Cisco Identity Services Engine ユーザ ガイド リリース 1.2
管理ユーザ インターフェイスのリファレンス
管理ユーザ インターフェイスのリファレンス
発行日;2014/01/15 | 英語版ドキュメント(2013/11/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

管理ユーザ インターフェイスのリファレンス

システム管理

展開設定

展開ノード リスト ページ

全般ノード設定

プロファイリング ノードの設定

インライン ポスチャ ノードの設定

ライセンス ページ パラメータ

証明書ストアの設定

証明書ストア ページ

証明書ストア インポートの設定

証明書ストア編集の設定

ロギングの設定

リモート ロギング ターゲットの設定

ロギング カテゴリの設定

メンテナンス設定

リポジトリの設定

オンデマンド バックアップの設定

スケジュール バックアップの設定

管理者アクセスの設定

管理者パスワード ポリシーの設定

セッション タイムアウトとセッション情報の設定

設定

ポスチャの全般設定

ポスチャ再評価の設定

ポスチャ アクセプタブル ユース ポリシーの設定

EAP-FAST 設定

EAP-FAST の PAC の生成設定

EAP-TLS 設定

PEAP 設定

RADIUS 設定

セキュリティ グループ アクセス設定

ID の管理

エンドポイント(Endpoints)

エンドポイント設定

LDAP からのエンドポイントのインポート設定

グループ

エンドポイント ID グループ設定

外部 ID ソース

LDAP ID ソース設定

RADIUS トークン D ソース設定

RSA SecurID ID ソース設定

ID の管理設定

ユーザ パスワード ポリシーの設定

ネットワーク リソース

ネットワーク デバイス

ネットワーク デバイス定義の設定

デフォルトのネットワーク デバイス定義の設定

ネットワーク デバイスのインポート設定

ネットワーク デバイス グループ

ネットワーク デバイス グループの設定

ネットワーク デバイス グループのインポート設定

外部 RADIUS サーバの設定

RADIUS サーバ順序

NAC マネージャの設定

Web ポータル管理

スポンサー グループ ポリシーの設定

スポンサー グループ設定

Web ポータル管理設定

一般的なポータル テーマの設定

Web ポータルのポート設定

ゲスト消去の設定

スポンサー言語テンプレート設定

デバイス ポータルの言語テンプレートの設定

デバイス ポータルの設定

ゲスト ポータルの言語テンプレートの設定

マルチポータルの設定

ゲスト ポータル ポリシーの設定

ゲスト時間プロファイルの設定

ゲスト ユーザ名ポリシーの設定

管理ユーザ インターフェイスのリファレンス

この章は、Cisco Identity Services Engine(ISE)で提供される管理者ポータル要素のリファレンスで、次の管理関連の項が含まれます。

「システム管理」

「ID の管理」

「ネットワーク リソース」

「Web ポータル管理」

システム管理

展開設定

[展開ノード(Deployment Nodes)] ページを使用すると、 Cisco ISE とインライン ポスチャ ノードを設定し、展開を設定することができます。

管理、ポリシー サービス、およびモニタリング ノードを設定するには、「全般ノード設定」 および「プロファイリング ノードの設定」 を参照してください。

インライン ポスチャのノードを設定するには、「インライン ポスチャ ノードの設定」 を参照してください。

展開ノード リスト ページ

次の表に、展開内の Cisco ISE とインライン ポスチャ ノードを設定するために使用できる [展開ノード リスト(Deployment Nodes List)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] です。

 

表 A-1 展開ノード リスト ページ

フィールド
使用上のガイドライン

ホスト名(Hostname)

ノードのホスト名を表示します。

ノード タイプ(Node Type)

ノード タイプを表示します。次のいずれかを指定できます。

Cisco ISE

インライン ポスチャ ノード

ペルソナ(Personas)

(ノード タイプが Cisco ISE の場合にのみ表示)Cisco ISE ノードが担当してきたペルソナがリストされます。[管理(Administration)]、[ポリシー サービス(Policy Service)] などがあります。

ロール(Role)

そのノードで管理ペルソナまたはモニタリング ペルソナが有効になっている場合、これらのペルソナが担当しているロール(プライマリ、セカンダリ、またはスタンドアロン)が示されます。ロールは、次のうちの 1 つまたは複数にできます。

[PRI(A)]:プライマリ管理ノードを意味します

[SEC(A)]:セカンダリ管理ノードを意味します

[PRI(M)]:プライマリ モニタリング ノードを意味します

[SEC(M)]:セカンダリ モニタリング ノードを意味します

サービス(Services)

(ポリシー サービス ペルソナが有効な場合にのみ表示)その Cisco ISE ノードで実行されているサービスがリストされます。サービスは次のいずれか 1 つとなります。

セッション

プロファイリング

All

ノード ステータス(Node Status)

データ レプリケーション用の展開内の各 ISE ノードのステータスを示します。

緑色(接続):すでに展開に登録されている ISE ノードがプライマリ管理ノードと同期していることを示します。

赤色(切断):ISE ノードに到達できないか、ISE ノードがダウンしているか、またはデータ レプリケーションが行われていないことを示します。

オレンジ色(進行中):ISE 管理ノードがプライマリ ノードに新規に登録されているか、手動同期操作を実行したか、または ISE ノードがプライマリ管理ノードと同期していないことを示します。

詳細については、[ノード ステータス(Node Status)] カラムで各 ISE ノードのクイック ビュー アイコンをクリックします。

全般ノード設定

次の表に、展開を設定し、各ノード上で実行するサービスを設定するために使用する [全般ノード設定(General Node Settings)] ページのフィールドについて説明します。このタブへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ISE ノード(ISE Node)] > [編集(Edit)] > [全般設定(General Settings)] です。

インライン ポスチャ ノードの設定の場合、「インライン ポスチャ ノードの設定」 を参照してください。

 

表 A-2 全般ノード設定

フィールド
使用上のガイドライン

ホスト名(Hostname)

Cisco ISE ノードのホスト名を表示します。

FQDN

Cisco ISE ノードの完全修飾ドメイン名を表示します。たとえば、ise1.cisco.com などです。

IP アドレス(IP Address)

Cisco ISE ノードの IP アドレスを表示します。

ノード タイプ(Node Type)

ノード タイプを表示します。次のいずれかになります。

Identity Services Engine(ISE)

インライン ポスチャ ノード

ペルソナ(Personas)

管理(Administration)

Cisco ISE ノードに管理ペルソナを担当させる場合は、このチェックボックスをオンにします。

(注) 管理ペルソナは、管理サービスを提供するようライセンスされているノードでのみ有効にできます。詳細については、「Cisco ISE ライセンス」を参照してください。

[ロール(Role)]:管理ペルソナが展開で担当しているロールを表示します。次のいずれかの値になります。

スタンドアロン(Standalone)

プライマリ(Primary)

セカンダリ(Secondary)

[プライマリにする(Make Primary)]:ノードをプライマリ Cisco ISE ノードにする場合にこのボタンをクリックします。展開では 1 つのプライマリ Cisco ISE ノードのみを使用できます。このページのその他のオプションは、ノードをプライマリにした後にのみアクティブになります。

展開では 2 つの管理ノードのみを使用できます。ノードにスタンドアロン ロールがある場合は、隣に [プライマリにする(Make Primary)] ボタンが表示されます。

ノードにセカンダリ ロールがある場合は、隣に [プライマリに昇格(Promote to Primary)] ボタンが表示されます。

ノードにプライマリ ロールがあり、他のノードが登録されていない場合は、隣に [スタンドアロンにする(Make Standalone)] ボタンが表示されます。このボタンをクリックすると、プライマリ ノードをスタンドアロン ノードにすることができます。

モニタリング(Monitoring)

Cisco ISE ノードにモニタリング ペルソナを担当させ、ログ コレクタとして機能させる場合は、このチェックボックスをオンにします。

分散展開に少なくとも 1 つのモニタリング ノードが存在する必要があります。プライマリ管理ノードの設定時に、モニタリング ペルソナを有効にする必要があります。展開内のセカンダリ モニタリング ノードを登録した後、必要に応じてプライマリ管理ノードを編集したり、モニタリング ペルソナを無効にしたりできます。

(注) VMware プラットフォームで Cisco ISE ノードをログ コレクタとして設定するには、次のガイドラインに従って最低限必要なディスク領域を算出します。

1 日あたりネットワークのエンドポイントごとに 180 KB

1 日あたりネットワークの Cisco ISE ノードごとに 2.5 MB

モニタリング ノードに何ヵ月分のデータを格納するかに応じて、必要な最大ディスク領域を計算します。

展開にモニタリング ノードが 1 つのみある場合は、スタンドアロン ロールを担当します。展開に 2 つのモニタリング ノードがある場合は、Cisco ISE に、プライマリ/セカンダリ ロールを設定するために他のモニタリング ノードの名前が表示されます。これらのロールを設定するには、次のいずれかを選択します。

[プライマリ(Primary)]:現在のノードをプライマリ モニタリング ノードにする場合。

[セカンダリ(Secondary)]:現在のノードをセカンダリ モニタリング ノードにする場合。

[なし(None)]:モニタリング ノードにプライマリ/セカンダリ ロールを担当させない場合。

いずれかのモニタリング ノードをプライマリまたはセカンダリとして設定すると、もう 1 つのモニタリング ノードが自動的にそれぞれセカンダリ ノードまたはプライマリ ノードとなります。プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードの両方は、管理ログおよびポリシー サービス ログを受信します。

1 つのモニタリング ノードのロールを [なし(None)] に変更すると、もう 1 つのモニタリング ノードのロールも [なし(None)] になるため、ハイ アベイラビリティ ペアが取り消されます。

ノードをモニタリング ノードとして指定すると、このノードは syslog ターゲットとして次のページにリストされます。

[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)]

ポリシー サービス(Policy Service)

このチェックボックスをオンにして、次のサービスの 1 つまたはすべてを有効にします。

[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにして、ネットワーク アクセス サービス、ポスチャ サービス、ゲスト サービス、およびクライアント プロビジョニング サービスを有効にします。

[ノード グループにノードを含める(Include Node in Node Group)] ドロップダウン リストから、このポリシー サービス ノードが属するグループを選択します。そのポリシー サービス ノードをグループに含めない場合は、[<なし>(<none>)] を選択します。

(注) ノード グループ内のすべてのノードは、レイヤ 2 で隣接している必要があり(同じサブネット上にある必要があり)、ノード間にマルチキャスト接続がある必要があります。

[プロファイリング サービスの有効化(Enable Profiling Service)] チェックボックスをオンにして、プロファイラ サービスを有効にします。プロファイリング サービスを有効にする場合は、[Profiling Configuration(プロファイリング設定)] タブをクリックし、必要に応じて詳細を入力する必要があります。詳細については、「Cisco ISE ノードごとのプローブの設定」を参照してください。

コマンドを使用します。

プロファイリング ノードの設定

次の表に、プロファイラ サービスのプローブを設定するために使用する [プロファイリング設定(Profiling Configuration)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ISE ノード(ISE Node)] > [編集(Edit)] > [プロファイリング設定(Profiling Configuration)] です。

 

表 A-3 プロファイリング ノードの設定

フィールド
使用上のガイドライン

NetFlow

ルータから送信される Netflow パケットを受信するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに NetFlow を有効にする場合は、このチェックボックスをオンにします。

次のオプションを選択します。

[インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

[ポート(Port)]:NetFlow エクスポートがルータから受信された NetFlow 受信ポート番号を入力します。デフォルトのポートは 9996 です。

DHCP

IP ヘルパーからの DHCP パケットをリッスンするために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに DHCP を有効にする場合は、このチェックボックスをオンにします。

次のオプションを選択します。

[インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

[ポート(Port)]:DHCP サーバの UDP ポート番号を入力します。デフォルトのポートは 67 です。

DHCP SPAN

DHCP パケットを収集するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに DHCP SPAN を有効にする場合は、このチェックボックスをオンにします。

[インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

HTTP

HTTP パケットを受信および解析するために、ポリシー サービス ペルソナを担当した Cisco ISE ノードごとに HTTP を有効にする場合は、このチェックボックスをオンにします。

[インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

RADIUS

IOS センサー対応デバイスから RADIUS セッション属性、および CDP、LLDP 属性を収集するために、ポリシー サービス ペルソナを担当した ISE ノードごとに RADIUS を有効にする場合は、このチェックボックスをオンにします。

ネットワーク スキャン(NMAP)(Network Scan (NMAP))

エンドポイントのオープン ポートやオペレーティング システムをスキャンするために、ポリシー サービス ペルソナを担当した ISE ノードから、サブネット上で手動ネットワーク スキャンを実行する場合は、このチェックボックスをオンにします。

[サブネットの手動スキャン(Manual Scan Subnet)] フィールドに有効なサブネットを入力し、[スキャンの実行(Run Scan)] をクリックしてサブネットの手動スキャンを開始します。たとえば、10.0.10.10/24 と入力します。

DNS

FQDN の DNS ルックアップを実行するために、ポリシー サービス ペルソナを担当した ISE ノードごとに DNS を有効にする場合は、このチェックボックスをオンにします。

タイムアウト期間を秒単位で入力します。

(注) DNS プローブを分散展開内の特定の Cisco ISE ノードで動作させるには、DHCP、DHCP SPAN、HTTP、RADIUS、SNMP のいずれかのプローブを有効にする必要があります。DNS ルックアップの場合、上記のいずれかのプローブを DNS プローブとともに起動する必要があります。

SNMP クエリー(SNMP Query)

指定した間隔でネットワーク デバイスをポーリングするために、ポリシー サービス ペルソナを担当した ISE ノードごとに SNMP クエリーを有効にする場合は、このチェックボックスをオンにします。

次のフィールドに値を入力します。[再試行(Retries)]、[タイムアウト(Timeout)]、[イベント タイムアウト(Event Timeout)]、および任意の [説明(Description)]。

(注) SNMP クエリー プローブ以外に、次の場所で他の SNMP 設定も行う必要があります。[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)]。ネットワーク デバイスで SNMP 設定を行う場合は、ネットワーク デバイス上でシスコ デバイス プロトコル(CDP)および Link Layer Discovery Protocol(LLDP)をグローバルに有効にする必要があります。

SNMP トラップ(SNMP Trap)

ネットワーク デバイスから linkUp、linkDown、および MAC 通知トラップを受信するために、ポリシー サービス ペルソナを担当した ISE ノードごとに SNMP トラップ プローブを有効にする場合は、このチェックボックスをオンにします。

次のいずれかを選択します。

[リンク トラップ クエリー(Link Trap Query)]:SNMP トラップを介して linkup 通知と linkdown 通知を受信し、解釈するには、このチェックボックスをオンにします。

[MAC トラップ クエリー(MAC Trap Query)]:SNMP トラップを介して MAC 通知を受信し、解釈するには、このチェックボックスをオンにします。

[インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

[ポート(Port)]:使用するホストの UDP ポートを入力します。デフォルトのポートは 162 です。

インライン ポスチャ ノードの設定

次の表に、展開内のインライン ポスチャ ノードを設定するために使用できる、インライン ポスチャ ノードの [展開ノード リスト(Deployment Nodes List)] ページにあるフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [インライン ポスチャ ノード(Inline Posture Node)] > [編集(Edit)] です。

 

表 A-4 インライン ポスチャ ノードの設定

フィールド
使用上のガイドライン
基本情報

時刻同期サーバ(Time Sync Server)

プライマリ、セカンダリ、およびターシャリ時刻同期サーバの IP アドレスを入力します。

DNS サーバ(DNS Server)

プライマリ、セカンダリ、およびターシャリ DNS サーバの IP アドレスを入力します。

信頼インターフェイス(Trusted Interface)(保護されたネットワークへの)

管理 VLAN ID を入力します(これらのオプションの他のすべての情報は自動的に入力されます)。

非信頼インターフェイス(Untrusted Interface)(管理ネットワークへの)

非信頼インターフェイスの IP アドレス、サブネット マスク、デフォルト ゲートウェイ、および管理 VLAN ID を入力します。

展開モード

ルーテッド モード(Routed Mode)

このノードでインライン ポスチャのためのルータ(hop in the wire)機能を実行するには、このオプションを選択します。

ブリッジ モード(Bridged Mode)

このノードでインライン ポスチャが管理するサブネットに VLAN マッピング機能を提供するには、このオプションを選択します。[ブリッジ モード(Bridged Mode)] チェックボックスをオンにした後で、[非信頼ネットワーク(Untrusted Network)] と [信頼ネットワーク(Trusted Network)] の VLAN ID 情報を入力します。

VLAN マッピングの場合は、次の作業も行ってください。

管理トラフィックのためのマッピングを追加します。信頼ネットワークと非信頼ネットワークの該当する VLAN ID を入力してください。

クライアント トラフィックのためのマッピングを追加します。信頼ネットワークと非信頼ネットワークの該当する VLAN ID を入力してください。

フィルタ

MAC アドレス(MAC Address)

ポリシーを回避するデバイスの MAC アドレスを入力します。

(注) セキュリティ上の理由から、MAC フィルタ エントリでは常に IP アドレスを MAC アドレスとともに指定することを推奨します。詳細については、「インライン ポスチャ ノードの展開」の「警告」を参照してください。

IP アドレス(IP Address)

ポリシーを回避するデバイスの IP アドレスを入力します。

説明(Description)

MAC フィルタの説明を入力します。

サブネット アドレス(Subnet Address)

ポリシーを回避するデバイスのサブネット アドレスを入力します。

サブネット マスク(Subnet Mask)

ポリシーを回避するデバイスのサブネット マスクを入力します。

説明(Description)

サブネット フィルタの説明を入力します。

RADIUS 構成 1

プライマリ サーバ(Primary Server)

プライマリ RADIUS サーバ(通常はポリシー サービス ノード)の IP アドレス、共有秘密、タイムアウト(秒)、再試行回数を入力します。

セカンダリ サーバ(Secondary Server)

セカンダリ RADIUS サーバの IP アドレス、共有秘密、タイムアウト(秒単位)、再試行回数を入力します。

クライアント(Client)

クライアント(WLC や VPN)の代わりにアクセスを要求するデバイスの IP アドレス、共有秘密、タイムアウト(秒単位)、再試行回数を入力します。

(注) Cisco ISE Release 1.1.1 では、WLC ローミングはサポートされません。

KeyWrap の有効化(Enable KeyWrap)

このチェックボックスをオンにし、次の認証設定を指定します。

キー暗号キー(Key Encryption Key)

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

[キー入力形式(Key Input Format)]:[ASCII] または [16 進数(Hexadecimal)]

展開においてワイヤレス LAN 技術を利用している場合は、RADIUS サーバからネットワーク アクセス ポイントへの送信のセキュリティを保護する必要があります。キーラップの属性によって、保護が強化され、柔軟性が高まります。

フェールオーバー

インライン ペア ポスチャのハイ アベイラビリティ ペアを展開した場合にのみ表示されます。

HA ピア ノード(HA Peer Node)

