Cisco Identity Services Engine 管理者ガイド リリース 1.3
ユーザおよび外部 ID ソースの管理
ユーザおよび外部 ID ソースの管理

目次

ユーザおよび外部 ID ソースの管理

Cisco ISE ユーザ

この章では、ユーザという用語はネットワークに定期的にアクセスする従業員と請負業者に加え、スポンサーおよびゲスト ユーザを意味します。 スポンサーは、スポンサー ポータルからゲスト ユーザ アカウントを作成および管理する組織の従業員または請負業者となります。 ゲスト ユーザは、一定期間組織のネットワーク リソースへのアクセスを必要とする外部ビジターです。

Cisco ISE ネットワーク上のリソースとサービスにアクセスするすべてのユーザのアカウントを作成する必要があります。 従業員、請負業者、およびスポンサー ユーザは、管理者ポータルから作成されます。

ユーザ ID

ユーザ ID は、ユーザに関する情報を保持するコンテナに似ており、ユーザのネットワーク アクセス クレデンシャルを形成します。 各ユーザの ID はデータにより定義され、ユーザ名、電子メール アドレス、パスワード、アカウントの説明、関連付けられている管理者グループ、ユーザ グループ、ロールなどが含まれます。

ユーザ グループ

ユーザ グループは、特定の一連の Cisco ISE サービスおよび機能へのアクセスを許可する共通の権限セットを共有する個々のユーザの集合です。

ユーザ ID グループ

ユーザのグループ ID は、同じグループに属している特定のユーザ グループを識別および説明する要素で構成されています。 グループ名は、このグループのメンバーが持っている機能ロールの説明です。 グループは、そのグループに属しているユーザのリストです。

デフォルト ユーザ ID グループ

Cisco ISE には、次の事前定義されたユーザ ID グループが用意されています。

  • 従業員:組織の従業員はこのグループに所属します。

  • SponsorAllAccount:Cisco ISE ネットワークのすべてのゲスト アカウントを一時停止または復元できるスポンサー ユーザ。

  • SponsorGroupAccounts:同じスポンサー ユーザ グループのスポンサー ユーザが作成したゲスト アカウントを一時停止できるスポンサー ユーザ。

  • SponsorOwnAccounts:自身が作成したゲスト アカウントのみを一時停止できるスポンサー ユーザ。

  • ゲスト:ネットワークのリソースへの一時的なアクセスを必要とする訪問者。

  • ActivatedGuest:アカウントが有効で、アクティブになっているゲスト ユーザ。

ユーザ ロール

ユーザ ロールは、ユーザが Cisco ISE ネットワークで実行できるタスクやアクセスできるサービスを決定する権限セットです。 ユーザ ロールは、ユーザ グループに関連付けられています (ネットワーク アクセス ユーザなど)。

ユーザ アカウントのカスタム属性およびパスワード ポリシー

Cisco ISE では、ユーザ属性に基づいてユーザのネットワーク アクセスを制限することができます。 Cisco ISE では、一連の事前定義されたユーザ属性が用意されており、カスタム属性を作成することもできます。 両方のタイプの属性が認証ポリシーを定義する条件で使用できます。 パスワードが指定された基準を満たすように、ユーザ アカウントのパスワード ポリシーも定義できます。

カスタム ユーザ属性

[ユーザのカスタム属性の設定(User Custom Attributes Setting)] ページで、追加のユーザ アカウントの属性を定義するには、[カスタム属性(Custom Attributes)] ペインを使用します。 Cisco ISE では、設定できない事前定義された属性のリストが提供されます。 ただし、次の設定によってカスタム属性を定義できます。

  • 属性名

  • データ型

ユーザ パスワード ポリシーの設定

[ユーザ パスワード ポリシー(User Password Policy)] ページで、ユーザ アカウント パスワードが満たす必要がある基準を定義できます。 [管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ パスワード ポリシー(User Password Policy)] を選択します。

次の表に、[ユーザ パスワード ポリシー(User Password Policy)] ページのフィールドを示します。

表 1 ユーザ パスワード ポリシーの設定

設定

説明

最小長(Minimum Length)

パスワードの最小長(文字数)を設定します。

ユーザ名(Username)

ユーザ名またはその文字の逆の順序での使用を制限します。

Cisco

「cisco」またはその文字の逆の順序での使用を制限します。

特殊文字(Special characters)

定義した特殊文字の逆の順序での使用を制限します。

文字の繰り返し(Repeated characters)

同じ文字を 4 回以上連続して繰り返すことを制限します。

必須の文字(Required characters)

パスワードに、次のタイプがそれぞれ少なくとも 1 つは含まれている必要があります。

  • 小文字の英文字(Lowercase alphabetic characters)

  • 大文字の英文字(Uppercase alphabetic characters)

  • 数字(Numeric characters)

  • 英数字以外の文字(Non-alphanumeric characters)

ユーザ パスワード ポリシーが大文字と小文字を必要としており、ユーザの言語でこれらの文字がサポートされていない場合、ユーザはパスワードを設定できません。 UTF-8 文字をサポートするユーザ パスワード フィールドの場合は、次のチェックボックス オプションをオフにする必要があります。

  • 小文字の英文字(Lowercase alphabetic characters)

  • 大文字の英文字(Uppercase alphabetic characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されることを防ぐために、パスワードが異なっている必要がある以前のバージョンの数を指定します。

パスワード ライフタイム(Password Lifetime)

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

  • パスワードが変更されなかった場合にユーザ アカウントを無効にするまでの時間(日数)(Time (in days) before the user account is disabled if the password is not changed)

  • ユーザ アカウントが無効になるまでのリマインダ(日数)(Reminder (in days) before the user account is disabled)

ユーザの追加

Cisco ISE では、Cisco ISE ユーザの属性を表示、作成、編集、複製、削除、ステータス変更、インポート、エクスポート、または検索できます。

Cisco ISE 内部データベースを使用する場合、Cisco ISE ネットワークのリソースまたはサービスへのアクセスを必要とするすべての新規ユーザのアカウントを作成する必要があります。

手順
    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。
    ステップ 2   新しいユーザを作成するには、[追加(Add)](+)をクリックします。
    ステップ 3   フィールドの値を入力します。

    ユーザ名にスペースを含めないでください。

    ステップ 4   [送信(Submit)] をクリックして、Cisco ISE 内部データベースに新しいユーザを作成します。

    Cisco ISE ユーザ データのエクスポート

    Cisco ISE 内部データベースからユーザ データをエクスポートしなければならない場合があります。 Cisco ISE では、パスワード保護された csv ファイル形式でユーザ データをエクスポートすることができます。

    手順
      ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。
      ステップ 2   データをエクスポートするユーザに対応するチェックボックスをオンにします。
      ステップ 3   [選択済みをエクスポート(Export Selected)] をクリックします。
      ステップ 4   [キー(Key)] フィールドに、パスワードを暗号化するためのキーを入力します。
      ステップ 5   [エクスポート開始(Start Export)] をクリックして、users.csv ファイルを作成します。
      ステップ 6   [OK] をクリックして、users.csv ファイルをエクスポートします。

      Cisco ISE ユーザ データのインポート

      ユーザ アカウントを手動で Cisco ISE に入力する代わりに、ユーザ アカウントをインポートできます。 Cisco ISE では、内部データベースに csv ファイル形式でユーザ データをインポートすることができます。

      手順
        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。
        ステップ 2   [インポート(Import)] をクリックして、カンマ区切りテキスト ファイルからユーザをインポートします。

        カンマ区切りテキスト ファイルがない場合は、[テンプレートの生成(Generate a Template)] をクリックして、このタイプのファイルを作成します。

        ステップ 3   [ファイル(File)] テキスト ボックスに、インポートするユーザが含まれたファイル名を入力するか、[参照(Browse)] をクリックして、ファイルが配置されている場所に移動します。
        ステップ 4   新しいユーザの作成、および既存のユーザの更新の両方を実行する必要がある場合は、[新しいユーザの作成、および新しいデータで既存のユーザを更新(Create new user(s) and update existing user(s) with new data)] チェックボックスをオンにします。
        ステップ 5   Cisco ISE 内部データベースに変更を保存するには、[保存(Save)] をクリックします。

        ユーザ ID グループの作成

        ユーザ ID グループを追加する前に、ユーザ ID グループを作成する必要があります。

        手順
          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] > [追加(Add)] を選択します。
          ステップ 2   [名前(Name)] フィールドおよび [説明(Description)] フィールドに値を入力します。 [名前(Name)] フィールドでサポートされる文字は次のとおりです:スペース、# $ & ‘ ( ) * + - . / @ _。
          ステップ 3   [送信(Submit)] をクリックします。

          ユーザ ID グループのエクスポート

          Cisco ISE では、ローカルに設定されたユーザ ID グループを csv ファイル形式でエクスポートすることができます。

          手順
            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。
            ステップ 2   エクスポートするユーザ ID グループに対応するチェックボックスをオンにし、[エクスポート(Export)] をクリックします。
            ステップ 3   [OK] をクリックします。

            ユーザ ID グループのインポート

            Cisco ISE では、ユーザ ID グループを csv ファイル形式でインポートすることができます。

            手順
              ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。
              ステップ 2   インポート ファイルに使用するテンプレートを取得するには、[テンプレートの生成(Generate a Template)] をクリックします。
              ステップ 3   [インポート(Import)] をクリックして、カンマ区切りテキスト ファイルからネットワーク アクセス ユーザをインポートします。
              ステップ 4   新しいユーザ ID グループの追加、および既存のユーザ ID グループの更新の両方を実行する必要がある場合は、[新しいデータで既存のデータを上書き(Overwrite existing data with new data)] チェックボックスをオンにします。
              ステップ 5   [インポート(Import)] をクリックします。
              ステップ 6   Cisco ISE データベースに変更を保存するには、[保存(Save)] をクリックします。

              内部 ID ソースと外部 ID ソース

              ID ソースには、Cisco ISE がユーザ認証時にクレデンシャルを検証するために使用するユーザ情報が含まれます。このユーザ情報は、ユーザに関連付けられたグループ情報およびその他の属性を取得して許可ポリシーで使用するためにも使用されます。 これらは、レコード形式でユーザ情報を保存するデータベースです。 ID ソースに対してユーザ情報の追加、編集、および削除を行うことができます。

              Cisco ISE では内部 ID ソースと外部 ID ソースがサポートされます。 どちらのソースも、スポンサーユーザ認証およびゲストユーザ認証の認証ソースとして使用できます。

              内部 ID ソース

              Cisco ISE には、ユーザ情報を保存するために使用できる内部ユーザ データベースがあります。 内部ユーザ データベースのユーザは、内部ユーザと呼ばれます。 Cisco ISE には、Cisco ISE に接続するすべてのデバイスおよびエンドポイントに関する情報を格納する内部エンドポイント データベースもあります。

              外部 ID ソース

              Cisco ISE では、ユーザ情報を含む外部 ID ソースを設定することができます。 Cisco ISE は外部 ID ソースに接続して、認証用のユーザ情報を取得します。 外部 ID ソースには、Cisco ISE サーバおよび証明書認証プロファイルの証明書情報も含まれます。 Cisco ISE は外部 ID ソースとの通信に認証プロトコルを使用します。 次の表に、認証プロトコルおよびサポートされる外部 ID ソースを示します。

              表 2 認証プロトコルとサポートされている外部 ID ソース

              プロトコル(認証タイプ)

              内部データベース

              Active Directory

              LDAP

              RADIUS トークン サーバまたは RSA

              EAP-GTC、PAP(プレーン テキスト パスワード)

              はい

              はい

              はい

              はい

              MS-CHAP パスワード ハッシュ:

              MSCHAPv1/v2

              EAP-MSCHAPv2

              LEAP

              はい

              はい

              いいえ

              いいえ

              EAP-MD5

              CHAP

              はい

              いいえ

              いいえ

              いいえ

              EAP-TLS

              PEAP-TLS

              (証明書取得)

              (注)     

              TLS 認証(EAP-TLS と PEAP-TLS)に ID ソースは必須ではありませんが、許可ポリシー条件のために任意で追加できます。

              いいえ

              はい

              はい

              いいえ

              外部 ID ソースの作成

              Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。 外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。

              手順
                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択します。
                ステップ 2   次のオプションのいずれかを選択します。
                • [証明書認証プロファイル(Certificate Authentication Profile)]:証明書ベースの認証の場合。
                • [Active Directory]:外部 ID ソースとして Active Directory に接続する場合。
                • [LDAP]:LDAP ID ソースを追加する場合。
                • [RADIUS トークン(RADIUS Token)]:RADIUS トークン サーバを追加する場合。
                • [RSA SecurID]:RSA SecurID サーバを追加する場合。

                外部 ID ソースとしての Active Directory

                Cisco ISE は、ユーザ、マシン、グループ、属性などのリソースにアクセスするために、Microsoft Active Directory を外部 ID ソースとして使用します。 Active Directory でのユーザとマシンの認証では、Active Directory にリストされているユーザとデバイスに対してのみネットワーク アクセスを許可します。

                Active Directory でサポートされる認証プロトコルおよび機能

                Active Directory は、一部のプロトコルを使用したユーザとマシンの認証、Active Directory ユーザ パスワードの変更などの機能をサポートしています。 次の表に、Active Directory でサポートされる認証プロトコルおよびそれぞれの機能を示します。

                表 3 Active Directory でサポートされる認証プロトコル

                認証プロトコル

                機能

                EAP-FAST およびパスワード ベースの保護拡張認証プロトコル(PEAP)

                MS-CHAPv2 および EAP-GTC の内部方式で EAP-FAST と PEAP を使用するパスワード変更機能を備えたユーザとマシンの認証

                パスワード認証プロトコル(PAP)

                ユーザおよびマシン認証

                Microsoft Challenge Handshake Authentication Protocol Version 1(MS-CHAPv1)

                ユーザおよびマシン認証

                Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)

