認証ポリシーの管理
認証ポリシーの管理
発行日;2013/01/21 | 英語版ドキュメント(2012/03/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

認証ポリシーの管理

認証ポリシーについて

認証タイプ、プロトコル、およびデータベース

認証ポリシーの用語

単純な認証ポリシー

ルールベースの認証ポリシー

プロトコル設定

EAP-FAST の設定

EAP-FAST の PAC の生成

EAP-TLS の設定

PEAP の設定

ネットワーク アクセス サービス

許可されるプロトコル

許可されるプロトコルの定義

許可されるプロトコルの削除

プロキシ サービス

外部 RADIUS サーバの定義

RADIUS サーバの作成

RADIUS サーバの編集

RADIUS サーバの削除

RADIUS サーバ順序の定義

RADIUS サーバ順序の作成、編集および複製

単純な認証ポリシーの設定

RADIUS サーバ順序を使用した単純なポリシーの設定

ルールベースの認証ポリシーの設定

認証ポリシーのユーザ インターフェイス要素について

単純条件(Simple Conditions)

単純条件の作成

単純条件の削除

複合条件

複合条件の作成

複合条件の削除

ルールベースの認証ポリシーの作成

認証ポリシーの組み込み設定

認証結果の表示

認証ポリシーの管理

この章では、ネットワーク リソースへのアクセスを要求するユーザへネットワークへのアクセス権がどのように付与されるかついて説明します。Cisco Identity Services Engine(ISE)のユーザ インターフェイスを使用して、ネットワーク上のリソースにアクセスできるユーザを特定する認証ポリシーを定義できます。この章は次のトピックで構成されています。

「認証ポリシーについて」

「プロトコル設定」

「ネットワーク アクセス サービス」

「単純な認証ポリシーの設定」

「ルールベースの認証ポリシーの設定」

「認証ポリシーの組み込み設定」

「認証結果の表示」

認証ポリシーについて

認証ポリシーは、Cisco ISE がネットワーク デバイスと通信するために使用するプロトコルを定義します。また、認証に使用するソースを特定します。ポリシーは、一連の条件と結果で構成されています。ポリシー条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。複合条件は、1 つ以上の単純条件で構成され、それぞれの条件が AND または OR 演算子で結合されています。実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義された結果を適用します。


) ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件の場合に RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。


 

認証ポリシーは次の要素で構成されています。

ネットワーク アクセス サービス:このサービスは次のいずれかとなります。

許可されるプロトコル サービス。初期要求およびプロトコル ネゴシエーションを処理するためのプロトコルを選択します。

プロキシ サービス。外部 RADIUS サーバが処理を行うように要求をプロキシします。

ID ソース:認証に使用する ID ソースまたは ID ソース順序。

インストール後に、認証に使用する Cisco ISE 内でデフォルトの ID 認証ポリシーが使用できるようになります。認証ポリシーを更新すると、デフォルトの設定が上書きされます。

認証ポリシーの定義時に選択可能なプロトコルを次に示します。

パスワード認証プロトコル(PAP)

Protected Extensible Authentication Protocol(PEAP)

Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)

Extensible Authentication Protocol-Message Digest 5(EAP-MD5)

Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)

Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)

Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS)

デフォルトでは、Cisco ISE がユーザ情報の検索に使用する ID ソースは、内部のユーザ データベースです。

この項では、次のトピックを扱います。

「認証タイプ、プロトコル、およびデータベース」

「認証ポリシーの用語」

「単純な認証ポリシー」

「ルールベースの認証ポリシー」

認証タイプ、プロトコル、およびデータベース

認証タイプは、選択されたプロトコルに基づきます。表 5-1 に、各種データベースでサポートされる認証タイプおよびプロトコルを示します。

認証タイプはパスワード ベースです。認証は、要求内に存在するユーザ名とパスワードを使用してデータベースに対して実行されます。認証ポリシーの結果である ID 特定方法は、次のいずれかになります。

アクセスを拒否:ユーザへのアクセスは拒否され、認証は実行されません。

ID データベース:次のいずれかの単一の ID データベース。

内部ユーザ

内部エンドポイント

Active Directory

Lightweight Directory Access Protocol(LDAP)データベース

RADIUS トークン サーバ(RSA または SafeWord サーバ)

