Cisco Identity Services Engine 管理者ガイド リリース 1.3
操作のユーザ インターフェイスのリファレンス
操作のユーザ インターフェイスのリファレンス

操作のユーザ インターフェイスのリファレンス

最近の RADIUS 認証

次の表では、最近の RADIUS 認証を表示する [認証(Authentications)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [認証(Authentications)] > [ライブ認証の表示(Show Live Authentication)] です。

表 1 ライブ認証

オプション

使用上のガイドライン

時刻(Time)

モニタリングおよびトラブルシューティング収集エージェントがログを受信した時刻を表示します。 このカラムは必須です。選択解除することはできません。

ステータス(Status)

認証が成功したか失敗したかを示します。 このカラムは必須です。選択解除することはできません。 緑色は認証が成功したことを示します。 赤色は認証が失敗したことを示します。

詳細(Details)

虫眼鏡アイコンをクリックすると、選択した認証シナリオをドリルダウンし、詳細情報を確認できるレポートが表示されます。 このカラムは必須です。選択解除することはできません。

リピート カウンタ(Repeat Counter)

ID、ネットワーク デバイス、および許可のコンテキストで変更がなく、直近の 24 時間で認証要求が繰り返された回数を表示します。

繰り返し回数のリセット

すべてのエンドポイントに対して再試行オプションをリセットする場合にクリックします。

ID(Identity)

認証に関連付けられたユーザ名を表示します。

エンドポイント ID(Endpoint ID)

エンドポイントの固有識別子を表示します。通常は MAC または IP アドレスです。

エンドポイント プロファイル(Endpoint Profile)

プロファイリングされるエンドポイントのタイプを示します(たとえば、iPhone、Android、MacBook、Xbox になるようにプロファイリングされます)。

認証ポリシー(Authentication policy)

特定の認証に選択されているポリシーの名前を表示します。

IP アドレス(IP Address)

エンドポイント デバイスの IP アドレスを表示します。

ネットワーク デバイス(Network Device)

ネットワーク アクセス デバイスの IP アドレスを表示します。

デバイス ポート(Device Port)

エンドポイントが接続されているポート番号を表示します。

許可プロファイル(Authorization Profiles)

認証に使用された許可プロファイルを表示します。

ID グループ(Identity Group)

ログの生成対象となるユーザまたはエンドポイントに割り当てられる ID グループを表示します。

ポスチャ ステータス(Posture Status)

ポスチャ検証のステータスと認証の詳細を表示します。

イベント(Event)

イベント ステータスを表示します。

失敗の理由(Failure Reason)

認証が失敗した場合、その失敗の詳細な理由を表示します。

認証方式(Auth Method)

Microsoft Challenge Handshake Authentication Protocol Version 2(MS-CHAPv2)、IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。

認証プロトコル(Authentication Protocol)

保護拡張認証プロトコル(PEAP)や拡張認証プロトコル(EAP)など、使用される認証プロトコルを表示します。

セキュリティ グループ(Security Group)

認証ログによって識別されるグループを表示します。

サーバ(Server)

ログの生成元になったポリシー サービスが示されます。

セッション ID(Session ID)

セッション ID を表示します。

ライブ セッションの表示

次の表では、ライブ認証セッションが表示される [ライブ セッション(live sessions)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [認証(Authentications)] > [ライブ セッションの表示(Show Live Sessions)] です。

表 2 ライブ セッション

フィールド

説明

開始(Initiated)

認証セッションが開始されたタイムスタンプを表示します。

更新(Updated)

CoA アクションなど何らかの変更のためにセッションが最後に更新されたタイム スタンプを表示します。

アカウント セッション時間(Account Session Time)

ユーザ セッションの期間(秒単位)を表示します。

セッション ステータス(Session Status)

エンドポイント デバイスの現在のステータスを表示します。

CoA アクション(CoA Action)

アクティブな RADIUS セッションの許可を動的に変更する場合や、アクティブな RADIUS セッションの接続を解除する場合には、これを使用します。

繰り返し回数(Repeat Count)

セッションが再試行された回数を表示します。

エンドポイント ID(Endpoint ID)

エンドポイントの固有識別子を表示します。通常は MAC または IP アドレスです。

ID(Identity)

エンドポイント デバイスのユーザ名を表示します。

IP アドレス(IP Address)

エンドポイント デバイスの IP アドレスを表示します。

監査セッション ID(Audit Session ID)

NAS によって提供される一意のセッション ID を表示します。

アカウント セッション ID(Account Session ID)

