Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler の LDAP 統合
Cisco NAC Profiler の LDAP 統合
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler の LDAP 統合

概要

Cisco NAC Profiler の LDAP 統合のアプリケーション:802.1X 配備の MAC 認証サポート

LDAP 統合の Cisco NAC Profiler 設定

LDAP 認証のプロファイルのイネーブル化

Cisco NAC Profiler での LDAP 統合のイネーブル化

初期 LDAP 同期の実行

Cisco NAC Profiler の LDAP パラメータ

Cisco NAC Profiler の LDAP サービスの可用性の検証

概要

Cisco NAC Profiler によって維持される状況に応じたエンドポイント インベントリは、標準的な Lightweight Directory Access Protocol(LDAP)経由で他のシステムに拡張できます。Cisco NAC Profiler システムのサーバ モジュールは、(Profiler によって)選択されたエンドポイント データを、Cisco NAC Profiler データベースと並行して実行され、Cisco NAC Profiler システムのサーバ システム モジュールによって保持される LDAP 対応ディレクトリに複製するよう設定できます。また、選択されたプロファイルのエンドポイントをディレクトリにパブリッシュするよう設定することもできます。そうすると、認証サーバ(例:RADIUS サーバ)などの他のシステムが Cisco NAC Profiler システムにクエリーを送信し、エンドポイントの MAC アドレスを識別名として使用してエンドポイントに関する状況に応じた情報を入手できます。Cisco NAC Profiler システムの LDAP サブシステムは、IEEE 802.1X ポートベース認証などの認証システムを強化するために使用される、高性能で拡張性に優れたソリューションです。特に、既存の認証インフラストラクチャでは 802.1X プロトコルに参加できないエンドポイントを自動的に検出、および認証する目的で使用されます。

この章で後述するように、Cisco NAC Profiler システムには、システムで LDAP 統合がイネーブルになっている場合に Cisco NAC Profiler Endpoint Database と並行して実行される、LDAP 対応ディレクトリが含まれています。別のエンティティ(MAC アドレスによってエンドポイント認証を試行する認証サーバなど)が、エンドポイントの MAC アドレスを含む LDAP クエリーを開始すると、Cisco NAC Profiler LDAP サブシステムは、それに対する応答として、エンドポイントに関する最新情報、つまり、エンドポイントが検出され、Cisco NAC Profiler システムによってプロファイリングされているかどうかを、オンボードのディレクトリで確認します。選択されたプロファイルでは、LDAP 統合がイネーブルになっています。つまり、Cisco NAC Profiler の管理者は、Cisco NAC Profiler システムがどのプロファイルで LDAP クエリーに応答するかを選択的に指定できます。言い換えると、Cisco NAC Profiler システムによって検出され、かつ LDAP が明示的にイネーブルに設定されているプロファイルにプロファイリングされているエンドポイントについてだけ応答が返されます。通常、Cisco NAC Profiler システムでは、非認証デバイスをコンテナ化するために使用されるプロファイルだけ、LDAP 統合がイネーブルになっています。Cisco NAC Profiler システムを MAC 認証で使用する場合に LDAP 統合をイネーブルにするプロファイルの例として、プリンタ、IP 電話、ワイヤレス アクセス ポイントなどのデバイスのプロファイルが挙げられます。

Cisco NAC Profiler システムで LDAP をイネーブルにすると、任意の LDAP 対応プロファイルにエンドポイントがプロファイリングされ、Cisco NAC Profiler ディレクトリが更新されます。そうすると、エンドポイントの MAC アドレスを一意の識別名として使用し、Cisco NAC Profiler ディレクトリの LDAP クエリーによって、エンドポイントに関する情報を確認できます。この一例として、Cisco NAC Profiler システムを RADIUS サーバで使用される外部データベースとして指定し、エンドポイント(特に、他の方法では認証できないエンドポイント)の MAC 認証に使用する方法があります。Cisco NAC Profiler から認証サーバに送られる正常な認証応答には、指定の MAC へのクエリーに対する応答における、現在の Cisco NAC Profiler のプロファイル名(例:Printer)などがあります。認証サーバはこれを使用し、エンドポイントに割り当てられる適切なネットワーク アクセス ポリシーを決定します。前述したように、Cisco NAC Profiler システムは、自身が検出し、Cisco NAC Profiler 管理者によって LDAP がイネーブルに指定されているプロファイルにプロファイリングされた MAC アドレスに関するクエリーにしか応答しません。システムで認識されていない MAC アドレス、または LDAP 対応プロファイルにないエンドポイントに対するクエリーは、Cisco NAC Profiler システムでは認証失敗として処理されます。そうすると、システムは、より大きな Cisco NAC Profiler データベース内で、MAC アドレスによって認証される必要がある、または認証してはならないデバイスのサブセットを区別できます。