                ユーザおよびマシン認証

                Extensible Authentication Protocol-Generic Token Card(EAP-GTC)

                ユーザおよびマシン認証

                Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)

                • ユーザおよびマシン認証

                • グループおよび属性取得

                • 証明書のバイナリ比較

                Extensible Authentication Protocol- Flexible Authentication via Secure Tunneling-Transport Layer Security(EAP-FAST-TLS)

                • ユーザおよびマシン認証

                • グループおよび属性取得

                • 証明書のバイナリ比較

                Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS)

                • ユーザおよびマシン認証

                • グループおよび属性取得

                • 証明書のバイナリ比較

                Lightweight Extensible Authentication Protocol(LEAP)

                ユーザ認証

                許可ポリシーで使用する Active Directory 属性およびグループの取得

                Cisco ISE は、許可ポリシー ルールで使用するために Active Directory からユーザまたはマシンの属性およびグループを取得します。 これらの属性は Cisco ISE ポリシーで使用され、ユーザまたはマシンの承認レベルを決定します。 Cisco ISE は、認証が成功した後にユーザおよびマシンの Active Directory 属性を取得します。認証とは別に、許可のために属性を取得することもできます。

                Cisco ISE は、外部 ID ストア内のグループを使用してユーザまたはコンピュータに権限を割り当てることがあります(たとえば、ユーザをスポンサー グループにマップします)。 Active Directory のグループ メンバーシップの次の制限事項に注意してください。

                • ポリシー ルールの条件は、次のいずれかを参照します。ユーザまたはコンピュータのプライマリ グループ、ユーザまたはコンピュータが直接メンバーであるグループ、または間接的(ネストされた)グループ。

                • ユーザまたはコンピュータのアカウント ドメイン外のドメイン ローカル グループはサポートされません。

                属性およびグループは、参加ポイントごとに取得され、管理されます。 これらは許可ポリシーで使用されます(まず参加ポイントを選択し、次に属性を選択します)。 許可範囲ごとに属性またはグループを定義することはできませんが、認証ポリシーに範囲を使用できます。 認証ポリシーで範囲を使用する場合、ユーザは 1 つの参加ポイントで認証されますが、ユーザのアカウント ドメインへの信頼できるパスがある別の参加ポイント経由で属性またはグループを取得することができます。 認証ドメインを使用して、1 つの範囲内にある 2 つの参加ポイントで認証ドメインが重複しないようにすることができます。


                (注)  


                使用可能な Active Directory グループの最大数については、Microsoft の制限を参照してください。http:/​/​technet.microsoft.com/​en-us/​library/​active-directory-maximum-limits-scalability(v=WS.10).aspx


                ルールに、/!@\#$%^&*()_+~ のような特殊文字を使用した Active Directory グループ名が含まれる場合、許可ポリシーは失敗します。

                証明書ベースの認証のための Active Directory 証明書取得

                Cisco ISE では、EAP-TLS プロトコルを使用するユーザまたはマシン認証のための証明書取得がサポートされています。 Active Directory 上のユーザまたはマシン レコードには、バイナリ データ型の証明書属性が含まれています。 この証明書属性に 1 つ以上の証明書を含めることができます。 Cisco ISE ではこの属性は userCertificate として識別され、この属性に対して他の名前を設定することはできません。 Cisco ISE はこの証明書を取得し、バイナリ比較の実行に使用します。

                証明書認証プロファイルは、証明書の取得に使用する Active Directory のユーザを検索するためにユーザ名を取得するフィールド(たとえば、サブジェクト代替名(SAN)または一般名)を決定します。 Cisco ISE は、証明書を取得した後、この証明書とクライアント証明書とのバイナリ比較を実行します。 複数の証明書が受信された場合、Cisco ISE は、いずれかが一致するかどうかをチェックするために証明書を比較します。 一致が見つかった場合、ユーザまたはマシン認証に合格します。

                証明書認証プロファイルの追加

                Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)証明書ベースの認証方式を使用する場合は、証明書認証プロファイルを作成する必要があります。 従来のユーザ名とパスワードの方法で認証する代わりに、Cisco ISE はクライアントから受信した証明書をサーバ内の証明書と比較してユーザの信頼性を確認します。

                はじめる前に

                スーパー管理者またはシステム管理者である必要があります。

                手順
                  ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [証明書認証プロファイル(Certificate Authentication Profile)] > [追加(Add)] を選択します。
                  ステップ 2   証明書認証プロファイルの名前と説明(任意)を入力します。
                  ステップ 3   ドロップダウン リストから ID ストアを選択します。

                  基本証明書のチェックは ID ソースを必要としません。 証明書にバイナリ比較チェックが必要な場合は、ID ソースを選択する必要があります。 ID ソースとして Active Directory を選択した場合は、サブジェクト名、一般名、およびサブジェクト代替名(すべての値)を使用してユーザを検索できます。

                  ステップ 4   [証明書属性(Certificate Attribute)] または [証明書の任意のサブジェクトまたは代替名属性(Any Subject or Alternative Name Attributes in the Certificate)] から ID の使用を選択します。 これは、ログで検索のために使用されます。

                  [証明書の任意のサブジェクトまたは代替名属性(Any Subject or Alternative Name Attributes in the Certificate)] を選択すると、Active Directory UPN がログ用のユーザ名として使用され、証明書のすべてのサブジェクト名および代替名がユーザの検索に試行されます。 このオプションは、ID ソースとして Active Directory を選択した場合にのみ使用できます。

                  ステップ 5   クライアント証明書を ID ストアの証明書と照合する場合に選択します。 この場合、ID ソースを選択する必要があります(LDAP または Active Directory)。[Active Directory] を選択した場合は、ID のあいまいさを解決するためにのみ証明書を照合することもできます。
                  • [なし(Never)]:このオプションは、バイナリ比較を実行しません。
                  • [ID のあいまいさを解決する目的のみ(Only to resolve identity ambiguity)]:このオプションは、あいまいさが見つかった場合にだけ、クライアント証明書と Active Directory のアカウントの証明書とのバイナリ比較を実行します。 たとえば、複数の Active Directory アカウントが証明書の識別名に一致することがあります。
                  • [常にバイナリ比較を実行する(Always perform binary comparison)]:このオプションは、クライアント証明書と ID ストア(Active Directory または LDAP)内のアカウントの証明書とのバイナリ比較を常に実行します。
                  ステップ 6   [送信(Submit)] をクリックして、証明書認証プロファイルを追加するか、変更を保存します。

                  Active Directory ユーザ認証プロセス フロー

                  ユーザの認証または問い合わせ時に、Cisco ISE は次のことをチェックします。

                  • MS-CHAP および PAP 認証では、ユーザが無効かどうか、ロック アウトされているかどうか、期限切れかどうか、またはログイン時間外かどうかを確認します。これらの条件のいくつかが true の場合、認証が失敗します。

                  • EAP-TLS 認証では、ユーザが無効かどうか、ロック アウトされているかどうかを確認します。これらの条件のいくつかが一致する場合、認証が失敗します。

                  また、上記の条件に一致する場合(ユーザが無効など)、IdentityAccessRestricted 属性を設定できます。 従来のポリシーをサポートするために IdentityAccessRestricted 属性を設定します。前述の条件に一致する場合(ユーザが無効など)は認証が失敗するため、Cisco ISE 1.3 では必要ありません。

                  Active Directory マルチドメイン フォレストのサポート

                  Cisco ISE では、マルチドメイン フォレストの Active Directory がサポートされます。 各フォレスト内で、Cisco ISE は単一のドメインに接続しますが、Cisco ISE が接続されているドメインと他のドメイン間に信頼関係が確立されている場合は、Active Directory フォレストの他のドメインからリソースにアクセスできます。

                  Active Directory サービスをサポートする Windows サーバ オペレーティング システムのリストについては、『Release Notes for Cisco Identity Services Engine』を参照してください。


                  (注)  


                  Cisco ISE は、ネットワーク アドレス トランスレータの背後にあり、ネットワーク アドレス変換(NAT)アドレスを持つ Microsoft Active Directory サーバをサポートしません。


                  Active Directory と Cisco ISE の統合の前提条件

                  次は、Cisco ISE と Active Directory を統合するための前提条件です。
                  • Cisco ISE サーバと Active Directory 間の時間を同期するために Network Time Protocol(NTP)サーバ設定を使用します。 Cisco ISE CLI で NTP を設定できます。

                  • Active Directory 構造がマルチドメイン フォレストである場合、または複数のフォレストに分けられている場合、Cisco ISE が接続されるドメインと、アクセスする必要がある、ユーザおよびマシン情報を持つ他のドメインとの間に、信頼関係が存在することを確認します。 信頼関係の確立の詳細については、Microsoft Active Directory のドキュメントを参照してください。

                  • Cisco ISE を参加させるドメインでは、少なくとも 1 つのグローバル カタログ サーバが動作し、Cisco ISE からアクセス可能である必要があります。

                  さまざまな操作の実行に必要な Active Directory アカウント権限

                  参加操作 脱退処理 Cisco ISE マシン アカウント

                  参加操作の実行に使用するアカウントには、次の権限が必要です。

                  • Active Directory を検索する権限(Cisco ISE マシン アカウントがすでにあるかどうかの確認)

                  • ドメインに Cisco ISE マシン アカウントを作成する権限(マシン アカウントが存在しない場合)

                  • 新しいマシン アカウントに属性を設定する権限(Cisco ISE マシン アカウント パスワード、SPN、dnsHostname など)

                  参加操作を実行するために、ドメイン管理者である必要はありません。

                  脱退操作の実行に使用するアカウントには、次の権限が必要です。

                  • Active Directory を検索する権限(Cisco ISE マシン アカウントがすでにあるかどうかの確認)

                  • ドメインから Cisco ISE マシン アカウントを削除する権限

                  強制脱退(パスワードなしの脱退)を実行する場合、ドメインからマシン アカウントは削除されません。

                  Active Directory 接続との通信に使用する新規作成された Cisco ISE マシン アカウントには、次の権限が必要です。

                  • 自分のパスワードを変更する権限

                  • 認証されるユーザ/マシンに対応するユーザ/マシン オブジェクトを読み取る権限

                  • 必要な情報を取得するために Active Directory の一部をクエリーする権限(信頼ドメイン、代替の UPN サフィックスなど)

                  • tokenGroups 属性を読み取る権限

                  Active Directory でマシン アカウントを事前作成できます。SAM の名前が Cisco ISE アプライアンスのホスト名と一致する場合は、参加操作中に検索して再利用する必要があります。

                  複数参加の操作を実行すると、参加ごとに複数のマシン アカウントが Cisco ISE 内で保持されます。


                  (注)  


                  参加操作または脱退処理に使用するクレデンシャルは、Cisco ISE に保存されません。 新規作成された Cisco ISE マシン アカウントのクレデンシャルのみが保存されます。


                  通信用に開く必要があるネットワーク ポート

                  プロトコル

                  ポート(リモート ローカル)

                  ターゲット

                  認証

                  注記

                  DNS(TCP/UDP)

                  49152 以上の乱数

                  DNS サーバ/AD ドメイン コントローラ

                  No

                  MSRPC

                  445

                  ドメイン コントローラ

                  Yes

                  Kerberos(TCP/UDP)

                  88

                  ドメイン コントローラ

                  Yes(Kerberos)

                  MS AD/KDC

                  LDAP(TCP/UDP)

                  389

                  ドメイン コントローラ

                  Yes

                  LDAP(GC)

                  3268

                  グローバル カタログ サーバ

                  Yes

                  NTP

                  123

                  NTP サーバ/ドメイン コントローラ

                  No

                  IPC

                  80

                  展開内の他の ISE ノード

                  Yes(RBAC クレデンシャルを使用)

                  DNS サーバ

                  DNS サーバを設定する場合は、次の処理を実行します。

                  • Cisco ISE に設定されているすべての DNS サーバで、使用するすべてのドメインの正引きおよび逆引き DNS クエリーを解決できるようにする必要があります。

                  • すべての DNS サーバで、追加サイト情報の有無に関係なく、DC、GC、および KDC の SRV クエリーに回答できるようにする必要があります。

                  • パフォーマンスを向上するために、SRV 応答にサーバ IP アドレスを追加することを推奨します。

                  • DNS serversthat を使用してパブリック インターネットに対するクエリーを実行しないでください。 不明な名前を解決する必要がある場合に、遅延やネットワーク情報の漏洩を引き起こす可能性があります。

                  外部 ID ソースとしての Active Directory の設定

                  外部 ID ソースとして Active Directory を設定する前に、次のことを確認します。

                  • Cisco ISE ホスト名が 15 文字以下であること。 Active Directory では 15 文字を超えるホスト名は許可されません。

                  • Microsoft Active Directory サーバがネットワーク アドレス トランスレータの背後にないこと、およびネットワーク アドレス変換(NAT)アドレスを持たないこと。

                  • 参加操作用の Microsoft Active Directory アカウントが有効であり、[次回ログイン時にパスワードを変更(Change Password on Next Login)] を使用して設定されていないこと。

                  • ISE のスーパー管理者またはシステム管理者の権限があること。


                  (注)  


                  Cisco ISE が Active Directory に接続されているときに操作に関する問題がある場合は、[操作(Operations)] > [レポート(Reports)] で AD コネクタ レポートを参照してください。


                  外部 ID ソースとして Active Directory を設定するには、次のタスクを実行する必要があります。

                  1. Active Directory 参加ポイントの追加および参加ポイントへの Cisco ISE ノードの参加

                  2. 認証ドメインの設定

                  3. Active Directory ユーザ グループの設定

                  4. Active Directory ユーザとマシンの属性の設定

                  5. パスワード変更、マシン認証、およびマシン アクセス制限の設定の変更 (任意)