ドロップダウン リストから [HA ピア ノード(HA Peer Node)] を選択します。スタンドアロンのインライン ポスチャ ノードが一覧表示されるので、その中から選択します。

セカンダリ ノードはプライマリ ノードに同期します。

[複製ステータス(Replication Status)]:(表示されるのはセカンダリ ノードの場合のみ)プライマリ ノードからセカンダリ ノードへの差分複製が完了したかどうかを示します。次のいずれかの状態が表示されます。

[失敗(Failed)]:データベースの差分複製が失敗しました。

[進行中(In-Progress)]:データベースの差分複製が現在進行中です。

[完了(Complete)]:データベースの差分複製が完了しました。

[該当なし(Not Applicable)]:Cisco ISE がスタンドアロン ノードまたはプライマリ ノードの場合に表示されます。

[同期ステータス(Sync Status)]:(表示されるのはセカンダリ Cisco ISE ノードの場合のみ)プライマリ ノードからセカンダリ ノードへの複製が完了したかどうかを示します。複製が行われるのは、ノードをセカンダリとして登録したときや、複製を強制的に実行するために [同期を更新(Syncup)] がクリックされたときです。次のいずれかの状態が表示されます。

[同期完了(Sync Completed)]:データベースの完全複製が完了しました。

[同期進行中(Sync in Progress)]:データベースの複製が現在進行中です。

[同期していない(Out of Sync)]:セカンダリ ノードがプライマリ Cisco ISE ノードに登録されたときに、データベースがダウンしていました。

[該当なし(Not Applicable)]:Cisco ISE ノードがスタンドアロン ノードの場合に表示されます。

サービス IP(信頼)(Service IP (Trusted))

プライマリ ノードのトラフィック インターフェイスの信頼サービス IP アドレス(eth0)を入力します。

サービス IP(非信頼)(Service IP (Untrusted))

プライマリ ノードのトラフィック インターフェイスの非信頼サービス IP アドレス(eth1)を入力します。

ブリッジ モードでは、同じサービス IP アドレスを信頼と非信頼の両方のネットワークに使用しています。

リンク検出(信頼)(Link Detect (Trusted))

信頼側と非信頼側のリンク検出システム用 IP アドレスを入力します(任意、ただしベスト プラクティスとして推奨します)。このアドレスは、通常はポリシー サービス ノードの IP アドレスです。アクティブとスタンバイの両方のノードが常に、ポリシー サービス ノードに到達可能でなければならないからです。

リンク検出(非信頼)(Link Detect (Untrusted))

非信頼側のリンク検出システム用 IP アドレスを入力します。

リンク検出タイムアウト(Link Detect Timeout)

リンク検出タイムアウト値を入力します。デフォルト値である 30 秒が推奨されます。ただし、最大値はありません。

リンク検出とは、インライン ポスチャ ノードとポリシー サービス ノードとの通信を確実に維持するための機能です。アクティブ ノードが通知(ping)をポリシー サービス ノードから指定の間隔で受信していない場合は、アクティブ ノードはスタンバイ ノードにフェールオーバーします。

ハートビート タイムアウト(Heart Beat Timeout)

[ハートビート タイムアウト(Heart Beat Timeout)] の値を入力します。デフォルト値である 30 秒が推奨されます。ただし、最大値はありません。

ハートビートとは、2 つのインライン ポスチャ ノードの間で指定の間隔で送信されるメッセージです。ハートビートには、eth2 と eth3 のインターフェイスが使用されます。ハートビートが停止するか、割り当てられた時間内に応答がない場合は、フェールオーバーが発生します。

ピア ノードを同期(Syncup Peer Node)

セカンダリ ノードの同期ステータスが「同期していない」になっている場合は、[ピア ノードを同期(Syncup Peer Node)] をクリックしてデータベースの完全複製を強制的に実行します。

である場合です。

1.プライマリ サーバとセカンダリ サーバの [RADIUS 設定(Radius config)] タブに指定するタイムアウト値と再試行値は、WLC や ASA などのクライアントで定義したタイムアウトと再試行に基づく必要があります。次を推奨します。(IPEP RADIUS 設定タイムアウト * 再試行回数)<(クライアント デバイスのタイムアウト * 再試行回数)。たとえば、プライマリ サーバとセカンダリ サーバでタイムアウトを 5 秒、再試行回数を 1 に設定し、クライアントでタイムアウトを 5 秒、再試行回数を 3 に設定できます。それで、IPEP サーバで設定されたタイムアウト * 再試行回数(5*1=5)は、クライアントで設定された値(5*3=15)より小さくなります。

ライセンス ページ パラメータ

次の表に、ライセンスを追加またはアップグレードするために編集できる [現在のライセンス(Current Licenses)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] > [現在のライセンス(Current Licenses)] です。

 

表 A-5 ライセンス ページ パラメータ

パラメータ
説明

管理ノード(Administration Node)

プライマリ ノードがインストールされている Cisco ISE サーバ インスタンスの名前。

ID(PID、VID、SN)

ライセンシング情報から取得された PID、VID、および SN を含む管理ノード ID。

バージョン(Version)

Cisco ISE のバージョン番号。

ライセンス タイプ(License Type)

[基本(Base)]:管理ノードに現在インストールされている基本ライセンスのステータスまたはタイプ。

[拡張(Advanced)]:管理ノードに現在インストールされている拡張ライセンスのステータスまたはタイプ。

[ワイヤレス(Wireless)]:管理ノードに現在インストールされているワイヤレス ライセンスのステータスまたはタイプ。90 日間の評価ライセンスが期限切れになり、ワイヤレス ライセンスをインストールすると、[現在のライセンス(Current Licenses)] ページに、ライセンスの有効期間の残りが <x> 日のワイヤレス ライセンスが反映されます。

[ワイヤレス アップグレード(Wireless Upgrade)]:管理ノードに現在インストールされているワイヤレス アップグレード ライセンスのステータスまたはタイプ。90 日間の評価ライセンスが期限切れになり、ワイヤレス アップグレード ライセンスをインストールすると、[現在のライセンス(Current Licenses)] ページに、ライセンスの有効期間の残りが <x> 日のワイヤレス ライセンスが反映されます。

ライセンス対象(Licensed To)

ライセンスが割り当てられている組織の名前。

基本(Active/Allowed)(Base (Active/Allowed))

使用されているエンドポイントの数と現在の基本ライセンシング スキームでサポートされている許可されるエンドポイントの数の比率を表します。たとえば、評価ライセンスを使用し、エンドポイントを 1 つだけ識別している場合、比率は 1/100 です。ワイヤレス ライセンスまたはワイヤレス アップグレード ライセンスをインストールすると、適用できる Active/Allowed ユーザ数が特定のライセンスの能力を反映するように自動的に計算され、同じ既存の [基本(Base)] および [拡張(Advanced)] カラムに示されます。

拡張(Active/Allowed)(Advanced (Active/Allowed))

使用されているエンドポイントの数と現在の拡張ライセンシング スキームでサポートされている許可されるエンドポイントの数の比率を表します。たとえば、評価ライセンスを使用し、エンドポイントを 1 つだけ識別している場合、比率は 1/100 です。ワイヤレス ライセンスまたはワイヤレス アップグレード ライセンスをインストールすると、適用できる Active/Allowed ユーザ数が特定のライセンスの能力を反映するように自動的に計算され、同じ既存の [基本(Base)] および [拡張(Advanced)] カラムに示されます。

 

証明書ストアの設定

[証明書ストア(Certificate Store)] ページを使用すると、認証に使用できる Cisco ISE の証明書を設定することができます。この項では、次のトピックを扱います。

「証明書ストア ページ」

「証明書ストア インポートの設定」

「証明書ストア編集の設定」

証明書ストア ページ

次の表に、管理ノードに追加された証明書を表示するために使用できる [証明書ストア(Certificate Store)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] です。

 

表 A-6 証明書ストア ページ

フィールド
使用上のガイドライン

ステータス(Status)

[有効(Enabled)] または [無効(Disabled)] です。[無効(Disabled)] の場合、ISE は信頼の確立に証明書を使用しません。

フレンドリ名(Friendly Name)

証明書の名前を表示します。

クライアント認証用に信頼する(Trust for Client Auth)

緑色のチェックマーク アイコンは、ISE に提示されるクライアント認証を含むすべての状況で、信頼の確立に証明書が使用されることを示します。黄色のダッシュ アイコンは、証明書がクライアント認証に使用されず、(他の ISE ノードまたは LDAP サーバからの)サーバ証明書の確認にのみ使用されることを示します。

発行先(Issued To)

証明書サブジェクトの一般名(CN)。

発行元(Issued By)

証明書発行者の一般名(CN)。

有効期限の開始(Valid From)

「Not Before」証明書属性。

期限切れ(Expiration)

「Not After」証明書属性。

有効期限ステータス(Expiration Status)

証明書の有効期限のステータスに関する情報です。このコラムに表示される情報メッセージには 5 つのアイコンとカテゴリがあります。

緑色:90 日を超えると期限切れ

青色:90 日以内に期限切れ

黄色:60 日以内に期限切れ

オレンジ色:30 日以内に期限切れ

赤色:期限切れ

信頼ストアに含める(Include in Trust Store)

証明書が信頼証明書として使用できるかどうかを示します。これは false に初期設定されています。信頼証明書として証明書を含めるには、[証明書ストアの編集(Certificate Store Edit)] ページでフラグを true に設定します。

証明書ストア インポートの設定

次の表に、認証局(CA)証明書を Cisco ISE に追加するために使用できる [証明書ストア インポート(Certificate Store Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] > [インポート(Import)] です。

 

表 A-7 証明書ストア インポートの設定

フィールド
説明

参照(Browse)

[参照(Browse)] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。名前を指定しない場合、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。ここで、 <nnnnn> は一意の 5 桁の数字です。

クライアント認証用に信頼する(Trust for client authentication)

ISE に提示されるクライアント証明書の認証にこの証明書を使用する場合は、チェックボックスをオンにします。ボックスがオフの場合は、(他の ISE ノードまたは LDAP サーバからの)サーバ証明書を確認するためだけに証明書が使用されます。

証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)

([クライアント認証用に信頼する(Trust for client authentication)] と [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] の両方のオプションをオンにする場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットがセットされていること、および基本制約拡張が存在し、CA フラグが true に設定されていることを確認します。

説明(Description)

任意で説明を入力します。

証明書ストア編集の設定

次の表に、認証局(CA)証明書の属性を編集するために使用できる [証明書ストア証明書の編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] > [証明書(Certificate)] > [編集(Edit)] です。

 

表 A-8 証明書ストア編集の設定

フィールド
使用上のガイドライン
証明書発行元

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。

説明(Description)

任意で説明を入力します。

ステータス(Status)

[有効(Enabled)] または [無効(Disabled)] を選択します。[無効(Disabled)] の場合、ISE は信頼の確立に証明書を使用しません。

信頼ストアに含める(Include in Trust Store)

信頼証明書として証明書を含めるには、チェックボックスをオンにします。

証明書の用途

クライアント認証用に信頼する(Trust for client authentication)

ISE に提示されるクライアント証明書の認証にこの証明書を使用する場合は、チェックボックスをオンにします。ボックスがオフの場合は、(他の ISE ノードまたは LDAP サーバからの)サーバ証明書を確認するためだけに証明書が使用されます。

証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)

[クライアント認証用に信頼する(Trust for client authentication)] と [証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] の両方のオプションをオンにした場合、「keyUsage」拡張が存在し、「keyCertSign」ビットがセットされていること、および基本制約拡張が存在し、CA フラグが true に設定されていることを確認します。

証明書ステータスの検証(Certificate Status Validation)

ISE は、特定の CA によって発行されるクライアントまたはサーバ証明書の失効ステータスをチェックする 2 つの方法をサポートします。1 つめは、CA によって維持される OCSP サービスに要求を行う Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです。2 つめは、CA から ISE にダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。これらの両方の方法を有効にでき、その場合 OCSP が最初に使用され、それによりステータスを決定できなかった場合のみ CRL が使用されます。

OCSP サービスに対して検証する(Validate Against OCSP Service)

OCSP サービスに対して証明書を検証するには、チェックボックスをオンにします。このボックスをオンにするには、最初に OCSP サービスを作成する必要があります。OCSP サービスの詳細については、「OCSP サービス」 を参照してください。

OCSP によって証明書ステータスを判別できなかった場合は要求を拒否する(Reject the request if certificate status could not be determined by OCSP)

OCSP によって証明書ステータスを判別しない場合に要求を拒否するには、チェックボックスをオンにします。このチェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。OCSP サービスの詳細については、「OCSP サービス」 を参照してください。

CRL のダウンロード(Download CRL)

Cisco ISE で CRL をダウンロードするには、チェックボックスをオンにします。

CRL 配布 URL(CRL Distribution URL)

CA から CRL をダウンロードする URL を入力します。認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。URL は、「http」、「https」、または「ldap」で始まる必要があります。

CRL の取得(Retrieve CRL)

CRL は、自動的または定期的にダウンロードできます。ダウンロードの時間間隔を設定します。

ダウンロードが失敗した場合待機(If download failed, wait)

Cisco ISE が CRL のダウンロードを再試行する前に待機する間隔を設定します。

CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)

CRL が受信される前にクライアント要求を受け入れるには、このチェックボックスをオンにします。このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。

まだ有効になっていないか、または有効期限が切れている CRL を無視する(Ignore CRL that is not yet valid or expired)

Cisco ISE は開始日および有効期限を無視し、まだアクティブでない、または有効期限が切れた CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合、このチェックボックスをオンにします。

Cisco ISE は CRL ファイルについて [有効日(Effective Date)] フィールドの開始日および [次の更新(Next Update)] フィールドの有効期限をチェックする場合、このチェックボックスをオフにします。CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。

ロギングの設定

これらのページを使用すると、デバッグ ログの重大度を設定し、外部ログ ターゲットを作成し、Cisco ISE がこれらの外部ログ ターゲットにログ メッセージを送れるようにすることができます。

リモート ロギング ターゲットの設定

次の表に、ロギング メッセージを保存する外部場所(syslog サーバ)を作成するために使用できる [リモート ロギング ターゲット(Remote Logging Targets)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)] です。

 

表 A-9 リモート ロギング ターゲットの設定

フィールド
使用上のガイドライン

名前(Name)

新しいターゲットの名前を入力します。

ターゲット タイプ(Target Type)

ターゲット タイプを選択します。デフォルトでは、UDP-Syslog に設定されます。

説明(Description)

新しいターゲットの簡単な説明を入力します。

IP アドレス(IP Address)

ログを格納する宛先マシンの IP アドレスを入力します。

ポート(Port)

宛先マシンのポート番号を入力します。

ファシリティ コード(Facility Code)

ロギングに使用する Syslog ファシリティ コードを選択します。有効なオプションは、Local0 ~ Local7 です。

最大長(Maximum Length)

リモート ログ ターゲット メッセージの最大長を入力します。有効なオプションは 200 ~ 1024 バイトです。

サーバのダウン時のバッファ メッセージ(Buffer Message When Server Down)

TCP Syslog ターゲットおよびセキュア Syslog ターゲットが使用できないときに Cisco ISE に Syslog メッセージをバッファリングさせる場合、このチェックボックスをオンにします。接続が再開されたときに、ISE はターゲットへのメッセージの送信を再試行します。接続の再開後、古いメッセージから新しいメッセージの順番で送信され、バッファに格納されたメッセージは常に新しいメッセージより先に送信されます。バッファがいっぱいになると、古いメッセージは廃棄されます。

バッファ サイズ(MB)(Buffer Size (MB))

ターゲットごとにバッファ サイズを設定します。デフォルトでは、100 MB に設定されます。バッファ サイズを変更すると、バッファはクリアされ、バッファに格納された特定のターゲットの既存のメッセージはすべて失われます。

再接続タイムアウト(秒)(Reconnect Timeout (Sec))

サーバがダウンしているときに、TCP およびセキュア Syslog を廃棄する前に保持する期間を秒単位で指定します。

CA 証明書の選択(Select CA Certificate)

クライアント証明書を選択します。

サーバ証明書の検証の無視(Ignore Server Certificate Validation)

ISE がサーバ証明書の認証を無視して、Syslog サーバを受け入れるようにする場合は、このチェックボックスをオンにします。デフォルトでは、FIPS モードが無効のときにシステムが FIPS モードでない限り、このオプションはオフに設定されます。

関連項目

「リモート Syslog 収集場所の設定」

ロギング カテゴリの設定

次の表に、ログの重大度レベルを設定し、選択したカテゴリのログを保存するロギング ターゲットを選択するために使用できる [ロギング カテゴリ(Logging Categories)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング カテゴリ(Logging Categories)] です。

 

表 A-10 ロギング カテゴリの設定

フィールド
使用上のガイドライン

名前(Name)

ロギング カテゴリの名前を表示します。

ログの重大度レベル(Log Severity Level)

次のオプションから診断ロギング カテゴリの重大度レベルを選択できます。

[FATAL]:緊急事態。 このオプションは、Cisco ISE が使用できず、すぐに対処する必要があることを意味します。

[ERROR]:このオプションは重大またはエラー状況を示します。

[WARN]:このオプションは正常ですが、重要な状況を示します。 これがデフォルトの条件です。

[INFO]:このオプションは情報メッセージを示します。

[DEBUG]:このオプションは診断バグ メッセージを示します。

ローカル ロギング(Local Logging)

ローカル ノード上のカテゴリに対してロギング イベントを有効にするには、このチェックボックスをオンにします。

ターゲット(Target)

左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを転送することによって、カテゴリのターゲットを変更できます。[使用可能(Available)] ボックスには、論理(事前定義済み)と外部(ユーザ定義)という両方の既存のロギング ターゲットが含まれています。最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。

関連項目

「メッセージ コードの重大度レベルの設定」

メンテナンス設定

これらのページは、バックアップ、復元、およびデータ消去機能を使用してデータを管理するのに役立ちます。

リポジトリの設定

次の表に、リポジトリを作成してバックアップ ファイルを保存するために使用できる [リポジトリ リスト(Repository List)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] です。

 

表 A-11 リポジトリの設定

フィールド
使用上のガイドライン

リポジトリ(Repository)

リポジトリの名前を入力します。最大 80 文字の英数字を使用できます。

プロトコル(Protocol)

使用可能なプロトコルから使用するものを 1 つを選択します。

サーバ名(Server Name)

(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの作成先サーバのホスト名または IPv4 アドレスを入力します。

パス(Path)

リポジトリへのパスを入力します。この値は、スラッシュ(/)で開始する必要があります。

このパスは、リポジトリの作成時に有効であり、存在している必要があります。次の 3 つのフィールドは、選択したプロトコルに応じて必須項目となります。

ユーザ名(User Name)

(FTP、SFTP、および NFS で必須)指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。

パスワード(Password)

(FTP、SFTP、および NFS で必須)指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。最大 15 文字の英数字をサポートします。