NAS によって提供される一意の ID を表示します。

エンドポイント プロファイル(Endpoint Profile)

デバイスのエンドポイント プロファイルを表示します。

ポスチャ ステータス(Posture Status)

ポスチャ検証のステータスと認証の詳細を表示します。

セキュリティ グループ(Security Group)

認証ログによって識別されるグループを表示します。

サーバ(Server)

ログの生成元になったポリシー サービスが示されます。

認証方式(Auth Method)

パスワード認証プロトコル(PAP)、チャレンジ ハンドシェイク認証プロトコル(CHAP)、IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。

認証プロトコル(Authentication Protocol)

保護拡張認証プロトコル(PEAP)や拡張認証プロトコル(EAP)など、使用される認証プロトコルを表示します。

NAS IP アドレス(NAS IP Address)

ネットワーク デバイスの IP アドレスを表示します。

デバイス ポート(Device Port)

ネットワーク デバイスに接続されたポートを表示します。

PRA アクション(PRA Action)

ネットワークでのコンプライアンスのためにクライアントが正常にポスチャされた後、そのクライアントで実行される定期的な再評価アクションを表示します。

EPS ステータス(EPS Status)

[隔離(Quarantine)]、[隔離解除(Unquarantine)]、または [シャットダウン(Shutdown)] としてデバイスのエンドポイント保護サービスのステータスを表示します。

WLC ローミング(WLC Roam)

エンドポイントがローミング中に WLC 間でハンドオフされたことを追跡するために使用されるブール値(Y/N)を表示します。 cisco-av-pair=nas-update の値は Y または N です。

パケット入力(Packets In)

受信したパケットの数を表示します。

パケット出力(Packets Out)

送信したパケットの数を表示します。

受信バイト数(Bytes In)

受信したバイト数を表示します。

送信バイト数(Bytes Out)

送信したバイト数を表示します。

セッション送信元(Session Source)

エンドポイントが RADIUS で認証されたか、ID マッピングで認証されたかを表示します。

診断ツール

RADIUS 認証のトラブルシューティングの設定

次の表では、RADIUS 認証の問題を認識し、解決できる [RADIUS 認証のトラブルシューティング(RADIUS authentication troubleshooting)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証のトラブルシューティング(RADIUS Authentication Troubleshooting)] です。

表 3 RADIUS 認証のトラブルシューティングの設定

オプション

使用上のガイドライン

ユーザ名(Username)

認証をトラブルシューティングするユーザのユーザ名を入力します。

MAC アドレス(MAC Address)

トラブルシューティングするデバイスの MAC アドレスを入力します。

監査セッション ID(Audit Session ID)

トラブルシューティングする監査セッション ID を入力します。

NAS IP

NAS の IP アドレスを入力します。

NAS ポート(NAS Port)

NAS のポート番号を入力します。

認証状況(Authentication Status)

RADIUS 認証のステータスを選択します。

失敗の理由(Failure Reason)

失敗理由を入力するか、または [選択(Select)] をクリックしてリストから失敗理由を選択します。 失敗理由をクリアするには、[クリア(Clear)] をクリックします。

時間範囲(Time Range)

時間範囲を選択します。 この時間範囲に作成された RADIUS 認証レコードが使用されます。

開始日時(Start Date-Time)

[時間範囲(Time Range)] として [カスタム(Custom)] を選択した場合は、開始日時を入力するか、またはカレンダ アイコンをクリックして開始日時を選択します。 日付は mm/dd/yyyy 形式、時刻は hh:mm 形式である必要があります。

終了日時(End Date-Time)

[時間範囲(Time Range)] として [カスタム(Custom)] を選択した場合は、終了日時を入力するか、またはカレンダ アイコンをクリックして終了日時を選択します。 日付は mm/dd/yyyy 形式、時刻は hh:mm 形式である必要があります。

レコード数の取得(Fetch Number of Records)

取得するレコードの数をドロップダウン リストから選択します。10、20、50、100、200、または 500 を選択できます。

ネットワーク デバイス コマンドの実行の設定

次の表では、[ネットワーク デバイス コマンドの実行(Execute Network Device Command)] ページのフィールドについて説明します。これらのフィールドを使用して、ネットワーク デバイス上で show コマンドを実行します。 このページのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ネットワーク デバイスの実行(Execute Network Device)] です。

表 4 ネットワーク デバイス コマンドの実行の設定

オプション

使用上のガイドライン

情報の入力

ネットワーク デバイス IP(Network Device IP)