                  Active Directory 参加ポイントの追加および参加ポイントへの Cisco ISE ノードの参加

                  はじめる前に Cisco ISE ノードが NTP サーバ、DNS サーバ、ドメイン コントローラ、グローバル カタログ サーバが配置されているネットワークと通信できることを確認します。 ドメイン診断ツールを実行して、これらのパラメータをチェックできます。
                  手順
                    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                    ステップ 2   [追加(Add)] をクリックして、ドメイン名および ID ストアの名前を入力します。
                    ステップ 3   [送信(Submit)] をクリックします。

                    新しく作成された参加ポイントをドメインに参加させるかどうかを確認するポップアップ ウィンドウが表示されます。 すぐに参加させる場合は [はい(Yes)] をクリックします。

                    設定を保存すると、Active Directory ドメインの設定が(プライマリおよびセカンダリのポリシー サービス ノードに)グローバルに保存されますが、いずれの Cisco ISE ノードもまだドメインに参加しません。

                    ステップ 4   作成した新しい Active Directory 参加ポイントの横にあるチェックボックスをオンにして [編集(Edit)] をクリックするか、または左側のナビゲーション ペインから新しい Active Directory 参加ポイントをクリックします。 展開の参加/脱退テーブルが、すべての Cisco ISE ノード、ノードのロール、およびそのステータスとともに表示されます。
                    ステップ 5   関連する Cisco ISE ノードの横にあるチェックボックスをオンにし、[参加(Join)] をクリックして Active Directory ドメインに Cisco ISE ノードを参加させます。

                    設定を保存した場合も、これを明示的に実行する必要があります。 1 回の操作で複数の Cisco ISE ノードをドメインに参加させるには、使用するアカウントのユーザ名とパスワードがすべての参加操作で同じである必要があります。 各 Cisco ISE ノードを追加するために異なるユーザ名とパスワードが必要な場合は、Cisco ISE ノードごとに参加操作を個別に実行する必要があります。

                    ステップ 6   Active Directory のユーザ名とパスワードを入力します。

                    参加操作に使用するユーザは、ドメイン自体に存在する必要があります。 ユーザが異なるドメインまたはサブドメインに存在する場合、ユーザ名は jdoe@acme.com のように、UPN 表記で表記する必要があります。

                    ステップ 7   (任意)[組織ユニットの指定(Specify Organizational Unit)] チェックボックスをオンにします。

                    このチェックボックスは、Cisco ISE ノードのマシン アカウントを CN=Computers,DC=someDomain,DC=someTLD 以外の特定の組織ユニットに配置する場合にオンにする必要があります。 Cisco ISE は、指定された組織ユニットの下にマシン アカウントを作成するか、またはマシン アカウントがすでにある場合は、この場所に移動します。 組織ユニットが指定されない場合、Cisco ISE はデフォルトの場所を使用します。 値は完全識別名(DN)形式で指定する必要があります。 構文は、Microsoft のガイドラインに準拠する必要があります。 特別な予約文字(/'+,;=<> など)、改行、スペース、およびキャリッジ リターンは、バックスラッシュ(\)によってエスケープする必要があります。 たとえば、OU=Cisco ISE\,US,OU=IT Servers,OU=Servers\ や Workstations,DC=someDomain,DC=someTLD のようにします。 マシン アカウントがすでに作成されている場合、このチェックボックスをオンにする必要はありません。 Active Directory ドメインに参加したマシン アカウントのロケーションを後で変更することもできます。

                    ステップ 8   [OK] をクリックします。

                    Active Directory ドメインに参加させる複数のノードを選択できます。

                    参加操作に失敗した場合、失敗メッセージが表示されます。 各ノードの失敗メッセージをクリックして、そのノードの詳細なログを表示します。

                    (注)     

                    参加が完了すると、Cisco ISE はいずれかのグループ SIDS がまだ古い Cisco ISE 1.2 形式であるかどうかをチェックします。 古い形式がある場合、Cisco ISE は自動的に SID の更新プロセスを開始します。 このプロセスを完了できるようにする必要があります。

                    (注)     
                    DNS SRV レコードが欠落している(参加しようとしているドメインに対し、ドメイン コントローラが SRV レコードをアドバタイズしていない)場合は、Active Directory ドメインに Cisco ISE を参加させることができない可能性があります。 トラブルシューティング情報については、次の Microsoft Active Directory のマニュアルを参照してください。

                    次の作業

                    認証ドメインを設定します。

                    Active Directory ドメインの脱退

                    ユーザまたはマシンを Active Directory ドメインまたはその参加ポイントから認証する必要がなくなった場合は、Active Directory ドメインを脱退することができます。

                    コマンドライン インターフェイスから Cisco ISE アプリケーション設定をリセットする場合、またはバックアップやアップグレードの後に設定を復元する場合、脱退操作が実行され、Cisco ISE ノードがすでに参加している場合は、Active Directory ドメインから切断されます。 ただし、Cisco ISE ノードのアカウントは、Active Directory ドメインから削除されません。 脱退操作では Active Directory ドメインからノード アカウントも削除されるため、脱退操作は管理者ポータルから Active Directory クレデンシャルを使用して実行することを推奨します。 これは、Cisco ISE ホスト名を変更する場合にも推奨されます。

                    はじめる前に

                    Active Directory ドメインを脱退したが、認証の ID ソースとして(直接または ID ソース順序の一部として)Active Directory を使用している場合、認証が失敗する可能性があります。

                    手順
                      ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                      ステップ 2   Cisco ISE ノードの隣にあるチェックボックスをオンにして [脱退(Leave)] をクリックします。
                      ステップ 3   Active Directory のユーザ名とパスワードを入力し、[OK] をクリックしてドメインを脱退し、Cisco ISE データベースからマシン アカウントを削除します。

                      Active Directory クレデンシャルを入力すると、Cisco ISE ノードは Active Directory ドメインを脱退し、Active Directory データベースから Cisco ISE マシン アカウントが削除されます。

                      (注)     

                      Active Directory データベースから Cisco ISE マシン アカウントを削除するには、ここに入力する Active Directory クレデンシャルに、ドメインからマシン アカウントを削除する権限がなければなりません。

                      ステップ 4   Active Directory クレデンシャルがない場合は、[使用可能なクレデンシャルなし(No Credentials Available)] チェックボックスをオンにして、[OK] をクリックします。

                      [クレデンシャルなしでドメインを脱退(Leave domain without credentials)] チェックボックスをオンにすると、プライマリ Cisco ISE ノードが Active Directory ドメインから脱退します。 参加時に Active Directory で作成されたマシン アカウントは、Active Directory 管理者が手動で削除する必要があります。


                      認証ドメインの設定

                      Cisco ISE が参加しているドメインは、信頼関係を持つ他のドメインに対して可視性があります。 デフォルトでは、Cisco ISE はこれらすべての信頼ドメインに対する認証を許可するように設定されます。 認証ドメインのサブセットに対して、Active Directory 展開との相互作用を制限できます。 ドメイン認証を設定することにより、接続ポイントごとに特定のドメインを選択して、選択されたドメインに対してのみ認証が実行されるようにできます。 認証ドメインでは、接続ポイントから信頼されたすべてのドメインではなく、選択されたドメインのユーザのみを認証するように Cisco ISE に指示するため、セキュリティが向上します。 また、認証ドメインでは検索範囲(着信したユーザ名または ID に一致するアカウントの検索)が制限されるため、認証要求処理のパフォーマンスと遅延が改善されます。 このことは、着信したユーザ名または ID にドメイン マークアップ(プレフィクスまたはサフィックス)が含まれていない場合に特に重要です。 これらの理由から、認証ドメインを設定することをベスト プラクティスとして強く推奨します。

                      手順
                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                        ステップ 2   [認証ドメイン(Authentication Domains)] タブをクリックします。

                        表に、信頼ドメインのリストが表示されます。 デフォルトでは、Cisco ISE はすべての信頼ドメインに対する認証を許可します。

                        ステップ 3   指定したドメインのみを許可するには、[認証にすべての Active Directory ドメインを使用する(Use all Active Directory domains for authentication)] チェックボックスをオフにします。
                        ステップ 4   認証を許可するドメインの隣にあるチェックボックスをオンにし、[選択対象の有効化(Enable Selected)] をクリックします。 [認証(Authenticate)] カラムで、このドメインのステータスが [はい(Yes)] に変わります。

                        また、選択したドメインを無効にすることもできます。

                        ステップ 5   [使用できないドメインを表示(Show Unusable Domains)] をクリックして、使用できないドメインのリストを表示します。 使用できないドメインは、単方向の信頼や選択的な認証などの理由により、Cisco ISE が認証に使用できないドメインです。

                        次の作業

                        Active Directory ユーザ グループを設定します。

                        Active Directory ユーザ グループの設定

                        Active Directory ユーザ グループを許可ポリシーで使用できるように設定する必要があります。 内部的には、Cisco ISE はグループ名のあいまいさの問題を解決し、グループ マッピングを向上させるためにセキュリティ ID(SID)を使用します。 SID により、グループ割り当てが正確に一致します。

                        手順
                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                          ステップ 2   [グループ(Groups)] タブをクリックします。
                          ステップ 3   次のいずれかを実行します。
                          1. [追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)] を選択して、既存のグループを選択します。
                          2. [追加(Add)] > [グループの追加(Add Group)] を選択して、グループを手動で追加します。 グループ名と SID の両方を指定するか、またはグループ名のみを指定し、[SID を取得(Fetch SID)] を押します。
                          ユーザ インターフェイス ログインのグループ名に二重引用符(")を使用しないでください。
                          ステップ 4   グループを手動で選択する場合は、フィルタを使用してグループを検索できます。 たとえば、admin* をフィルタ基準として入力し、[グループの取得(Retrieve Groups)] をクリックすると、admin で始まるユーザ グループが表示されます。 アスタリスク(*)ワイルドカード文字を入力して、結果をフィルタリングすることもできます。 一度に取得できるのは 500 グループのみです。
                          ステップ 5   許可ポリシーで使用可能にするグループの隣にあるチェックボックスをオンにし、[OK] をクリックします。
                          ステップ 6   グループを手動で追加する場合は、新しいグループの名前と SID を入力します。
                          ステップ 7   [OK] をクリックします。
                          ステップ 8   [保存(Save)] をクリックします。
                          (注)     

                          グループを削除し、そのグループと同じ名前で新しいグループを作成する場合は、[SID 値の更新(Update SID Values)] をクリックして、新しく作成したグループに新しい SID を割り当てる必要があります。 アップグレードすると、最初の参加の後に SID が自動的に更新されます。


                          次の作業

                          Active Directory のユーザ属性を設定します。

                          Active Directory ユーザとマシンの属性の設定

                          許可ポリシーの条件で使用できるように Active Directory ユーザとマシンの属性を設定する必要があります。

                          手順
                            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                            ステップ 2   [属性(Attributes)] タブをクリックします。
                            ステップ 3   [追加(Add)] > [属性の追加(Add Attribute)] を選択して属性を手動で追加するか、[追加(Add)] > [ディレクトリから属性を選択(Select Attributes From Directory)] を選択してディレクトリから属性のリストを選択します。
                            ステップ 4   ディレクトリからの属性の追加を選択した場合、ユーザの名前を [サンプル ユーザ(Sample User)] フィールドまたは [マシン アカウント(Machine Account)] フィールドに入力し、[属性の取得(Retrieve Attributes)] をクリックしてユーザの属性のリストを取得します。 たとえば、管理者属性のリストを取得するには administrator を入力します。 アスタリスク(*)ワイルドカード文字を入力して、結果をフィルタリングすることもできます。
                            (注)     

                            サンプル ユーザ名を入力するときは、Cisco ISE が接続されている Active Directory ドメインからユーザを選択することを確認してください。 マシン属性を取得するためにサンプル マシンを選択するときは、マシン名に「host/」というプレフィクスを付加するか、または SAM$ 形式を使用します。 たとえば、host/myhost を使用します。 属性の取得時に表示される値の例は説明のみを目的としており、保存されません。

                            ステップ 5   選択する Active Directory の属性の隣にあるチェックボックスをオンにし、[OK] をクリックします。
                            ステップ 6   属性を手動で追加する場合は、新しい属性の名前を入力します。
                            ステップ 7   [保存(Save)] をクリックします。

                            パスワード変更、マシン認証、およびマシン アクセス制限の設定の変更

                            はじめる前に

                            Active Directory ドメインに Cisco ISE を参加させる必要があります。

                            手順
                              ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                              ステップ 2   [高度な設定(Advanced Settings)] タブをクリックします。
                              ステップ 3   必要に応じて、パスワード変更、マシン認証、およびマシン アクセス制限(MAR)の設定を変更します。

                              これらのオプションはデフォルトで有効になっています。

                              ステップ 4   プレーン テキスト認証に Kerberos を使用する場合は、[プレーン テキスト認証に Kerberos を使用(Use Kerberos for Plain Text Authentications)] チェックボックスをオンにします。 デフォルトの推奨オプションは MS-RPC です。 Kerberos は ISE 1.2 で使用されます。

                              Active Directory の複数参加設定のサポート

                              Cisco ISE では、Active Directory ドメインへの複数参加がサポートされます。 Cisco ISE では、50 までの Active Directory 参加がサポートされます。 Cisco ISE は、双方向信頼がなく、相互の信頼がゼロである複数の Active Directory ドメインと接続できます。 Active Directory の複数ドメイン参加は、各参加の独自のグループ、属性、および許可ポリシーを持つ個別の Active Directory ドメインのセットで構成されます。

                              同じフォレストに複数回参加できます。つまり、必要に応じて、同じフォレスト内の複数のドメインに参加できます。

                              Cisco ISE は、単方向の信頼があるドメインに参加できます。 このオプションで、単方向の信頼によって生じる権限の問題を回避できます。 いずれかの信頼ドメインに参加できるため、両方のドメインを確認できます。

                              • 参加ポイント:Cisco ISE では、Active Directory ドメインへの個別参加は、参加ポイントと呼ばれます。 Active Directory の参加ポイントは、Cisco ISE の ID ストアであり、認証ポリシーで使用できます。 属性およびグループの関連ディクショナリがあり、許可条件で使用できます。