関連項目

「リポジトリの作成」

オンデマンド バックアップの設定

次の表に、任意の時点でバックアップを取得するために使用できる [オンデマンド バックアップ(Backup On Demand)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [バックアップと復元(Backup & Restore)] です。

 

表 A-12 オンデマンド バックアップの設定

フィールド
使用上のガイドライン

バックアップ名(Backup Name)

バックアップ ファイルの名前を入力します。

タイプ(Type)

次のいずれかを選択します。

設定バックアップ:アプリケーション固有およびシスコ ADE オペレーティング システムの両方の設定データが含まれます。

操作バックアップ:モニタリングおよびトラブルシューティングのデータが含まれます。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリ。

ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

このキーは、バックアップ ファイルの暗号化および解読に使用されます。

関連項目

「オンデマンド バックアップの実行」

スケジュール バックアップの設定

次の表に、フル バックアップまたは差分バックアップを復元するために使用できる [スケジュール バックアップ(Scheduled Backup)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [バックアップと復元(Backup and Restore)] です。

 

表 A-13 スケジュール バックアップの設定

フィールド
使用上のガイドライン

名前(Name)

バックアップ ファイルの名前を入力します。

任意のわかりやすい名前を入力できます。Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。複数のバックアップを作成するように設定しても、一意なバックアップ ファイル名を得ることができます。

[スケジュール バックアップ(Scheduled Backup)] リスト ページで、ファイル名の先頭に「backup_occur」が追加され、このファイルが kron occurrence ジョブであることを示します。

説明(Description)

バックアップの説明を入力します。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリを選択します。

ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

バックアップ ファイルを暗号化および解読するキーを入力します。

スケジューリング オプション(Schedule Options)

スケジュール バックアップの頻度を選択し、適宜他のオプションに入力します。

関連項目

「バックアップのスケジュール作成」

管理者アクセスの設定

これらのページを使用すると、管理者のアクセス設定を行うことができます。

管理者パスワード ポリシーの設定

次の表に、管理者パスワードが満たす必要のある基準を定義するために使用できる [管理者パスワード ポリシー(Administrator Password Policy)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] です。

 

表 A-14 管理者パスワード ポリシーの設定

フィールド
使用上のガイドライン

最小長(Minimum Length)

パスワードの最小長(文字数)を設定します。デフォルトは 6 文字です。

パスワードには、管理者名またはその文字の逆順は使用できません(Password should not contain the admin name or its characters in reversed order)

このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。

パスワードには、"cisco" またはその文字の逆順は使用できません(Password should not contain "cisco" or its characters in reversed order)

このチェックボックスをオンにして、単語 "cisco" またはその文字の逆順での使用を制限します。

パスワードには、 変数 またはその文字の逆順は使用できません(Password should not contain variable or its characters in reversed order)

このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。

パスワードには、4 回以上連続する繰り返し文字は使用できません(Password should not contain repeated characters four or more times consecutively)

このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。

パスワードには選択したタイプの文字がそれぞれ 1 文字以上含まれている必要があります(Password must contain at least one character of each of the selected types)

管理者パスワードに、次の選択肢から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。

小文字の英文字(Lowercase alphabetic characters)

大文字の英文字(Uppercase alphabetic characters)

数字(Numeric characters)

英数字以外の文字(Non-alphanumeric characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。

また、以前のパスワードと異なる必要がある文字数を指定します。

パスワード ライフタイム(Password Lifetime)

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

パスワードが変更されなかった場合に管理者アカウントを無効にするまでの時間(日数)(Time (in days) before the administrator account is disabled if the password is not changed.)(使用可能な範囲は 0 ~ 2,147,483,647 日です)。

管理者アカウントが無効になるまでのリマインダ(日数)。(Reminder (in days) before the administrator account is disabled.)

ログイン試行の不正なアカウントをロックまたは一時停止する(Lock or Suspend Account with Incorrect Login Attempts)

Cisco ISE が、管理者を Cisco ISE からロックアウトし、アカウント クレデンシャルを中断または無効にするまでに、誤った管理者パスワードを記録する回数指定します。

アカウントがロックされる管理者にメールが送信されます。カスタム電子メール修復メッセージを入力することができます。

セッション タイムアウトとセッション情報の設定

次の表に、セッション タイムアウトを定義し、アクティブな管理セッションを終了するために使用できる [セッション(Session)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [セッション(Session)] です。

 

表 A-15 セッション タイムアウトとセッション情報の設定

フィールド
使用上のガイドライン
セッションのタイムアウト(Session Timeout)

セッション アイドル タイムアウト(Session Idle Timeout)

アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。

セッション情報(Session Info)

無効化(Invalidate)

終了するセッション ID の隣にあるチェックボックスをオンにし、[無効化(Invalidate)] をクリックします。

関連項目

「管理者のセッション タイムアウトの設定」

「アクティブな管理セッションの終了」

設定

これらのページを使用すると、さまざまなサービスの全般設定を行うことができます。

ポスチャの全般設定

次の表に、修復時間およびポスチャ ステータスなどの一般的なポスチャ設定を行うために使用できる [ポスチャの全般設定(Posture General Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] です。

 

表 A-16 ポスチャの全般設定

フィールド
使用上のガイドライン

修復タイマー(Remediation timer)

時間値を分単位で入力します。デフォルト値は 4 分です。有効範囲は 1 ~ 300 分です。

ネットワーク遷移遅延(Network Transition Delay)

時間値を秒単位で入力します。デフォルト値は 3 秒です。有効範囲は 2 ~ 30 秒です。

デフォルトのポスチャ ステータス(Default Posture Status)

準拠または非準拠を選択します。Linux のような非エージェント デバイスがネットワークに接続している間は、このステータスが適用されます。

一定時間(秒)経過後にログイン成功画面を自動的に閉じる(Automatically Close Login Success Screen After)

指定された時間後に、ログイン成功画面を自動的に閉じるには、チェックボックスをオンにします。

チェックボックスの隣のフィールドに、時間値を秒単位で入力します。

0 ~ 300 秒でログイン画面を自動的に終了するようにタイマーを設定できます。時間がゼロに設定された場合、NAC Agent および Web Agent ではログイン成功画面を表示しません。

ポスチャ再評価の設定

次の表に、ポスチャ再評価を設定するために使用できる [ポスチャ再評価設定(Posture Reassessment configurations)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [再評価(Reassessments)] です。

 

表 A-17 ポスチャ再評価の設定

フィールド
使用上のガイドライン

設定名(Configuration Name)

PRA 設定の名前を入力します。

設定の説明(Configuration Description)

PRA 設定の説明を入力します。

再評価の適用を使用するか?(Use Reassessment Enforcement?)

ユーザ ID グループに PRA 設定を適用するには、チェックボックスをオンにします。

適用タイプ(Enforcement Type)

適用する次のアクションを選択します。

[続行(Continue)]:ポスチャ要件に関係なく、ユーザはクライアントを修復するユーザの介入なしに特権アクセスを持ち続けます。

[ログオフ(Logoff)]:クライアントが準拠していない場合、ユーザはネットワークからログオフすることが強制されます。 クライアントが再度ログインしたときのコンプライアンス ステータスは不明です。

[修復(Remediate)]:クライアントが準拠していない場合、エージェントは修復が行われるのを指定した時間待機します。 クライアントが修復されると、エージェントはポリシー サービス ノードに PRA レポートを送信します。修復がクライアントで無視された場合、エージェントはクライアントにネットワークからログオフすることを強制するために、ポリシー サービス ノードにログオフ要求を送信します。

ポスチャ要件が必須に設定されている場合、PRA 障害アクションの結果として RADIUS セッションは削除され、再度クライアントをポスチャするために新しい RADIUS セッションが開始する必要があります。

ポスチャの要件が任意に設定されている場合、NAC Agent では、ユーザはエージェントから続行オプションをクリックすることができます。制限なしに、ユーザは現在のネットワークにとどまることができます。

間隔(Interval)

最初にログインに成功してからクライアント上で PRA を開始するまでの時間間隔を分単位で入力します。

デフォルト値は 240 分です。最小値は 60 分、最大値は 1440 分です。

猶予時間(Grace time)

クライアントが修復を完了することのできる時間間隔を分単位で入力します。猶予時間をゼロにすることはできません。また、PRA 間隔より大きくする必要があります。デフォルトの最小間隔(5 分)から最小 PRA 間隔までの範囲にすることができます。

最小値は 5 分、最大値は 60 分です。

(注) 猶予時間は、クライアントがポスチャ再評価に失敗した後に適用タイプが修復アクションに設定されている場合のみ有効になります。

ユーザ ID グループの選択(Select User Identity Groups)

PRA 設定に対して一意のグループまたはグループの一意の組み合わせを選択します。

PRA の設定(PRA configurations)

既存の PRA 設定、および PRA 設定に関連付けられているユーザ ID グループを表示します。

ポスチャ アクセプタブル ユース ポリシーの設定

次の表に、ポスチャのアクセプタブル ユース ポリシーを設定するために使用できるポスチャの [アクセプタブル ユース ポリシー(Acceptable Use Policy Configurations)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [アクセプタブル ユース ポリシー(Acceptable Use Policy Configurations)] です。

 

表 A-18 ポスチャ AUP の設定

フィールド
使用上のガイドライン

設定名(Configuration Name)

ユーザが作成する AUP 設定の名前を入力します。

設定の説明(Configuration Description)

作成する AUP 設定の説明を入力します。

Agent ユーザに AUP を表示(Show AUP to Agent users)(Show AUP to Agent users)(Windows 上の NAC Agent および Web Agent のみ)

チェックされている場合、[Agent ユーザに AUP を表示(Show AUP to Agent users)] チェックボックスはユーザ(Windows 上の NAC Agent および Web Agent のみ)に network usage terms and conditions を表示し、認証およびポスチャ評価が成功したときにそれをクリックして AUP を表示します。

AUP メッセージの URL を使用(Use URL for AUP message)オプション ボタン

選択した場合、AUP メッセージへの URL を AUP URL に入力する必要があります。クライアントは、認証およびポスチャ評価が成功したときにそこにアクセスする必要があります。

AUP メッセージのファイルを使用(Use file for AUP message)オプション ボタン

選択した場合、場所を参照し、トップ レベルに index.html を含む AUP ファイルにジップ形式のファイルをアップロードします。

.zip ファイルには、index.html ファイルのほか、他のファイルやサブ ディレクトリを含むことができます。これらのファイルは、HTML タグを使用して相互に参照できます。

AUP URL

クライアントは認証およびポスチャ評価が成功したときにアクセスする必要がある AUP への URL を入力します。

AUP ファイル(AUP File)

AUP ファイルで、ファイルを参照し、Cisco ISE サーバにアップロードします。これはジップ ファイルである必要があり、ジップ ファイルはトップ レベルに index.html ファイルを含める必要があります。

ユーザ ID グループの選択(Select User Identity Groups)

[ユーザ ID グループの選択(Select User Identity Groups)] ドロップダウン リストで、AUP 設定に対して一意のユーザ ID グループまたは一意のユーザの ID グループを選択します。

AUP 設定を作成しているときには、次の点に注意してください。

ポスチャ AUP は、ゲスト フローには適用できません。

各設定には、一意のユーザ ID グループ、またはユーザ ID グループの一意の組み合わせが必要です。

2 つの設定が共通のユーザの ID グループを持つことはできません。

ユーザ ID グループ "Any" を使用して AUP 設定を作成する場合は、他のすべての AUP 設定を最初に削除します。

ユーザ ID グループ "Any" を使用して AUP 設定を作成した場合、一意のユーザ ID グループ、または複数のユーザ ID グループを使用して他の AUP 設定を作成することはできません。Any 以外のユーザ ID グループを使用して AUP 設定を作成するには、最初にユーザ ID グループ "Any" を使用した既存の AUP 設定を削除するか、ユーザ ID グループ "Any" を使用した既存の AUP 設定を一意のユーザ ID グループまたは複数のユーザの ID グループを使用して更新します。

利用規定設定 - 設定リスト(Acceptable use policy configurations--Configurations list)

既存の AUP 設定、および AUP 設定に関連付けられているエンドユーザ ID グループをリストします。

EAP-FAST 設定

次の表に、EAP-FAST、EAP-TLS、および PEAP プロトコルを設定するために使用できる [プロトコル設定(Protocol Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FAST 設定(EAP-FAST Settings)] です。

 

表 A-19 EAP-FAST の設定

フィールド
使用上のガイドライン

機関識別情報の説明(Authority Identity Info Description)

クレデンシャルをクライアントに送信する Cisco ISE ノードを説明したわかりやすい文字列を入力します。クライアントは、この文字列をタイプ、長さ、および値(TLV)の Protected Access Credentials(PAC)情報で認識できます。デフォルト値は、Identity Services Engine です。

マスター キー生成期間(Master Key Generation Period)

マスター キー生成期間を、秒、分、時間、日、または週単位で指定します。値は、1 ~ 2147040000 秒の正の整数である必要があります。デフォルトは 604800 秒で、これは 1 週間に相当します。

関連項目

「EAP-FAST 設定の設定」

EAP-FAST の PAC の生成設定

次の表に、EAP-FAST 認証の protected access credentials を設定するために使用できる [PAC を生成(Generate PAC)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [PAC を生成(Generate PAC)] です。

 

表 A-20 EAP-FAST の PAC の生成設定

フィールド
使用上のガイドライン

トンネル PAC(Tunnel PAC)

トンネル PAC を生成するには、このオプション ボタンをクリックします。

マシン PAC(Machine PAC)

マシン PAC を生成するには、このオプション ボタンをクリックします。

SGA PAC

SGA PAC を生成するには、このオプション ボタンをクリックします。

ID

(トンネル PAC およびマシン PAC の ID フィールド用)EAP-FAST プロトコルにより「内部ユーザ名」として示されるユーザ名またはマシン名を指定します。ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。

これは、適応型セキュリティ アプライアンス(ASA)で定義されているホスト名です。ID 文字列は生成される ASA ホスト名に一致する必要があり、そうでない場合は、ASA は生成された PAC ファイルをインポートできません。

SGA PAC を生成する場合、[ID(Identity)] フィールドにより SGA ネットワーク デバイスのデバイス ID が指定され、EAP-FAST プロトコルによりイニシエータ ID とともに提供されます。ここで入力した ID 文字列がそのデバイス ID と一致しない場合、認証は失敗します。SGA PAC の詳細については、「OOB SGA PAC」を参照してください。

PAC 存続可能時間(PAC Time to Live)

(トンネル PAC およびマシン PAC 用)PAC の期限を指定する値を秒単位で入力します。デフォルトは 604800 秒で、これは 1 週間に相当します。この値は、1 ~ 157680000 秒の正の整数である必要があります。

SGA PAC に対しては、日、週、月、または年単位で値を入力します。デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。

暗号化キー(Encryption Key)

暗号化キーを入力します。キーの長さは 8 ~ 256 文字にする必要があります。キーには、大文字や小文字、数字、または英数字の組み合わせを含めることができます。

有効期限データ(Expiration Data)

(SGA PAC のみ)有効期限は、PAC 存続可能時間に基づいて計算されます。

関連項目

「EAP-FAST の PAC の生成」

EAP-TLS 設定

次の表に、EAP-TLS プロトコル設定を行うために使用できる [EAP-TLS 設定(EAP-TLS Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TLS] です。

 

表 A-21 EAP-TLS 設定

フィールド
使用上のガイドライン

EAP-TLS セッションの再開を有効にする(Enable EAP-TLS Session Resume)

完全な EAP-TLS 認証に成功したユーザの簡略化された再認証をサポートする場合にオンにします。この機能により、Secure Sockets Layer(SSL)ハンドシェイクのみでユーザの再認証が可能となり、証明書の適用が不要になります。EAP-TLS セッションは、タイムアウトしていない限り動作を再開します。

EAP-TLS セッション タイムアウト(EAP-TLS Session Timeout)

EAP-TLS セッションがタイムアウトするまでの時間を秒単位で指定します。デフォルト値は 7200 秒です。

関連項目

「EAP-TLS 設定の設定」

PEAP 設定

次の表に、PEAP プロトコル設定を行うために使用できる [PEAP 設定(PEAP Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [PEAP] です。

 

表 A-22 PEAP 設定

フィールド
使用上のガイドライン

PEAP セッションの再開を有効にする(Enable PEAP Session Resume)

このチェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証のフェーズ 2 で正常に認証された場合に限り、PEAP 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の PEAP セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。

PEAP セッション再開機能を動作させるには、PEAP セッション タイムアウト値を指定する必要があります。

PEAP セッション タイムアウト(PEAP Session Timeout)

PEAP セッションがタイムアウトするまでの時間を秒単位で指定します。デフォルト値は 7200 秒です。

高速再接続を有効にする(Enable Fast Reconnect)

このチェックボックスをオンにすると、セッション再開機能が有効な場合に、ユーザ クレデンシャルを確認しないで PEAP セッションが Cisco ISE で再開することを許可します。

関連項目

「PEAP 設定の設定」

RADIUS 設定

次の表に、認証に失敗したクライアントを検出し、成功した認証が繰り返しレポーティングされるのを抑制するために使用できる [RADIUS 設定(RADIUS Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [RADIUS] です。

 

表 A-23 RADIUS 設定

フィールド
使用上のガイドライン

異常なクライアントの抑制(Suppress Anomalous Clients)

繰り返し認証に失敗したクライアントを検出するには、このチェックボックスをオンにします。失敗の概要がレポート間隔ごとに報告されます。

検出間隔(Detection Interval)

クライアントを検出する時間間隔を分単位で入力します。

レポーティング間隔(Reporting Interval)

失敗した認証を報告する間隔を分単位で入力します。

検出後に要求を拒否する(Reject Requests After Detection)

検出後に要求を拒否するには、このチェックボックスをオンにします。異常なクライアントの要求は、要求拒否間隔ごとに拒否されます

要求拒否間隔(Request Rejection Interval)

要求を拒否する時間間隔を分単位で入力します。このオプションは、[検出後に要求を拒否する(Reject Requests After Detection)] をオンにした場合のみ使用できます。

成功が繰り返される認証を抑制する(Suppress Repeated Successful Authentications)

ID コンテキスト、ネットワーク デバイス、および許可の変更がない、成功した認証要求を直近の 24 時間繰り返しレポーティングされないようにするには、このチェックボックスをオンにします。

アカウンティング抑制間隔(Accounting Suppression Interval)

アカウンティング要求のレポーティングを抑制する時間間隔を秒単位で入力します。

長い処理ステップのしきい値間隔(Long Processing Step Threshold Interval)

ミリ秒単位で時間間隔を入力します。ステップは、認証の詳細レポートに表示されます。1 つのステップの実行が指定したしきい値を超えた場合、認証の詳細レポートで強調表示されます。

関連項目

「RADIUS 設定の設定」

セキュリティ グループ アクセス設定

Cisco ISE がセキュリティ グループ アクセス(SGA)サーバとして機能して SGA サービスを提供するには、いくつかのグローバル SGA 設定を定義する必要があります。次の表に、[セキュリティ グループ アクセス(Security Group Access)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ グループ アクセス(Security Group Access)] です。