コマンドを実行するネットワーク デバイスの IP アドレスを入力します。

コマンド(Command)

show コマンドを入力します。

設定バリデータの評価の設定

次の表では、[設定バリデータの評価(Evaluate Configuration Validator)] ページのフィールドについて説明します。これらのフィールドを使用してネットワーク デバイスの設定を評価して、設定の問題を特定します。 このページのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定バリデータの評価(Evaluate Configuration Validator)] です。

表 5 設定バリデータの評価の設定

オプション

使用上のガイドライン

情報の入力

ネットワーク デバイス IP(Network Device IP)

設定を評価するネットワーク デバイスの IP アドレスを入力します。

推奨テンプレートと比較する設定項目を、次のうちから選択します。

AAA

このオプションは、デフォルトで選択されます。

RADIUS

このオプションは、デフォルトで選択されます。

デバイス検出(Device Discovery)

このオプションは、デフォルトで選択されます。

ログ(Logging)

このオプションは、デフォルトで選択されます。

Web 認証(Web Authentication)

Web 認証の設定を比較する場合にこのチェックボックスをオンにします。

プロファイラ設定(Profiler Configuration)

プロファイラの設定を比較する場合にこのチェックボックスをオンにします。

TrustSec

TrustSec 設定を比較する場合にこのチェックボックスをオンにします。

802.1X

802.1X 設定を比較する場合にこのチェックボックスをオンにします。使用可能ないずれかのオプションを選択します。

ポスチャのトラブルシューティングの設定

次の表では、ネットワーク内のポスチャ問題の検出と解決に使用する [ポスチャのトラブルシューティング(Posture troubleshooting)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)] です。

表 6 ポスチャのトラブルシューティングの設定

オプション

使用上のガイドライン

トラブルシューティングが必要なポスチャ イベントの検索と選択

ユーザ名(Username)

フィルタリング基準として使用するユーザ名を入力します。

MAC アドレス(MAC Address)

フィルタリング基準として使用する MAC アドレスを、xx-xx-xx-xx-xx-xx 形式で入力します。

ポスチャ ステータス(Posture Status)

フィルタリング基準として使用する認証ステータスを選択します。

失敗の理由(Failure Reason)

失敗理由を入力するか、または [選択(Select)] をクリックしてリストから失敗理由を選択します。 失敗理由をクリアするには、[クリア(Clear)] をクリックします。

時間範囲(Time Range)

時間範囲を選択します。 この時間範囲に作成された RADIUS 認証レコードが使用されます。

開始日時:(Start Date-Time:)

([時間範囲(Time Range)] として [カスタム(Custom)] を選択した場合にのみ使用可能)開始日時を入力するか、またはカレンダ アイコンをクリックして開始日時を選択します。 日付は mm/dd/yyyy 形式、時刻は hh:mm 形式である必要があります。

終了日時:(End Date-Time:)

([時間範囲(Time Range)] として [カスタム(Custom)] を選択した場合にのみ使用可能)終了日時を入力するか、またはカレンダ アイコンをクリックして終了日時を選択します。 日付は mm/dd/yyyy 形式、時刻は hh:mm 形式である必要があります。

レコード数の取得(Fetch Number of Records)

表示するレコードの数を選択します。10、20、50、100、200、または 500 を選択できます。

検索結果

時刻(Time)

イベントの時刻

ステータス(Status)

ポスチャ ステータス

ユーザ名(Username)

イベントに関連付けられたユーザ名

MAC アドレス(MAC Address)

システムの MAC アドレス

失敗の理由(Failure Reason)

イベントの失敗理由

TCP ダンプの設定

次の表では、ネットワーク インターフェイスのパケットの内容をモニタし、ネットワークで問題が発生したときにはトラブルシューティングするために使用する tcpdump ユーティリティ ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] です。

表 7 TCP ダンプの設定

オプション

使用上のガイドライン

ステータス(Status)

  • [停止済み(Stopped)]:tcpdump ユーティリティは実行されていません。

  • [開始(Start)]:tcpdump ユーティリティによるネットワークのモニタリングを開始する場合にクリックします。

  • [停止(Stop)]:tcpdump ユーティリティを停止する場合にクリックします。

ホスト名(Host Name)

モニタするホストの名前をドロップダウン リストから選択します。

(注)     

インライン ポスチャ ノードは、サポートされていません。

ネットワーク インターフェイス(Network Interface)

モニタするネットワーク インターフェイスの名前をドロップダウン リストから選択します。

(注)     