                              • スコープ:グループ化された Active Directory の参加ポイントのサブセットは、スコープと呼ばれます。 単一参加ポイントの代わりに、認証結果として認証ポリシーでスコープを使用できます。 スコープは、複数の参加ポイントに対してユーザを認証するために使用されます。 各参加ポイントに複数のルールを使用する代わりにスコープを使用すると、単一のルールで同じポリシーを作成することができ、Cisco ISE で要求の処理やパフォーマンスの向上にかかる時間を短縮できます。 参加ポイントには、複数のスコープが含まれる場合があります。 スコープは、ID ソース順序に含まれる場合があります。 スコープには関連するディクショナリがないため、許可ポリシー条件にスコープを使用することはできません。

                                新しい Cisco ISE のインストールを実行する場合、デフォルトでスコープは存在しません。 これは、ノー スコープ モードと呼ばれます。 スコープを追加すると、Cisco ISE はマルチスコープ モードになります。 必要に応じて、ノー スコープ モードに戻すことができます。 すべての参加ポイントは [Active Directory] フォルダに移動されます。
                                • Initial_Scope は、ノー スコープ モードで追加された Active Directory 参加ポイントの格納に使用される暗黙のスコープです。 マルチスコープ モードを有効にすると、すべての Active Directory 参加ポイントが自動作成された Initial_Scope に移動します。 Initial_Scope の名前を変更できます。

                                • All_AD_Instances は組み込み型の疑似スコープで、Active Directory 設定には表示されません。 これは、認証結果としてポリシーおよび ID 順序にのみ示されます。 Cisco ISE で設定されたすべての Active Directory 参加ポイントを選択する場合は、このスコープを選択できます。

                              Active Directory 参加ポイントを追加する新しい範囲の作成

                              手順
                                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                ステップ 2   [範囲モード(Scope Mode)] をクリックします。 Initial_Scope と呼ばれるデフォルトの範囲が作成され、現在のすべての参加ポイントがこの範囲に配置されます。
                                ステップ 3   より多くの範囲を作成するには、[追加(Add)] をクリックします。
                                ステップ 4   新しい範囲の名前と説明を入力します。
                                ステップ 5   [送信(Submit)] をクリックします。

                                ID 書き換え

                                ID 書き換えは、外部 Active Directory システムに渡される前に ID を操作するよう Cisco ISE に指示する拡張機能です。 ID を必要な形式(任意のドメイン プレフィクスやサフィックスまたはその他の追加マークアップを含むまたは除く)に変更するためのルールを作成できます。

                                ID 書き換えルールは、サブジェクト検索、認証クエリー、許可クエリーなどの操作のために、クライアントから受信したユーザ名またはホスト名に対して Active Directory に渡される前に適用されます。 Cisco ISE は条件のトークンを照合し、最初の 1 つが一致するとポリシーの処理を停止して、結果に応じて ID 文字列を書き換えます。

                                書き換え時、角カッコ [ ] で囲まれている([IDENTITY] など)内容はすべて、評価側では評価されず、代わりに文字列内のその場所に一致する文字列が付加される変数です。 角カッコなしはすべて、ルールの評価側と書き換え側の両方で、固定文字列として評価されます。

                                次に、ユーザによって入力された ID が ACME\jdoe であるとした場合の ID 書き換えの例を示します。

                                • ID が ACME\[IDENTITY] と一致する場合、[IDENTITY] に書き換えます。

                                  結果は jdoe です。 このルールは、ACME プレフィクスを持つすべてのユーザ名を削除するよう Cisco ISE に指示します。

                                • ID が ACME\[IDENTITY] と一致する場合、[IDENTITY]@ACME.com に書き換えます。

                                  結果は jdoe@ACME.com です。 このルールは、形式をプレフィクス表記からサフィックス表記に、または NetBIOS 形式から UPN 形式に変更するよう Cisco ISE に指示します。

                                • ID が ACME\[IDENTITY] と一致する場合、ACME2\[IDENTITY] に書き換えます。

                                  結果は ACME2\jdoe です。 このルールは、特定のプレフィクスを持つすべてのユーザ名を代替プレフィクスに変更するよう Cisco ISE に指示します。

                                • ID が [ACME]\jdoe.USA と一致する場合、[IDENTITY]@[ACME].com に書き換えます。

                                  結果は jdoe\ACME.com です。 このルールは、ドットの後の領域を削除するよう Cisco ISE に指示します。この場合は国名で、正しいドメインに置き換えられます。

                                • ID が E=[IDENTITY] と一致する場合、[IDENTITY] に書き換えます。

                                  結果は jdoe です。 これは、ID が証明書から取得され、フィールドが電子メール アドレスで、Active Directory がサブジェクトで検索するように設定されている場合に作成可能なルールの例です。 このルールは、「E=」を削除するように Cisco ISE に指示します。

                                • ID が E=[EMAIL],[DN] と一致する場合、[DN] に書き換えます。

                                  このルールは、証明書サブジェクトを、E= jdoe@acme.com、CN=jdoe、DC=acme、DC=com から単なる DN、CN=jdoe、DC=acme、DC=com に変換します。 これは、ID が証明書サブジェクトから取得され、Active Directory が DN でユーザ検索するように設定されている場合に作成可能なルールの例です。 このルールは、電子メール プレフィクスを削除し、DN を生成するよう Cisco ISE に指示します。

                                次に、ID 書き換えルールを記述する際によくある間違いを示します。

                                • ID が [DOMAIN]\[IDENTITY] と一致する場合、[IDENTITY]@DOMAIN.com に書き換えます。

                                  結果は jdoe@DOMAIN.com です。 このルールは、ルールの書き換え側の角カッコ [ ] に [DOMAIN] がありません。

                                • ID が DOMAIN\[IDENTITY] と一致する場合、[IDENTITY]@[DOMAIN].com に書き換えます。

                                  この場合も、結果は jdoe@DOMAIN.com です。 このルールは、ルールの評価側の角カッコ [ ] に [DOMAIN] がありません。

                                ID 書き換えルールは、常に、Active Directory 参加ポイントのコンテキスト内で適用されます。 認証ポリシーの結果としてスコープが選択されている場合でも、書き換えルールは、各 Active Directory 参加ポイントに適用されます。 EAP-TLS が使用されている場合、これらの書き換えルールは、証明書から取得される ID にも適用されます。

                                ID 書き換えの有効化


                                (注)  


                                この設定タスクは任意です。 あいまいな識別エラーなどのさまざまな理由で発生する認証失敗を減らすために実行できます。
                                はじめる前に

                                Active Directory ドメインに Cisco ISE を参加させる必要があります。

                                手順
                                  ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                  ステップ 2   [高度な設定(Advanced Settings)] タブをクリックします。
                                  ステップ 3   [ID 書き換え(Identity Rewrite)] セクションで、ユーザ名を変更する書き換えルールを適用するかどうかを選択します。
                                  ステップ 4   一致条件および書き換え結果を入力します。 表示されるデフォルト ルールを削除し、要件に応じてルールを入力できます。 Cisco ISE は順番にポリシーを処理し、要求ユーザ名に一致する最初の条件が適用されます。 一致トークン(角カッコ内に含まれるテキスト)を使用して、元のユーザ名の要素を結果に転送できます。 いずれのルールにも一致しない場合、識別名は変更されません。 [テスト開始(Launch Test)] ボタンをクリックして、書き換え処理をプレビューできます。

                                  ID 解決の設定

                                  一部のタイプの ID には、プレフィクスまたはサフィックスのようなドメイン マークアップが含まれます。 たとえば、ACME\jdoe などの NetBIOS ID では、「ACME」がドメイン マークアップのプレフィクスで、同様に jdoe@acme.com などの UPN ID では、「acme.com」がドメイン マークアップのサフィックスです。 ドメイン プレフィクスは、組織内の Active Directory ドメインの NetBIOS(NTLM)名に一致し、ドメイン サフィックスは、組織内の Active Directory ドメインの DNS 名または代替 UPN サフィックスに一致する必要があります。 たとえば、gmail.com は Active Directory ドメインの DNS 名ではないため、jdoe@gmail.com はドメイン マークアップなしとして処理されます。

                                  ID 解決設定では、Active Directory 展開に一致するように、セキュリティおよびパフォーマンスのバランスを調整する重要な設定を指定できます。 これらの設定を使用して、ドメイン マークアップのないユーザ名およびホスト名の認証を調整できます。 Cisco ISE でユーザのドメインを認識できない場合、すべての認証ドメインでユーザを検索するように設定できます。 ユーザが 1 つのドメインで見つかった場合でも、Cisco ISE は ID のあいまいさがないことを確実にするために、すべての応答を待ちます。 この処理は、ドメインの数、ネットワークの遅延、負荷などに応じて、時間がかかる場合があります。

                                  ID 解決問題の回避

                                  認証時に、ユーザおよびホストに完全修飾名(つまり、ドメイン マークアップが含まれている名前)を使用することを強く推奨します。 たとえば、ユーザの UPN と NetBIOS 名、およびホストの FQDN SPN です。 これは、複数の Active Directory アカウントが受信ユーザ名と一致する(たとえば、jdoe が jdoe@emea.acme.com および jdoe@amer.acme.com と一致する)など、あいまいエラーが頻繁に生じる場合に特に重要です。 場合によっては、完全修飾名を使用することが、問題を解決する唯一の方法になります。 また、ユーザに一意のパスワードが設定されていることを保証するだけで十分な場合もあります。 したがって、一意の ID を最初から使用すると、効率が向上し、パスワード ロックアウトの問題が減少します。

                                  ID 解決の設定


                                  (注)  


                                  この設定タスクは任意です。 あいまいな識別エラーなどのさまざまな理由で発生する認証失敗を減らすために実行できます。
                                  はじめる前に

                                  Active Directory ドメインに Cisco ISE を参加させる必要があります。

                                  手順
                                    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                    ステップ 2   [高度な設定(Advanced Settings)] タブをクリックします。
                                    ステップ 3   [ID 解決(Identity Resolution)] セクションで、ユーザ名またはマシン名の ID 解決についての次の設定を定義します。 この設定によって、ユーザの検索と認証を詳細に制御できます。

                                    最初に、マークアップなしの ID に対する設定を行います。 このような場合、次のオプションのいずれかを選択できます。

                                    • [要求を拒否する(Reject the request)]:このオプションを使用すると、SAM 名などのドメイン マークアップがないユーザの認証は失敗します。 このことは、複数参加ドメインで、Cisco ISE がすべての参加グローバル カタログの ID を検索する必要があることによって、安全性が低下する可能性がある場合に役立ちます。 このオプションによって、ドメイン マークアップを含むユーザ名を使用することがユーザに対して強制されます。
                                    • [結合されたフォレストの「認証ドメイン」のみで検索する(Only search in the “Authentication Domains” from the joined forest)]:このオプションを使用すると、認証ドメインの セクションで指定した、結合ポイントのフォレスト内のドメインのみで ID が検索されます。 これはデフォルト オプションであり、SAM アカウント名に対する Cisco ISE 1.2 の動作と同じです。
                                    • [すべての「認証ドメイン」セクションで検索する(Search in all the “Authentication Domains” sections)]:このオプションを使用すると、すべての信頼されたフォレストのすべての認証ドメインで ID が検索されます。 これにより、遅延が増加し、パフォーマンスに影響する可能性があります。

                                    Cisco ISE で認証ドメインがどのように設定されているかに基づいて選択します。 特定の認証ドメインのみを選択した場合は、それらのドメインのみが検索されます(「結合されたフォレスト」と「すべてのフォレスト」のいずれを選択した場合も)。

                                    2 番目の設定は、Cisco ISE が、[認証ドメイン(Authentication Domains)] セクションで指定された設定に準拠するために必要となるすべてのグローバル カタログ(GC)と通信できない場合に使用します。 このような場合、次のオプションのいずれかを選択できます。

                                    • [使用可能なドメインで続行する(Proceed with available domains)]:このオプションを使用すると、使用可能ないずれかのドメインで一致が見つかった場合に認証が続行されます。
                                    • [要求をドロップする(Drop the request)]:このオプションを使用すると、ID 解決で到達不能または使用できないドメインが検出された場合に認証要求がドロップされます。

                                    Active Directory 認証のためのユーザのテスト

                                    テスト認証は、エンドユーザの認証および許可に関する問題のトラブルシューティングに最適です。 ユーザのテスト機能を使用して、ユーザ認証を確認できます。 オプションでグループおよび属性を取得して調査できます。 単一の参加ポイントまたは範囲のテストを実行できます。

                                    手順
                                      ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                      ステップ 2   次のいずれかのオプションを選択します。
                                      • すべての参加ポイントのテストを実行するには、[拡張ツール(Advanced Tools)] > [すべての参加ポイントのユーザをテスト(Test User for All Join Points)] を選択します。
                                      • 特定の参加ポイントのテストを実行するには、参加ポイントを選択し、[編集(Edit)] をクリックします。 Cisco ISE ノードを選択し、[ユーザのテスト(Test User)] をクリックします。
                                      ステップ 3   Active Directory のユーザ(またはホスト)のユーザ名とパスワードを入力します。
                                      ステップ 4   認証タイプを選択します。 手順 3 のパスワード入力は、ルックアップ認証タイプを選択する必要はありません。
                                      ステップ 5   すべての参加ポイントに対してこのテストを実行する場合は、このテストを実行する Cisco ISE ノードを選択します。
                                      ステップ 6   グループおよび属性を取得する場合は、チェックボックスをオンにします。
                                      ステップ 7   [テスト(Test)] をクリックします。 テスト操作の結果と手順が表示されます。 手順で失敗の原因を特定し、トラブルシューティングできます。

                                      Active Directory の設定の削除

                                      外部 ID ソースとして Active Directory を使用していない場合は、Active Directory の設定を削除する必要があります。 別の Active Directory ドメインに参加する場合は、設定を削除しないでください。 現在参加しているドメインから脱退し、新しいドメインに参加できます。