証明書認証プロファイル

ID ソース順序:認証に使用する ID データベースの順序。

アクセス拒否を選択した場合、要求への応答として拒否メッセージが送信されます。ID データベースまたは ID データベース順序を選択して、認証が成功した場合、認証ポリシーの処理が続行されます。一部の認証は失敗し、その場合次のように分類されます。

認証の失敗:クレデンシャルが正しくない、無効なユーザであることなどが原因で認証が失敗したことを示す明確な応答を受信します。アクションのデフォルト コースは拒否です。

ユーザが見つからない:どの ID データベースでもこのユーザが見つかりませんでした。アクションのデフォルト コースは拒否です。

処理の失敗:ID データベース(複数の場合もある)にアクセスできません。アクションのデフォルト コースはドロップです。

Cisco ISE では、認証の失敗、ユーザが見つからない、または処理の問題発生など、認証が行われなかった場合に対して、次のいずれかのアクションのコースを設定できます。

[拒否(Reject)]:拒否応答が送信されます。

[ドロップ(Drop)]:応答は送信されません。

[続行(Continue)]:Cisco ISE は認証ポリシーの処理を続行します。


[続行(Continue)] オプションを選択した場合でも、使用されているプロトコルの制限により Cisco ISE が要求の処理を実行できない場合があります。認証に失敗した場合、PAP/ASCII、EAP-TLS、または MAC 認証バイパス(MAB またはホスト ルックアップ)の認証ポリシーの処理を続行できます。

その他のすべての認証プロトコルの場合、認証に失敗すると、次のいずれかの状態となります。

認証の失敗:拒否応答が送信されます。

ユーザまたはホストが見つからない:拒否応答が送信されます。

処理に問題が発生:応答は送信されず、要求はドロップされます。


 

認証ポリシーの用語

表 16-1 に、認証ポリシーのページに頻出する用語の一部を示します。

 

表 16-1 認証ポリシーの用語

用語
説明

許可されるプロトコル

許可されるプロトコルでは、Cisco ISE でネットワーク リソースへのアクセスを要求するデバイスとの通信に使用できるプロトコルのセットを定義します。

ID ソース

ID ソースは、Cisco ISE がユーザ情報を取得するために使用するデータベースを定義します。データベースは内部データベースの場合や、Active Directory または LDAP などの外部 ID ソースの場合もあります。一連のデータベースを ID ソース順序に加えて、この順序をポリシー内で ID ソースとしてリストできます。Cisco ISE は、リストされている順序でデータベース内のクレデンシャルを検索します。

フェールオーバー オプション

認証に失敗した、ユーザが見つからない、または処理に失敗した場合に Cisco ISE が取るべきアクションのコースを指定できます。

単純な認証ポリシー

単純な認証ポリシーでは、Cisco ISE が通信に使用する、許可されるプロトコルおよび ID ソースまたは ID ソース順序を静的に定義できます。単純なポリシーでは条件を定義できません。Cisco ISE ではすべての条件が満たされていると想定され、次の定義を使用して結果が決まります。

常に使用する必要がある許可されるプロトコルおよび ID ソースを静的に定義でき、条件のチェックが必要ない環境では、単純なポリシーを作成できます。

プロキシ サービスベースの単純なポリシーを作成することもできます。Cisco ISE は、ポリシー サーバに要求をプロキシして、ユーザ認証に使用する ID ソースを決定します。要求が別のポリシー サーバにプロキシされた場合、プロトコル ネゴシエーションは発生しません。ポリシー サーバはどの ID ソースを認証に使用するべきかを評価し、応答を Cisco ISE に返します。


) ホスト認証は、MAC アドレスのみを使用して実行されます(MAB)。


単純なポリシーの結果は、次のいずれかとなります。

アクセスを拒否

ID データベース

ID 順序

図 16-1 に、単純な認証ポリシーのフローを示します。

図 16-1 単純な認証ポリシーのフロー

 