Cisco NAC Profiler システムには、すべての LDAP 対応プロファイル内の MAC アドレスをディレクトリにパブリッシュするための、同期機能が実装されています。LDAP 同期機能は、LDAP をイネーブルにするよう選択されたプロファイルにプロファイリングされたエンドポイントが、ディレクトリにパブリッシュされているどうかを確認するため、Cisco NAC Profiler システムで LDAP が最初にイネーブルになったときに使用されます。この章でも後述するように、LDAP 対応ディレクトリの同期は、システムで LDAP がイネーブルになり、Cisco NAC Profiler システムが再起動されたとき([Apply Changes] -> [Update Modules]、または [Re-model] を実行したとき)にも行われます。

Cisco NAC Profiler システムの動作モニタリング機能も、LDAP 対応ディレクトリ内でのエンドポイント モニタリングにフル活用されます。エンドポイントが、プロファイルの変更につながるような動作を見せる Cisco NAC Profiler によって監視されている場合(特に、LDAP 認証がイネーブルになっているプロファイルから、LDAP がイネーブルになっていない別のプロファイルへの変更)、ディレクトリは即座に更新され、プロファイルが変更されるエンドポイントは、それ以降は MAC 認証によって正常に認証されなくなります。たとえば、LDAP 対応の Printer プロファイル内にあるエンドポイントが、より確実度の高い Windows User プロファイルと整合する動作を見せる Cisco NAC Profiler システムによって監視されている場合、Cisco NAC Profiler エンジンは、LDAP 対応の Printer プロファイルから、LDAP がイネーブルになっていない Windows User プロファイルに、エンドポイントを再プロファイリングします(この例で言う Windows User とは、MAC アドレス 802.1X など以外の方法で認証されるユーザを想定しています)。エンドポイントは、MAC による LDAP 認証がイネーブルになっていないプロファイルに移行されたので、これ以降の、この MAC アドレスの再認証は失敗します。

Cisco NAC Profiler の LDAP 統合のアプリケーション:802.1X 配備の MAC 認証サポート

802.1X 対応ネットワーク内にあるが、802.1X 経由で認証を受けることができないエンドポイントに対処するため、802.1X をサポートするシスコなどのスイッチ ベンダーは、デバイスが接続されたが EAPoL プロセスを開始しないときに MAC 認証に戻す機能を、スイッチ ファームウェアに実装しました。デバイスが EAPoL プロセスを開始しないということは、非 802.1X 対応エンドポイントが、802.1X 対応のアクセス ポートに接続していることを意味します。この機能は、主に 802.1X ポートベース認証対応のアクセス ポート上にあるネットワークに接続を試行している、既知の非 802.1X 企業アセットを認証するために使用されます。加えて、多くの RADIUS 認証サーバ実装は MAC 認証もサポートしているので、802.1X 実装の MAC 認証バイパスを含むアクセス スイッチとも相互運用します。

このような配備では、RADIUS 認証サーバに内部データベースの MAC アドレスのリスト(例:ホワイト リスト)を何らかの方法でプロビジョニングするか、802.1X に対応していないために MAC で認証される必要がある、環境内のエンドポイントの MAC アドレスを含む外部データベースへのクエリーをサポートする必要があります。主要認証サーバ ソリューションの多くは、LDAP を経由で外部データベースを参照し、MAC 認証を別のシステムにプロキシすることによって、認証サーバ上でローカル データベース(例:ホワイト リスト)を保持する必要性を軽減するメカニズムをサポートしています。