                                      はじめる前に

                                      Active Directory ドメインが残っていることを確認します。

                                      手順
                                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                        ステップ 2   設定された Active Directory 横のチェックボックスをオンにします。
                                        ステップ 3   [ローカル ノード ステータス(Local Node Status)] が [参加していない(Not Joined)] としてリストされていることを確認します。
                                        ステップ 4   [削除(Delete)] をクリックします。

                                        Active Directory データベースから設定を削除しました。 後で Active Directory を使用する場合は、有効な Active Directory の設定を再送信できます。


                                        ノードの Active Directory の参加の表示

                                        特定の Cisco ISE ノードのすべての Active Directory 参加ポイントのステータスまたはすべての Cisco ISE ノードのすべての参加ポイントのリストを表示するには、[Active Directory] ページの [ノード ビュー(Node View)] ボタンを使用できます。

                                        手順
                                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                          ステップ 2   [ノード ビュー(Node View)] をクリックします。
                                          ステップ 3   [ISE Node(ISE ノード)] ドロップダウン リストからノードを選択します。 テーブルに、Active Directory のステータスがノード別に一覧されます。 展開に複数の参加ポイントと複数の Cisco ISE ノードがある場合、このテーブルが更新されるまでに数分かかる場合があります。
                                          ステップ 4   その Active Directory 参加ポイントのページに移動し、その他の特定のアクションを実行するには、参加ポイントの [名前(Name)] リンクをクリックします。
                                          ステップ 5   [診断ツール(Diagnostic Tools)] ページに移動して特定の問題のトラブルシューティングを行うには、[診断概要(Diagnostic Summary)] リンクをクリックします。 診断ツールでは、ノードごとに各参加ポイントの最新の診断結果が表示されます。

                                          Active Directory の問題の診断

                                          診断ツールは、各 Cisco ISE ノードで実行されるサービスです。 診断ツールを使用して、Active Directory 展開を自動的にテストおよび診断したり、Cisco ISE によって Active Directory が使用される場合に機能やパフォーマンスの障害の原因となる可能性がある問題を検出するための一連のテストを実行したりすることができます。

                                          Cisco ISE が Active Directory に参加できない、または Active Directory に対して認証できない理由は、複数あります。 このツールは、Cisco ISE を Active Directory に接続するための前提条件が正しく設定されていることを確認するのに役立ちます。 また、ネットワーク、ファイアウォール設定、クロック同期、ユーザ認証などの問題の検出に役立ちます。 このツールは、手順をステップごとに説明したガイドとして機能し、必要に応じて、中間の各レイヤの問題の修正を支援します。

                                          手順
                                            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] を選択します。
                                            ステップ 2   [拡張ツール(Advanced Tools)] ドロップダウン リストをクリックし、[診断ツール(Diagnostic Tools)] を選択します。
                                            ステップ 3   (任意)診断を実行する Cisco ISE ノードを選択します。

                                            Cisco ISE ノードを選択しない場合は、すべてのノードでテストが実行されます。

                                            ステップ 4   (任意)特定の Active Directory 参加ポイントを選択します。

                                            Active Directory 参加ポイントを選択しない場合は、すべての参加ポイントでテストが実行されます。

                                            ステップ 5   [ノードに対するすべてのテストを実行(Run All Tests on Node)] をクリックして、テストを開始します。
                                            ステップ 6   提供されるリンクをクリックして、警告ステータスまたは失敗ステータスのテストの概要を確認します。 テーブルには、Cisco ISE ノードで実行された前のテストからの完全なステータスが含まれます。 このテーブルを使用して、特定のテストの再実行、実行中のテストの停止、特定のテストのレポートの表示を行うことができます。

                                            Active Directory デバッグ ログの有効化

                                            Active Directory デバッグ ログはデフォルトでは記録されません。 展開でポリシー サービス ペルソナを担当する Cisco ISE ノードでこのオプションを有効にする必要があります。 Active Directory のデバッグ ログを有効にすると、ISE のパフォーマンスに影響する場合があります。

                                            手順
                                              ステップ 1   [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [デバッグ ログの設定(Debug Log Configuration)] を選択します。
                                              ステップ 2   Active Directory のデバッグ情報を取得する Cisco ISE ポリシー サービス ノードの隣のオプション ボタンをクリックし、[編集(Edit)] をクリックします。
                                              ステップ 3   [Active Directory] オプション ボタンをクリックし、[編集(Edit)] をクリックします。
                                              ステップ 4   [Active Directory] の隣にあるドロップダウン リストから [DEBUG] を選択します。 これにはエラー、警告、および verbose ログが含まれます。 完全なログを取得するには、[TRACE] を選択します。
                                              ステップ 5   [保存(Save)] をクリックします。

                                              トラブルシューティング用の Active Directory ログ ファイルの入手

                                              可能性がある問題をトラブルシューティングするには、Active Directory のデバッグ ログをダウンロードし、表示します。

                                              はじめる前に

                                              Active Directory のデバッグ ロギングを有効にする必要があります。

                                              手順
                                                ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] を選択します。
                                                ステップ 2   Active Directory のデバッグ ログ ファイルを取得するノードをクリックします。
                                                ステップ 3   [デバッグ ログ(Debug Logs)] タブをクリックします。
                                                ステップ 4   このページを下にスクロールして ad_agent.log ファイルを見つけます。 このファイルをクリックしてダウンロードします。

                                                Active Directory のアラームおよびレポート

                                                アラーム

                                                Cisco ISE は、Active Directory に関連するアクティビティをモニタリングし、トラブルシューティングを実行するためのさまざまなアラームおよびレポートを提供します。

                                                Active Directory のエラーおよび問題に対して、次のアラームがトリガーされます。
                                                • 構成済みネーム サーバが使用不可(Configured nameserver not available)

                                                • 参加しているドメインが使用不可(Joined domain is unavailable)

                                                • 認証ドメインが使用不可(Authentication domain is unavailable)

                                                • Active Directory フォレストが使用不可(Active Directory forest is unavailable)

                                                • AD コネクタを再起動する必要があります(AD Connector had to be restarted)

                                                • AD:ISE アカウント パスワードの更新に失敗(AD: ISE account password update failed)

                                                • AD:マシン TGT のリフレッシュに失敗(AD: Machine TGT refresh failed)

                                                レポート

                                                次の 2 つのレポートで Active Directory に関連するアクティビティをモニタリングできます。
                                                • RADIUS 認証レポート:このレポートは、Active Directory の認証および許可の詳細な手順を示します。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [認証サービス ステータス(Auth Services Status)] > [RADIUS 認証(RADIUS Authentications)] にあります。

                                                • AD コネクタ操作レポート:AD コネクタ操作レポートは、AD コネクタが実行するバックグラウンド操作(Cisco ISE サーバ パスワードのリフレッシュ、Kerberos チケットの管理、DNS クエリー、DC 検出、LDAP、および RPC 接続管理など)のログを提供します。 Active Directory の障害が発生した場合は、考えられる原因を特定するために、このレポートで詳細を確認できます。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [認証サービス ステータス(Auth Services Status)] > [AD コネクタ操作(AD Connector Operations)] にあります。

                                                Active Directory の高度な調整

                                                高度な調整機能により、シスコのサポート担当者の管理下で、サポート操作に使用されるノード固有の設定が可能となり、システムのさらに深いレベルでパラメータを調整できるようになります。 これらの設定は、通常の管理フローを対象としていません。ガイダンスに従って使用する必要があります。

                                                Active Directory が構成された Cisco ISE をセットアップするための補足情報

                                                Active Directory が構成された Cisco ISE を設定するには、グループ ポリシーを設定し、マシン認証のサプリカントを設定する必要があります。

                                                Active Directory のグループ ポリシーの設定

                                                グループ ポリシー管理エディタにアクセスする方法の詳細については、Microsoft Active Directory のマニュアルを参照してください。

                                                手順
                                                  ステップ 1   次の図に示すように、グループ ポリシー管理エディタを開きます。
                                                  [グループ ポリシー オブジェクト(Group Policy Objects)] の選択

                                                  ステップ 2   新しいポリシーを作成し、その説明的な名前を入力するか、既存のドメイン ポリシーに追加します。

                                                  例:次の例では、ポリシー名に Wired Autoconfiguration を使用しています。
                                                  ステップ 3   次の図に示すように、[このポリシー設定を定義する(Define this policy setting)] チェックボックスをオンにして、サービス起動モードの [自動(Automatic)] オプション ボタンをクリックします。
                                                  ポリシー プロパティ

                                                  ステップ 4   目的の組織ユニットまたはドメイン Active Directory レベルでポリシーを適用します。

                                                  コンピュータは再起動したときにポリシーを受信し、このサービスが有効になります。


                                                  Active Directory に対する EAP-TLS マシン認証のための Odyssey 5.X サプリカントの設定

                                                  Active Directory に対する EAP-TLS マシン認証に Odyssey 5.x サプリカントを使用している場合は、サプリカントで次の設定を行う必要があります。

                                                  手順
                                                    ステップ 1   Odyssey アクセス クライアントを起動します。
                                                    ステップ 2   [ツール(Tools)] メニューから [Odyssey アクセス クライアント管理者(Odyssey Access Client Administrator)] を選択します。
                                                    ステップ 3   [マシン アカウント(Machine Account)] アイコンをダブルクリックします。
                                                    ステップ 4   [マシン アカウント(Machine Account)] ページから、EAP-TLS 認証のプロファイルを設定する必要があります。
                                                    1. [設定(Configuration)] > [プロファイル(Profiles)] を選択します。
                                                    2. EAP-TLS プロファイルの名前を入力します。
                                                    3. [認証(Authentication)] タブで、認証方式として [EAP-TLS] を選択します。
                                                    4. [証明書(Certificate)] タブで、[証明書を使用したログインを許可(Permit login using my certificate)] チェックボックスをオンにして、サプリカント マシンの証明書を選択します。
                                                    5. [ユーザ情報(User Info)] タブで、[マシン クレデンシャルを使用(Use machine credentials)] チェックボックスをオンにします。

                                                      このオプションが有効になっている場合、Odyssey サプリカントは host\<machine_name> の形式でマシン名を送信します。Active Directory は要求をマシンから送信されていると識別し、認証を実行するコンピュータ オブジェクトを検索します。 このオプションが無効になっている場合、Odyssey サプリカントは host\ プレフィクスなしでマシン名を送信します。Active Directory はユーザ オブジェクトを検索し、認証は失敗します。


                                                    マシン認証のための AnyConnect エージェント

                                                    マシン認証のために AnyConnect エージェントを設定する場合、次のいずれかを実行できます。

                                                    • デフォルトのマシン ホスト名(プレフィクス「host/」を含む)を使用する。

                                                    • 新しいプロファイルを設定する。その場合、マシン名の前にプレフィクス「host/」を付加する必要があります。

                                                    LDAP

                                                    Lightweight Directory Access Protocol(LDAP)は、RFC 2251 で定義されている、TCP/IP 上で動作するディレクトリ サービスの問い合わせおよび変更のためのネットワーキング プロトコルです。 LDAP は、X.500 ベースのディレクトリ サーバにアクセスするためのライトウェイト メカニズムです。

                                                    Cisco ISE は、LDAP プロトコルを使用して LDAP 外部データベース(ID ソースとも呼ばれる)と統合します。

                                                    LDAP ディレクトリ サービス

                                                    LDAP ディレクトリ サービスは、クライアント/サーバ モデルに基づきます。 クライアントは、LDAP サーバに接続し、操作要求をサーバに送信することで、LDAP セッションを開始します。 サーバは、応答を送信します。 1 台以上の LDAP サーバに、LDAP ディレクトリ ツリーまたは LDAP バックエンド データベースからのデータが含まれています。

                                                    ディレクトリ サービスは、情報を保持するデータベースであるディレクトリを管理します。 ディレクトリ サービスは、情報を保存するために分散モデルを使用します。その情報は、通常はディレクトリ サーバ間で複製されます。

                                                    LDAP ディレクトリは、単純なツリー階層で編成されており、数多くのサーバ間で分散できます。 各サーバには、定期的に同期化されるディレクトリ全体の複製バージョンを配置できます。

                                                    ツリーのエントリには属性のセットが含まれており、各属性には名前(属性タイプまたは属性の説明)と 1 つ以上の値があります。 属性はスキーマに定義されます。

                                                    各エントリには、固有識別情報、つまり識別名(DN)があります。 この名前には、エントリ内の属性で構成されている相対識別名(RDN)と、それに続く親エントリの DN が含まれています。 DN は完全なファイル名、RDN はフォルダ内の相対ファイル名と考えることができます。

                                                    複数の LDAP インスタンス

                                                    IP アドレスまたはポートの設定が異なる複数の LDAP インスタンスを作成することにより、異なる LDAP サーバを使用するか、または同じ LDAP サーバ上の異なるデータベースを使用して認証を行うように、Cisco ISE を設定できます。 プライマリ サーバの各 IP アドレスおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とともに、Cisco ISE LDAP ID ソース インスタンスに対応する LDAP インスタンスを形成します。

                                                    Cisco ISE では、個々の LDAP インスタンスが一意の LDAP データベースに対応している必要はありません。 複数の LDAP インスタンスを、同一のデータベースにアクセスするように設定できます。 この方法は、LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。 各 LDAP インスタンスでは、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけをサポートするため、Cisco ISE が認証要求を送信するユーザ ディレクトリとグループ ディレクトリのサブツリーの組み合わせごとに、別々の LDAP インスタンスを設定する必要があるからです。

                                                    LDAP フェールオーバー

                                                    Cisco ISE は、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーをサポートします。 フェールオーバーは、LDAP サーバがダウンしているかまたは到達不可能なために Cisco ISE で LDAP サーバに接続できないことが原因で認証要求が失敗した場合に発生します。