IPv4 アドレスまたは IPv6 アドレスを持つすべてのネットワーク インターフェイス カード(NIC)を Cisco ISE 管理者ポータルに表示されるように設定する必要があります。

無差別モード(Promiscuous Mode)

  • [オン(On)]:無差別モードを有効にする場合にクリックします(デフォルト)。

  • [オフ(Off)]:無差別モードを無効にする場合にクリックします。

無差別モードがデフォルトのパケット スニッフィング モードです。 有効に設定しておくことを推奨します。 このモードでは、ネットワーク インターフェイスはすべてのトラフィックをシステムの CPU に渡します。

フィルタ(Filter)

フィルタリング基準として使用するブール式を入力します。 標準の tcpdump フィルタ式がサポートされます。

フォーマット(Format)

tcpdump ファイルのフォーマットを選択します。

ダンプ ファイル(Dump File)

最後のダンプ ファイルに記録された、次のようなデータを表示します。

Last created on Wed Apr 27 20:42:38 UTC 2011 by admin


File size: 3,744 bytes
Format: Raw Packet Data
Host Name: Positron
Network Interface: GigabitEthernet 0
Promiscuous Mode: On
  • [ダウンロード(Download)]:最新のダンプ ファイルをダウンロードする場合にクリックします。

  • [削除(Delete)]:最新のダンプ ファイルを削除する場合にクリックします。

SXP-IP マッピング

次の表では、デバイスとそのピア間のマッピングを比較するために使用する [SXP-IP マッピング(SXP-IP mappings)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [SXP-IP マッピング(SXP-IP mappings)] です。

ピア SXP デバイス

表 8 SXP-IP マッピングのピア SXP デバイス

オプション

使用上のガイドライン

ピア SXP デバイス(Peer SXP Devices)

ピア IP アドレス(Peer IP Address)

ピア SXP デバイスの IP アドレス。

VRF

ピア デバイスの VRF インスタンス。

ピア SXP モード(Peer SXP Mode)

送信者であるかまたは受信者であるかなどの、ピア デバイスの SXP モード。

セルフ SXP モード(Self SXP Mode)

送信者であるかまたは受信者であるかなどの、ネットワーク デバイスの SXP モード。

接続状態(Connection State)

接続のステータス。

共通接続パラメータ(Common Connection Parameters)

ユーザ共通接続パラメータ(User Common Connection Parameters)

すべてのピア SXP デバイスの共通接続パラメータを有効にする場合にこのチェックボックスをオンにします。

(注)     

共通接続パラメータが指定されていない場合、または何らかの理由で共通接続パラメータが機能しない場合には、Expert Troubleshooter によって再度その特定のピア デバイスに対する接続パラメータの入力を要求するプロンプトが表示されます。

ユーザ名(Username)

ピア SXP デバイスのユーザ名を入力します。

パスワード(Password)

ピア デバイスにアクセスするためのパスワードを入力します。

プロトコル(Protocol)

  • プロトコルを選択します。

    (注)     

    [Telnet] がデフォルトのオプションです。 [SSHv2] を選択した場合は、ネットワーク デバイスで SSH 接続を有効にする必要があります。

ポート(Port)

  • ポート番号を入力します。 デフォルトのポート番号は、Telnet は 23、SSH は 22 です。

イネーブル パスワード(Enable Password)

イネーブル パスワードがログイン パスワードと異なる場合に入力します。

ログイン パスワードと同じ(Same as login password)

イネーブル パスワードがログイン パスワードと同じ場合は、このチェックボックスをオンにします。

IP ユーザ SGT

次の表では、[IP ユーザ SGT(IP User SGT)] ページのフィールドについて説明します。これらのフィールドを使用して、デバイス上の IP-SGT 値を ISE が割り当てた SGT と比較します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(TrustSec Tools)] > [IP ユーザ SGT(IP User SGT)] です。

表 9 IP ユーザ SGT

オプション

使用上のガイドライン

情報の入力

ネットワーク デバイス IP(Network Device IP)

ネットワーク デバイスの IP アドレスを入力します。

結果のフィルタリング

ユーザ名(Username)

レコードをトラブルシューティングするユーザのユーザ名を入力します。

ユーザ IP アドレス(User IP Address)

レコードをトラブルシューティングするユーザの IP アドレスを入力します。

SGT

ユーザ SGT 値を入力します。

デバイス SGT の設定

次の表に、デバイス SGT を、割り当てられた最新の SGT 値と比較するために使用する [デバイス SGT(Device SGT)] ページのフィールドを示します。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [デバイス SGT(Device SGT)] です。