 

表 A-24 セキュリティ グループ アクセスの設定

フィールド
使用上のガイドライン

トンネル PAC の存続可能時間(Tunnel PAC Time to Live)

PAC の有効期限を指定します。トンネル PAC は EAP-FAST プロトコル用のトンネルを生成します。時間を秒、分、時、日数、または週数で指定できます。デフォルト値は 90 日です。有効な範囲は次のとおりです。

1 ~ 157680000 秒

1 ~ 2628000 分

1 ~ 43800 時間

1 ~ 1825 日

1 ~ 260 週

予防的 PAC 更新が発生するまでの時間(Proactive PAC Update Will Occur After)

Cisco ISE は、認証に成功した後、設定したパーセンテージのトンネル PAC TTL が残っているときに、新しい PAC をクライアントに予防的に提供します。トンネル PAC 更新は、最初に正常に認証が実行されてから、PAC の有効期限が切れるまでの間に、サーバによって開始されます。このメカニズムにより、クライアントは常に有効な PAC で更新されます。デフォルト値は 10% です。

システムですべてのタグを自動生成(All Tags Automatically Generated by System)

すべての SGT を Cisco ISE で自動生成する場合は、このオプションを選択します。SGA デバイスに特定のセキュリティ グループおよびポリシーを手動で設定する予定の場合にのみ、このオプションを使用します。

範囲の予約(Reserve a Range)

デバイスに手動で設定するためにセキュリティ グループ タグ(SGT)の範囲を予約する場合は、このオプションを選択します。

Cisco ISE はデフォルトでは [不明(Unknown)] で SGT を作成し、これは 0 の値をとります。

SGT の範囲を設定した場合、Cisco ISE は SGT 値の生成時にこれらの範囲に含まれる値を使用しません。

すべてのタグは手動で定義される(All tags are manually defined)

SGT を手動で定義するには、このオプションを選択します。

ID の管理

これらのページを使用すると、Cisco ISE の ID を設定し、管理することができます。

エンドポイント(Endpoints)

このページを使用すると、ネットワークに接続するエンドポイントを設定および管理することができます。

エンドポイント設定

次の表に、エンドポイントを作成し、エンドポイントにポリシーを割り当てるために使用できる [エンドポイント(Endpoints)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

 

表 A-25 エンドポイント設定

フィールド
使用上のガイドライン

MAC アドレス(MAC Address)

エンドポイントを静的に作成するには、MAC アドレスを 16 進数形式で入力します。

MAC アドレスは、Cisco ISE 対応のネットワークに接続するインターフェイスのデバイス ID です。

スタティック割り当て(Static Assignment)

[エンドポイント(Endpoints)] ページでエンドポイントを静的に作成する場合このチェックボックスをオンにすると、静的割り当てのステータスが static に設定されます。

エンドポイントのスタティック割り当てのステータスを静的から動的に、または動的から静的に切り替えできます。

ポリシー割り当て(Policy Assignment)

(スタティック割り当てがチェックされていない限り、デフォルトで無効)[ポリシー割り当て(Policy Assignment)] ドロップダウン リストから一致するエンドポイント ポリシーを選択します。

次のいずれかを実行できます。

一致するエンドポイント ポリシーを選択しないが、デフォルトのエンドポイント ポリシー 不明を使用する場合、スタティック割り当てステータスはエンドポイントに対して動的に設定され、それにより、エンドポイントの動的プロファイリングが可能になります。

不明ではなく、一致するエンドポイント ポリシーを選択する場合、スタティック割り当てステータスはそのエンドポイントに対して静的に設定され、[スタティック割り当て(Static Assignment)] チェックボックスが自動的にオンにされます。

スタティック グループ割り当て(Static Group Assignment)

([スタティック グループ割り当て(Static Group Assignment)] がチェックされていない限り、デフォルトで無効)エンドポイントを ID グループに静的に割り当てる場合、このチェックボックスをオンにします。

このチェックボックスをオンにした場合、プロファイリング サービスは、前に他のエンドポイント ID グループに動的に割り当てられたエンドポイントの次のエンドポイント ポリシーの評価時に、そのエンドポイント ID グループを変更しません。

このチェックボックスをオフにした場合、エンドポイント ID グループは、ポリシー設定に基づいて ISE プロファイラにより割り当てられたダイナミック グループです。[スタティック グループ割り当て(Static Group Assignment)] オプションを選択しない場合、エンドポイントは、エンドポイント ポリシーの次回評価時に一致する ID グループに自動的に割り当てられます。

ID グループ割り当て(Identity Group Assignment)

エンドポイントを割り当てるエンドポイント ID グループを選択します。

エンドポイントを静的に作成する場合、またはエンドポイントのエンドポイント ポリシーの評価時に [一致する ID グループの作成(Create Matching Identity Group)] オプションを使用しない場合は、エンドポイントを ID グループに割り当てることができます。

Cisco ISE には、次のシステムによって作成された次のエンドポイント ID グループがあります。

ブラックリスト

GuestEndpoints

プロファイル済み

Cisco IP-Phone

ワークステーション

RegisteredDevices

不明

LDAP からのエンドポイントのインポート設定

次の表に、LDAP サーバからエンドポイントをインポートするために使用できる [LDAP からのインポート(Import From LDAP)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

 

表 A-26 LDAP からのエンドポイントのインポート設定

フィールド
使用上のガイドライン
接続設定

ホスト(Host)

LDAP サーバのホスト名または IP アドレスを入力します。

ポート(Port)

LDAP サーバのポート番号を入力します。デフォルト ポート 389 を使用して LDAP サーバからインポートするか、デフォルト ポート 636 を使用して SSL を介して LDAP サーバからインポートできます。

(注) Cisco ISE では、任意の設定済みポート番号をサポートします。設定済みの値は、LDAP サーバ接続詳細に一致する必要があります。

セキュア接続を有効にする(Enable Secure Connection)

SSL を介して LDAP サーバからインポートするには、[セキュア接続を有効にする(Enable Secure Connection)] チェックボックスをオンにします。

ルート CA 証明書名

ドロップダウン矢印をクリックして、信頼できる CA 証明書を表示します。

ルート CA 証明書名は、LDAP サーバに接続する場合に必要となる信頼できる CA 証明書を指します。Cisco ISE で信頼できる CA 証明書を追加(インポート)、編集、削除、およびエクスポートできます。

匿名バインド(Anonymous Bind)

匿名バインドを有効にするには、[匿名バインド(Anonymous Bind)] チェックボックスをオンにします。

[匿名バインド(Anonymous Bind)] チェックボックスをオンにするか、または slapd.conf コンフィギュレーション ファイルの LDAP 管理者クレデンシャルを入力する必要があります。

管理者 DN(Admin DN)

LDAP 管理者に設定された認定者名(DN)を slapd.conf コンフィギュレーション ファイルに入力します。

管理者 DN フォーマット例:cn=Admin, dc=cisco.com, dc=com

パスワード(Password)

LDAP 管理者に設定されたパスワードを slapd.conf コンフィギュレーション ファイルに入力します。

ベース DN(Base DN)

親エントリの認定者名を入力します。

ベース DN フォーマット例:dc=cisco.com, dc=com。

クエリー設定

MAC アドレス objectClasses(MAC Address objectClass)

MAC アドレスのインポートに使用されるクエリー フィルタを入力します。たとえば、ieee802Device です。

MAC アドレス属性名(MAC Address Attribute Name)

インポートに使用する返された属性名を入力します。たとえば、macAddress です。

プロファイル属性名(Profile Attribute Name)

LDAP 属性の名前を入力します。この属性は、LDAP サーバで定義されている各エンドポイント エントリのポリシー名を保持します。

[プロファイル属性名(Profile Attribute Name)] フィールドを設定する場合は、次の点を考慮してください。

[プロファイル属性名(Profile Attribute Name)] フィールドでこの LDAP 属性を指定しない場合、またはこの属性を誤って設定した場合、インポート操作時にエンドポイントは不明としてマークされ、これらのエンドポイントは一致するエンドポイント プロファイリング ポリシーに個別にプロファイリングされます。

[プロファイル属性名(Profile Attribute Name)] フィールドで LDAP 属性を設定した場合、その属性値は、エンドポイント ポリシーが Cisco ISE 内の既存のポリシーに一致することを確認するために検証され、エンドポイントがインポートされます。エンドポイント ポリシーが既存のポリシーと一致しない場合、それらのエンドポイントはインポートされません。

タイムアウト(秒)(Time Out [seconds])

時間を秒単位(1 ~ 60 秒)で入力します。

グループ

これらのページを使用すると、エンドポイント ID グループを設定し、管理することができます。

エンドポイント ID グループ設定

次の表に、エンドポイント グループを作成するために使用できる [エンドポイント ID グループ(Endpoint Identity Groups)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] です。

 

表 A-27 エンドポイント ID グループ設定

フィールド
使用上のガイドライン

名前(Name)

作成するエンドポイント ID グループの名前を入力します。

説明(Description)

作成するエンドポイント ID グループの説明を入力します。

親グループ(Parent Group)

新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを、[親グループ(Parent Group)] ドロップダウン リストから選択します。

Cisco ISE には、次の 5 つのエンドポイント ID グループがあります。

ブラックリスト

GuestEndpoints

プロファイル済み

RegisteredDevices

不明

さらに、プロファイル済み(親)ID グループに関連付けられている追加の 2 つの ID グループである Cisco-IP-Phone およびワークステーションを作成します。

外部 ID ソース

これらのページを使用すると、Cisco ISE が認証および許可に使用するユーザ データを含む外部 ID ソースを設定および管理することができます。

LDAP ID ソース設定

次の表に、LDAP インスタンスを作成し、接続するために使用できる [LDAP ID ソース(LDAP Identity Sources)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [LDAP] です。

LDAP 一般設定

以下の表に、[一般(General)] タブのフィールドについて説明します。

表 A-28 LDAP 一般設定

フィールド
使用上のガイドライン

名前(Name)

LDAP インスタンスの名前を入力します。この値は、検索でサブジェクト DN および属性を取得するために使用されます。この値は string 型で、最大長は 64 文字です。

説明(Description)

LDAP インスタンスの説明を入力します。この値は string 型で、最大長は 1024 文字です。

スキーマ(Schema)

次のいずれかの組み込みスキーマ タイプを選択すると、スキーマの詳細が事前に読み込まれ、表示されません。

Active Directory

Sun Directory Server

Novell eDirectory

(注) 事前定義されたスキーマの詳細を編集できますが、Cisco ISE によって変更が検出され、[カスタム(Custom)] スキーマが作成されます。[スキーマ(Schema)] の隣の矢印をクリックすると、スキーマの詳細を表示できます。

(注) 次のフィールドにはスキーマの詳細が含まれ、[カスタム(Custom)] スキーマを選択した場合にのみ表示されます。

サブジェクト オブジェクト クラス(Subject Objectclass)

検索でサブジェクト DN および属性を取得するために使用する値を入力します。この値は string 型で、最大長は 256 文字です。

サブジェクト名属性(Subject Name Attribute)

ユーザ名を含む要求の属性の名前を入力します。この値は string 型で、最大長は 256 文字です。

Certificate Attribute

証明書定義を含む属性を入力します。証明書ベースの認証の場合、これらの定義はクライアントによって提示された証明書を検証するために使用されます。

グループ オブジェクト クラス(Group Objectclass)

検索において、グループとして認識されるオブジェクトを指定するために使用される値を入力します。この値は string 型で、最大長は 256 文字です。

グループ マップ属性(Group Map Attribute)

マッピング情報を含む属性を指定します。この属性は、選択した参照方向に基づいて、ユーザまたはグループ属性を指定できます。

サブジェクト オブジェクトにグループへの参照が含まれる(Subject Objects Contain Reference To Groups)

所属するグループを指定する属性がサブジェクト オブジェクトに含まれている場合は、このオプション ボタンをクリックします。

グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)

サブジェクトを指定する属性がグループ オブジェクトに含まれている場合は、このオプション ボタンをクリックします。この値はデフォルト値です。

グループ内のサブジェクトをメンバー属性に保存(Subjects In Groups Are Stored In Member Attribute As)

([グループ オブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)] オプション ボタンを選択した場合にのみ使用可能)メンバーがグループ メンバー属性に供給される方法を指定します。デフォルトは DN です。

LDAP の接続設定

次の表では、[接続設定(Connection Settings)] タブ内のフィールドについて説明します。

 

表 A-29 LDAP の接続設定

フィールド
使用上のガイドライン

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリ LDAP サーバに障害が発生した場合にバックアップとして使用するセカンダリ LDAP サーバを有効にする場合は、このオプションをオンにします。このチェックボックスをオンにする場合は、セカンダリ LDAP サーバの設定パラメータを入力する必要があります。

プライマリ サーバとセカンダリ サーバ

ホスト名/IP(Hostname/IP)

LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。

ポート(Port)

LDAP サーバが受信している TCP/IP ポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389 です。ポート番号が不明な場合は、LDAP サーバの管理者からポート番号を取得できます。

アクセス(Access)

[匿名アクセス(Anonymous Access)]:LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。サーバではクライアントが区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへの、クライアント読み取りアクセスが許可されます。認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。

[認証されたアクセス(Authenticated Access)]:LDAP ディレクトリの検索が管理クレデンシャルによって行われるようにする場合にクリックします。その場合、[管理者 DN(Admin DN)] および [パスワード(Password)] フィールドの情報を入力します。

管理者 DN(Admin DN)

管理者の DN を入力します。管理者 DN は、ユーザ ディレクトリ サブツリー内の必要なすべてのユーザの検索、およびグループの検索が許可されている LDAP アカウントです。指定した管理者に対して、検索でのグループ名属性の表示が許可されていない場合、LDAP サーバで認証されたユーザのグループ マッピングは失敗します。

パスワード(Password)

LDAP 管理者アカウントのパスワードを入力します。

セキュアな認証(Secure Authentication)

SSL を使用して Cisco ISE とプライマリ LDAP サーバ間の通信を暗号化する場合にクリックします。[ポート(Port)] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。このオプションを有効にした場合は、ルート CA を選択する必要があります。

ルート CA(Root CA)

ドロップダウン リスト ボックスから信頼できるルート認証局を選択して、証明書による安全な認証を有効にします。

CA 証明書の詳細については、「証明書ストア」および「証明書ストアへの証明書の追加」を参照してください。

サーバ タイムアウト(Server Timeout)

プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に Cisco ISE がプライマリ LDAP サーバからの応答を待つ秒数を入力します。有効な値は 1 ~ 300 です。デフォルトは 10 です。

最大 管理接続(Max. Admin Connections)

特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。これらの接続は、ユーザ ディレクトリ サブツリーおよびグループ ディレクトリ サブツリーの下にあるユーザおよびグループのディレクトリの検索に使用されます。有効な値は 1 ~ 99 です。デフォルトは 20 です。

サーバへのバインドをテスト(Test Bind To Server)

LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテストおよび確認する場合にクリックします。テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。

[LDAP] の [ディレクトリ構成(Directory Organization)] タブ

以下の表では、[ディレクトリ構成(Directory Organization)] タブのフィールドについて説明します。

 

表 A-30 [LDAP] の [ディレクトリ構成(Directory Organization)] タブ

フィールド
使用上のガイドライン

サブジェクト検索ベース(Subject Search Base)

すべてのサブジェクトを含むサブツリーの DN を入力します。次に例を示します。

o=corporation.com

サブジェクトを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。詳細については、LDAP データベースに関するドキュメントを参照してください。

グループ検索ベース(Group Search Base)

すべてのグループを含むサブツリーの DN を入力します。次に例を示します。

ou = 組織ユニット、ou = 次の組織ユニット、o = corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。詳細については、LDAP データベースに関するドキュメントを参照してください。

形式での MAC アドレスの検索(Search for MAC Address in Format)

LDAP データベースの検索に使用するために Cisco ISE の MAC アドレス形式を入力します。内部 ID ソースの MAC アドレスは、xx-xx-xx-xx-xx-xx の形式で供給されます。LDAP データベースの MAC アドレスは、異なる形式で供給できます。ただし、Cisco ISE でホスト ルックアップ要求が受信されると、MAC アドレスは Cisco ISE によって内部形式からこのフィールドで指定した形式に変換されます。

ドロップダウン リストを使用して、特定の形式での MAC アドレスの検索を有効にします。 <format> は次のいずれかです。

xxxx.xxxx.xxxx

xxxxxxxxxxxx

xx-xx-xx-xx-xx-xx

xx:xx:xx:xx:xx:xx

選択する形式は、LDAP サーバに供給されている MAC アドレスの形式と一致している必要があります。

サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip start of subject name up to the last occurrence of the separator)

ユーザ名からドメイン プレフィックスを削除するために適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。ユーザ名に、<start_string> ボックスに指定した文字が複数含まれている場合は、Cisco ISE によって最後の区切り文字までの文字が削除されます。たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\user1 である場合、Cisco ISE によって user1 が LDAP サーバに送信されます。

(注) <start_string> ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。Cisco ISE では、ユーザ名にこれらの文字を使用できません。

最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip end of subject name from the first occurrence of the separator)

ユーザ名からドメイン サフィックスを削除するために適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。ユーザ名に、このフィールドに指定した文字が複数含まれている場合は、Cisco ISE によって最初の区切り文字から文字が削除されます。たとえば、区切り文字が @ で、ユーザ名が user1@domain である場合、Cisco ISE によって user1 が LDAP サーバに送信されます。

ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。Cisco ISE では、ユーザ名にこれらの文字を使用できません。

関連項目

「LDAP」

「LDAP ID ソースの追加」

「プライマリおよびセカンダリ LDAP サーバの設定」

RADIUS トークン D ソース設定

次の表に、RADIUS 外部 ID ソースを設定し、それに接続するために使用できる [RADIUS トークン ID ソース(RADIUS Token Identity Sources)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RADIUS トークン(RADIUS Token)] です。

 

表 A-31 RADIUS トークン ID ソース設定

フィールド
使用上のガイドライン

名前(Name)

RADIUS トークン サーバの名前を入力します。許容最大文字数は 64 文字です。

説明(Description)

RADIUS トークン サーバの説明を入力します。最大文字数は 1024 です。

SafeWord サーバ(SafeWord Server)

RADIUS ID ソースが SafeWord サーバである場合はこのチェックボックスをオンにします。

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリに障害が発生した場合にバックアップとして使用する Cisco ISE のセカンダリ RADIUS トークン サーバを有効にする場合は、このチェックボックスをオンにします。このチェックボックスをオンにする場合は、セカンダリ RADIUS トークン サーバを設定する必要があります。

常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)

Cisco ISE が常にプライマリ サーバに最初にアクセスする場合は、このオプション ボタンをクリックします。

経過後にプライマリ サーバにフォールバック(Fallback to Primary Server after)

プライマリ サーバに到達できない場合に Cisco ISE がセカンダリ RADIUS トークン サーバを使用して認証できる時間(分単位)を指定する場合は、このオプション ボタンをクリックします。この時間を過ぎると、Cisco ISE はプライマリ サーバに対する認証を再試行します。

