port)

RADIUS 認証のポート番号を入力します。 有効な範囲は 1 ~ 65535 です。 デフォルトは 1812 です。

アカウンティング ポート(Accounting Port)

RADIUS アカウンティングのポート番号を入力します。 有効な範囲は 1 ~ 65535 です。 デフォルトは 1813 です。

サーバ タイムアウト(Server Timeout)

Cisco ISE が外部 RADIUS サーバからの応答を待機する秒数を入力します。 デフォルトは 5 秒です。 有効な値は 5 ~ 120 です。

接続試行回数(Connection Attempts)

Cisco ISE が外部 RADIUS サーバへの接続を試行する回数を入力します。 デフォルトは 3 回に設定されています。 有効な値は 1 ~ 9 です。

RADIUS サーバ順序

次の表では、RADIUS サーバ順序を作成するために使用する [RADIUS サーバ順序(RADIUS Server Sequences)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [RADIUS サーバ順序(RADIUS Server Sequences)] です。

表 44 RADIUS サーバ順序

フィールド

使用上のガイドライン

名前(Name)

RADIUS サーバ順序の名前を入力します。

説明(Description)

任意で説明を入力します。

ホスト名/アドレス(Host IP)

外部 RADIUS サーバの IP アドレスを入力します。

ユーザが選択したサービス タイプ(User Selected Service Type)

[使用可能(Available)] リスト ボックスで、ポリシー サーバとして使用する外部 RADIUS サーバを選択し、選択した外部 RADIUS サーバを [選択済み(Selected)] リスト ボックスに移動します。

リモート アカウンティング(Remote Accounting)

リモート ポリシー サーバでアカウンティングを有効にするには、このチェックボックスをオンにします。

ローカル アカウンティング(Local Accounting)

Cisco ISE でのアカウンティングを有効にするには、このチェックボックスをオンにします。

高度な属性設定(Advanced Attributes Settings)

サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip Start of Subject Name up to the First Occurrence of the Separator)

プレフィクスからユーザ名を取り除くには、このチェックボックスをオンにします。 たとえば、サブジェクト名が acme\userA、区切り文字が \ の場合、ユーザ名は userA になります。

最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip End of Subject Name from the Last Occurrence of the Separator)

サフィックスからユーザ名を取り除くには、このチェックボックスをオンにします。 たとえば、サブジェクト名が userA@abc.com、区切り文字が @ の場合、ユーザ名は userA になります。

  • NetBIOS または User Principle Name(UPN)フォーマットのユーザ名(user@domain.com または /domain/user)からユーザ名を抽出するには、これらのストリップ オプションを有効にする必要があります。RADIUS サーバでユーザを認証するために、ユーザ名だけが RADIUS サーバに渡されるためです。

  • \ および @ の両方のストリップ機能をアクティブ化し、Cisco AnyConnect を使用している場合、Cisco ISE は最初に出現する \ を文字列から正確に取り除くことができません。 ただし、各ストリップ機能は、Cisco AnyConnect を考慮して設計されているため、個別に使用する場合は動作します。

外部 RADIUS サーバへの要求に含まれる属性を変更する(Modify Attributes in the Request to the External RADIUS Server)

認証済みの RADIUS サーバとの間で送受信する属性の操作を Cisco ISE に許可するには、このチェックボックスをオンにします。

次の属性操作が可能です。

  • [追加(Add)]:RADIUS 要求/応答全体に属性を追加します。

  • [更新(Update)]:属性値(固定または静的)を変更します。または属性を別の属性値(動的)で置き換えます。

  • [削除(Remove)]:属性または属性と値のペアを削除します。

  • [すべて削除(RemoveAny)]:存在するすべての属性を削除します。

認証ポリシーに進む(Continue to Authorization Policy)

ID ストア グループおよび属性の取得に基づいて、プロキシ フローを許可ポリシーの実行に誘導して、より詳細な意思決定を行うには、このチェックボックスをオンにします。 このオプションを有効にすると、外部 RADIUS サーバからの応答に含まれる属性が、認証ポリシーの選択に使用されます。 このコンテキストの既存の属性は、AAA サーバの受け入れ応答属性の適切な値で更新されます。

Access-Accept の送信前に属性を変更する(Modify Attributes before send an Access-Accept)