これらのソリューションで実装されている外部 LDAP データベース メカニズムが、Cisco NAC Profiler LDAP サブシステムのエンジニアリングのモデルとなっています。この章で前述した Cisco NAC Profiler の LDAP 統合機能は、Cisco NAC Profiler のエンドポイント プロファイリングおよび動作モニタリング機能を活用し、企業内の非 802.1X 対応エンドポイントの管理を自動化できるので、MAC によって認証されるエンドポイントをまとめた最新リストに容易にアクセスできます。このモデルでは、非 802.1X 対応エンドポイントが 802.1X/MAC 認証バイパスがイネーブルになったポートに接続されると、スイッチはそのエンドポイントを MAC 認証に戻します。一方で、RADIUS サーバは、エンドポイントにネットワーク アクセスを許可するかどうか、許可する場合は、現在のプロファイルに基づいてどのアクセス ポリシーを割り当てるかを Cisco NAC Profiler に問い合せます。

スイッチ ファームウェアに実装された MAC 認証フォールバック(シスコシステムズでは、この機能を「MAC 認証バイパス」、または「MAB」と呼んでいます)は、802.1X 対応ポートに接続するが、802.1X 認証プロトコルを開始しないエンドポイントに対し、代替的な認証パスを提供するよう設計されています。図 14-1 に、MAC 認証バイパス機能を実装した 802.1X 認証対応の Cisco スイッチが、非 802.1X 対応デバイスがアクセス ポートに接続されたときにどのように処理するかを示します。

図 14-1 Cisco MAC 認証バイパス

 

MAB がイネーブルになっている 802.1X 対応ポートに接続されたエンドポイントからの EAPoL パケットがない場合は、スイッチは MAC 認証に戻り、エンドポイントのアクセスをイネーブルにしようと試行します。スイッチの NAS(RADIUS クライアント)は、RADIUS サーバに MAC 認証要求を送信し、MAC が(「ホワイト リスト」で)非 802.1X 対応エンドポイントとされているかどうかを確認します。そうである場合は、どのポリシーを割り当てるかを決定します。この情報は、VLAN の割り当てなどのような強制処理をアクセス ポートで行えるように、スイッチに返されます。MAC 認証に失敗するデバイス(未知の非 802.1X エンドポイントなど)については、RADIUS サーバには、この機能によって認証できないために、未知のエンドポイントがどのネットワーク アクセスにもプロビジョニングされない、または環境やセキュリティ ポリシーによっては限定的なアクセスしかできない(ゲスト特権しか持たないなど)デバイスに対するポリシーが備わっている場合があります。

RADIUS 認証サーバには、MAC 認証をサポートすると同時に、MAC 認証を必要とする MAC アドレスのリストを維持するメカニズムがなくてはなりません。これらのエンドポイントは、組織によって所有されるが、802.1X サプリカント対応ではないとして認識されているものです。このアプローチを効果的に導入し、活用するためには、環境には 802.1X 認証が行えないデバイスを識別し、これらのデバイスの移動、追加、および変更に関する最新のデータベースを管理する方法が必要となります。MAC で認証されるデバイスをどの時点でも完全、かつ有効な状態にするため、このリストは、認証サーバまたは別のアクセス可能リポジトリにおいて手動で、またはその他の方法でデータを入力し、管理される必要があります。そうすると、いずれかのエンドポイントが、認証がイネーブルになったポート上のネットワークに接続されたが EAPoL プロセスを開始しなくても、認証サーバがエンドポイントの MAC アドレスを認証できるので、MAC 認証が正常に行われます。

Cisco NAC Profiler は、エンドポイント プロファイリングおよび動作モニタリング機能を使用し、非認証エンドポイントと 802.1X サプリカントのないエンドポイントの識別、さまざまなスケールのネットワークのエンドポイントの妥当性を維持するプロセスを自動化します。Cisco NAC Profiler システムは、標準的な LDAP インターフェイスを通じ、MAB 経由で認証されるエンドポイントの外部データベース、またはディレクトリとしての役割を果たすこともあります。これが 802.1X で認証されないデバイスの「ホワイト リスト」です。Cisco NAC Profiler ディレクトリは、アクセス スイッチが MAB 機能を通じて MAC アドレスによるエンドポイント認証を試行したときに、必要に応じて認証サーバによってアクセスされます。エッジ インフラストラクチャから MAB 要求を受け取った認証サーバは、Cisco NAC Profiler にクエリーを送信し、Cisco NAC Profiler によって把握されているエンドポイントの最新情報に基づき、指定のエンドポイントをネットワークに許可するかどうかを確認します。こうすることで、初期設定を手動で行ったり、MAC 認証を必要とするデバイスの「ホワイト リスト」を継続的に維持したりする必要性をなくします。