                                                    フェールオーバー設定が指定され、Cisco ISE で接続しようとした最初の LDAP サーバが到達不可能な場合、Cisco ISE は常に 2 番目の LDAP サーバへの接続を試行します。 再度、Cisco ISE で最初の LDAP サーバを使用する場合は、[フェールバック再試行の遅延(Failback Retry Delay)] テキスト ボックスに値を入力する必要があります。


                                                    (注)  


                                                    Cisco ISE では、常にプライマリ LDAP サーバを使用して、認証ポリシーで使用するグループと属性を管理者ポータルから取得します。このため、プライマリ LDAP サーバはこれらの項目を設定するときにアクセス可能である必要があります。 Cisco ISE では、フェールオーバーの設定に従って、実行時に認証と許可にのみセカンダリ LDAP サーバを使用します。


                                                    LDAP 接続管理

                                                    Cisco ISE では、複数の同時 LDAP 接続がサポートされます。 接続は、最初の LDAP 認証時にオン デマンドで開かれます。 最大接続数は、LDAP サーバごとに設定されます。 事前に接続を開いておくと、認証時間が短縮されます。 同時バインディング接続に使用する最大接続数を設定できます。 開かれる接続の数は、LDAP サーバ(プライマリまたはセカンダリ)ごとに異なる場合があり、サーバごとに設定される最大管理接続数に基づいて決まります。

                                                    Cisco ISE は、Cisco ISE で設定されている LDAP サーバごとに、開いている LDAP 接続(バインディング情報を含む)のリストを保持します。 認証プロセス中に、Connection Manager は開いている接続をプールから検索しようとします。 開いている接続が存在しない場合、新しい接続が開かれます。

                                                    LDAP サーバが接続を閉じた場合、Connection Manager はディレクトリを検索する最初のコールでエラーをレポートし、接続を更新しようとします。 認証プロセスが完了した後、Connection Manager は接続を解放します。

                                                    LDAP ユーザ認証

                                                    LDAP は、Cisco ISE ユーザ認証のための外部データベースとして使用できます。 Cisco ISE ではプレーン パスワード認証がサポートされます。 ユーザ認証には次の処理が含まれます。

                                                    • LDAP サーバでの、要求のユーザ名に一致するエントリの検索

                                                    • ユーザ パスワードと、LDAP サーバで見つかったパスワードとの照合

                                                    • ポリシーで使用するグループ メンバーシップ情報の取得

                                                    • ポリシーおよび許可プロファイルで使用するように指定された属性の値の取得

                                                    ユーザを認証するために、Cisco ISE は LDAP サーバにバインド要求を送信します。 バインド要求には、ユーザの DN およびユーザ パスワードがクリア テキストで含まれています。 ユーザの DN およびパスワードが LDAP ディレクトリ内のユーザ名およびパスワードと一致した場合に、ユーザは認証されます。

                                                    Secure Sockets Layer(SSL)を使用して LDAP サーバへの接続を保護することを推奨します。

                                                    許可ポリシーで使用する LDAP グループおよび属性の取得

                                                    Cisco ISE は、ディレクトリ サーバでバインド操作を実行し、サブジェクトを検索および認証することによって、LDAP ID ソースに対してサブジェクト(ユーザまたはホスト)を認証できます。 認証が成功した後、Cisco ISE は要求された場合は常にサブジェクトに所属するグループおよび属性を取得できます。 Cisco ISE 管理者ポータルで取得されるように属性を設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] を選択します。 Cisco ISE は、これらのグループおよび属性を使用してサブジェクトを許可できます。

                                                    ユーザの認証または LDAP ID ソースの問い合わせを行うために、Cisco ISE は LDAP サーバに接続し、接続プールを保持します。

                                                    Active Directory が LDAP ストアとして設定されている場合は、グループ メンバーシップに関する次の制限事項に注意する必要があります。
                                                    • ユーザまたはコンピュータは、ポリシー条件でポリシー ルールに一致するように定義されたグループの直接的なメンバーである必要があります。

                                                    • 定義されたグループは、ユーザまたはコンピュータのプライマリ グループではない可能性があります。 この制限は、Active Directory が LDAP ストアとして設定されている場合にのみ適用されます。

                                                    LDAP グループ メンバーシップ情報の取得

                                                    ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、Cisco ISE は LDAP データベースからグループ メンバーシップ情報を取得する必要があります。 LDAP サーバは、サブジェクト(ユーザまたはホスト)とグループ間の関連付けを次の方法のいずれかで表します。

                                                    • グループがサブジェクトを参照:グループ オブジェクトには、サブジェクトを指定する属性が含まれています。 サブジェクトの識別子は、次のものとしてグループに供給できます。

                                                      • 識別名

                                                      • プレーン ユーザ名

                                                    • サブジェクトがグループを参照:サブジェクト オブジェクトには、所属するグループを指定する属性が含まれています。

                                                    LDAP ID ソースには、グループ メンバーシップ情報の取得のために次のパラメータが含まれています。

                                                    • [参照方向(Reference direction)]:このパラメータは、グループ メンバーシップを決定するときに使用する方法を指定します(グループからサブジェクトへまたはサブジェクトからグループへ)。

                                                    • [グループ マップ属性(Group Map Attribute)]:このパラメータは、グループ メンバーシップ情報を含む属性を示します。

                                                    • [グループ オブジェクト クラス(Group Object Class)]:このパラメータは、特定のオブジェクトがグループとして認識されることを決定します。

                                                    • [グループ検索サブツリー(Group Search Subtree)]:このパラメータは、グループ検索の検索ベースを示します。

                                                    • [メンバー タイプ オプション(Member Type Option)]:このパラメータは、グループ メンバー属性にメンバーが保存される方法を指定します(DN として、またはプレーン ユーザ名として)。

                                                    LDAP 属性の取得

                                                    ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、Cisco ISE は LDAP データベースからサブジェクト属性を取得する必要があります。 LDAP ID ソースのインスタンスごとに、ID ソース ディクショナリが作成されます。 これらのディレクトリでは、次のデータ型の属性がサポートされています。

                                                    • 文字列

                                                    • 符号なし 32 ビット整数

                                                    • IPv4 アドレス

                                                    符号なし整数および IPv4 属性の場合、Cisco ISE は取得した文字列を対応するデータ型に変換します。 変換が失敗した場合、または属性の値が取得されなかった場合、Cisco ISE ではデバッグ メッセージをロギングしますが、認証またはルックアップ プロセスは失敗しません。

                                                    変換が失敗した場合、または Cisco ISE で属性の値が取得されない場合に、Cisco ISE で使用できるデフォルトの属性値を任意で設定できます。

                                                    LDAP 証明書の取得

                                                    ユーザ ルックアップの一部として証明書取得を設定した場合、Cisco ISE は証明書属性の値を LDAP から取得する必要があります。 証明書属性の値を LDAP から取得するには、LDAP ID ソースの設定時に、アクセスする属性のリストで証明書属性をあらかじめ設定しておく必要があります。

                                                    LDAP サーバによって返されたエラー

                                                    次のエラーが認証プロセス中に発生する可能性があります。

                                                    • 認証エラー:Cisco ISE は、認証エラーを Cisco ISE ログ ファイルに記録します。

                                                      LDAP サーバがバインディング(認証)エラーを返す理由で考えられるのは、次のとおりです。

                                                      • パラメータ エラー:無効なパラメータが入力された

                                                      • ユーザ アカウントが制限されている(無効、ロックアウト、期限切れ、パスワード期限切れなど)

                                                      • 初期化エラー:LDAP サーバのタイムアウト設定を使用して、LDAP サーバでの接続または認証が失敗したと判断する前に Cisco ISE が LDAP サーバからの応答を待つ秒数を設定します。

                                                        LDAP サーバが初期化エラーを返す理由で考えられるのは、次のとおりです。

                                                        • LDAP がサポートされていない。

                                                        • サーバがダウンしている。

                                                        • サーバがメモリ不足である。

                                                        • ユーザに特権がない。

                                                        • 間違った管理者クレデンシャルが設定されている。

                                                    外部リソース エラーとして次のエラーがロギングされ、LDAP サーバで考えられる問題が示されます。

                                                    • 接続エラーが発生した

                                                    • タイムアウトが期限切れになった

                                                    • サーバがダウンしている

                                                    • サーバがメモリ不足である

                                                    未知ユーザ エラーとして次のエラーがロギングされます。

                                                    • データベースにユーザが存在しない

                                                    ユーザは存在するが送信されたパスワードが無効である場合、無効パスワード エラーとして次のエラーがロギングされます。

                                                    • 無効なパスワードが入力された

                                                    LDAP ユーザ ルックアップ

                                                    Cisco ISE は LDAP サーバを使用したユーザ ルックアップ機能をサポートしています。 この機能を使用すると、認証なしで LDAP データベース内のユーザを検索し、情報を取得できます。 ユーザ ルックアップ プロセスには次のアクションが含まれます。

                                                    • LDAP サーバでの、要求のユーザ名に一致するエントリの検索

                                                    • ポリシーで使用するユーザ グループ メンバーシップ情報の取得

                                                    • ポリシーおよび許可プロファイルで使用するように指定された属性の値の取得

                                                    LDAP MAC アドレス ルックアップ

                                                    Cisco ISE は MAC アドレス ルックアップ機能をサポートしています。 この機能を使用すると、認証なしで LDAP データベース内の MAC アドレスを検索し、情報を取得できます。 MAC アドレス ルックアップ プロセスには次のアクションが含まれます。

                                                    • デバイスの MAC アドレスと一致するエントリを見つけるための LDAP サーバの検索

                                                    • ポリシーで使用するデバイスの MAC アドレス グループ情報の取得

                                                    • ポリシーで使用する指定された属性の値の取得

                                                    LDAP ID ソースの追加

                                                    はじめる前に
                                                    • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                    • Cisco ISE は、許可ポリシーで使用するグループおよび属性を取得するためにプライマリ LDAP サーバを常に使用します。 このため、プライマリ LDAP サーバはこれらの項目を設定するときに到達可能である必要があります。

                                                    手順
                                                      ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] > [追加(Add)] を選択します。
                                                      ステップ 2   値を入力します。
                                                      ステップ 3   [送信(Submit)] をクリックして、LDAP インスタンスを作成します。

                                                      プライマリおよびセカンダリ LDAP サーバの設定

                                                      LDAP インスタンスを作成したら、プライマリ LDAP サーバに対する接続を設定する必要があります。 セカンダリ LDAP サーバの設定は、オプションです。

                                                      手順
                                                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] を選択します。
                                                        ステップ 2   編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                                                        ステップ 3   [接続(Connection)] タブをクリックして、プライマリおよびセカンダリ サーバを設定します。
                                                        ステップ 4   「LDAP ID ソースの設定」の説明に従って、値を入力します。
                                                        ステップ 5   [送信(Submit)] をクリックして接続パラメータを保存します。

                                                        LDAP サーバからの属性を取得するための Cisco ISE の有効化

                                                        Cisco ISE で LDAP サーバからユーザとグループのデータを取得するには、Cisco ISE で LDAP ディレクトリの詳細を設定する必要があります。 LDAP ID ソースでは、次の 3 つの検索が適用されます。

                                                        • 管理のためのグループ サブツリーのすべてのグループの検索

                                                        • ユーザを特定するためのサブジェクト サブツリーのユーザの検索

                                                        • ユーザが所属するグループの検索

                                                        手順
                                                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] を選択します。
                                                          ステップ 2   編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                                                          ステップ 3   [ディレクトリ構成(Directory Organization)] タブをクリックします。
                                                          ステップ 4   「LDAP ID ソースの設定」の説明に従って、値を入力します。
                                                          ステップ 5   [送信(Submit)] をクリックして設定を保存します。

                                                          LDAP サーバからのグループ メンバーシップ詳細の取得

                                                          新しいグループを追加するか、LDAP ディレクトリからグループを選択できます。

                                                          手順
                                                            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] を選択します。
                                                            ステップ 2   編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                                                            ステップ 3   [グループ(Groups)] タブをクリックします。
                                                            ステップ 4   [追加(Add)] > [グループの追加(Add Group)] を選択して新しいグループを追加するか、[追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)] を選択して LDAP ディレクトリからグループを選択します。
                                                            1. グループの追加を選択した場合は、新しいグループの名前を入力します。
                                                            2. ディレクトリから選択する場合は、フィルタ基準を入力し、[グループの取得(Retrieve Groups)] をクリックします。 検索条件には、アスタリスク(*)ワイルドカード文字を含めることができます。
                                                            ステップ 5   選択するグループの隣にあるチェックボックスをオンにし、[OK] をクリックします。

                                                            選択したグループが [グループ(Groups)] ページに表示されます。

                                                            ステップ 6   グループ選択を保存するには、[送信(Submit)] をクリックします。

                                                            LDAP サーバからのユーザ属性の取得

                                                            許可ポリシーで使用する LDAP サーバからユーザ属性を取得できます。

                                                            手順
                                                              ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] を選択します。
                                                              ステップ 2   編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                                                              ステップ 3   [属性(Attributes)] タブをクリックします。
                                                              ステップ 4   [追加(Add)] > [属性の追加(Add Attribute)] を選択して新しい属性を追加するか、[追加(Add)] > [ディレクトリから属性を選択(Select Attributes From Directory)] を選択して LDAP サーバから属性を選択します。
                                                              1. 属性を追加する場合は、新しい属性の名前を入力します。
                                                              2. ディレクトリから選択する場合は、例のユーザを入力し、[属性の取得(Retrieve Attributes)] をクリックしてユーザの属性を取得します。 アスタリスク(*)ワイルドカード文字を使用できます。
                                                              ステップ 5   選択する属性の隣にあるチェックボックスをオンにし、[OK] をクリックします。
                                                              ステップ 6   属性選択を保存するには、[送信(Submit)] をクリックします。