応答をデバイスに返送する直前に属性を変更するには、このチェックボックスをオンにします。

NAC マネージャの設定

次の表では、NAC マネージャを追加するために使用できる [新規 NAC Manager(New NAC Manager)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] です。

表 45 NAC マネージャの設定

フィールド

使用上のガイドライン

名前(Name)

Cisco Access Manager(CAM)の名前を入力します。

ステータス(Status)

CAM への接続を認証する Cisco ISE プロファイラからの REST API 通信を有効にする場合は、[ステータス(Status)] チェックボックスをオンにします。

説明(Description)

CAM の説明を入力します。

IP アドレス(IP Address)

CAM の IP アドレスを入力します。 Cisco ISE で CAM を作成して保存した後、CAM の IP アドレスを編集することはできません。

0.0.0.0 と 255.255.255.255 は、Cisco ISE で CAM の IP アドレスを検証するときに除外され、CAM の [IP アドレス(IP Address)] フィールドで使用できる有効な IP アドレスではないため、使用できません。

(注)     

ハイ アベイラビリティ構成で CAM のペアが共有する仮想サービス IP アドレスを使用できます。 これで、ハイ アベイラビリティ構成で CAM のフェールオーバーをサポートできます。

ユーザ名(Username)

CAM のユーザ インターフェイスにログオンできる CAM 管理者のユーザ名を入力します。

パスワード(Password)

CAM のユーザ インターフェイスにログオンできる CAM 管理者のパスワードを入力します。

デバイス ポータルの管理

デバイス ポータルの設定

デバイス ポータルのグローバル設定

[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [設定(Settings)] を選択します。
BYOD ポータルおよびデバイス ポータルの次の一般設定を設定できます。
  • 従業員がいずれかのポータルを使用して随時登録できるパーソナル デバイスの最大数。

  • BYOD の登録プロセス中に問題が発生した場合に、従業員のデバイスをそのプロセスに再接続するための IP アドレスまたは URL。

これらの一般的な設定値を設定したら、これらの設定は会社に設定したすべて BYOD ポータルおよびデバイス ポータルに適用されます。

デバイス ポータルのポータル ID 設定

これらの設定へのナビゲーションパスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [ブラックリスト ポータル(Blacklist Portal)]/[クライアント プロビジョニング ポータル(Client Provisioning Portals)]/[BYOD ポータル(BYOD Portals)]/[MDM ポータル(MDM Portals)]/[デバイス ポータル(My Device Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの設定およびカスタマイズ(Portals Settings and Customization)] です。

これらの設定を使用して、ポータルを特定し、すべてのポータル ページで使用する言語ファイルを選択します。

フィールド 使用上のガイドライン

ポータル名(Portal Name)

このポータルにアクセスするための一意のポータル名を入力します。 このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイスの持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、およびデバイスの各ポータル)に使用しないでください。

この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストに定義されているポータルの中から簡単に識別するために使用されます。

説明(Description)

これはオプションです。

ポータル テスト URL(Portal test URL)

[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。 ポータルをテストするために使用します。

リンクをクリックすると新しいブラウザ タブが開き、ポリシー サービスがオンになっているポリシー サービス ノード(PSN)によって提供されているこのポータルの URL が表示されます。 ポリシー サービスがオンになっていない場合、PSN は管理者ポータル以外のポータルの Web ページを提供しません。

言語ファイル(Language File)

各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。 ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。 圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。

言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。 1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。

1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。 たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。

ブラックリスト ポータルのポータル設定

この設定のナビゲーションパスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [ブラックリスト ポータル(Blacklist Portal)] > [編集(Edit)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサー、または従業員)に表示される特定のポータル ページではなく、ポータル全体に適用される値を指定したり動作を定義したりします。

フィールド 使用上のガイドライン

HTTPS ポート(HTTPS port)

ブラックリスト ポータルの 8444 に割り当てられているデフォルト ポート値を変更できます。 ポータルが同じイーサネット インターフェイスを使用していない場合、別のポータルにブラックリスト ポータルのポート値を使用できます。

使用可能インターフェイス(Allowed interfaces)

特定のギガビット イーサネット インターフェイスに対してポータル トラフィックをパーティショニングします。 異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。 同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。 これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。 次に例を示します。

  • 有効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

  • 無効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

証明書グループ タグ(Certificate group tag)

ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。

ブラウザのロケールを使用する(Use browser locale)