ルールベースの認証ポリシー

ルールベースの認証ポリシーは、属性ベースの条件で構成されています。この条件により、要求の処理に使用される許可されるプロトコルおよび ID ソースまたは ID ソース順序が決定されます。単純な認証ポリシーでは、許可されるプロトコルおよび ID ソースを静的に定義できます。ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。Cisco ISE では、次のディクショナリがサポートされます。

Airespace

CERTIFICATE

Cisco

Cisco-BBSM

Cisco-VPN3000

DEVICE

Microsoft

Network Access

RADIUS

CERTIFICATE、DEVICE、および RADIUS は、システム定義ディクショナリであり、 Airespace、Cisco、Cisco-BBSM、Cisco-VPN3000、Microsoft 、および Network Access は RADIUS ベンダー ディクショナリです。

Cisco ISE 内のディクショナリの詳細については、「ディクショナリおよびディクショナリ属性」を参照してください。

Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。ポリシー作成ページ内で条件を作成することも可能です。条件には次の 2 種類があります。

単純条件:「 属性 オペランド 値 」という形式をとります。これらを保存して、他のルールベースのポリシーで再利用できます。単純条件は、A オペランド B の形式をとります。ここで、A は ISE ディクショナリ内の任意の属性とすることができ、B は属性 A がとり得るいずれかの値とすることができます。

単純条件の例:[DEVICE]:[デバイス タイプ(Device Type)] [等しい(Equals)] [すべてのデバイス タイプ(All Device Types)]

詳細については、「単純条件(Simple Conditions)」を参照してください。

複合条件:AND あるいは OR の関係を使用した 1 つ以上の単純条件で構成されています。これらの複合条件は、単純条件に基づいて構成されます。これらを保存して、他のルールベースのポリシーで再利用できます。複合条件は、次のいずれかの形式をとります。

(X オペランド Y)AND(A オペランド B)AND(X オペランド Z)AND(以下同様)

(X オペランド Y)OR(A オペランド B)OR(X オペランド Z)OR(以下同様)

ここで、X および A は ISE ディクショナリ内の属性です(ユーザ名、デバイスタイプなど)。

複合条件の例:[DEVICE]:[モデル名(Model Name)] [一致(Matches)] [Catalyst6K] [AND] [ネットワークへのアクセス(Network Access)]:[使用例(Use Case)] [等しい(Equals)] [ホスト ルックアップ(Host Lookup)]

詳細については、「複合条件」を参照してください。

表 16-2 に、各ディクショナリでサポートされる固定属性を示します。これらの属性をポリシー条件内で使用できます。

 

表 16-2 ディクショナリ別のサポートされる属性のリスト

ディクショナリ
属性
許可されるプロトコルのルールおよびプロキシ
ID ルール

Device

Device Type(定義済みのネットワーク デバイス グループ)

Yes

Yes

Device Location(定義済みのネットワーク デバイス グループ)

Other Custom Network Device Group

Software Version

Model Name

RADIUS

すべての属性

Yes

Yes

Network Access1

ISEISE Host Name

Yes

Yes

AuthenticationMethod

No

Yes

AuthenticationStatus

No

No

CTSDeviceID

No

No

Device IP Address

Yes

Yes

EapAuthentication(マシンのユーザの認証時に使用される EAP 方式)

No

Yes

EapTunnel(トンネルの確立に使用される EAP 方式)

No

Yes

Protocol

Yes

Yes

UseCase

Yes

Yes

UserName

No

Yes

WasMachineAuthenticated

No

No

Certificate

Common Name

No

Yes

Country

E-mail

LocationSubject

Organization

Organization Unit

Serial Number

State or Province

Subject

Subject Alternative Name

Subject Alternative Name - DNS

Subject Alternative Name - E-mail

Subject Alternative Name - Other Name

Subject Serial Number

1.作成する条件のタイプによっては、使用できない属性もあります。たとえば、認証ポリシー内でアクセス サービスを選択する条件を作成する場合、使用できるネットワーク アクセス属性は、Device IP Address、ISE Host Name、Network Device Name、Protocol、および Use Case のみです。