プライマリ サーバ(Primary Server)

ホスト名/アドレス(Host IP)

プライマリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力として指定できます。このフィールドで使用できる有効な文字は、数字とドット(.)です。

共有秘密(Shared Secret)

この接続のプライマリ RADIUS トークン サーバで設定されている共有秘密を入力します。

認証ポート(Authentication Port)

プライマリ RADIUS トークン サーバが受信しているポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは 1812 です。

サーバ タイムアウト(Server Timeout)

プライマリ サーバがダウンしていると判断する前に Cisco ISE がプライマリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。有効な値は 1 ~ 300 です。デフォルトは 5 です。

接続試行回数(Connection Attempts)

セカンダリ サーバ(定義されている場合)に移動する前、またはセカンダリ サーバが定義されていない場合は要求をドロップする前に、Cisco ISE がプライマリ サーバへの再接続を試行する回数を指定します。有効値の範囲は 1 ~ 9 です デフォルトは 3 です。

セカンダリ サーバ(Secondary Server)

ホスト名/アドレス(Host IP)

セカンダリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力として指定できます。このフィールドで使用できる有効な文字は、数字とドット(.)です。

共有秘密(Shared Secret)

この接続のセカンダリ RADIUS トークン サーバで設定されている共有秘密を入力します。

認証ポート(Authentication Port)

セカンダリ RADIUS トークン サーバが受信しているポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは 1812 です。

サーバ タイムアウト(Server Timeout)

セカンダリ サーバがダウンしていると判断する前に Cisco ISE がセカンダリ RADIUS トークン サーバからの応答を待つ時間(秒単位)を指定します。有効な値は 1 ~ 300 です。デフォルトは 5 です。

接続試行回数(Connection Attempts)

要求をドロップする前に Cisco ISE がセカンダリ サーバへの再接続を試行する回数を指定します。有効値の範囲は 1 ~ 9 です デフォルトは 3 です。

関連項目

「RADIUS トークン ID ソース」

「RADIUS トークン サーバの追加」

RSA SecurID ID ソース設定

次の表に、RSA SecurID ID ソースを作成し、それに接続するために使用できる [RSA SecurID ID ソース(RSA SecurID Identity Sources)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] です。

RSA プロンプト設定

次の表では、RSA の [プロンプト(Prompts)] タブ内のフィールドについて説明します。

 

表 A-32 RSA プロンプト設定

フィールド
使用上のガイドライン

パスコード プロンプトの入力(Enter Passcode Prompt)

パス コードを取得するテキスト文字列を入力します。

次のトークン コードの入力(Enter Next Token Code)

次のトークンを要求するテキスト文字列を入力します。

PIN タイプの選択(Choose PIN Type)

ピン タイプを要求するテキスト文字列を入力します。

システム PIN の受け入れ(Accept System PIN)

システム生成の PIN を受け付けるテキスト文字列を入力します。

英数字 PIN の入力(Enter Alphanumeric PIN)

英数字 PIN を要求するテキスト文字列を入力します。

数値 PIN の入力(Enter Numeric PIN)

数値 PIN を要求するテキスト文字列を入力します。

PIN の再入力(Re-enter PIN)

ユーザに PIN の再入力を要求するテキスト文字列を入力します。

RSA メッセージ設定

次の表では、RSA の [メッセージ(Messages)] タブ内のフィールドについて説明します。

 

表 A-33 RSA メッセージ設定

フィールド
使用上のガイドライン

システム PIN メッセージの表示(Display System PIN Message)

システム PIN メッセージのラベルにするテキスト文字列を入力します。

システム PIN 通知の表示(Display System PIN Reminder)

ユーザに新しい PIN を覚えるように通知するテキスト文字列を入力します。

数字を入力する必要があるエラー(Must Enter Numeric Error)

PIN には数字のみを入力するようにユーザに指示するメッセージを入力します。

英数字を入力する必要があるエラー(Must Enter Alpha Error)

PIN には英数字のみを入力するようにユーザに指示するメッセージを入力します。

PIN 受け入れメッセージ(PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

PIN 拒否メッセージ(PIN Rejected Message)

ユーザの PIN がシステムによって拒否されたときに表示されるメッセージを入力します。

ユーザの PIN が異なるエラー(User Pins Differ Error)

ユーザが不正な PIN を入力したときに表示されるメッセージを入力します。

システム PIN 受け入れメッセージ(System PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

不正パスワード長エラー(Bad Password Length Error)

ユーザが指定した PIN が、PIN 長ポリシーで指定されている範囲に収まらない場合に表示されるメッセージを入力します。

関連項目

「RSA ID ソース」

「RSA ID ソースの追加」

ID の管理設定

ユーザ パスワード ポリシーの設定

次の表に、ユーザ パスワードの基準を定義するために使用できる [ユーザ パスワード ポリシー(User Password Policy)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [パスワード ポリシー(Password Policy)] です。

 

表 A-34 ユーザ パスワード ポリシーの設定

オプション
説明

最小長(Minimum Length)

パスワードの最小長(文字数)を設定します

ユーザ名(Username)

ユーザ名またはその文字の逆順での使用を制限します

Cisco

cisco またはその文字の逆順での使用を制限します

特殊文字(Special characters)

定義した特殊文字の逆順での使用を制限します

繰り返しの文字列(Repeated characters)

4 回以上連続して繰り返される文字の使用を制限します

必須文字列(Required characters)

パスワードに次の各タイプが少なくとも 1 つ含まれている必要があります。

小文字の英文字(Lowercase alphabetic characters)

大文字の英文字(Uppercase alphabetic characters)

数字(Numeric characters)

英数字以外の文字(Non-alphanumeric characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されるのを防ぐために、パスワードと異なっている必要がある前のバージョンの数を指定します

また、以前のパスワードと異なる必要がある文字数を指定します

パスワード ライフタイム(Password Lifetime)

次のオプションを設定して、指定した期間後にパスワードを変更するようユーザに強制します。

パスワードが変更されなかった場合にユーザ アカウントを無効にするまでの時間(日数)(Time (in days) before the user account is disabled if the password is not changed)

ユーザ アカウントが無効になるまでのリマインダ(日数)(Reminder (in days) before the user account is disabled)

ログイン試行の不正なアカウントをロックまたは一時停止する(Lock or Suspend Account with Incorrect Login Attempts)

Cisco ISE が、ユーザを Cisco ISE からロックアウトし、アカウント クレデンシャルを中断または無効にするまでに、誤ったユーザパスワードを記録する回数指定します。

アカウントがロックされるユーザにメールが送信されます。カスタム電子メール修復メッセージを入力することができます。

ネットワーク リソース

ネットワーク デバイス

これらのページを使用すると、ネットワーク デバイスを追加し、管理することができます。

ネットワーク デバイス定義の設定

次の表に、Cisco ISE のネットワーク アクセス デバイスに使用できる [ネットワーク デバイス(Network Devices)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

ここでは、次の設定の管理者ポータル要素について説明します。

「RADIUS 認証設定」

「SNMP 設定」

「SGA デバイス属性の設定」

 

表 A-35 ネットワーク デバイス定義の設定

フィールド
説明

名前(Name)

ネットワーク デバイスの名前を入力します。

ネットワーク デバイスにデバイスのホスト名とは異なるわかりやすい名前を指定できます。デバイス名は論理識別子です。

(注) 一度設定されると、デバイスの名前は編集できません。

説明(Description)

デバイスの説明を入力します。

IP アドレス/マスク(IP Address/Mask)

1 つの IP アドレスおよびサブネット マスクを入力します。

IP アドレスとサブネット マスクを定義するときに従う必要があるガイドラインを次に示します。

特定の IP アドレスを定義するか、サブネット マスクを使用して範囲を定義できます。デバイス A の IP アドレス範囲が定義されている場合、デバイス A に定義されている範囲の個別のアドレスを別のデバイス B に設定できます。

同じ IP アドレスを持つ 2 台のデバイスを定義することはできません。

同じ IP 範囲を持つ 2 台のデバイスを定義することはできません。IP 範囲は、一部または全部が重複することはできません。

モデル名(Model Name)

ドロップダウン リストをクリックして、Cisco Catalyst 6K、Cisco Nexus 7K などのデバイス モデルを選択します。

モデル名は、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。この属性は、デバイス ディクショナリにあります。

ソフトウェア バージョン(Software Version)

ドロップダウン リストをクリックして、ネットワーク デバイス上で実行されているソフトウェアのバージョン(Cisco IOS Release 12.3、12.3(2)など)を選択します。

ソフトウェア バージョンは、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。この属性は、デバイス ディクショナリにあります。

ネットワーク デバイス グループ(Network Device Group)

[場所(Location)] および [デバイス タイプ(Device Type)] ドロップダウン リストをクリックし、ネットワーク デバイスに関連付けることができる場所とデバイス タイプを選択します。

設定するときに、特にデバイスをグループに割り当てない場合、デフォルトのデバイス グループ(ルート NDG)の一部になります。それは、場所に関してはすべてのロケーションで、デバイス タイプに関してはすべてのデバイス タイプであり、デフォルトのデバイス グループ(ルート NDG)が割り当てられます。たとえば、すべてのロケーションとすべてのデバイス グループ。

RADIUS 認証設定

次の表に、デバイスの RADIUS 認証を設定するために使用できる [新しいネットワーク デバイス(New Network Devices)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

 

表 A-36 RADIUS 認証設定

フィールド
使用上のガイドライン

プロトコル(Protocol)

選択したプロトコルとして RADIUS を表示します。

共有秘密(Shared Secret)

長さが最大 128 文字の共有秘密を入力します。

共有秘密は、 pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。

KeyWrap の有効化(Enable KeyWrap)

ネットワーク デバイスでサポートされる場合のみ、このチェックボックスをオンにします。それにより、AES KeyWrap アルゴリズムによって RADIUS が強化されます。

(注) FIPS モードで Cisco ISE を実行する場合、ネットワーク デバイス上で KeyWrap を有効にする必要があります。

キー暗号キー(Key Encryption Key)

(KeyWrap を有効にしている場合だけ表示されます)セッションの暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

(KeyWrap を有効にしている場合だけ表示されます)RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次のいずれかの形式を選択します。

ASCII :キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)にする必要があります。

16 進数 :キー暗号キーの長さは 32 バイト、メッセージ オーセンティケータ コード キーの長さは 40 バイトにする必要があります。

Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります。(キーに指定する値は、正しい(全体)長さにする必要があり、それよりも短い値は許可されません)。

SNMP 設定

次の表に、デバイスの SNMP を設定するために使用できる [新しいネットワーク デバイス(New Network Devices)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

 

表 A-37 SNMP 設定

フィールド
使用上のガイドライン

SNMP バージョン(SNMP Version)

要求に使用される [バージョン(Version)] ドロップダウン リストから SNMP のバージョンを選択します。

次のバージョンがあります。

1:SNMPv1 は informs をサポートしていません。

2c

3:SNMPv3 は、[Priv] セキュリティ レベルを選択した場合にパケット暗号化が可能であるため、最もセキュアなモデルです。

(注) ネットワーク デバイスに SNMPv3 パラメータを設定した場合、モニタリング サービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワーク デバイス(Network Device)] > [セッション ステータス概要(Session Status Summary)])によって提供されるネットワーク デバイス セッション ステータス概要レポートを生成できません。ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。

SNMP RO コミュニティ(SNMP RO Community)

(SNMP バージョン 1 および 2c で選択された場合のみ)Cisco ISE にデバイスへの特定タイプのアクセスを提供する読み取り専用コミュニティ ストリングを入力します。

SNMP ユーザ名(SNMP Username)

(SNMP バージョン 3 の場合のみ)SNMP ユーザ名を入力します。

セキュリティ レベル(Security Level)

(SNMP バージョン 3 の場合のみ)次からセキュリティ レベルを選択します。

[Auth]:Message Digest 5 または Secure Hash Algorithm(SHA)パケット認証をイネーブルにします。

[No Auth]:認証なし、プライバシーなしのセキュリティ レベル。

[Priv]:データ暗号規格(DES)パケットの暗号化を有効にします。

認証プロトコル(Auth Protocol)

(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)ネットワーク デバイスで使用する認証プロトコルを選択します。

認証プロトコルには、Auth および Priv のセキュリティ レベルに対して次のいずれかが含まれます。

MD5

SHA

認証パスワード(Auth Password)

(SNMP バージョン 3 でセキュリティ レベル Auth および Priv を選択した場合のみ)8 文字以上の長さにする必要がある認証キーを入力します。

デバイスにすでに設定されている認証パスワードを表示するには、[表示(Show)] をクリックします。

プライバシー プロトコル(Privacy Protocol)

(SNMP バージョン 3 でセキュリティ レベル Priv を選択した場合のみ)ネットワーク デバイスで使用するプライバシー プロトコルを選択します。

プライバシー プロトコルは次のいずれかです。

DES

AES128

AES192

AES256

トリプル DES

プライバシー パスワード(Privacy Password)

(SNMP バージョン 3 でセキュリティ レベル Priv を選択した場合のみ)プライバシー キーを入力します。

デバイスにすでに設定されているプライバシー パスワードを表示するには、[表示(Show)] をクリックします。

ポーリング間隔(Polling Interval)

ポーリング間隔を秒単位で入力します。デフォルト値は 3600 秒です。

リンク トラップ クエリー(Link Trap Query)

SNMP トラップを介して linkup 通知と linkdown 通知を受信し、解釈するには、このチェックボックスをオンにします。

MAC トラップ クエリー(MAC Trap Query)

SNMP トラップを介して MAC 通知を受信し、解釈するには、このチェックボックスをオンにします。

送信元ポリシー サービス ノード(Originating Policy Services Node)

SNMP データのポーリングに使用する ISE サーバを示します。デフォルトでは自動ですが、別の値を割り当てて設定を上書きできます。

SGA デバイス属性の設定

次の表に、デバイスの SGA 属性を設定するために使用できる [新しいネットワーク デバイス(New Network Devices)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

 

表 A-38 SGA デバイス属性の設定

フィールド
使用上のガイドライン
SGA デバイス通知および更新の設定

SGA ID にデバイス ID を使用(Use Device ID for SGA Identification)

デバイス名をデバイス ID として [デバイス ID(Device ID)] フィールドにリストする場合は、このチェックボックスをオンにします。

このチェックボックスをオンにした場合、デバイス名が [デバイス ID(Device ID)] フィールドに表示されます。このデバイス ID は、任意の説明的な名前に変更することもできます。

デバイス ID(Device Id)

([SGA ID にデバイス ID を使用(Use Device ID for SGA Identification)] チェックボックスがオフの場合のみ)。このフィールドに入力されている場合は、デバイス名を論理識別子として使用できます。

パスワード(Password)

SGA デバイスを認証するためのパスワードを入力します(SGA デバイスのコマンドライン インターフェイスで(CLI)で設定したパスワードと同じ)。

SGA デバイスの認証に使用されるパスワードを表示するには、[表示(Show)] をクリックします。

環境データのダウンロード間隔(Download Environment Data Every)

Cisco ISE から SGA デバイス環境情報をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できるようにする有効期限を指定します。

たとえば、秒単位で 60 に指定すると、デバイスは 1 分ごとに Cisco ISE からその環境データをダウンロードします。デフォルト値は 86,400 秒または 1 日です。1 ~ 24850 の範囲の値を指定できます。

ピア許可ポリシーのダウンロード間隔(Download Peer Authorization Policy Every)

Cisco ISE からピア許可ポリシーをダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できるようにする有効期限を指定します。

たとえば、秒単位で 60 に指定すると、デバイスは 1 分ごとに Cisco ISE からそのピア許可ポリシーをダウンロードします。デフォルト値は 86,400 秒または 1 日です。1 ~ 24850 の範囲の値を指定できます。

再認証間隔(Reauthentication Every)

再認証の時間間隔を秒、分、時間、週、または日単位で設定できるようにする 802.1X の再認証期間を指定します。

SGA ソリューションを使用して設定されたネットワークでは、SGA デバイスは初期認証後に Cisco ISE に対して自分自身の再認証を行います。

たとえば、1000 秒に指定すると、デバイスは 1000 秒ごとに Cisco ISE に対して自分自身の認証を行います。デフォルト値は 86,400 秒または 1 日です。1 ~ 24850 の範囲の値を指定できます。

SGACL リストのダウンロード間隔(Download SGACL Lists Every)

Cisco ISE から SGACL をダウンロードする時間間隔を秒、分、時間、週、または日単位で設定できるようにする SGACL リストの有効期限を指定します。

たとえば、3600 秒に指定すると、ネットワーク デバイスは 3600 秒ごとに Cisco ISE から SGACL リストを取得します。デフォルト値は 86,400 秒または 1 日です。1 ~ 24850 の範囲の値を指定できます。

その他の SGA デバイスでこのデバイスを信頼する(信頼できる SGA)(Other SGA Devices to Trust This Device (SGA Trusted))

すべてのピア デバイスでこの SGA デバイスを信頼する場合は、このチェックボックスをオンにします。このチェックボックスをオフにした場合、ピア デバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けされるかまたはタグ付けされます。

SGA 設定の変更についてこのデバイスに通知する(Notify this device about SGA configuration changes)

Cisco ISE でこの SGA デバイスに SGA CoA 通知を送信する場合は、このチェックボックスをオンにします。

デバイス設定の展開の設定

セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates)

この SGA デバイスで、デバイス インターフェイス クレデンシャルを使用して IP と SGT とのマッピングを取得する場合は、このチェックボックスをオンにします。

EXEC モード ユーザ名(Exec Mode Username)

EXEC モードでデバイス設定を編集する権限を持っているユーザ名を入力します。

EXEC モード パスワード(Exec Mode Password)

EXEC モードでデバイス設定を編集する権限を持っているユーザのパスワードを入力します。

有効モード パスワード(Enable Mode Password)

デバイスの設定を編集するためのデバイスの EXEC モード パスワードを有効にするパスワードを入力します。

このデバイスにすでに設定されている EXEC モード パスワードを表示するには、[表示(Show)] をクリックします。

アウトオブバンド(OOB)SGA PAC(Out of Band (OOB) SGA PAC)表示

発行日(Issue Date)

この SGA デバイス用に Cisco ISE によって生成された最後の SGA PAC の発行日を表示します。

期限日(Expiration Date)

この SGA デバイス用に Cisco ISE によって生成された最後の SGA PAC の有効期限を表示します。

発行元(Issued By)

このデバイス用に Cisco ISE によって生成された最後の SGA PAC の発行者(SGA 管理者)の名前を表示します。

PAC の生成(Generate PAC)

SGA Protected Access Credentials(PAC)を作成するには、[PAC の生成(Generate PAC)] をクリックします。

デフォルトでは、アウトオブバンド SGA Protected Access Credential(PAC)情報は空ですが、入力されると無効と表示されます。SGA PAC 情報は、SGA 対応デバイスの SGA PAC を生成するときに自動的に入力できます。