非 802.1X 対応エンドポイントの検出と、これらのエンドポイントの動作のモニタリングを自動化するためだけではなく、Cisco NAC Profiler システムによる非 802.1X エンドポイントのサポートをこのように実装すると、これらのエンドポイントは、企業全体の MAB に対して設定されたアクセス ポートに接続できるようになります。これらのエンドポイントのいずれかがポートに接続したが、EAPoL プロセスを完了できない場合は、認証サーバは Cisco NAC Profiler システムにエンドポイントに対する処理、つまり、アクセスの可否とアクセス ポリシーを問い合せます。

LDAP 統合の Cisco NAC Profiler 設定

LDAP 経由で Cisco NAC Profiler システムと認証サーバを統合させる設定はわかりやすく、次の 3 つの手順で行えます。

1. MAC アドレスで正常に認証される必要があるエンドポイントを含むプロファイルを指定する。

2. システムで LDAP クエリーを受信できるよう、また、LDAP ディレクトリと Cisco NAC Profiler データベースが自動同期できるようにする。

3. [Apply Changes] -> [Update Modules] を実行し、前の設定変更を保存し、LDAP ディレクトリの初期同期を実行する。

これらのステップの各手順については、このセクションで概説します。これらのステップが Cisco NAC Profiler システムで完了したら、各ソリューションの技術資料に従い、認証サーバは Cisco NAC Profiler システムを外部データベースとして使用するよう設定されます。

LDAP 認証のプロファイルのイネーブル化

Cisco NAC Profiler システムはプロファイル メカニズムを使用し、どのエンドポイントが MAC 経由で正常に認証されるかを判別します。プロファイルごとに、選択されたプロファイルを LDAP に指定するか、LDAP をディセーブルにできます。LDAP 対応プロファイル内にないエンドポイントについて、Cisco NAC Profiler に対する MAC 認証要求を行っても、MAC 認証は失敗します。デフォルトでは、システムで事前設定済みのプロファイルと、新規作成されたプロファイルは LDAP 対応ではありません。したがって、LDAP 経由での MAC 認証サポートを Cisco NAC Profiler システムに設定する際は、MAC 認証されるべきエンドポイントを含むプロファイルでは LDAP 機能をイネーブルにしておく必要があります。

このステップの主なタスクとは、環境内で MAC 認証されるエンドポイントを含むプロファイルを識別し、これらのプロファイルを LDAP 対応にすることです。通常、これらは、ネットワーク アクセスを提供する必要があるが認証できない、組織所有のデバイスを含む Cisco NAC Profiler プロファイルです。たとえば、802.1X 環境では、このカテゴリには、802.1X サプリカントがなく、802.1X プロトコルで認証できないデバイスが分類されます。通常、これらは、プリンタ、IP 電話、管理可能 UPS などが含まれるプロファイルです。

たとえば、Cisco NAC Profiler によってプロファイリングされたプリンタが "Printers" というプロファイルに、IP 電話が "IP Phones" というプロファイルに入れられた場合、これらのプロファイルに入れられたエンドポイントが、MAB を使用して、環境内の既知の IP 電話およびプリンタとして正常に認証されるよう、LDAP をイネーブルにする必要があります。

LDAP がイネーブルになったプロファイルを設定するには、エンドポイント プロファイル設定の "yes" の隣にある LDAP ラジオボタンを選択する必要があります。図 14-2 を参照してください。

図 14-2 プロファイルの LDAP イネーブル化

 

プロファイルの LDAP パラメータを変更したら、フォーム下部の [Save Profile] ボタンを選択し、変更を保存します。

LDAP がイネーブルになっており、かつ、そこに含まれるエンドポイントを正常に MAC 認証できるアクティブな(現在イネーブルになっており、エンドポイントを少なくとも 1 つ含む)プロファイルを判別するには、エンドポイント ディレクトリを確認します。エンドポイント ディレクトリを表示するには、[Endpoint Console] タブに移動し、[Endpoint Directory] を選択します。LDAP 対応のプロファイルを含む [Endpoint Directory] の例を図 14-3 に示します。

図 14-3 LDAP 対応プロファイルを示す [Endpoint Directory]

 

上記の例では、LDAP 列は、アクティブな各プロファイルの現在の LDAP ステータスを示します。Polycom Phones の 8 つのエンドポイントは、認証サーバが当該プリンタの MAC アドレスを Cisco NAC Profiler システムに問い合せた場合に、MAC によって正常に認証されます。