に、ルールベースの認証ポリシーのフローを示します。

図 16-2 ルールベースの認証ポリシー

 

 

ルールベースのポリシーでは、 に示すように複数のルールを定義できます。ID データベースは、基準に一致する最初のルールに基づいて選択されます。

異なるデータベースで構成される ID ソース順序を定義することもできます。Cisco ISE がデータベースを検索する順序を定義できます。Cisco ISE は、認証が成功するまで指定された順序でこれらのデータベースにアクセスします。1 つの外部データベースに同一ユーザの複数のインスタンスが存在する場合、認証は失敗します。1 つの ID ソース内で、ユーザ レコードは重複できません。


) ID ソース順序には、3 つのデータベース、または多くとも 4 つのデータベースを使用することを推奨します。



) 単純なポリシーとルールベースのポリシーを切り替える場合、ポリシー データが使用できなくなるため、ポリシーを再設定する必要があります。


プロトコル設定

プロトコルを使用して認証要求を処理するには、初めに Cisco ISE でグローバル プロトコル設定を定義する必要があります。[プロトコル設定(Protocol Settings)] ページを使用して、ネットワーク内の他のデバイスと通信する Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)、および Protected Extensible Authentication Protocol(PEAP)の各プロトコルのグローバル オプションを定義できます。この項では、次のトピックを扱います。

「EAP-FAST の設定」

「EAP-TLS の設定」

「PEAP の設定」

「EAP-FAST の PAC の生成」

EAP-FAST の設定

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

EAP-FAST を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。

ステップ 3 [EAP-FAST] > [EAP FAST 設定(EAP FAST Settings)] を選択します。

[EAP-FAST グローバル設定(EAP-FAST Global Settings)] ページが表示されます。

ステップ 4 次の説明に従って情報を入力します。

[機関識別情報の説明(Authority Identity Info Description)]:(必須)クレデンシャルをクライアントに送信する Cisco ISE ノードを説明するわかりやすい文字列。クライアントは、この文字列をタイプ、長さ、および値(TLV)の Protected Access Credentials(PAC)情報で認識できます。デフォルト値は、Identity Services Engine です。

[マスター キー生成期間(Master Key Generation Period)]:(必須)マスター キー生成期間を、秒、分、時間、日、または週単位で指定します。値は、1 ~ 2147040000 秒の正の整数である必要があります。デフォルトは 604800 秒で、1 週間に相当します。

 

ステップ 5 以前に生成されたマスター キーおよび PAC をすべて失効させるには、[失効(Revoke)] をクリックします。

ステップ 6 EAP-FAST 設定を保存するには、[保存(Save)] をクリックします。


 

EAP-FAST の PAC の生成

Cisco ISE の [PAC の生成(Generate PAC)] オプションを使用して、EAP-FAST プロトコルのトンネル PAC またはマシン PAC を生成できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

EAP-FAST の PAC を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。

ステップ 3 [EAP-FAST] > [PAC の生成(Generate PAC)] を選択します。

[PAC の生成(Generate PAC)] ページが表示されます。

ステップ 4 次の説明に従って情報を入力します。

[トンネル PAC(Tunnel PAC)]:(トンネル PAC またはマシン PAC が必須)トンネル PAC を生成するには、このオプション ボタンをクリックします。このオプションがデフォルトです。

[マシン PAC(Machine PAC)]:マシン PAC を生成するには、このオプション ボタンをクリックします。

[SGA PAC]:SGA PAC を生成するには、このオプション ボタンをクリックします。

[ID(Identity)]:(必須)トンネル PAC およびマシン PAC の ID としてフィールドに入力します。これにより、EAP-FAST プロトコルにより「内部ユーザ名」として示されるユーザ名またはマシン名が指定されます。ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。

SGA PAC を生成する場合、[ID(Identity)] フィールドにより SGA ネットワーク デバイスのデバイス ID が指定され、EAP-FAST プロトコルによりイニシエータ ID とともに提供されます。[ID(Identity)] の文字列は、デバイス ホスト名と一致している必要があります。そうでない場合は、認証が失敗し、デバイスで PAC ファイルをインポートできません。SGA PAC の詳細については、「OOB SGA PAC」を参照してください。