ユーザのブラウザのロケール設定がポータルの表示言語に使用されることを指定します。 これは、言語ファイルにブラウザのロケールに対応する言語が存在することを想定しています。 そうでない場合は、フォールバック言語がポータルに表示されるテキストに使用されます。

フォールバック言語(Fallback language)

ブラウザのロケールに対応する言語ファイルが存在しない場合に使用する言語を選択します。

常に使用(Always use)

ポータルに使用する表示言語を選択します。 この設定は、ユーザのブラウザのロケール オプションを上書きします。

BYOD デバイス登録と MDM ポータルのポータル設定

この設定のナビゲーションパスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [BYOD ポータルまたは MDM ポータル(BYOD Portals or MDM Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサー、または従業員)に表示される特定のポータル ページではなく、ポータル全体に適用される値を指定したり動作を定義したりします。

フィールド 使用上のガイドライン

HTTPS ポート(HTTPS port)

8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。 この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。 このページを変更する場合、この制限に従うようにポート設定を変更する必要があります。

ゲスト ポータルに非ゲスト ポータル(デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

使用可能インターフェイス(Allowed interfaces)

特定のギガビット イーサネット インターフェイスに対してポータル トラフィックをパーティショニングします。 異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。 同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。 これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。 次に例を示します。

  • 有効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

  • 無効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

証明書グループ タグ(Certificate group tag)

ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。

エンドポイント ID グループ(Endpoint Identity Group)

従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。 Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。 デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。

__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days)

ユーザ デバイスの登録後の日数を変更します。この日数が経過すると、デバイスは Cisco ISE データベースから消去されます。 消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。 変更は、このエンドポイント ID グループ全体に適用されます。

その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。

ブラウザのロケールを使用する(Use browser locale)

ユーザのブラウザのロケール設定がポータルの表示言語に使用されることを指定します。 これは、言語ファイルにブラウザのロケールに対応する言語が存在することを想定しています。 そうでない場合は、フォールバック言語がポータルに表示されるテキストに使用されます。

フォールバック言語(Fallback language)

ブラウザのロケールに対応する言語ファイルが存在しない場合に使用する言語を選択します。

常に使用(Always use)

ポータルに使用する表示言語を選択します。 この設定は、ユーザのブラウザのロケール オプションを上書きします。

BYOD ポータルの BYOD 設定

この設定のナビゲーションパスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [BYOD ポータル(BYOD Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [BYOD 設定(BYOD Settings)] です。

この設定を使用して、パーソナル デバイスを使用する従業員の個人所有デバイスの持ち込み(BYOD)機能を有効にし、企業ネットワークにアクセスできるようにします。

フィールド 使用上のガイドライン

AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link))

会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。

同意が必要(Require acceptance)

ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。 [ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。 ユーザが AUP に同意しない場合、ネットワークにアクセスできません。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。

ユーザが AUP を最後まで読んだことを確認します。 [同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。

登録時にデバイス ID フィールドを表示する(Display Device ID field during registration)

登録プロセス中に、デバイス ID をユーザに表示します。これは、デバイス ID が事前設定されており、BYOD ポータルを使用しているときに変更できない場合も含みます。

元の URL(Originating URL)

ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。 リダイレクトできない場合は、認証成功ページが表示されます。

Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。 そのため、これらのデバイスは元の URL にリダイレクトされません。 ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。

成功ページ(Success page)

デバイスの登録が成功したことを示すページを表示します。

URL

ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。

クライアント プロビジョニング ポータルのポータル設定

これらの設定へのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [クライアント プロビジョニング ポータル(Client Provisioning Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサー、または従業員)に表示される特定のポータル ページではなく、ポータル全体に適用される値を指定したり動作を定義したりします。

フィールド 使用上のガイドライン

HTTPS ポート(HTTPS port)

8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。 この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。 このページを変更する場合、この制限に従うようにポート設定を変更する必要があります。

ゲスト ポータルに非ゲスト ポータル(デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。 それ以外の場合は、ゲスト ポータルに割り当てられている同じポートを使用します。

使用可能インターフェイス(Allowed interfaces)

特定のギガビット イーサネット インターフェイスに対してポータル トラフィックをパーティショニングします。 異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。 同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。 これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。 次に例を示します。

  • 有効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

  • 無効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

証明書グループ タグ(Certificate group tag)

ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。

ブラウザのロケールを使用する(Use browser locale)

ユーザのブラウザのロケール設定がポータルの表示言語に使用されることを指定します。 これは、言語ファイルにブラウザのロケールに対応する言語が存在することを想定しています。 そうでない場合は、フォールバック言語がポータルに表示されるテキストに使用されます。

フォールバック言語(Fallback language)

ブラウザのロケールに対応する言語ファイルが存在しない場合に使用する言語を選択します。

常に使用(Always use)

ポータルに使用する表示言語を選択します。 この設定は、ユーザのブラウザのロケール オプションを上書きします。

MDM ポータルの従業員のモバイル デバイス管理設定

これらの設定へのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [MDM ポータル(MDM Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [従業員のモバイル デバイス管理設定(Employee Mobile Device Management Settings)] です。

これらの設定を使用して、MDM ポータルを使用する従業員のモバイル デバイス管理(MDM)機能を有効にし、AUP エクスペリエンスを定義します。

フィールド 使用上のガイドライン

AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link))

会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。

同意が必要(Require acceptance)

ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。 [ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。 ユーザが AUP に同意しない場合、ネットワークにアクセスできません。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。

ユーザが AUP を最後まで読んだことを確認します。 [同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。

デバイス ポータルのポータル設定

これらの設定へのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサー、または従業員)に表示される特定のポータル ページではなく、ポータル全体に適用される値を指定したり動作を定義したりします。

フィールド 使用上のガイドライン

HTTPS ポート(HTTPS port)

8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。 この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。 このページを変更する場合、この制限に従うようにポート設定を変更する必要があります。

ゲスト ポータルに非ゲスト ポータル(デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

使用可能インターフェイス(Allowed interfaces)

特定のギガビット イーサネット インターフェイスに対してポータル トラフィックをパーティショニングします。 異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。 同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。 これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。 次に例を示します。

  • 有効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

  • 無効な組み合わせには次が含まれます。

    • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

    • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

証明書グループ タグ(Certificate group tag)

ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。

完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))

ポータルの一意の FQDN またはホスト名(またはその両方)を入力します。 たとえば、スポンサー ポータルに sponsorportal.yourcompany.com, sponsor と入力でき、デバイス ポータルに mydevicesportal.yourcompany.com, mydevices と入力できます。 カンマを使用して名前を区切りますが、エントリ間にスペースを挿入しないでください。

デフォルトの FQDN を更新する場合は、次を実行する必要があります。

  • DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに確実に解決するようにします。
  • 名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカル サーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN を含めます。
  • 証明書署名要求(CSR)を送信するときに認証局(CA)サーバの SAN 属性などの Cisco ISE 以外の SAN 属性を指定するか、または openssl などのユーティリティを使用してカスタム CSR を作成します。

ID ソース順序(Identity source sequence)

従業員がデバイス ポータルにログインできるように、ID ストア順序を指定します。 従業員(内部ユーザ)に対してデバイス ポータルへのアクセスを認証および許可するために、従業員の ID ソース順序と従業員のログイン クレデンシャルが使用されます。 ID ソース順序では、従業員の認証を解決するために、どのストアにどの順序でアクセスするかを定義し、ここにはローカル Cisco ISE ID ストアと外部ストアを含めることができます。

ポータルへの認証に使用する ID ソース順序(ISS)を選択します。 ISS はユーザがユーザ名を使用してログインするときに順に検索されるポリシー情報ポイント(PIP)のリストです。 たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory A、LDAP ディレクトリ B などがあります。

Cisco ISE には従業員のデフォルトの ID ソース順序である [MyDevices_Portal_Sequence] が含まれ、ここにはデフォルト ID ストアである [内部ユーザ(Internal Users)] が含まれています。

ユーザ名がゲスト ユーザまたは内部ユーザのデータベースで一致し、パスワードも同様に一致した場合、Cisco ISE はデータベースのリストをたどる検索を停止します。 ただし、一致が見つからない場合は、一致が見つかるかリストの最後のデータベースの終端に到達するまでデータベースを検索し続けます。

エンドポイント ID グループ(Endpoint Identity Group)

従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。 Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。 デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。

__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days)

ユーザ デバイスの登録後の日数を変更します。この日数が経過すると、デバイスは Cisco ISE データベースから消去されます。 消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。 変更は、このエンドポイント ID グループ全体に適用されます。