                                                              RADIUS トークン ID ソース

                                                              RADIUS プロトコルをサポートし、ユーザおよびデバイスに認証、許可、アカウンティング(AAA)サービスを提供するサーバは、RADIUS サーバと呼ばれます。 RADIUS ID ソースは、サブジェクトとそのクレデンシャルの集合を含み、通信に RADIUS プロトコルを使用する外部 ID ソースです。 たとえば、Safeword トークン サーバは、複数のユーザおよびそのクレデンシャルをワンタイム パスワードとして含めることができる ID ソースであり、Safeword トークン サーバによって提供されるインターフェイスでは、RADIUS プロトコルを使用して問い合わせることができます。

                                                              Cisco ISE では、RADIUS RFC 2865 準拠のいずれかのサーバが外部 ID ソースとしてサポートされています。 Cisco ISE では、複数の RADIUS トークン サーバ ID がサポートされています。たとえば、RSA SecurID サーバや SafeWord サーバなどです。 RADIUS ID ソースは、ユーザを認証するために使用される任意の RADIUS トークン サーバと連携できます。 RADIUS ID ソースでは、認証セッションにユーザ データグラム プロトコル(UDP)ポートが使用されます。 すべての RADIUS 通信に同じ UDP ポートが使用されます。

                                                              RADIUS トークン サーバでサポートされる認証プロトコル

                                                              Cisco ISE では、RADIUS ID ソースに対して次の認証プロトコルがサポートされています。

                                                              • RADIUS PAP

                                                              • 内部拡張認証プロトコル汎用トークン カード(EAP-GTC)を含む保護拡張認証プロトコル(PEAP)

                                                              • 内部 EAP-GTC を含む EAP-FAST

                                                              通信に RADIUS トークン サーバで使用されるポート

                                                              RADIUS トークン サーバでは、認証セッションに UDP ポートが使用されます。 このポートはすべての RADIUS 通信に使用されます。 Cisco ISE で RADIUS ワンタイム パスワード(OTP)メッセージを RADIUS 対応トークン サーバに送信するには、Cisco ISE と RADIUS 対応トークン サーバの間のゲートウェイ デバイスが、UDP ポートを介した通信を許可するように設定されている必要があります。 UDP ポートは、管理者ポータルを介して設定できます。

                                                              RADIUS 共有秘密

                                                              Cisco ISE で RADIUS ID ソースを設定するときに、共有秘密を指定する必要があります。 この共有秘密情報は、RADIUS トークン サーバ上で設定されている共有秘密情報と同一である必要があります。

                                                              RADIUS トークン サーバでのフェールオーバー

                                                              Cisco ISE では、複数の RADIUS ID ソースを設定できます。 各 RADIUS ID ソースには、プライマリとセカンダリの RADIUS サーバを指定できます。 Cisco ISE からプライマリ サーバに接続できない場合は、セカンダリ サーバが使用されます。

                                                              RADIUS トークン サーバの設定可能なパスワード プロンプト

                                                              RADIUS ID ソースでは、パスワード プロンプトを設定できます。 パスワード プロンプトは、管理者ポータルを介して設定できます。

                                                              RADIUS トークン サーバのユーザ認証

                                                              Cisco ISE は、ユーザ クレデンシャル(ユーザ名とパスコード)を取得し、RADIUS トークン サーバに渡します。 また、Cisco ISE は RADIUS トークン サーバ認証処理の結果をユーザに中継します。

                                                              RADIUS トークン サーバのユーザ属性キャッシュ

                                                              RADIUS トークン サーバでは、デフォルトではユーザ ルックアップはサポートされていません。 ただし、ユーザ ルックアップは次の Cisco ISE 機能に不可欠です。

                                                              • PEAP セッション再開:この機能によって、認証の成功後、EAP セッションの確立中に PEAP セッションを再開できます。

                                                              • EAP/FAST 高速再接続:この機能によって、認証の成功後、EAP セッションの確立中に高速再接続が可能になります。

                                                              Cisco ISE では、これらの機能のユーザ ルックアップ要求を処理するために、成功した認証の結果がキャッシュされます。 成功した認証すべてについて、認証されたユーザの名前と取得された属性がキャッシュされます。 失敗した認証はキャッシュに書き込まれません。

                                                              キャッシュは、実行時にメモリで使用可能であり、分散展開の Cisco ISE ノード間で複製されません。 管理者ポータルを介してキャッシュの存続可能時間(TTL)制限を設定できます。 ID キャッシング オプションを有効にし、エージング タイムを分単位で設定する必要があります。 指定した時間、キャッシュはメモリで使用可能です。

                                                              ID 順序での RADIUS ID ソース

                                                              ID ソース順序で認証順序用の RADIUS ID ソースを追加できます。 ただし、属性取得順序用の RADIUS ID ソースを追加することはできません。これは、認証しないで RADIUS ID ソースを問い合わせることはできないためです。 RADIUS サーバによる認証中、Cisco ISE では異なるエラーを区別できません。 すべてのエラーに対して RADIUS サーバから Access-Reject メッセージが返されます。 たとえば、RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは User Unknown ステータスの代わりに Access-Reject メッセージが返されます。

                                                              RADIUS サーバがすべてのエラーに対して同じメッセージを返す

                                                              RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは Access-Reject メッセージが返されます。 Cisco ISE では、管理者ポータルを使用してこのメッセージを [認証失敗(Authentication Failed)] メッセージまたは [ユーザが見つからない(User Not Found)] メッセージとして設定するためのオプションを使用できます。 ただし、このオプションを使用すると、ユーザが未知の状況だけでなく、すべての失敗状況に対して [ユーザが見つからない(User Not Found)] メッセージが返されます。

                                                              次の表は、RADIUS ID サーバで発生するさまざまな失敗状況を示しています。

                                                              表 4 エラー処理

                                                              失敗状況

                                                              失敗の理由

                                                              認証に失敗

                                                              • ユーザが未知である。

                                                              • ユーザが不正なパスコードでログインしようとしている。

                                                              • ユーザ ログイン時間が期限切れになった。

                                                              プロセスの失敗

                                                              • RADIUS サーバが Cisco ISE で正しく設定されていない。

                                                              • RADIUS サーバが使用できない。

                                                              • RADIUS パケットが偽装として検出されている。

                                                              • RADIUS サーバとのパケットの送受信の問題。

                                                              • タイムアウト。

                                                              不明なユーザ

                                                              認証が失敗し、[拒否で失敗(Fail on Reject)] オプションが false に設定されている。

                                                              Safeword サーバでサポートされる特別なユーザ名の形式

                                                              Safeword トークン サーバでは、次のユーザ名フォーマットでの認証がサポートされています。

                                                              ユーザ名:Username, OTP

                                                              Cisco ISE では、認証要求を受信するとすぐにユーザ名が解析され、次のユーザ名に変換されます。

                                                              ユーザ名:Username

                                                              Safeword トークン サーバでは、これらの両方のフォーマットがサポートされています。 Cisco ISE はさまざまなトークン サーバと連携します。 SafeWord サーバを設定する場合、Cisco ISE でユーザ名を解析して指定のフォーマットに変換するには、管理者ポータルで [SafeWord サーバ(SafeWord Server)] チェックボックスをオンにする必要があります。 この変換は、要求が RADIUS トークン サーバに送信される前に、RADIUS トークン サーバ ID ソースで実行されます。

                                                              RADIUS トークン サーバでの認証要求と応答

                                                              Cisco ISE が RADIUS 対応トークン サーバに認証要求を転送する場合、RADIUS 認証要求には次の属性が含まれます。

                                                              • User-Name(RADIUS 属性 1)

                                                              • User-Password(RADIUS 属性 2)

                                                              • NAS-IP-Address(RADIUS 属性 4)

                                                              Cisco ISE は次の応答のいずれかを受信すると想定されます。

                                                              • Access-Accept:属性は必要ありませんが、応答には RADIUS トークン サーバの設定に基づいてさまざまな属性が含まれる場合があります。

                                                              • Access-Reject:属性は必要ありません。

                                                              • Access-Challenge:RADIUS RFC ごとに必要な属性は次のとおりです。

                                                                • State(RADIUS 属性 24)

                                                                • Reply-Message(RADIUS 属性 18)

                                                                • 次の 1 つ以上の属性:Vendor-Specific、Idle-Timeout(RADIUS 属性 28)、Session-Timeout(RADIUS 属性 27)、Proxy-State(RADIUS 属性 33)

                                                                  Access-Challenge ではそれ以外の属性は使用できません。

                                                              RADIUS トークン サーバの追加

                                                              はじめる前に

                                                              次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                              手順
                                                                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RADIUS トークン(RADIUS Token)] > [追加(Add)] を選択します。
                                                                ステップ 2   [一般(General)] タブおよび [接続(Connection)] タブに値を入力します。
                                                                ステップ 3   [認証(Authentication)] タブをクリックします。

                                                                このタブでは、RADIUS トークン サーバからの Access-Reject メッセージへの応答を制御できます。 この応答は、クレデンシャルが無効であること、またはユーザが不明であることのいずれかを意味する場合があります。 Cisco ISE は、認証失敗か、またはユーザが見つからないかのいずれかの応答を受け入れます。 このタブでは、ID キャッシングを有効にし、キャッシュのエージング タイムを設定することもできます。 パスワードを要求するプロンプトを設定することもできます。

                                                                1. RADIUS トークン サーバからの Access-Reject 応答を認証失敗として処理する場合は、[拒否を「認証失敗」として処理(Treat Rejects as 'authentication failed')] オプション ボタンをクリックします。
                                                                2. RADIUS トークン サーバからの Access-Reject 応答を未知ユーザ エラーとして処理する場合は、[拒否を「ユーザが見つからない」として処理(Treat Rejects as 'user not found')] オプション ボタンをクリックします。
                                                                ステップ 4   [許可(Authorization)] タブをクリックします。

                                                                このタブでは、Cisco ISE への Access-Accept 応答を送信中に RADIUS トークン サーバによって返されるこの単一の属性に対して表示される名前を設定できます。 この属性は、許可ポリシー条件で使用できます。 [属性名 ACS(Attribute Name ACS)] フィールドに、この属性の名前を入力します。 デフォルト値は CiscoSecure-Group-Id です。

                                                                ステップ 5   [送信(Submit)] をクリックして RADIUS トークン ID ソースを保存します。

                                                                RADIUS トークン サーバの削除

                                                                はじめる前に
                                                                • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                • ID ソース順序に含まれる RADIUS トークン サーバを選択していないことを確認します。 ID ソース順序に含まれる RADIUS トークン サーバを削除用に選択した場合、削除操作は失敗します。

                                                                手順
                                                                  ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RADIUS トークン(RADIUS Token)] を選択します。
                                                                  ステップ 2   削除する RADIUS トークン サーバの隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。
                                                                  ステップ 3   [OK] をクリックして、選択した RADIUS トークン サーバを削除します。

                                                                  削除する RADIUS トークン サーバを複数選択し、その 1 つが ID ソース順序で使用されている場合、削除操作は失敗し、いずれの RADIUS トークン サーバも削除されません。


                                                                  RSA ID ソース

                                                                  Cisco ISE では、外部データベースとして RSA SecurID サーバがサポートされています。 RSA SecurID の 2 要素認証は、ユーザの PIN と、タイム コード アルゴリズムに基づいて使い捨てのトークン コードを生成する個別に登録された RSA SecurID トークンで構成されます。 異なるトークン コードが固定間隔(通常は 30 または 60 秒ごと)で生成されます。 RSA SecurID サーバでは、この動的な認証コードが検証されます。 各 RSA SecurID トークンは固有であり、過去のトークンに基づいて将来のトークンの値を予測することはできません。 そのため、正しいトークン コードが PIN とともに提示された場合、その人が有効なユーザである確実性が高くなります。 したがって、RSA SecurID サーバでは、従来の再利用可能なパスワードよりも信頼性の高い認証メカニズムが提供されます。

                                                                  Cisco ISE では、次の RSA ID ソースがサポートされています。

                                                                  • RSA ACE/Server 6.x シリーズ

                                                                  • RSA Authentication Manager 7.x および 8.0 シリーズ

                                                                  次のいずれかの方法で、RSA SecurID 認証テクノロジーと統合できます。

                                                                  • RSA SecurID エージェントの使用:ユーザは、RSA のネイティブ プロトコルによってユーザ名およびパスコードで認証されます。

                                                                  • RADIUS プロトコルの使用:ユーザは、RADIUS プロトコルによってユーザ名およびパスコードで認証されます。

                                                                  Cisco ISE の RSA SecurID トークン サーバは、RSA SecurID 認証テクノロジーと RSA SecurID エージェントを使用して接続します。

                                                                  Cisco ISE では、1 つの RSA 領域だけがサポートされています。

                                                                  Cisco ISE と RSA SecurID サーバの統合

                                                                  Cisco ISE と RSA SecurID サーバを接続するには、次の 2 つの管理ロールが必要です。

                                                                  • RSA サーバ管理者:RSA システムおよび統合を設定および維持します

                                                                  • Cisco ISE 管理者:Cisco ISE を RSA SecurID サーバに接続するように設定し、設定を維持します

                                                                  ここでは、Cisco ISE に RSA SecurID サーバを外部 ID ソースとして接続するために必要なプロセスについて説明します。 RSA サーバについての詳細は、RSA に関するドキュメントを参照してください。

                                                                  Cisco ISE の RSA 設定

                                                                  RSA 管理システムでは sdconf.rec ファイルが生成されます。このファイルは RSA システム管理者によって提供されます。 このファイルを使用すると、Cisco ISE サーバを領域内の RSA SecurID エージェントとして追加できます。 このファイルを参照して Cisco ISE に追加する必要があります。 プライマリ Cisco ISE サーバは、複製のプロセスによってこのファイルをすべてのセカンダリ サーバに配布します。