[PAC 存続可能時間(PAC Time to Live)]:(必須)トンネル PAC およびマシン PAC に対して、PAC の期限を指定する値を秒単位で入力します。デフォルトは 604800 秒で、1 週間に相当します。この値は、1 ~ 157680000 秒の正の整数である必要があります。

SGA PAC に対しては、日、週、月、または年単位で値を入力します。デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。

[暗号キー(Encryption Key)]:(必須)暗号キーを入力します。キーの長さは、8 ~ 256 文字にする必要があります。キーには、大文字や小文字、数字、または英数字の組み合わせを含めることができます。

[有効期限(Expiration Data)]:(SGA PAC のみ)有効期限は、PAC 存続可能時間に基づいて計算されます。

ステップ 5 [PAC の生成(Generate PAC)] をクリックして、PAC を生成します。


 

EAP-TLS の設定

[グローバル オプション(Global Options)] ページで、EAP-TLS プロトコルのランタイム特性を設定できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

EAP-TLS を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。

ステップ 3 [EAP-TLS] を選択します。

[EAP-TLS の設定(EAP-TLS Settings)] ページが表示されます。

ステップ 4 次の説明に従って情報を入力します。

[EAP-TLS セッションの再開を有効にする(Enable EAP-TLS Session Resume)]:このチェックボックスをオンにすると、完全な EAP-TLS 認証に成功したユーザの簡略化された認証がサポートされます。この機能により、Secure Sockets Layer(SSL)ハンドシェイクのみでユーザの再認証が可能となり、証明書の適用が不要になります。EAP-TLS セッションは、タイムアウトしていない限り動作を再開します。

[EAP-TLS セッション タイムアウト(EAP-TLS Session Timeout)]:EAP-TLS セッションがタイムアウトするまでで時間を秒単位で指定します。デフォルト値は 7200 秒です。

ステップ 5 EAP-TLS 設定を保存するには、[保存(Save)] をクリックします。


 

PEAP の設定

[グローバル オプション(Global Options)] ページで、PEAP プロトコルのランタイム特性を設定できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

PEAP を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。

ステップ 3 [PEAP] を選択します。

[PEAP の設定(PEAP Settings)] ページが表示されます。

ステップ 4 次の説明に従って情報を入力します。

[PEAP セッションの再開を有効にする(Enable PEAP Session Resume)]:このチェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証のフェーズ 2 で正常に認証された場合に限り、PEAP 認証のフェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の PEAP セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。

PEAP セッション再開機能を動作させるには、PEAP セッション タイムアウト値を指定する必要があります。

[PEAP セッション タイムアウト(PEAP Session Timeout)]:PEAP セッションがタイムアウトするまでで時間を秒単位で指定します。デフォルト値は 7200 秒です。

[高速再接続を有効にする(Enable Fast Reconnect)]:このチェックボックスをオンにすると、セッション再開機能が有効な場合に、ユーザ クレデンシャルを確認しないで PEAP セッションが Cisco ISE で再開することを許可します。

ステップ 5 PEAP 設定を保存するには、[保存(Save)] をクリックします。


 

ネットワーク アクセス サービス

ネットワーク アクセス サービスには、要求に対する認証ポリシー条件が含まれています。さまざまな使用例に対して、個別のネットワーク アクセス サービスを作成できます。たとえば、有線 802.1X、有線 MAB などの使用例があります。認証ポリシー内で使用できる次の 2 つのネットワーク アクセス サービスがあります。

「許可されるプロトコル」

「プロキシ サービス」

許可されるプロトコル

許可されるプロトコルでは、Cisco ISE でネットワーク リソースへのアクセスを要求するデバイスとの通信に使用できるプロトコルのセットを定義します。許可されるプロトコル アクセス サービスは、認証ポリシーを設定する前に作成する必要がある独立したエントリです。許可されるプロトコル アクセス サービスは、特定の使用例に対して選択されたプロトコルが含まれているオブジェクトです。