デフォルトのネットワーク デバイス定義の設定

次の表に、Cisco ISE が RADIUS 認証に使用できる、デフォルトのネットワーク デバイスを設定できるようにする [デフォルトのネットワーク デバイス(Default Network device)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] > [デフォルト デバイス(Default Device)] です。

 

表 A-39 デフォルトのネットワーク デバイス定義の設定

フィールド
使用上のガイドライン

デフォルトのネットワーク デバイスのステータス(Default Network Device Status)

デフォルトのネットワーク デバイス定義を有効にするには、[デフォルトのネットワーク デバイスのステータス(Default Network Device Status)] ドロップダウン リストから [有効化(Enable)] を選択します。

プロトコル(Protocol)

選択したプロトコルとして RADIUS を表示します。

共有秘密(Shared Secret)

長さが最大 128 文字の共有秘密を入力します。

共有秘密は、 pac オプションを指定した radius-host コマンドを使用してネットワーク デバイスに設定したキーです。

KeyWrap の有効化(Enable KeyWrap)

ネットワーク デバイスでサポートされる場合のみ、このチェックボックスをオンにします。それにより、AES KeyWrap アルゴリズムによって RADIUS が強化されます。

FIPS モードで Cisco ISE を実行する場合、ネットワーク デバイス上で KeyWrap を有効にする必要があります。

キー暗号キー(Key Encryption Key)

KeyWrap を有効にしているときに、セッションの暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

KeyWrap を有効にしているときに、RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次のいずれかの形式を選択します。

ASCII :キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)にする必要があります。

16 進数 :キー暗号キーの長さは 32 バイト、メッセージ オーセンティケータ コード キーの長さは 40 バイトにする必要があります。

Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります。(キーに指定する値は、正しい(全体)長さにする必要があり、それよりも短い値は許可されません)。

ネットワーク デバイスのインポート設定

次の表に、ネットワーク デバイスの詳細を Cisco ISE にインポートするために使用する [ネットワーク デバイス インポート(Network Device Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] です。

 

表 A-40 ネットワーク デバイスのインポート設定

フィールド
使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワーク デバイス情報でテンプレートを更新し、それらのネットワーク デバイスを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または前に Cisco ISE 展開からエクスポートしたカンマ区切り形式ファイルの場所を特定するために、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス情報を含むネットワーク デバイスを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイスをインポート ファイル内のデバイスに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス定義がネットワーク デバイス リポジトリに追加されます。重複するエントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生したときに Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイスをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイスを引き続きインポートします。

ネットワーク デバイス グループ

これらのページを使用すると、ネットワーク デバイス グループを設定し、管理することができます。

ネットワーク デバイス グループの設定

次の表に、ネットワーク デバイス グループを作成するために使用できる [ネットワーク デバイス グループ(Network Device Groups)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

 

表 A-41 ネットワーク デバイス グループの設定

フィールド
使用上のガイドライン

名前(Name)

ルート ネットワーク デバイス グループ(NDG)の名前を入力します。ルート NDG の下の後続のすべての子ネットワーク デバイス グループに対して、新しいネットワーク デバイス グループの名前を入力します。

最大 100 文字のネットワーク デバイス グループの完全な名前。たとえば、親グループ Global > Asia の下にサブグループ India を作成している場合、作成している NDG の完全な名前は Global#Asia#India になります。この完全な名前は 100 文字を超えないようにしてください。NDG の完全な名前が 100 文字を超えた場合、NDG の作成は失敗します。

説明(Description)

ルートまたは子のネットワーク デバイス グループの説明を入力します。

タイプ(Type)

ルート ネットワーク デバイス グループのタイプを入力します。

ルート NDG の下の後続のすべての子ネットワーク デバイス グループの場合、タイプは親 NDG から継承されるため、ルート NDG の下にあるすべての子 NDG ノードは同じタイプになります。

この NDG がルート NDG の場合、そのタイプがデバイス ディクショナリで属性として使用できるようになります。この属性に基づいて条件を定義できます。NDG の名前は、この属性が取得できる値のいずれかです。

ネットワーク デバイス グループのインポート設定

次の表に、Cisco ISE にネットワーク デバイス グループをインポートするために使用できる [ネットワーク デバイス グループ インポート(Network Device Group Import)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

 

表 A-42 ネットワーク デバイス グループのインポート設定

フィールド
使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワーク デバイス グループ情報でテンプレートを更新し、それらのネットワーク デバイス グループを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または前に Cisco ISE 展開からエクスポートしたカンマ区切り形式ファイルの場所を特定するために、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス グループ情報を含むネットワーク デバイス グループを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイス グループをインポート ファイル内のデバイス グループに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス グループがネットワーク デバイス グループ リポジトリに追加されます。重複するエントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生すると、Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイス グループをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイス グループを引き続きインポートします。

外部 RADIUS サーバの設定

次の表に、RADIUS サーバを設定するために使用できる [外部 RADIUS サーバ(External RADIUS Server)] ページのフィールドについて説明します。Cisco ISE が RADIUS サーバとして機能するには、このページで設定する必要があります。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Server)] です。

 

表 A-43 外部 RADIUS サーバの設定

フィールド
使用上のガイドライン

名前(Name)

外部 RADIUS サーバの名前を入力します。

説明(Description)

外部 RADIUS サーバの説明を入力します。

ホスト名/アドレス(Host IP)

外部 RADIUS サーバの IP アドレスを入力します。

共有秘密(Shared Secret)

外部 RADIUS サーバの認証に使用される、Cisco ISE と外部 RADIUS サーバ間の共有秘密情報を入力します。共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証されるようにこれらの情報を提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。共有秘密情報の長さは、最大 128 文字です。

KeyWrap の有効化(Enable KeyWrap)

このオプションをオンにすると、AES KeyWrap アルゴリズムにより RADIUS プロトコルのセキュリティが強化され、Cisco ISE で FIPS 140-2 準拠が可能になります。

キー暗号キー(Key Encryption Key)

([KeyWrap を有効にする(Enable KeyWrap)] チェックボックスをオンにしている場合のみ)セッションの暗号化(秘密)に使用されるキーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

([KeyWrap を有効にする(Enable KeyWrap)] チェックボックスをオンにしている場合のみ)RADIUS メッセージに対するキー付き HMAC の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

Cisco ISE FIPS 暗号キーの入力に使用する形式を指定します。これは、WLAN コントローラ上の設定と一致する必要があります。(指定する値の長さは、次に定義されているキーの最大長と正確に一致している必要があります。これより短い値は許可されません)。

ASCII:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)にする必要があります。

16 進数:キー暗号キーの長さは 32 バイト、メッセージ オーセンティケータ コード キーの長さは 40 バイトにする必要があります。

認証ポート(Authentication Port)

RADIUS 認証ポート番号を入力します。1 ~ 65535 の範囲の値を指定できます。デフォルトは 1812 です。

アカウンティング ポート(Accounting Port)

RADIUS アカウンティング ポート番号を入力します。1 ~ 65535 の範囲の値を指定できます。デフォルト値は 1813 です。

サーバ タイムアウト(Server Timeout)

Cisco ISE が外部 RADIUS サーバからの応答を待機する秒数を入力します。デフォルトは 5 秒です。有効な値は 5 ~ 120 です。

接続試行回数(Connection Attempts)

Cisco ISE が外部 RADIUS サーバへの接続を試行する回数を入力します。デフォルトは 3 回に設定されています。有効な値は 1 ~ 9 です。

RADIUS サーバ順序

次の表は、RADIUS サーバ順序を作成するために使用する [RADIUS サーバ順序(RADIUS Server Sequences)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [RADIUS サーバ順序(RADIUS Server Sequences)] です。

 

表 A-44 RADIUS サーバ順序

フィールド
使用上のガイドライン

名前(Name)

RADIUS サーバ順序の名前を入力します。

説明(Description)

任意で説明を入力します。

ホスト名/アドレス(Host IP)

外部 RADIUS サーバの IP アドレスを入力します。

ユーザが選択したサービス タイプ(User Selected Service Type)

[使用可能(Available)] リスト ボックスで、ポリシー サーバとして使用する外部 RADIUS サーバを選択し、選択した外部 RADIUS サーバを [選択済み(Selected)] リスト ボックスに移動します。

リモート アカウンティング(Remote Accounting)

リモート ポリシー サーバでアカウンティングを有効にするには、このチェックボックスをオンにします。

ローカル アカウンティング(Local Accounting)

Cisco ISE でのアカウンティングを有効にするには、このチェックボックスをオンにします。

高度な属性設定(Advanced Attributes Settings)

サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip Start of Subject Name up to the First Occurrence of the Separator)

プレフィックスからユーザ名を取り除く場合にこのチェックボックスをオンにします。たとえば、サブジェクト名が acme\userA、区切り文字が \ の場合、ユーザ名は userA になります。

最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip End of Subject Name from the Last Occurrence of the Separator)

サフィックスからユーザ名を取り除く場合にこのチェックボックスをオンにします。たとえば、サブジェクト名が userA@abc.com、区切り文字が @ の場合、ユーザ名は userA になります。

NetBIOS または User Principle Name(UPN)フォーマットのユーザ名(user@domain.com または /domain/user)からユーザ名を抽出するには、これらのストリップ オプションを有効にする必要があります。RADIUS サーバでユーザを認証するために、ユーザ名だけが RADIUS サーバに渡されるためです。

\ および @ の 両方 のストリップ機能をアクティブ化し、Cisco AnyConnect を使用している場合、Cisco ISE は最初に出現する \ を文字列から正確に取り除くことができません。ただし、各ストリップ機能は、Cisco AnyConnect を考慮して設計されているため、個別に使用する場合は動作します。

外部 RADIUS サーバへの要求に含まれる属性を変更する(Modify Attributes in the Request to the External RADIUS Server)

認証済みの RADIUS サーバとの間で送受信する属性の操作を Cisco ISE に許可する場合は、このチェックボックスをオンにします。

次の属性操作が可能です。

[追加(Add)]:RADIUS 要求/応答全体に属性を追加します。

[更新(Update)]:属性値(固定または静的)を変更します。または属性を別の属性値(動的)で置き換えます。

[削除(Remove)]:属性または属性と値のペアを削除します。

[すべて削除(RemoveAny)]:存在するすべての属性を削除します。

認証ポリシーに進む(Continue to Authorization Policy)

ID ストア グループおよび属性の取得に基づいて、プロキシ フローを認証ポリシーの実行に誘導して、より詳細な意思決定を行うには、このチェックボックスをオンにします。このオプションを有効にすると、外部 RADIUS サーバからの応答に含まれる属性が、認証ポリシーの選択に使用されます。このコンテキストの既存の属性は、AAA サーバの受け入れ応答属性の適切な値で更新されます。

Access-Accept の送信前に属性を変更する(Modify Attributes before send an Access-Accept)

応答をデバイスに返送する直前に属性を変更するには、このチェックボックスをオンにします。

NAC マネージャの設定

次の表に、NAC マネージャを追加するために使用できる [新規 NAC Manager(New NAC Manager)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] です。

 

表 A-45 NAC マネージャの設定

フィールド
使用上のガイドライン

名前(Name)

Cisco Access Manager(CAM)の名前を入力します。

ステータス(Status)

[ステータス(Status)] チェックボックスをオンにして、CAM への接続を認証する Cisco ISE Profiler からの REST API 通信を有効にします。

説明(Description)

CAM の説明を入力します。

IP アドレス(IP Address)

CAM の IP アドレスを入力します。Cisco ISE で CAM を作成して保存したら、CAM の IP アドレスは編集できません。

0.0.0.0 と 255.255.255.255 は、Cisco ISE で CAM の IP アドレスを検証するときに除外され、CAM の [IP アドレス(IP Address)] フィールドで使用できる有効な IP アドレスではないため、使用できません。

(注) ハイ アベイラビリティ構成で CAM のペアが共有する仮想サービス IP アドレスを使用できます。これで、ハイ アベイラビリティ構成で CAM のフェールオーバーをサポートできます。

ハイ アベイラビリティのために CAM のペアを設定する方法の詳細については、Cisco NAC アプライアンス リリース 4.9 の互換性のあるリンクを参照してください。 http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/49/hi_ha.html#wp1084663

ユーザ名(Username)

CAM のユーザ インターフェイスにログオンできる CAM 管理者のユーザ名を入力します。

パスワード(Password)

CAM のユーザ インターフェイスにログオンできる CAM 管理者のパスワードを入力します。

Web ポータル管理

スポンサー グループ ポリシーの設定

次の表に、スポンサー グループ ポリシーを定義するために使用できる [スポンサー グループ ポリシー(Sponsor Group Policy)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ ポリシー(Sponsor Group Policy)] です。

スポンサー グループ ポリシーで使用されているスポンサー グループを削除することはできません

 

表 A-46 スポンサー グループ ポリシーの設定

フィールド
使用上のガイドライン

ステータス(Status)

ポリシーを有効または無効にするために選択します。

ポリシー名(Policy Name)

新しいポリシーの識別に役立つ名前を入力します。

ID グループ(Identity Groups)

定義済みのスポンサー グループに関連付ける ID グループを選択します。たとえば、デフォルトの Manage All Accounts ポリシーには SponsorAllAccount ID グループが含まれます。

その他の条件(Other Conditions)

追加の条件を選択または作成します。

スポンサー グループ(Sponsor Groups)

これらの設定を適用するスポンサー グループを選択します。たとえば、デフォルトの Manage All Accounts ポリシーは、スポンサー グループを SponsorAllAccounts として定義します。

関連項目

「スポンサー グループ ポリシー」

「スポンサー グループ ポリシーの作成」

スポンサー グループ設定

次の表に、スポンサー グループを定義するために使用する [ゲスト スポンサー グループ(Guest Sponsor Groups)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ(Sponsor Groups)] です。スポンサー グループ ポリシーで使用されているスポンサー グループを削除することはできません

 

表 A-47 スポンサー グループ設定

フィールド
使用上のガイドライン
全般

名前(Name)

スポンサー グループの名前を入力します。名前を選択するときに、スポンサー グループを関連付ける ID グループを検討した方がよい場合もあります。たとえば、デフォルトのスポンサー グループの名前はデフォルト ユーザ ID グループに類似し、スポンサー ポリシーを作成する際正しい ID グループとスポンサー グループの関連付けに役立ちます。

説明(Description)

スポンサー グループの説明を入力します。

許可レベル

ログインの許可(Allow Login)

スポンサーがスポンサー ポータルにサインインすることを許可するかどうかを指定します。

1 つのアカウントの作成(Create a Single Account)

スポンサーが個別のゲスト アカウントを作成できるかどうかを指定します。

ランダム アカウントの作成(Create Random Accounts)

スポンサーがランダム ゲスト アカウントを作成できるかどうかを指定します。

CSV のインポート(Import CSV)

スポンサーがゲスト アカウントをインポートできるかどうかを指定します。

電子メールの送信(Send Email)

スポンサーがゲスト ユーザにアカウント詳細を電子メールで送信できるかどうかを指定します。

SMS の送信(Send SMS)

スポンサーがゲスト ユーザにアカウント詳細を含むテキスト メッセージを送信するかどうかを示します。

ゲスト パスワードの表示(View Guest Password)

スポンサーがアカウントを作成するときに、ゲスト パスワードを表示できるかどうかを指定します。

ゲスト詳細の印刷の許可(Allow Printing Guest Details)

スポンサーがゲスト ユーザのアカウント詳細を印刷できるかどうかを指定します。

View/Edit Accounts(アカウントの表示/編集)

次の設定のいずれかを選択します。

[いいえ(No)]:スポンサーは、ゲスト アカウントの編集を許可されません。

[すべてのアカウント(All Accounts)]:スポンサーは、すべてのゲスト アカウントの編集/表示を許可されます。

[グループ アカウント(Group Accounts)]:スポンサーは、同じスポンサー ユーザ グループのユーザが作成したゲスト アカウントの編集を許可されます。

[独自のアカウント(Own Account)]:スポンサーは、自分が作成したゲスト アカウントだけの編集を許可されます。

アカウントの中断/再開(Suspend/Reinstate Accounts)

次の設定のいずれかを選択します。

[いいえ(No)]:スポンサーは、ゲスト アカウントの中断を許可されません。

[すべてのアカウント(All Accounts)]:スポンサーは、すべてのゲスト アカウントの中断/再開を許可されます。

[グループ アカウント(Group Accounts)]:スポンサーは、同じスポンサー ユーザ グループのユーザが作成したゲスト アカウントの中断を許可されます。

[独自のアカウント(Own Account)]:スポンサーは、自分が作成したゲスト アカウントだけの中断を許可されます。

アカウント開始時間(Account Start Time)

スポンサーがゲスト アカウントを開始するときに指定できる日数を制限します。これは、[StartEnd] タイプの時間プロファイルにのみ適用されます。

アカウントの最大期間(Maximum Duration of Account)

ゲスト アカウントがアクティブに保たれる最大期間を指定します。有効期限は、アカウントの最大期間または時間プロファイル期間のうち、いずれか小さい方に基づきます。この値が時間プロファイルでの指定値より小さい場合は、ゲスト アカウントの作成時にスポンサーによって設定された最大期間値よりも優先されます。

ゲスト ロール

ゲスト ロール(Guset Roles)

このグループのスポンサーがゲスト アカウントに異なるアクセス レベルを割り当てるために使用できるゲスト ロールを選択します。これらのロールは、許可ポリシーでゲスト ユーザ アカウントを ID グループに関連付けるために使用されます。

黄色のアイコンが付いたゲスト ロールは、ActivatedGuest ロールであることを示します。

時間プロファイル

使用可能(Available)
現在選択済み(Currently Selected)

使用可能なデフォルトまたはカスタムの時間プロファイルを選択します。

DefaultEightHours:ゲスト ユーザは、アカウントを作成してから 8 時間以内にログインする必要があります。この時間が過ぎると、アカウントは失効します。アカウント開始時間がユーザ作成時間と等しくなり、開始時間の 8 時間後が終了時間になります。

DefaultFirstLoginEight:アカウント開始時間は、ゲスト ユーザが最初にゲスト ポータルにログインしたときに始まり、終了時間は 8 時間後です。

DefaultStartEnd:スポンサーは、アカウントの開始時間と終了時間を設定できます。

関連項目

「スポンサー グループ」

「スポンサー グループの作成」

Web ポータル管理設定

これらのページを使用すると、変更をすべての Cisco ISE Web ポータルに適用できます。

一般的なポータル テーマの設定

次の表に、すべての Cisco ISE Web ポータルのルック アンド フィールを決定するために使用できる [ポータル テーマ(Portal Theme)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポータル テーマ(Portal Theme)] です。

 

表 A-48 一般的なポータル テーマの設定

フィールド
使用上のガイドライン
スタイル設定

ログイン ページ ロゴ(Login Page Logo)

ゲスト、スポンサー、およびデバイス ポータルのポータル ログイン ページのロゴとして使用する jpeg、gif、または png イメージ ファイルをアップロードします。