表 10 デバイス SGT の設定

オプション

使用上のガイドライン

情報の入力

ネットワーク デバイス IP(Network Device IPs)(カンマ区切りのリスト)

ISE によって割り当てられたデバイス SGT と比較するデバイス SGT のネットワーク デバイス IP アドレスをカンマで区切って入力します。

共通接続パラメータ(Common Connection Parameters)

共通接続パラメータを使用(Use Common Connection Parameters)

比較時に次の共通接続パラメータを使用する場合にこのチェックボックスをオンにします。

  • [ユーザ名(Username)]:ネットワーク デバイスのユーザ名を入力します。

  • [パスワード(Password)]:パスワードを入力します。

  • [プロトコル(Protocol)]:プロトコルを選択します。

    (注)     

    [Telnet] がデフォルトのオプションです。 [SSHv2] を選択した場合は、ネットワーク デバイスで SSH 接続を有効にする必要があります。

  • [ポート(Port)]:ポート番号を入力します。 デフォルトのポート番号は、Telnet は 23、SSH は 22 です。

イネーブル パスワード(Enable Password)

イネーブル パスワードがログイン パスワードと異なる場合に入力します。

ログイン パスワードと同じ(Same as login password)

イネーブル パスワードがログイン パスワードと同じ場合は、このチェックボックスをオンにします。

進行状況の詳細の設定

次の表では、いずれかの診断ツールの [ユーザ入力必須(User Input Required)] ボタンをクリックすると表示される [進行状況詳細(Progress Details)] ページのフィールドについて説明します。 このページには、詳細なトラブルシューティング情報が表示されます。 このページへのナビゲーション パスは、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [任意の診断ツール(Any Diagnostic Tool)] です。

表 11 進行状況の詳細の設定

オプション

使用上のガイドライン

ネットワーク デバイス a.b.c.d の接続パラメータの指定

ユーザ名(Username)

ネットワーク デバイスにログインするためのユーザ名を入力します。

パスワード(Password)

パスワードを入力します。

プロトコル(Protocol)

プロトコルを選択します。

(注)     

[Telnet] がデフォルトのオプションです。 [SSHv2] を選択した場合は、ネットワーク デバイスで SSH 接続を有効にする必要があります。

ポート(Port)

ポート番号を入力します。

イネーブル パスワード(Enable Password)

イネーブル パスワードを入力します。

ログイン パスワードと同じ(Same As Login Password)

イネーブル パスワードがログイン パスワードと同じ場合は、このチェックボックスをオンにします。

コンソール サーバを使用(Use Console Server)

コンソール サーバを使用する場合にこのチェックボックスをオンにします。

コンソール IP アドレス(Console IP Address)

([コンソール サーバを使用(Use Console Server)] チェックボックスをオンにした場合)コンソールの IP アドレスを入力します。

高度なオプション(「タイムアウト エラー(Expect timeout error)」が表示される場合や、デバイスから非標準のプロンプト文字列が返される場合に使用)

(注)     

高度なオプションは、一部のトラブルシューティング ツールに対してだけ表示されます。

ユーザ名用文字列(Username Expect String)

Username: や Login: などの、ネットワーク デバイスによってユーザ名入力用プロンプトとして使用される文字列を入力します。

パスワード用文字列(Password Expect String)

Password: などの、ネットワーク デバイスによってパスワード入力用プロンプトとして使用される文字列を入力します。

プロンプト用文字列(Prompt Expect String)

ネットワーク デバイスで使用されるプロンプトを入力します。 たとえば、#、>、@ を入力します。

認証失敗用文字列(Authentication Failure Expect String)

Incorrect password や Login invalid などの、認証エラーが発生した場合にネットワーク デバイスから返される文字列を入力します。

結果概要

次の表では、診断ツールを使用したときに結果として表示される結果概要ページのフィールドについて説明します。

表 12 RADIUS 認証のトラブルシューティングの結果概要

オプション

使用上のガイドライン

診断と解決策(Diagnosis and Resolution)

診断(Diagnosis)

問題の診断がここに表示されます。

解決策(Resolution)

問題の解決手順がここに詳細に表示されます。

トラブルシューティングの概要(Troubleshooting Summary)

要約(Summary)

トラブルシューティング情報の各ステップの概要がここに表示されます。 任意のステップを展開して、詳細を表示できます。

すべての設定エラーが赤いテキストで示されます。