[許可されるプロトコル サービス(Allowed Protocols Services)] ページには、作成した許可されるプロトコル サービスがすべて表示されます。Cisco ISE で事前に定義された、デフォルトのネットワーク アクセス サービスが存在します。

関連項目

「許可されるプロトコルの定義」

「許可されるプロトコルの削除」

「単純な認証ポリシーの設定」

「ルールベースの認証ポリシーの設定」

許可されるプロトコルの定義

前提条件:

この手順を開始する前に、認証に使用するプロトコル サービスの基本を理解している必要があります。次に示している情報やセクションを確認してください。

さまざまなデータベースでサポートされている認証タイプおよびプロトコルについては、 認証ポリシーについて(注)を参照してください。

許可されるプロトコル サービスおよび PAC オプションの項を確認して、各プロトコル サービスの機能とオプションを理解し、使用しているネットワークに最適な選択ができるようにしてください。

手順を進める前に、グローバル プロトコル設定を必ず定義してください。詳細については、「プロトコル設定」を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

許可されるプロトコル サービスを定義するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 左側の [結果(Results)] ナビゲーション ペインで、[認証(Authentication)] の隣にある矢印をクリックします。

ステップ 3 [許可されるプロトコル(Allowed Protocols)] をクリックします。[許可されるプロトコル サービス(Allowed Protocols Services)] ページが表示されます。


) Cisco ISE が FIPS モードで動作するように設定されている場合は、一部のプロトコルがデフォルトで無効化され、それらのプロトコルを設定できません。


ステップ 4 [追加(Add)] をクリックします。

ステップ 5 次の情報を入力します。

[名前(Name)]:(必須)許可されるプロトコル サービスの名前を入力します。

[説明(Description)]:(任意)許可されるプロトコル サービスの説明を入力します。

ステップ 6 表 16-3 の説明を参照して、ネットワークに適切な認証プロトコルおよびオプションを選択します。

図 16-3 に、許可されるプロトコルの選択例を示します。

ステップ 7 PAC の使用を選択した場合、 表 16-4 の説明を参照して、適切な選択を行ってください。


) 匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と Extensible Authentication Protocol-Generic Token Card(EAP-GTC)の両方を選択する必要があります。また、Cisco ISE では、マシン認証の外部 ID ソースとしては Active Directory だけがサポートされる点に注意してください。


ステップ 8 [送信(Submit)] をクリックして、許可されるプロトコル サービスを保存します。

許可されるプロトコル サービスは、単純な認証ポリシーおよびルールベースの認証ポリシーのページで独立したオブジェクトとして表示されます。このオブジェクトは異なるルールに使用できます。

ステップ 9 これで、単純な認証ポリシーおよびルールベースの認証ポリシーを作成できるようになります。


 

許可されるプロトコル サービス

表 16-3 では、 許可されるプロトコルの定義を行ったときに指定するプロトコルのオプションについて説明します。

 

表 16-3 許可されるプロトコル サービス

オプション
説明
許可されるプロトコル

ホスト ルックアップの処理(Process Host Lookup)

たとえば RADIUS Service-Type が 10 の場合に [ホスト ルックアップ(Host Lookup)] フィールドを処理し、RADIUS Calling-Station-ID 属性の System UserName 属性を使用するように Cisco ISE を設定する場合にオンにします。Cisco ISE でホスト ルックアップ要求を無視し、認証に system UserName 属性の元の値を使用する場合はオフにします。オフにすると、メッセージ処理はプロトコル(たとえば PAP)に従って行われます。

> [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] > [許可されるプロトコル サービス(Allowed Protocols Services)]。

認証プロトコル

PAP/ASCII の許可(Allow PAP/ASCII)

このオプションによって、PAP/ASCII が有効になります。PAP は、平文パスワード(つまり暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。

[PAP/ASCII の許可(Allow PAP/ASCII)] チェックボックスをオンにすると、[PAP をホスト ルックアップとして検出する(Detect PAP as Host Lookup)] チェックボックスをオンにして、このタイプの要求を PAP ではなくホスト ルックアップ要求として検出するように Cisco ISE を設定できます。

CHAP の許可(Allow CHAP)