画像をアップロードするときに、画像のサイズは幅 86 ピクセル、高さ 46 ピクセルに収まるように自動的に変更されます。歪みを回避するには、これらの寸法に合わせてイメージのサイズを変更します。

ログイン ページ背景画像(Login Page Background Image)

ゲスト、スポンサー、およびデバイス ポータルのポータル ログイン ページの背景画像を変更します。サポートされている画像形式は、jpeg、gif、png です。

サポートされているイメージ サイズは、幅 533 ピクセル、高さ 314 ピクセルです。

バナー ロゴ(Banner Logo)

ゲスト、スポンサー、およびデバイス ポータルのバナー ロゴとして使用する jpeg、gif、または png イメージ ファイルをアップロードします。

画像をアップロードするときに、画像のサイズは幅 86 ピクセル、高さ 45 ピクセルに収まるように自動的に変更されます。歪みを回避するには、これらの寸法に合わせてイメージのサイズを変更します。

バナー背景画像(Banner Background Image)

ゲスト、スポンサー、またはデバイス ポータルの背景画像として使用する jpeg、gif、または png イメージ ファイルをアップロードします。

ポータル バナー背景画像を変更します。サポートされているイメージ サイズは幅 1724 ピクセル、高さ 133 ピクセルですが、バナー背景色は残りの領域を満たすように表示されます。

ログイン背景色(Login Background Color)

ゲスト、スポンサー、およびデバイス ポータルのポータル ログイン ページの背景色を変更するには、色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します

ログイン背景色が表示されるのは、ログイン ページの背景画像がセットされていないか、小さすぎて指定した領域を満たせない場合だけです。

バナー背景色(Banner Background Color)

ポータルのバナー背景色を変更するには、色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します

バナー背景色が表示されるのは、バナーの背景画像がセットされていないか、小さすぎて指定した領域を満たせない場合だけです。

バナー テキスト色(Banner Text Color)

色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します。

バナー リンク色(Banner Link Color)

色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します。

モバイル デバイスのスタイル設定

ロゴ イメージ(Logo Image)

モバイルで最適化されたゲスト ポータルのバナー ロゴとして使用する jpeg、gif、または png イメージ ファイルをアップロードします。推奨されるイメージ サイズは、幅 100 ピクセル、高さ 61 ピクセルです。

バナー イメージ(Banner Image)

モバイルで最適化されたゲスト ポータルのバナー イメージとして使用する jpeg、gif、または png イメージ ファイルをアップロードします。

イメージの推奨サイズは幅 754 ピクセル、高さ 47 ピクセルですが、モバイル デバイス上で縦方向と横方向を切り替えると適切にサイズが変更されます。

バナー背景色(Banner Background Color)

色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します。

バナー テキスト色(Banner Text Color)

色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します。

画面設定

プリログイン バナーの表示(Display pre-login banner)

ユーザがスポンサー、デバイス、またはゲスト ポータルにログインする前にメッセージを表示する場合にオンにします。

プリログイン バナーが各ポータルのログイン ページに表示されます。

ポストログイン バナーの表示(Display post-login banner)

ユーザがスポンサーまたはデバイス ポータルにログインした後にメッセージを少しの間表示する場合にオンにします。

ポストログイン バナーはスポンサーおよびデバイス ポータルで 15 秒間表示されますが、ゲスト ポータルには適用されません。

関連項目

「Web ポータルのイメージおよびカラー スキームのカスタマイズ」

「ポータルでのログインまたはログアウト時のユーザへのバナー メッセージの表示」

Web ポータルのポート設定

次の表に、異なる Cisco ISE Web ポータルのポートおよびインターフェイスを定義するために使用できる [Web ポータルの設定(Web Portal Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポート(Ports)] です。

 

表 A-49 Web ポータルのポート設定

フィールド
使用上のガイドライン
管理者ポータルの設定

HTTP ポート(HTTP Port)

デフォルト値は 80 です。この設定は変更できません。

HTTPS ポート(HTTPS Port)

デフォルト値は 443 です。この設定は変更できません。

ブラックリスト ポータルの設定

HTTPS ポート(HTTPS Port)

8000 ~ 8999 のポート値を入力します。デフォルト値は 8444 です。この値をゲスト、スポンサー、またはデバイス ポータルと同じ値に設定できません。

ポート 8444 がすでに別のポータルに割り当てられた状態で Cisco ISE 1.2 にアップグレードした場合は、ブラックリスト ポータルは 8000 ~ 8999 の範囲の未使用ポートに設定されます。

許可されるインターフェイス(Allowed Interfaces)

ポータル トラフィックを特定のギガビット イーサネット インターフェイスに分配する場合はオンにします。異なるサブネット上の IP アドレスを使用して、イーサネット インターフェイスを設定する必要があります。

同じ HTTPS ポートに割り当てられたポータルは、イーサネット インターフェイスも同じものを使用します。たとえば、スポンサーとデバイス ポータルの両方をポート 8443 に割り当て、スポンサー ポータルで GigabitEthernet 0 を無効にした場合、そのインターフェイスはデバイス ポータルに対しても自動的に無効になります。

ゲスト ポータル、クライアント プロビジョニング、デバイス、およびスポンサー ポータルの設定

HTTPS ポート(HTTPS Port)

8000 ~ 8999 のポート値を入力します。デフォルト値は 8443 です。ポート範囲の制限は、Cisco ISE 1.2 で新しくなりました。この範囲外のポート値でアップグレードした場合は、このページに変更を加えるまで有効です。このページを変更する場合、この制限に準拠するようにポート設定を更新する必要があります。

ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 を使用します。それ以外の場合は、ゲスト ポータルに割り当てられている同じポートを使用します。

許可されるインターフェイス(Allowed Interfaces)

ポータル トラフィックを特定のギガビット イーサネット インターフェイスに分配する場合はオンにします。異なるサブネット上の IP アドレスを使用して、イーサネット インターフェイスを設定する必要があります。

同じ HTTPS ポートに割り当てられたポータルは、イーサネット インターフェイスも同じものを使用します。たとえば、スポンサーとデバイス ポータルの両方をポート 8443 に割り当て、スポンサー ポータルで GigabitEthernet 0 を無効にした場合、そのインターフェイスはデバイス ポータルに対しても自動的に無効になります。

ポータル FQDN

デフォルトのスポンサー ポータル FQDN(Default Sponsor Portal FQDN)

デフォルト設定から URL を変更する場合は、これらのオプションをオンにします。完全修飾ドメイン名(mydevices.yourcompany.com など)を入力する必要があります。

デフォルト設定は次のとおりです。

デバイス ポータル:https:// ip_address :8443/mydevices/、ここで ip_address は Cisco ISE サーバの IP アドレスです。

スポンサー ポータル:https:// ip_address :8443/sponsorportal/、ここで ip_address は Cisco ISE サーバの IP アドレスです。

新しい URL の FQDN が有効なポリシー サービス ノードの IP アドレスに解決されるようにするには、DNS を更新する必要もあります。さらに、名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE ポリシー サービス ノードのローカル サーバ証明書のサブジェクト代替名(SAN)属性にカスタマイズされた URL の FQDN を含める必要もあります。このためには、証明書署名要求(CSR)の送信時の認証局(CA)サーバから、またはカスタム CSR を作成する OpenSSL などのユーティリティを使用するなど、Cisco ISE の外部で SAN 属性を指定する必要があります。

デフォルトのデバイス ポータル FQDN(Default My Devices Portal FQDN)

関連項目

「エンドユーザ ポータルに対するイーサネット インターフェイスの指定」

「スポンサーおよびデバイス ポータルの完全修飾ドメイン名の指定」

ゲスト消去の設定

次の表は、期限切れのゲスト アカウントを削除するために使用できる [消去設定(Purge Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [消去(Purge)] です。

 

表 A-50 ゲスト消去の設定

フィールド
使用上のガイドライン

期限切れのゲスト アカウントの消去設定の有効化(Enable purge settings for expired guest accounts)

期限切れのゲスト アカウントの消去をスケジューリングするには、このオプションをオンにします。

消去発生周期(Purge occurs every)

1 ~ 365 日から消去間隔を入力します。デフォルト設定は 15 日間です。

消去の実行時間(Hour of the day when the last purge should occur)

消去の実行時間を指定します。デフォルト設定は 23:00 です。

最終消去日(Date of last purge)

最新の消去の日付が表示されます。

次回消去日(Date of next purge)

次回消去がスケジュールされている日付を表示します。

今すぐ消去(Purge Now)

期限切れのゲスト ユーザ レコードをすぐに消去する場合はオンにします。

関連項目

「期限切れのゲスト アカウントの消去」

スポンサー言語テンプレート設定

次の表に、スポンサー ポータルをカスタマイズするために使用できる [スポンサー言語テンプレート(Sponsor Language Template)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] です。

これらのフィールドを編集する場合は、次のガイドラインに注意してください。

変更を行う前に、デフォルトのテンプレートをコピーして、一意の名前に変更する必要があります。こうすることで、エラーが発生した場合に元のテンプレートに戻すことができます。

削除できるのは、カスタム言語テンプレートのみです。標準のデフォルト言語テンプレートを削除することはできません。

 

表 A-51 スポンサー ポータルの言語テンプレートの設定

フィールド
使用上のガイドライン

テンプレート定義の設定(Configure Template Definition)

一意の名前と説明、および言語に関連づける有効なロケールを入力します。

デフォルト テンプレートの名前と競合する名前を使用してカスタム言語テンプレートを作成した場合、そのテンプレートはアップグレードおよび復元後に自動的に名前が変更されます。アップグレードおよび復元後に、デフォルト テンプレートはデフォルト設定に戻り、デフォルトと競合する名前を持つテンプレートは、次のように名前が変更されます。user_{LANG_TEMP_NAME}。

ホーム ページの設定(Configure Home Page)

スポンサー ポータルのメイン ページに表示されるフィールドをカスタマイズします。

ログイン ページの設定(Configure Login Page)

ユーザがスポンサー ポータルにログインしたときに表示される情報をカスタマイズします。

パスワード変更の設定(Configure Change Password)

スポンサーが自分のパスワードを変更するときに表示されるフィールドをカスタマイズします。

共通テーブル ヘッダーの設定(Configure Common Table Headers)

テーブルのカラム見出しとして表示されるフィールドを指定します。

1 つのゲスト アカウントの作成の設定(Configure Create Single Guest Account)

スポンサーが 1 つのゲスト アカウントを作成するときに表示するフィールドを指定します。

ランダム ゲスト アカウントの作成の設定(Configure Create Random Guest Accounts)

スポンサーがランダム アカウントを作成するときに表示するフィールドを指定します。

ゲスト アカウントのインポートの設定(Configure Import Guest Accounts)

スポンサーがアカウントをインポートするときに表示するフィールドを指定します。

ステータス表示のバルク作成の設定(Configure Bulk Create Status Display)

スポンサーが複数のアカウントを作成するときに表示するフィールドを指定します。

表形式表示の印刷の設定(Configure Print Tabular Display)

スポンサーがアカウントの詳細を印刷するときに表示するフィールドを指定します。

スポンサー設定のカスタマイズの設定(Configure Sponsor Settings Customizations)

スポンサー ポータルの [マイ設定(My Settings)] ページに表示されるフィールドを指定します。

電子メール通知の設定(Configure Email Notification)

アカウントの詳細を含む、ゲストに送信される電子メールのフィールドおよび内容をカスタマイズします。

SMS テキスト メッセージ通知の設定(Configure SMS Text Message Notification)

アカウントの詳細を含む、ゲストに送信される SMS テキスト メッセージのフィールドおよび内容をカスタマイズします。

印刷通知の設定(Configure Print Notification)

アカウントの詳細を含む、ゲスト用に印刷されるメッセージのフィールドおよび内容をカスタマイズします。

日付/時刻形式の設定(Configure Date/Time Formats)

日時を表示する形式を選択します。

情報/エラー メッセージの設定(Configure Info/Error Messages)

スポンサー ポータルを使用中のユーザに表示されるエラー メッセージをカスタマイズします。

JavaScript を有効にする手順の設定(Configure JavaScript Enable Instructions)

サポートされている Web ブラウザで JavaScript を有効にする手順をカスタマイズします。

ポップアップ ダイアログ メッセージの設定(Configure Popup Dialog Messages)

スポンサー ポータルを使用中のユーザに表示される情報をカスタマイズします。

共通項目の設定(Configure Common Items)

スポンサー ポータルのページに共通するフィールドをカスタマイズします。

デバイス ポータルの言語テンプレートの設定

次の表に、言語を選択し、デバイス ポータルをカスタマイズするために使用できる [デバイス言語テンプレート(My Devices Language Template)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [言語テンプレート(Language Template)] です。

これらのフィールドを編集する場合は、次のガイドラインに注意してください。

変更を行う前に、デフォルトのテンプレートをコピーして、一意の名前に変更する必要があります。こうすることで、エラーが発生した場合に元のテンプレートに戻すことができます。

削除できるのは、カスタム言語テンプレートのみです。標準のデフォルト言語テンプレートを削除することはできません。

 

表 A-52 デバイス ポータルの言語テンプレートの設定

フィールド
使用上のガイドライン

テンプレート定義の設定(Configure Template Definition)

一意の名前と説明、および言語に関連づける有効なロケールを入力します。

デフォルト テンプレートの名前と競合する名前を使用してカスタム言語テンプレートを作成した場合、そのテンプレートはアップグレードおよび復元後に自動的に名前が変更されます。アップグレードおよび復元後に、デフォルト テンプレートはデフォルト設定に戻り、デフォルトと競合する名前を持つテンプレートは、次のように名前が変更されます。user_{LANG_TEMP_NAME}。

ログイン ページの設定(Configure Login Page)

ユーザがデバイス ポータルにログインしたときに表示される情報をカスタマイズします。

デバイス管理ページの設定(Configure Device Management Page)

デバイスを管理するときにユーザが利用できるオプションのフィールド名とラベルをカスタマイズします。

ユーザがデバイスを追加するときに、[ページの説明(Page Description)] テキスト ボックスに 256 文字まで入力できます。

利用規定ページの設定(Configure Acceptable Use Policy Page)

デバイス ポータルのログイン ページおよびデバイス登録ページに表示される、会社のアクセプタブル ユース ポリシーをカスタマイズします。

情報/エラー メッセージの設定(Configure Info/Error Messages)

デバイス ポータルを使用中のユーザに表示されるエラー メッセージおよび情報をカスタマイズします。

JavaScript を有効にする手順の設定(Configure JavaScript Enable Instructions)

サポートされている Web ブラウザで JavaScript を有効にする手順をカスタマイズします。

その他の項目の設定(Configure Miscellaneous Items)

残りの UI 要素のフィールド名とラベルを指定します。

ブラックホール ポータル項目の設定(Configure Blackhole Portal Items)

ユーザがブラックリスト掲載済みデバイスを使用してデバイス ポータルにアクセスしようとするときに表示されるポータル名およびエラー メッセージを指定します。

関連項目

「ポータルの言語、テキスト、およびエラー メッセージのカスタマイズ」

デバイス ポータルの設定

次の表に、デバイス ポータルを設定するために使用できる [デバイス ポータルの設定(My Devices Portal Settings)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [ポータル設定(Portal Configuration)] です。

 

表 A-53 デバイス ポータルの設定

フィールド
使用上のガイドライン

デバイス ポータルの有効化(Enable My Devices Portal)

従業員がデバイス ポータルを使用して、自分のデバイスを登録し、管理できるようにする場合にオンにします。

利用規定リンクの有効化(Enable the Acceptable Use Policy Link)

従業員用のアクセプタブル ユース ポリシーが必要な場合にオンにします。

会社のポリシーを反映するために言語テンプレートを更新することも必要です。

登録するデバイスの最大数(The maximum number of devices to register)

登録従業員ができるデバイスの最大数を入力します。デフォルト値は 5 つのデバイスに設定されています。

電子メール アドレス(Email Address)

デバイス ポータルのログインおよびメイン ページにある [連絡先(Contact)] リンクに関連付けられている電子メール アドレスをカスタマイズします。

電話番号(Phone Number)

デバイス ポータルのログインおよびメイン ページにある [連絡先(Contact)] リンクに関連付けられている電話番号をカスタマイズします。

関連項目

「ポータルの言語、テキスト、およびエラー メッセージのカスタマイズ」

ゲスト ポータルの言語テンプレートの設定

次の表に、ゲスト ポータルの言語を選択して、カスタマイズするために使用できるする [ゲスト言語テンプレート(Guest Language Template)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [言語テンプレート(Language Template)] です。

これらのフィールドを編集する場合は、次のガイドラインに注意してください。

変更を行う前に、デフォルトのテンプレートをコピーして、一意の名前に変更する必要があります。こうすることで、エラーが発生した場合に元のテンプレートに戻すことができます。

削除できるのは、カスタム言語テンプレートのみです。標準のデフォルト言語テンプレートを削除することはできません。

 

表 A-54 ゲスト ポータルの言語テンプレートの設定

フィールド
使用上のガイドライン

テンプレート定義の設定(Configure Template Definition)

一意の名前と説明、および言語に関連づける有効なロケールを入力します。

デフォルト テンプレートの名前と競合する名前を使用してカスタム言語テンプレートを作成した場合、そのテンプレートはアップグレードおよび復元後に自動的に名前が変更されます。アップグレードおよび復元後に、デフォルト テンプレートはデフォルト設定に戻り、デフォルトと競合する名前を持つテンプレートは、次のように名前が変更されます。user_{LANG_TEMP_NAME}。

ログイン ページの設定(Configure Login Page)

ユーザがゲスト ポータルにログインしたときに表示される情報をカスタマイズします。

利用規定ページの設定(Configure Acceptable Use Policy Page)

ゲスト ポータルのログイン ページおよびデバイス登録ページに表示される、会社のアクセプタブル ユース ポリシーをカスタマイズします。

パスワード変更の設定(Configure Change Password)

ゲストが自分のパスワードを変更するときに表示されるフィールドをカスタマイズします。

アカウント登録の設定(Configure Self Registration)

ゲストが個別に登録するときに表示されるフィールドをカスタマイズします。

デバイス登録の設定(Configure Device Registration)

ゲストが自分のデバイスを登録するときに表示されるフィールドをカスタマイズします。

VLAN の設定/リリースのインストール(Configure VLAN/Install Release)

VLAN の再設定を強制するときに表示されるフィールドをカスタマイズします。

エラー メッセージの設定(Configure Error Messages)

ゲスト ポータルを使用中のユーザに表示されるエラー メッセージをカスタマイズします。

JavaScript を有効にする手順の設定(Configure JavaScript Enable Instructions)

サポートされている Web ブラウザで JavaScript を有効にする手順をカスタマイズします。

ポップアップ ダイアログ メッセージの設定(Configure Popup Dialog Messages)

ゲスト ポータルを使用中のユーザに表示される情報をカスタマイズします。

その他の項目の設定(Configure Miscellaneous Items)