Cisco NAC Profiler での LDAP 統合のイネーブル化

Profiler Server モジュールで、Endpoint Profiler の LDAP サブシステムをイネーブルにする設定は、[Configure Server] フォームで行えます。[Configuration] タブで、[Cisco NAC Profiler Modules] -> [List Cisco NAC Profiler Modules] の順に選択し、[Server] リンクをクリックして [Configure Server] フォームを表示します。

フォームの中央付近に、[Configure Server] フォームの [LDAP Configuration] セクションがあり、図 14-4 に示すように 2 つの項目があります。

図 14-4 Profiler Server の LDAP パラメータ

 

[Enable LDAP]

Cisco NAC Profiler システムのオンボード ディレクトリをイネーブルにし、外部認証サーバからの MAC 認証クエリーを処理できるよう、Cisco NAC Profiler システムを準備します。デフォルトでは、Cisco NAC Profiler LDAP サービスは、サーバ モジュールを実行するアプライアンスの管理インターフェイスで受信された LDAP バージョン 3 要求を、ポート 389 でリッスンします(HA ペアの場合は、HA ペアのサービス IP アドレスに転送された LDAP クエリーに応答します)。

[Verbose Logging]

Profiler の Server.out ファイルの LDAP プロセスの詳細ロギングをイネーブルにします。

フォーム下部の [Update Server Module] ボタンを選択し、サーバ モジュール設定への変更を保存します。

初期 LDAP 同期の実行

「Cisco NAC Profiler での LDAP 統合のイネーブル化」で概説するように、サーバの設定で [Enable LDAP] チェックボックスが選択されると、[Apply Changes] -> [Update Modules] 実行後は、Cisco NAC Profiler LDAP ディレクトリは自動的に同期されます。LDAP がイネーブルになった Cisco NAC Profiler システムで [Update Modules] が実行されると、再起動および再モデル化の一環として、Cisco NAC Profiler システムは Cisco NAC Profiler エンドポイント データベースと LDAP データ ストアを同期化し、LDAP データ ストアに、データベース内のすべてのエンドポイントの最新プロファイルを反映します。


) Profiler Server で [Enable LDAP] を実行後、LDAP がイネーブルになったプロファイルにプロファイリングされているエンドポイントを LDAP ストアに同期化するには、[Apply Changes] -> [Update Modules] を必ず実行します。Cisco NAC Profiler ストアに対して MAC 認証を試行する前に、LDAP 対応プロファイル内にあるエンドポイントを LDAP ディレクトリに入力するために、[Apply Changes] -> [Update Modules] を実行する必要があります。


これまでに説明した手順を終えたら、Cisco NAC Profiler の LDAP 機能は LDAP クエリーに応答できるようになります。Cisco NAC Profiler で LDAP がイネーブルになると、エンドポイントは LDAP 対応の任意のプロファイルにプロファイリングされ、LDAP ディレクトリに自動的に追加され、MAC 認証がイネーブルになります。反対に、エンドポイントが、Cisco NAC Profiler によって LDAP 対応のプロファイルから別の LDAP 非対応プロファイルに再プロファイリングされると、エンドポイントは LDAP ディレクトリから削除されます。それ以降、Cisco NAC Profiler データ ストアに対し、MAC によるエンドポイント認証を行っても失敗します。

Cisco NAC Profiler の LDAP パラメータ

前述のステップを完了したら、Cisco NAC Profiler の LDAP システムは、RADIUS サーバやシスコシステムズの ACS などの外部システムからの LDAP クエリーを処理できるようになります。外部 LDAP データベースの設定はベンダーごとに異なるので、Cisco NAC Profiler を MAC 認証専用の LDAP データベースとして設定するには、認証ソリューションのベンダーが提供する資料を確認する必要があります。

Cisco NAC Profiler の LDAP ストアにどのシステムが接続されているかにかかわらず、認証サーバと Cisco NAC Profiler との接続を正常に行うには、認証サーバに必要となる LDAP 固有パラメータを設定する必要があります。次のパラメータです。

LDAP version 3

Port 389

LDAP サーバの IP アドレス:Cisco NAC Profiler のサーバ モジュールを実行するアプライアンスの、管理(eth0)インターフェイスの IP アドレス/DNS 名。HA ペアの場合は、アドレス/DNS 名は、ペアのサービス IP(VIP)である必要があります。