このオプションによって、CHAP 認証が有効になります。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Microsoft Active Directory では使用できません。

MS-CHAPv1 の許可(Allow MS-CHAPv1)

このオプションによって、MS-CHAPv1 が有効になります。

MS-CHAPv2 の許可(Allow MS-CHAPv2)

このオプションによって、MS-CHAPv2 が有効になります。

EAP-MD5 の許可(Allow EAP-MD5)

このオプションによって、EAP ベースの MD5 ハッシュ認証が有効になります。

[EAP-MD5 の許可(Allow EAP-MD5)] チェックボックスをオンにすると、[EAP-MD5 をホスト ルックアップとして検出する(Detect EAP-MD5 as Host Lookup)] チェックボックスをオンにして、このタイプの要求を EAP-MD5 ではなくホスト ルックアップ要求として検出するように Cisco ISE を設定できます。

EAP-TLS の許可(Allow EAP-TLS)

このオプションでは、EAP-TLS 認証プロトコルを有効にし、EAP-TLS 設定を行います。エンドユーザ クライアントからの EAP Identity 応答で提示されたユーザ ID を Cisco ISE が確認する方法を指定できます。ユーザ ID は、エンドユーザ クライアントによって提示された証明書の情報に照らして確認されます。この比較は、Cisco ISE とエンドユーザ クライアントとの間に EAP-TLS トンネルが確立された後に行われます。

(注) EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、証明書の設定に必要な手順を完了した場合に限られます。証明書の詳細については、「証明書の管理」を参照してください。

LEAP の許可(Allow LEAP)

このオプションによって、Lightweight Extensible Authentication Protocol(LEAP)認証が有効になります。

PEAP の許可(Allow PEAP)

このオプションによって、PEAP 認証プロトコルと PEAP 設定が有効になります。デフォルトの内部方式は、MS-CHAPv2 です。

[PEAP の許可(Allow PEAP)] チェックボックスをオンにすると、次の PEAP 内部方式を設定できます。

[EAP-MS-CHAPv2 の許可(Allow EAP-MS-CHAPv2)]:内部方式として EAP-MS-CHAPv2 を使用する場合に、このチェックボックスをオンにします。

[パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合に、このチェックボックスをオンにします。

[再試行(Retries)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。有効な値は 1 ~ 3 です。

[EAP-GTC の許可(Allow EAP-GTC)]:内部方式として EAP-GTC を使用する場合に、このチェックボックスをオンにします。

[パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合に、このチェックボックスをオンにします。

[再試行(Retries)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。有効な値は 1 ~ 3 です。

[EAP-TLS の許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合に、このチェックボックスをオンにします。

EAP-FAST の許可(Allow EAP-FAST)

このオプションによって、EAP-FAST 認証プロトコルと EAP-FAST 設定が有効になります。EAP-FAST プロトコルは、同じサーバ上の複数の内部プロトコルをサポートできます。デフォルトの内部方式は、MS-CHAPv2 です。

[EAP-FAST の許可(Allow EAP-FAST)] チェックボックスをオンにすると、EAP-FAST を内部方式として設定できます。

EAP-MS-CHAPv2 の許可(Allow EAP-MS-CHAPv2)

[パスワード変更の許可(Allow Password Change)]:Cisco ISE で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合に、このチェックボックスをオンにします。

[再試行(Retries)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。有効な値は 1 ~ 3 です。

EAP-GTC の許可(Allow EAP-GTC)

[パスワード変更の許可(Allow Password Change)]:Cisco ISE で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合に、このチェックボックスをオンにします。

[再試行(Retries)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。有効な値は 1 ~ 3 です。

[EAP-TLS の許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合に、このチェックボックスをオンにします。

[PAC を使用(Use PACs)]:EAP-FAST クライアントに許可 PAC 表 16-4 を参照してください。

[PAC を使用しない(Don’t use PACs)]:トンネルまたはマシン PAC を発行したり受け入れたりしないで EAP-FAST を使用するように Cisco ISE を設定する場合に、このオプションを選択します。PAC のすべての要求は無視され、Cisco ISE は PAC を含まない Success-TLV で応答します。