その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。

アイドル タイムアウト(Idle timeout)

ポータルでアクティビティがない場合にユーザをログアウトするまでに Cisco ISE が待機する時間(分)を入力します。 有効な範囲は 1 ~ 30 分です。

ブラウザのロケールを使用する(Use browser locale)

ユーザのブラウザのロケール設定がポータルの表示言語に使用されることを指定します。 これは、言語ファイルにブラウザのロケールに対応する言語が存在することを想定しています。 そうでない場合は、フォールバック言語がポータルに表示されるテキストに使用されます。

フォールバック言語(Fallback language)

ブラウザのロケールに対応する言語ファイルが存在しない場合に使用する言語を選択します。

常に使用(Always use)

ポータルに使用する表示言語を選択します。 この設定は、ユーザのブラウザのロケール オプションを上書きします。

デバイス ポータルのログイン ページ設定

このページへのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ログイン ページ設定(Login Page Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサーまたは従業員)のログインのエクスペリエンス、ログイン試行失敗のパラメータ、およびこのページについての AUP 情報を定義します。

フィールド 使用上のガイドライン

頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)

単一のブラウザ セッションからのログイン試行失敗回数を指定します。この回数を超過すると、Cisco ISE はログイン試行を実行できる頻度を意図的に低下させて、追加のログイン試行を防ぎます。 ログイン失敗がこの回数に達した後のログイン試行の間隔は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で指定されます。

頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)

[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間を分単位で設定します。

AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link))

会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。

同意が必要(Require acceptance)

ポータルにアクセスする前にユーザが AUP を受け入れることを要求します。 [ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。 AUP を受け入れないユーザは、ポータルにアクセスできません。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。

ユーザが AUP を最後まで読んだことを確認します。 [同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。

デバイス ポータルの利用規定(AUP)ページ設定

このページへのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサーまたは従業員)に対して AUP エクスペリエンスを定義します。

フィールド 使用上のガイドライン

AUP ページを含める(Include an AUP page)

会社のネットワーク使用諸条件を、別のページでユーザに表示します。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

ユーザが AUP を最後まで読んだことを確認します。 [同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。

初回のログインのみ(On first login only)

ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。

ログインごと(On every login)

ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。

__日ごと(初回のログインから)(Every __ days (starting at first login))

ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。

デバイス ポータルのポストログイン バナー ページ設定

このページへのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポストログイン バナー ページ設定(Post-Login Banner Page Settings)] です。

これらの設定を使用して、正常なログイン後にユーザ(状況に応じてゲスト、スポンサーまたは従業員)に追加情報を通知します。

フィールド 使用上のガイドライン

ポストログイン バナー ページを含める(Include a Post-Login Banner page)

ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。

デバイス ポータルの従業員によるパスワード変更の設定

このページへのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [従業員のパスワード変更設定(Employee Change Password Settings)] です。 これらの設定を使用して、デバイス ポータルを使用している従業員のパスワード要件を定義します。

従業員のパスワード ポリシーを設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ名パスワード ポリシー(Username Password Policy)] を選択します。

フィールド 使用上のガイドライン

内部ユーザにパスワードの変更を許可する(Allow internal users to change password)

従業員が、デバイス ポータルにログインした後で、自分のパスワードを変更することを許可します。

これは、アカウントが Cisco ISE データベース保存されている従業員に適用され、Active Directory や LDAP などの外部データベースに保存されている場合には適用されません。

デバイス ポータルのデバイス管理設定

これらの設定へのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータル ページのカスタマイズ(Portal Page Customization)] > [デバイスの管理(Manage Device)] です。

[ページのカスタマイズ(Page Customizations)] で、デバイス ポータルの [アカウントの管理(Manage Accounts)] タブに表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。

[設定(Settings)] では、このデバイス ポータルを使用する従業員が各自の登録されたパーソナル デバイスで実行可能なアクションを指定できます。



表 46 デバイス ポータルのデバイス管理設定
フィールド 使用上のガイドライン

紛失(Lost)

すべてのデバイス。

デバイスを紛失したことを従業員が示すことができるようにします。 このアクションは、デバイス ポータルのデバイスのステータスを [紛失(Lost)] に更新し、ブラックリストのエンドポイントの ID グループにそのデバイスを追加します。

復元(Reinstate)