                                                                  RSA SecurID サーバに対する RSA エージェント認証

                                                                  sdconf.rec ファイルがすべての Cisco ISE サーバにインストールされると、RSA エージェント モジュールが初期化され、RSA 生成のクレデンシャルによる認証が各 Cisco ISE サーバで実行されます。 展開内の各 Cisco ISE サーバ上のエージェントが正常に認証されると、RSA サーバとエージェント モジュールは securid ファイルをダウンロードします。 このファイルは Cisco ISE ファイル システムに存在し、RSA エージェントによって定義された既知の場所にあります。

                                                                  分散 Cisco ISE 環境の RSA ID ソース

                                                                  分散 Cisco ISE 環境で RSA ID ソースを管理するには、次の操作が必要です。

                                                                  • sdconf.rec および sdopts.rec ファイルのプライマリ サーバからセカンダリ サーバへの配布。

                                                                  • securid および sdstatus.12 ファイルの削除。

                                                                  Cisco ISE 展開の RSA サーバの更新

                                                                  Cisco ISE で sdconf.rec ファイルを追加した後、RSA サーバを廃止する場合、または新しい RSA セカンダリ サーバを追加する場合、RSA SecurID 管理者は sdconf.rec ファイルを更新することがあります。 更新されたファイルは RSA SecurID 管理者によって提供されます。 更新されたファイルによって Cisco ISE を再設定できます。 Cisco ISE では、更新されたファイルが複製プロセスによって展開内のセカンダリ Cisco ISE サーバに配布されます。 Cisco ISE では、まずファイル システムのファイルを更新し、RSA エージェント モジュールに合わせて調整して再起動プロセスを適切に段階的に行います。 sdconf.rec ファイルが更新されると、sdstatus.12 および securid ファイルがリセット(削除)されます。

                                                                  自動 RSA ルーティングの上書き

                                                                  領域内に複数の RSA サーバを持つことができます。 sdopts.rec ファイルはロード バランサの役割を果たします。 Cisco ISE サーバと RSA SecurID サーバはエージェント モジュールを介して動作します。 Cisco ISE に存在するエージェント モジュールは、領域内の RSA サーバを最大限に利用するためにコストベースのルーティング テーブルを保持します。 ただし、領域の各 Cisco ISE サーバの手動設定を使用してこのルーティングを上書きするには、管理者ポータルで sdopts.rec と呼ばれるテキスト ファイルを使用します。 このファイルの作成方法については、RSA に関するドキュメントを参照してください。

                                                                  RSA ノード秘密リセット

                                                                  securid ファイルは秘密ノード キー ファイルです。 RSA が最初に設定されると、RSA では秘密を使用してエージェントが検証されます。 Cisco ISE に存在する RSA エージェントが RSA サーバに対して初めて正常に認証されると、securid と呼ばれるファイルがクライアント マシン上に作成され、このファイルを使用して、マシン間で交換されるデータが有効であることが確認されます。 展開内の特定の Cisco ISE サーバまたはサーバのグループから securid ファイルを削除する必要がある場合があります(たとえば、RSA サーバでのキーのリセット後など)。 レルムに対する Cisco ISE サーバからこのファイルを削除するには、Cisco ISE 管理者ポータルを使用できます。 Cisco ISE の RSA エージェントが次回正常に認証されたとき、新しい securid ファイルが作成されます。


                                                                  (注)  


                                                                  ISE 1.2 へのアップグレード後に認証が失敗した場合、RSA 秘密をリセットする必要があります。


                                                                  この注はまだ必要ですか???

                                                                  RSA の自動可用性のリセット

                                                                  sdstatus.12 ファイルは、領域内の RSA サーバのアベイラビリティに関する情報を提供します。 たとえば、いずれのサーバがアクティブで、いずれのサーバがダウンしているかに関する情報を提供します。 エージェント モジュールは領域内の RSA サーバと連携して、このアベイラビリティ ステータスを維持します。 この情報は、sdstatus.12 ファイルに連続的に表示されます。このファイルは、Cisco ISE ファイル システムの既知の場所に供給されます。 このファイルは古くなり、現在のステータスが反映されていないことがあります。 その場合、現在のステータスが反映されるように、このファイルを削除する必要があります。 特定のレルムに対する固有の Cisco ISE サーバからファイルを削除するには、管理者ポータルを使用できます。 Cisco ISE は RSA エージェントに合わせて調整して、再起動が正しく段階的に行われるようにします。

                                                                  アベイラビリティ ファイル sdstatus.12 は、securid ファイルがリセットされるか、sdconf.rec または sdopts.rec ファイルが更新されるたびに削除されます。

                                                                  RSA ID ソースの追加

                                                                  RSA ID ソースを作成するには、RSA コンフィギュレーション ファイル(sdconf.rec)をインポートする必要があります。 RSA 管理者から sdconf.rec ファイルを取得する必要があります。 このタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                  RSA ID ソースを追加するには、次のタスクを実行します。

                                                                  RSA コンフィギュレーション ファイルのインポート

                                                                  Cisco ISE に RSA ID ソースを追加するには、RSA コンフィギュレーション ファイルをインポートする必要があります。

                                                                  手順
                                                                    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] > [追加(Add)] を選択します。
                                                                    ステップ 2   [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから新しい sdconf.rec ファイルまたは更新された sdconf.rec ファイルを選択します。

                                                                    初めて RSA ID ソースを作成する場合、[新しい sdconf.rec ファイルのインポート(Import new sdconf.rec file)] フィールドは必須フィールドです。 これ以降は、既存の sdconf.rec ファイルを更新されたファイルで置き換えることができますが、既存のファイルの置き換えは任意です。

                                                                    ステップ 3   サーバのタイムアウト値を秒単位で入力します。 Cisco ISE はタイムアウトになる前に、指定された秒数 RSA サーバからの応答を待ちます。 この値には、1 ~ 199 の任意の整数を指定できます。 デフォルト値は、30 秒です。
                                                                    ステップ 4   PIN が変更された場合に強制的に再認証するには、[変更 PIN で再認証(Reauthenticate on Change PIN)] チェックボックスをオンにします。
                                                                    ステップ 5   [保存(Save)] をクリックします。 Cisco ISE は、次のシナリオもサポートします。
                                                                    • Cisco ISE サーバのオプション ファイルの設定および SecurID ファイルと sdstatus.12 ファイルのリセット。

                                                                    • RSA ID ソースの認証制御オプションの設定。


                                                                    Cisco ISE サーバのオプション ファイルの設定および SecurID ファイルと sdstatus.12 ファイルのリセット

                                                                    手順
                                                                      ステップ 1   Cisco ISE サーバにログインします。
                                                                      ステップ 2   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] > [追加(Add)] を選択します。
                                                                      ステップ 3   [RSA インスタンス ファイル(RSA Instance Files)] タブをクリックします。

                                                                      このページには、展開内のすべての Cisco ISE サーバの sdopts.rec servers ファイルが一覧表示されます。

                                                                      ステップ 4   特定の Cisco ISE サーバの sdopts.rec ファイルの横にあるオプション ボタンをクリックし、[オプション ファイルの更新(Update Options File)] をクリックします。

                                                                      [現在のファイル(Current File)] 領域に既存のファイルが表示されます。

                                                                      ステップ 5   次のいずれかを選択します。
                                                                      • [RSA エージェントが保持する自動ロード バランシング ステータスを使用(Use the Automatic Load Balancing status maintained by the RSA agent)]:RSA エージェントでロード バランシングを自動的に管理する場合は、このオプションを選択します。

                                                                      • [次で選択された sdopts.rec ファイルで自動ロード バランシング ステータスを上書き(Override the Automatic Load Balancing status with the sdopts.rec file selected below)]:特定のニーズに基づいて手動でロード バランシングを設定する場合は、このオプションを選択します。 このオプションを選択する場合は、[参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから新しい sdopts.rec ファイルを選択する必要があります。

                                                                      ステップ 6   [OK] をクリックします。
                                                                      ステップ 7   Cisco ISE サーバに対応する行をクリックして、そのサーバの securid および sdstatus.12 ファイルをリセットします。
                                                                      1. ドロップダウン矢印をクリックし、[securid ファイルのリセット(Reset securid File)] 列と [sdstatus.12 ファイルのリセット(Reset sdstatus.12 File)] 列の [送信で削除(Remove on Submit)] を選択します。
                                                                        (注)     

                                                                        [sdstatus.12 ファイルのリセット(Reset sdstatus.12 File)] フィールドはユーザのビューから非表示になっています。 このフィールドを表示するには、最も内側のフレームで垂直および水平スクロール バーを使用して、下にスクロールし、次に右にスクロールします。

                                                                      2. この行で [保存(Save)] をクリックして変更を保存します。
                                                                      ステップ 8   [保存(Save)] をクリックします。

                                                                      RSA ID ソースの認証制御オプションの設定

                                                                      Cisco ISE がどのように認証失敗を定義し、ID キャッシングを有効にするかを指定できます。 RSA ID ソースでは、「認証失敗」エラーと「ユーザが見つからない」エラーは区別されず、Access-Reject 応答が送信されます。

                                                                      Cisco ISE で、要求の処理および失敗のレポート中に、これらの失敗をどのように処理するかを定義できます。 ID キャッシングによって、Cisco ISE では、Cisco ISE サーバに対して認証に失敗した要求を 2 回目に処理できます。 前の認証から取得された結果および属性を、キャッシュで利用できます。

                                                                      手順
                                                                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] > [追加(Add)] を選択します。
                                                                        ステップ 2   [認証制御(Authentication Control)] タブをクリックします。
                                                                        ステップ 3   次のいずれかを選択します。
                                                                        • [拒否を「認証失敗」として処理(Treat Rejects as "authentication failed")]:拒否された要求を認証失敗として処理する場合は、このオプションを選択します。

                                                                        • [拒否を「ユーザが見つからない」として処理(Treat Rejects as "user not found")]:拒否された要求をユーザが見つからないエラーとして処理する場合は、このオプションを選択します。

                                                                        ステップ 4   [保存(Save)] をクリックして、設定を保存します。

                                                                        RSA プロンプトの設定

                                                                        Cisco ISE では、RSA SecurID サーバに送信される要求の処理中にユーザに表示される RSA プロンプトを設定できます。

                                                                        はじめる前に

                                                                        次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                        手順
                                                                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] を選択します。
                                                                          ステップ 2   [プロンプト(Prompts)] をクリックします。
                                                                          ステップ 3   「RSA SecurID ID ソースの設定」の説明に従って、値を入力します。
                                                                          ステップ 4   [送信(Submit)] をクリックします。

                                                                          RSA メッセージの設定

                                                                          Cisco ISE では、RSA SecurID サーバに送信される要求の処理中にユーザに表示されるメッセージを設定できます。

                                                                          はじめる前に

                                                                          次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                          手順
                                                                            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] を選択します。
                                                                            ステップ 2   [プロンプト(Prompts)] をクリックします。
                                                                            ステップ 3   [メッセージ(Messages)] タブをクリックします。
                                                                            ステップ 4   「RSA SecurID ID ソースの設定」の説明に従って、値を入力します。
                                                                            ステップ 5   [送信(Submit)] をクリックします。

                                                                            ID ソース順序

                                                                            ID ソース順序は、Cisco ISE がそれぞれ異なるデータベース内でユーザ クレデンシャルを検索する順序を定義します。 Cisco ISE では次の ID ソースがサポートされます。

                                                                            • 内部ユーザ

                                                                            • ゲスト ユーザ

                                                                            • Active Directory

                                                                            • LDAP

                                                                            • RSA

                                                                            • RADIUS トークン サーバ

                                                                            • 証明書認証プロファイル

                                                                            Cisco ISE に接続されている 2 つ以上のデータベースにユーザ情報がある場合、Cisco ISE でこれらの ID ソース内の情報を検索する順序を定義できます。 一致が見つかると、Cisco ISE はそれ以上の検索を行いませんが、クレデンシャルを評価し、ユーザに結果を返します。 このポリシーは最初の一致ポリシーです。

                                                                            ID ソース順序の作成

                                                                            はじめる前に

                                                                            Cisco ISE に外部 ID ソースを設定していることを確認します。

                                                                            次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                            ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

                                                                            手順
                                                                              ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。
                                                                              ステップ 2   ID ソース順序の名前を入力します。 また、任意で説明を入力できます。
                                                                              ステップ 3   [証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを選択します。
                                                                              ステップ 4   [選択済み(Selected)] リスト ボックスの ID ソース順序に含めるデータベースを選択します。
                                                                              ステップ 5   Cisco ISE がデータ ベースを検索する順序に [選択済み(Selected)] リストのデータベースを並べ替えます。
                                                                              ステップ 6   [高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。
                                                                              • [順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が検索を中止する場合。

                                                                              • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

                                                                                Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

                                                                              ステップ 7   [送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

                                                                              ID ソース順序の削除

                                                                              ポリシーで今後使用しない ID ソース順序を削除できます。

                                                                              はじめる前に
                                                                              • 削除する ID ソース順序がいずれの認証ポリシーでも使用されていないことを確認してください。

                                                                              • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                                              手順
                                                                                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] を選択します。
                                                                                ステップ 2   削除する ID ソース順序の隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。
                                                                                ステップ 3   [OK] をクリックして ID ソース順序を削除します。

                                                                                レポートでの ID ソースの詳細

                                                                                Cisco ISE は認証ダッシュレットおよび ID ソース レポートで ID ソースに関する情報を提供します。

                                                                                [認証(Authentications)] ダッシュレット

                                                                                [認証(Authentications)] ダッシュレットから、障害の理由などの詳細情報にドリルダウンできます。

                                                                                次の図に、[認証(Authentications)] ページを示し、詳細にドリルダウンする場合にクリックする必要がある虫眼鏡アイコンを強調表示します。

                                                                                図 1. [認証(Authentications)] ページ

                                                                                ID ソース レポート

                                                                                Cisco ISE は ID ソースに関する情報を含むさまざまなレポートを提供します。 これらのレポートの詳細については、「使用可能なレポート」の項を参照してください。