Authentication required - yes

Username (AdminDN) - cn=root,o=beacon

LDAP bind password - GBSbeacon(デフォルト)

Cisco NAC Profiler の LDAP サービスの可用性の検証

Cisco NAC Profiler で LDAP が正しく設定されると、システムでサービスが利用できるかどうかの検証は、Profiler Server に IP 接続できる PC 上で、LDAP ブラウザ ツールを使用して簡単に行えます。LDAP ブラウザはすぐに使用できます。ダウンロード可能なフリーウェア バージョンがあります。LDAP ツールの一例として、LDAP Admin Windows LDAP Manager(http://ldapadmin.sourceforge.net/)があります。このセクションの図は、このツールのものです。

次の例では、LDAP Admin ツールを使用して LDAP ディレクトリをブラウズし、Cisco NAC Profiler LDAP の設定を確認するための手順を示します。LDAP Admin アプリケーションを起動したら、メニューから [Start] を選択してドロップダウン メニューを開き、[Connect...] を選択します。[New connection] というアイコンを含む [Connections] ウィンドウが開きます。[New Connection] アイコンをダブルクリックし、図 14-5 に示すように、検証の対象となっている Cisco NAC Profiler システムの LDAP 固有パラメータを入力するダイアログを開きます。

図 14-5 Cisco NAC Profiler の LDAP ストアの接続の作成

 


) [Anonymous connection] チェックボックスのチェックを外し、上記のように、必要となる Username および password クレデンシャルを入力します。


[OK] をクリックする前に、[Connection properties] ダイアログボックスの左下にある [Test connection] ボタンをクリックします。Cisco NAC Profiler システムが LDAP に正しく応答している場合は、[Connection is successful] と記されたダイアログボックスが表示されます。[OK] をクリックしてダイアログを閉じ、再度 [OK] をクリックして新規接続を保存します。


) [LDAP Error: Server Down!] というエラー ダイアログが 表示されたら、Cisco NAC Profiler システムが LDAP ポート(389)でリッスンしていないか、LDAP Admin を実行している PC と Cisco NAC Profiler システム間のネットワーク通信が(ファイアウォールや ACL などによって)ブロックされている可能性があります。サーバの設定パラメータを確認し、[Apply Changes] -> [Update Modules] を必ず実行してください。また、PING を使用して PC と Cisco NAC Profiler システム間のネットワーク接続を確認してください。



) エラー ダイアログ "LDAP Error: Invalid Credentials!" は、入力されたユーザ名とパスワードが誤っていることを意味します。入力されたパスワードが、前のセクションで指定された LDAP バインド パスワード(GBSbeacon)であることを確認してください。


前のステップで作成した接続のアイコンをダブルクリックし、Cisco NAC Profiler の LDAP ディレクトリへの接続を開きます。Cisco NAC Profiler の LDAP ディレクトリ ツリーが、次のように表示されているはずです。

図 14-6 Cisco NAC Profiler の LDAP データ ストアの表示

 

Cisco NAC Profiler の LDAP ディレクトリの中で MAC 認証に密接に関係があるのは、[ou=profiler] ツリーです。ou=profiler ファイル アイコンの左側にある + をクリックしてディレクトリを展開し、さらにディレクトリを展開して ou=BeaconProfiledMACs を開きます。図 14-7 を参照してください。

図 14-7 Cisco NAC Profiler の LDAP データ ストアの LDAP 対応プロファイルの表示

 

上記の例では、Cisco NAC Profiler システムの LDAP 対応プロファイルは Lexmark Printer だけです。プロファイル内のエンドポイントを見るには、cn=ProfileName をダブルクリックします。そうすると、サンプル システムで次のダイアログが表示されます。

図 14-8 LDAP 対応プロファイルのエンドポイントの表示

 

図 14-8 に示すダイアログの [Members] セクションには、選択された LDAP 対応プロファイルの各デバイスの MAC アドレスが表示され、Cisco NAC Profiler システムの LDAP ストアの可用性を確認できます。


) Cisco NAC Profiler の LDAP ストアの MAC アドレスは、00:11:22:aa:bb:cc のフォーマットで表示されます。クエリーを一致させるには、LDAP クエリーの MAC アドレスのフォーマットが同じでなくてはなりません。