すべてのデバイス。

このアクションでは、ブラックリストに記載されているか、紛失したか、または盗難されたデバイスを復元し、そのステータスを最後の既知の値にリセットします。 このアクションでは、ネットワークに接続する前に追加プロビジョニングを実行する必要があるため、盗難デバイスのステータスを [未登録(Not Registered)] にリセットします。

ブラックリストに記載されているデバイスを従業員が復元できないようにする場合は、デバイス ポータルでこのオプションを有効にしないでください。

削除(Delete)

すべてのデバイス。

登録済みデバイスの最大数に到達した場合、従業員が、登録されたデバイスをデバイス ポータルから削除したり、未使用のデバイスを削除して新しいデバイスを追加したりできるようにします。 このアクションによって、デバイス ポータルに表示されるデバイス リストからデバイスが削除されますが、デバイスは Cisco ISE データベースに残り、エンドポイントのリストに表示されます。

BYOD またはデバイス ポータルを使用して従業員が登録できるパーソナル デバイスの最大数を定義するには、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [設定(Settings)] > [従業員登録済みデバイス(Employee Registered Devices)] を選択します。

完全に Cisco ISE データベースからデバイスを削除するには、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

盗難(Stolen)

すべてのデバイス。

デバイスが盗まれたことを従業員が示すことができるようにします。 このアクションは、デバイス ポータルのデバイスのステータスを [盗難(Stolen)] に更新し、ブラックリストのエンドポイントの ID グループにそのデバイスを追加し、証明書を削除します。

デバイス ロック(Device lock)

MDM 登録デバイスのみ。

デバイスの紛失または盗難が発生した場合、従業員がすぐにデバイス ポータルからリモートでデバイスをロックできるようにします。 このアクションによって、デバイスの不正使用が防止されます。

ただし、デバイス ポータルでは PIN を設定できないため、従業員が事前にモバイル デバイスに設定しておく必要があります。

登録解除(Unenroll)

MDM 登録デバイスのみ。

職場でデバイスを使用する必要がなくなった場合に、従業員がこのオプションを選択できるようにします。 このアクションでは、会社がインストールしているアプリケーションと設定のみが削除され、従業員のモバイル デバイス上の他のアプリケーションおよびデータは維持されます。

完全消去(Full wipe)

MDM 登録デバイスのみ。

デバイスを紛失したり、新しいものに交換したりした場合に、従業員がこのオプションを選択できるようにします。 このアクションでは、従業員のモバイル デバイスを工場出荷時のデフォルト設定にリセットし、インストール済みのアプリケーションとデータを削除します。

デバイス ポータルのデバイス カスタマイズの追加、編集、および検索

これらの設定へのナビゲーション パスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス ポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータル ページのカスタマイズ(Portal Page Customization)] > [デバイスの追加、デバイスの編集またはデバイスの検索(Add Devices, Edit Devices or Locate Devices)] です。

[ページのカスタマイズ(Page Customizations)] で、デバイス ポータルの [追加(Add)]、[編集(Edit)]、および [検索(Locate)] の各タブに表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。

デバイス ポータルのサポート情報ページの設定

この設定へのナビゲーションパスは、[管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [BYOD ポータル(BYOD Portals)]/[クライアント プロビジョニング ポータル(Client Provisioning Portals)]/[MDM ポータル(MDM Portals)]/[デバイス ポータル(My Device Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [サポート情報ページの設定(Support Information Page Settings)] です。

これらの設定を使用して、ヘルプ デスクがユーザ(状況に応じてゲスト、スポンサーまたは従業員)が体験したアクセスの問題をトラブルシューティングするために使用できる情報を表示します。

フィールド 使用上のガイドライン

サポート情報ページを含める(Include a Support Information Page)

該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。

MAC アドレス(MAC address)

[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。

IP アドレス(IP Address)

[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。

ブラウザのユーザ エージェント(Browser user agent)

[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。

ポリシー サーバ(Policy server)

[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。

障害コード(Failure code)

可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。 メッセージ カタログにアクセスしてこれを表示するには、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [メッセージ カタログ(Message Catalog)] に移動します。

フィールドを隠す(Hide field)

含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。 たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。

値のないラベルを表示(Display label with no value)

含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。 たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。

デフォルト値でラベルを表示(Display label with default value)

[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。 たとえば、このフィールドに「情報なし」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に「情報なし」と表示されます。