残りの項目のフィールド名とラベルをカスタマイズします。

セルフプロビジョニング ポータルの設定(Configure Self-Provisioning Portal)(登録)

セルフプロビジョニング ポータルの登録ページをカスタマイズします。

セルフプロビジョニング ポータルの設定(Configure Self-Provisioning Portal)(インストール)

セルフプロビジョニング ポータルのインストール ページをカスタマイズします。

モバイル デバイス管理(MDM)の設定(Configure Mobile Device Management (MDM))

MDM 登録およびコンプライアンスのページのフィールド名をカスタマイズします。

関連項目

「ポータルの UI フィールドおよびエラー メッセージのカスタマイズ」

「ゲストのアクセプタブル ユース ポリシーの必要性」

マルチポータルの設定

次の表には、マルチポータルを設定するために使用できる [マルチポータルの設定(Multi-Portal Configurations)] ページのフィールドについて説明します。

このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [マルチポータルの設定(Multi-Portal Configurations)] です。

 

表 A-55 マルチポータルの設定

フィールド
使用上のガイドライン
全般

名前(Name)

ポータルにアクセスするために使用するポータルの名前を入力します。この名前は、ワイヤレス LAN コントローラ(WLC)セットアップのネットワーク アクセス デバイス(NAD)に指定したキャプティブ ポータル URL にも表示されます。たとえば、 ClientPortal という名前のポータルのアクセス URL は次のようになります。
https:// ip address:port number /guestportal/portals/ClientPortal/portal.jsp

説明(Description)

任意で説明を入力します。

ポータル タイプ(Portal type)

ポータル タイプを選択します。

デフォルト ポータル(カスタマイズ テンプレートとテーマを選択します)

デバイス Web 認証ポータル(カスタマイズ テンプレートとテーマを選択します):その後、エンドポイント ID グループを指定

カスタム デフォルト ポータル(ファイルをアップロードします)

カスタム デバイス Web 認証ポータル(ファイルをアップロードします):その後、エンドポイント ID グループを指定

エンドポイント ID グループ(Endpoint Identity Group)

(DRW ポータルのみ)エンドポイント ID グループを選択します。Cisco ISE には、DRW ポータルに使用する GuestEndpoints のデフォルトの ID グループが用意されています。

操作

利用規定(Acceptable Use Policy)

ゲストが自分のアカウントを完全に有効にするためにアクセプタブル ユース ポリシーを受け入れる必要があるかどうかを選択します。ゲストがポリシーを受け入れない場合、ネットワーク アクセスできません。

DefaultGuestPortal のデフォルト設定は [初回ログイン(First Login)] です。新しいポータルの場合、デフォルトは [未使用(Not Used)] です。

セルフプロビジョニング フローの有効化(Enable Self-Provisioning Flow)

従業員がパーソナル デバイスをネットワークに直接接続できるようにする場合はオンにします。

このオプションを使用すると、ネイティブ サプリカントによってこれらのデバイスをプロビジョニングすることができます。ネイティブ サプリカントは、Windows、Mac、iPhone、iPad、および Android デバイスに対応しています。

デバイスから直接セルフプロビジョニングを有効にしない場合は、この機能を有効にする必要はありません。その場合でも、従業員は、[デバイス ポータル(My Devices Portal)] を使用してパーソナル デバイスを追加することができます。

この機能は、拡張ライセンスが必要であり、アップグレード時はデフォルトでオフで、新規インストールの場合はデフォルトでオンです。

モバイル ポータルの有効化(Enable Mobile Portal)

モバイル デバイスを使用するゲストが、モバイルで最適化されたバージョンのゲスト ポータルにアクセスできるようにする場合にオンにします。

ゲスト ユーザがパスワードを変更できるようにします(Allow guest users to change password)

スポンサーが初期のアカウント クレデンシャルを作成した後に、ゲスト ユーザが自分のパスワードを変更できるようにする場合にオンにします。

ゲスト ユーザが自分のパスワードを変更した場合、ログイン クレデンシャルが失われていたらスポンサーはゲストに提供できません。スポンサーは、新しいゲスト アカウントを作成する必要があります。

失効時および初回ログイン時にゲスト ユーザにパスワードの変更を要求します(Require guest users to change password at expiration and first login)

初回ログイン時と失効後の両方でゲスト ユーザにパスワードの変更を要求する場合にオンにします。

ログイン クレデンシャルが失われていたらスポンサーはゲストに提供できません。スポンサーは、新しいゲスト アカウントを作成する必要があります。

ゲスト ユーザは、ポスチャ クライアントをダウンロードする必要があります(Guest users should download the posture client)

ゲスト ユーザをクライアント プロビジョニング ポータルにリダイレクトする場合にオンにします。ゲストは、フル ネットワーク アクセスを取得する前に、ポスチャを制御するクライアント プロビジョニング エージェントをダウンロードする必要があります。

このオプションを選択すると、ゲスト ログイン フローで中央 Web 認証(CWA)が実行され、AUP とパスワード変更チェックの実行後に、ゲスト ポータルがクライアント プロビジョニング ポータルにリダイレクトされます。この場合、ポスチャ サブシステムで NAD に対して CoA が実行され、ポスチャの評価後にクライアント接続が再認証されます。

[VLAN DHCP リリース(VLAN DHCP Release)] を選択すると、ポスチャによりクライアント側 IP リリースおよび更新操作が実行されます。

ローカル Web 認証シナリオでは、クライアント プロビジョニングは行われません。

ゲスト ユーザにアカウント登録を許可する必要があります(Guest users should be allowed to do self service)

ゲスト ユーザがそれぞれの個人情報を入力し、新しいユーザ アカウントを作成できるようにする場合にオンにします。有効の場合、[アカウントの登録(Self Registration)] 画面がゲスト ユーザのログイン ページにリンクとして表示されます。

ユーザ アカウントの作成時には、パスワードがランダムに生成されます。このパスワードは、ゲスト ユーザ向けに設定されているパスワード ポリシーに準拠します。

この機能を使用するには、[ゲスト ポータル ポリシー(Guest Portal Policy)] ページでデフォルトのゲスト ロールおよび時間プロファイルも設定する必要があります。

ゲスト ユーザにデバイス登録を許可する必要があります(Guest users should be allowed to do device registration)

ゲストがネットワークにデバイスを追加できるようにする場合にオンにします。有効の場合、[デバイスの登録(Device Registration)] 画面がゲスト ユーザのログイン ページにリンクとして表示されます。

[ゲスト ポータル ポリシー(Guest Portal Policy)] ページで、ユーザ 1 人あたりのデバイスの最大数を設定することができます。

カスタム ポータル用のデバイス登録ページを追加することもできます。ただし、このページでは、新しいデバイスの追加しかできません。既存のデバイスのリストを確認することも、デバイスを削除することもできません。

VLAN DHCP リリース(Vlan Dhcp Release)

ポスチャのないゲスト用の有線環境またはワイヤレス環境では、どちらの場合も、VLAN を変更した後、[VLAN DHCP リリース(VLAN DHCP Release)] オプションを選択し、Windows、Mac OS、Unix、または LINUX デバイスの IP アドレスを更新します。

これが中央 WebAuth(CWA)フローに影響するのは、最終許可時にネットワーク アクセスにより、ゲスト VLAN から新しい VLAN に変更された場合です。VLAN が切り替わる前に古い IP アドレスをリリースし、新しい VLAN アクセスが確立されたら、DHCP を通じて新しいゲスト IP を要求する必要があります。IP リリース更新操作を実行するために、アプレットがダウンロードされます。

[VLAN DHCP リリース(VLAN DHCP Release)] オプションは、モバイル デバイスでは動作しません。代わりに、ゲストは IP アドレスを手動でリセットする必要があります。この方法はデバイスによって異なります。たとえば、Apple iOS デバイスでは、ユーザが Wi-Fi ネットワークを選択し、[リースの更新(Renew Lease)] ボタンをクリックできます。

リリースまでの遅延(Delay to Release)

リリースまでの遅延時間を入力します。この操作は、アプレットがダウンロードされてから、Cisco ISE サーバから NAD に対して CoA 要求で再認証が命令されるまでの間に、迅速に行う必要があるため、短時間を入力します。デフォルトのリリース値は 1 秒です。

CoA までの遅延(Delay to COA)

Cisco ISE での CoA の実行が遅延される時間を入力します。アプレットをダウンロードして、クライアントで IP リリースを実行できるだけの十分な時間を確保してください。デフォルト値は 8 秒です。

更新までの遅延(Delay to Renew)

更新までの遅延の値を入力します。この時間は IP リリース値に追加され、コントロールがダウンロードされるまで計時は開始されません。CoA を処理し、新しい VLAN アクセスを許可できるよう、更新の時間は十分にとってください。デフォルト値は 12 秒です。

カスタマイゼーション

言語テンプレート(Language Template)

ゲスト ポータルに使用する表示言語を選択します。ユーザのブラウザのロケール オプションをオンにしている場合は、この設定を変更できません。

ブラウザ ロケールの使用(Use Browser Locale)

ゲスト ポータルが表示言語としてブラウザ ロケールを使用できるようにする場合は、このオプションをオンにします。

認証

ID ストア順序(Identity Store Sequence)

ゲスト フローに適用する ID ストア順序を指定します。この順序では、Cisco ISE が異なるデータベース内でユーザ クレデンシャルを検索する順序を定義します。デフォルトの順序の 1 つを使用するか、最初に新しいポリシーを定義して [ID 管理(Identity Management)] > [ID ストア順序(Identity Store Sequence)] で使用することができます。

ファイルのアップロード(カスタム ポータルを作成するときのみ使用可能)

ファイルのアップロード(Upload File)

ログイン、AUP、パスワード変更、アカウント登録の各ページ用に独自に作成した HTML ファイルをアップロードします。

これらのページには、画像のほか、アップロード ファイルへのリンクを含めることができます。アップロードしたファイルはすべて、サブディレクトリのない単一ディレクトリに保持されます。HTML コードのファイルへのパスを示す "portals/ <portalname> " を追加します。Cisco ISE サーバでバックエンド スクリプトを実行することはできません。使用できるのは、HTML、HTM、JPEG、GIF、PNG、および CSS ファイルのみです。

ファイルの削除(Delete File)

削除するアップロードしたファイルを選択します。

ファイル マッピング

ログイン ファイル(Login file)

各ゲスト ページに関連付けるアップロードした HTML ファイルを指定します。

[一般(General)] タブで行った選択内容に基づいて、一部のフィールドがグレー表示される場合があります。必要なファイルは、[一般(General)] タブで行った選択内容に基づいています。ゲスト フローをリダイレクトし、適切なポータル ページを表示するようにするには、必要なすべてのファイルを関連付けてください。

AUP ファイル(AUP file)

パスワード変更ファイル(Change Password file)

アカウント登録ファイル(Self Registration file)

アカウントの登録結果ファイル(Self Registration Results file)

デバイス登録ファイル(Device Registration file)

ゲストの成功ファイル(Guest Success file)

エラー ページ ファイル(Error Page file)

ゲスト ポータル ポリシーの設定

次の表に、ゲスト ポータルを設定するために使用する [ゲスト ポータル ポリシー(Guest Portal Policy)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [ポータル ポリシー(Portal Policy)] です。

 

表 A-56 ゲスト ポータル ポリシーの設定

フィールド
使用上のガイドライン
アカウント登録

ゲスト ロール(Guest Role)

アカウント登録後にゲスト ユーザに割り当てられるデフォルトのゲスト ロールを選択します。このロールを使用すると、システムに定義されたポリシーに基づいて、ID グループにゲスト ユーザが関連付けられます。

黄色のアイコンが付いたゲスト ロールは、ActivatedGuest ロールであることを示します。

時間プロファイル(Time Profile)

アカウント登録後にゲスト ユーザに割り当てるデフォルトの時間プロファイルを選択します。

ログインの制約事項(Login Restrictions)

1 人のユーザにつき 1 つのゲスト セッションのみ許可(Allow only one guest session per user)

一度に 1 つのデバイスだけでネットワークに接続するようにゲスト ユーザを制限する場合にオンにします。ゲスト ユーザが別のデバイスを接続しようとすると、現在接続されているデバイスがネットワークから切断されます。

最大ログイン失敗(Maximum Login Failures)

ゲスト アカウントを中断するまでに許容する最大ログイン失敗回数です。デフォルト値は 5 回です。

デバイス登録ポータル制限(Device Registration Portal Limit)

ゲストごとに登録できるデバイスの最大数を入力します。デバイス登録ポータルでは、最大数に達した場合にゲスト ユーザによるデバイスの追加が禁止されます。

ゲスト アカウントに現在登録されているデバイスの最大数未満に、この設定を制限できますが、この変更は既存の登録済みデバイスには影響しません。

ゲスト パスワードの有効期限(Guest Password Expiration)(日数)

ゲスト パスワードの期限が切れるまでの日数を入力します。この日数が経過すると、ゲストはパスワードを再設定する必要があります。また、失効時には、次からパスワードを変更するようにゲストに要求してください。[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [マルチポータル設定(Multi-Portal Configurations)] > [操作(Operations)]。

ゲスト時間プロファイルの設定

次の表に、新しい時間プロファイルを作成して、ゲストがネットワークにアクセスできる時間を指定するために使用できる [ゲスト時間プロファイル(Guest Time Profiles)] ページのフィールドについて説明します。これらの変更はグローバルであり、すべてのゲスト ポータルに影響します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [時間プロファイル(Time Profiles)] です。

 

表 A-57 ゲスト時間プロファイルの設定

フィールド
使用上のガイドライン

名前(Name)

英数字のみを使用して時間プロファイルの名前を入力します。スペースや特殊文字は使用できません。この名前は、簡潔ですが、スポンサーがゲスト アカウントを作成するときに解釈できるだけのわかりやすい名前にします。

説明(Description)

任意で説明を入力します。

制限対象のタイム ゾーン(Time Zone for Restrictions)

時間制限に使用するタイム ゾーンを選択します。

アカウントの種類(Account Type)

次のオプションのいずれかを選択します。

FromCreation:ゲスト ユーザは、アカウントを作成してから指定した時間以内にログインする必要があります。この時間が過ぎると、アカウントは失効します。

FromFirstLogin:アカウント開始時間は、ゲスト ユーザが最初にゲスト ポータルにログインしたときに始まり、終了時間は指定した期間に一致します。

StartEnd:スポンサーは、アカウントの開始時間と終了時間を設定できます。

期間(Duration)

アカウントの有効時間を入力します。ここで設定する期間が過ぎたら、アカウントは失効します。このオプションは、[アカウント タイプ(Account Type)] で [FromCreation] または [FromFirstLogin] を選択した場合にのみ使用できます。

制限(Restrictions)

曜日および開始/終了クロック時刻を入力します。

制限対象のタイム ゾーン値はこれらの時刻設定に影響します。たとえば、時間制限として月曜日 12:00 am ~ 8:00 am と月曜日 6:00 pm ~ 11:59 pm が指定されている場合、時間プロファイルのタイム ゾーンでシステム アクセスが許可されるのは、月曜日の 8:00 am ~ 6:00 pm のみです。他の曜日には、時間制限はありません。

時間プロファイルには、アカウントの作成時に指定する開始時間と終了時間の範囲から外れる制限も設定できます。ただし、開始時間と終了時間の範囲を対象とした制限しかアカウントには適用されません。

有線ネットワークの場合、[終了-アクション(Termination-Action)] を 0(デフォルト)に設定して、セッション タイムアウトが終了セッションとして扱われるようにする必要があります。この値は、許可プロファイルで RADIUS 値として設定する必要があります。

WLC の場合、WLAN 設定で AAA オーバーライドを可能にする必要があります。RADIUS access-accept には、セッション タイムアウト値をアカウントの残存秒数で指定します。この時間が経過すると、NAD により接続が閉じられます。

ゲストがログインすると、ネットワーク アクセス システムによって、ゲスト アカウントに残っている時間がアクセス要求元の NAD に返されます。これにより、NAD でアカウントの有効期限を適用できるようになります。

DefaultEightHours 時間プロファイルおよび DefaultFirstLoginEight 時間プロファイルの場合、スポンサー グループ期間または時間プロファイル期間のうち、どちらか小さい方に基づいて、有効期限が計算されます。

ゲスト ユーザ名ポリシーの設定

次の表に、ゲスト ユーザ名の要件とガイドラインを指定するために使用できる [ゲスト ユーザ名ポリシー(Guest Username Policy)] ページのフィールドについて説明します。これらの変更はグローバルであり、すべてのゲスト ポータルに影響します。このページへのナビゲーション パスは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [ユーザ名ポリシー(Username Policy)] です。

 

表 A-58 ゲスト ユーザ名ポリシーの設定

フィールド
使用上のガイドライン
全般

電子メール アドレスからユーザ名を作成(Create username from email address)

ゲストの電子メール アドレスからゲスト ユーザ名を作成する場合は、このオプションを選択します。

姓名からユーザ名を作成(Create username from the first name and last name)

ゲスト ユーザの名の最初のイニシャルと姓を組み合わせてゲスト ユーザ名を作成する場合は、このオプションを選択します。

ユーザ名の最小長(Minimum Username Length)

ユーザ名に必要な最小文字数を入力します。電子メール アドレスまたは姓名の組み合わせから作成したゲスト ユーザ名が最小長より短い場合は、ユーザ名の末尾に 0 (ゼロ)文字と 1 が追加されます。ユーザ名が一意でない場合、一意になるよう、名前に数字が追加されます。

たとえば、 Firstname Lastname という 2 人のゲスト ユーザがいる場合、1 人目のユーザ名は flastname になり、2 人目のユーザ名は flastname1 になります。同様に、ユーザ名の最小長を 11 に設定した場合、2 人のユーザ名は flastname01 および flastname02 として生成されます。

ランダム(Random)

ユーザ名には、英文字を含むことができます(Username may include the alphabetic characters)

A ~ Z の使用できるすべての大文字および小文字を入力します。

含める最小数(Minimum number to include)

必要な英文字の最小数を入力します。

ランダム ユーザ名の長さは、この値を数字および特殊文字の最小値の長さと組み合わせて決定されます。

ユーザ名の長さでは、作成できる一意の名前の合計数を定義します。たとえば、10,000 人のユーザを作成する必要がある場合は、長さが 2 文字だけのユーザ名を使用しても一意の値を十分作成することはできません。

ユーザ名には、数字を含むことができます(Username may include the numeric characters)

0 ~ 9 の使用できるすべての数字を入力します。

含める最小数(Minimum number to include)

必要な数字の最小数を入力します。

ランダム ユーザ名の長さは、この値を英文字および特殊文字の最小値の長さと組み合わせて決定されます。

ユーザ名には、特殊文字を含むことができます(Username may include the special characters)

次の特殊文字を入力します。$ ( ) < > ~ ` / * - _ @

含める最小数(Minimum number to include)

必要な特殊文字の最小数を入力します。

ランダム ユーザ名の長さは、この値を英文字および数字の最小値の長さと組み合わせて決定されます。