このオプションを選択すると、マシン認証を実行するように Cisco ISE を設定できます。

優先 EAP プロトコル(Preferred EAP protocol)

EAP-FAST、PEAP、LEAP、EAP-TLS、および EAP-MD5 から任意の優先 EAP プロトコルを選択するには、このチェックボックスをオンにします。このフィールドを有効にしない場合、デフォルトでは LEAP が優先プロトコルになります。

PAC オプション

表 16-4 では、 許可されるプロトコルの定義を行うときに選択できる PAC オプションについて説明します。

 

表 16-4 PAC オプション

オプション
説明

PAC を使用(Use PAC)

[トンネル PAC の存続可能時間(Tunnel PAC Time To Live)]:TTL3 の値によって PAC のライフタイムが制限されます。ライフタイム値と単位を指定します。デフォルトは 90 日です。値の範囲は 1 ~ 1825 日です。

[PAC 存続可能時間の <n%> が経過したら予防的 PAC 更新が発生する(Proactive PAC Update will occur after <n%> of PAC Time to Live Has Expired)]:Update 値により、クライアントに有効な PAC が保持されます。Cisco ISE は、最初に認証が成功してから TTL によって設定された有効期限までに更新を開始します。Update 値は、TTL の残り時間のパーセンテージです。デフォルトは 90 % です。

[匿名インバンド PAC プロビジョニングの許可(Allow Anonymous In-band PAC Provisioning)]:Cisco ISE でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立し、クライアントに PAC をプロビジョニングする場合に、このチェックボックスをオンにします。その際、EAP-FAST のフェーズ 0 と EAP-MSCHAPv2 が使用されます。

(注) 匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と EAP-GTC の両方を選択する必要があります。

[認証付きインバンド PAC プロビジョニングの許可(Allow Authenticated In-band PAC Provisioning)]:Cisco ISE は SSL サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中にクライアントに PAC をプロビジョニングします。このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が Cisco ISE にインストールされている必要があります。

このオプションをオンにすると、認証された PAC プロビジョニングの成功後に Access-Accept メッセージをクライアントに返すように Cisco ISE を設定できます。

[認証されたプロビジョニングの後にサーバから Access Accept を返す(Server Returns Access Accept After Authenticated Provisioning)]:Cisco ISE が PAC プロビジョニングの認証後に Access-Accept パッケージを返すようにするには、このチェックボックスをオンにします。

[プロビジョニングのクライアント証明書を受け入れる(Accept Client Certificate for Provisioning)]:Cisco ISE が、EAP-FAST トンネルの確立中にクライアントを認証するようにする、またはトンネル内でクライアント証明書(ユーザまたはマシン)を使用するようにするには、このチェックボックスをオンにします。

[マシン認証の許可(Allow Machine Authentication)]:Cisco ISE でエンドユーザ クライアントにマシン PAC をプロビジョニングし、(マシン クレデンシャルを持たないエンドユーザ クライアントに対して)マシン認証を実行する場合に、このチェックボックスをオンにします。マシン PAC は、要求(インバンド)によって、または管理者(アウトオブバンド)によって、クライアントにプロビジョニングできます。Cisco ISE がエンドユーザ クライアントから有効なマシン PAC を受信すると、その PAC からマシン ID の詳細が抽出され、Cisco ISE 外部 ID ストアで確認されます。その詳細が正しいことが確認されると、その後の認証は実行されません。

(注) Cisco ISE は、マシン認証の外部 ID ソースとして Active Directory のみをサポートします。

PAC を使用(Use PAC)

(続き)

Cisco ISE では、保護されていない ID を個別に設定できます。証明書に「マシン」形式の ID が含まれ、プロファイルに「host/[username]/[domain]」として指定されている保護されていない ID が含まれている場合、前者(「マシン」)が PAC のプロビジョニングに使用されます。これは、認証が証明書とその ID を使用して行われるためです。後者のタイプ(「host/」)は、プロビジョニングの終了までに提供される PAC に書き込まれます。これは、PAC がこの固有の ID に基づいて生成されるためです。

その結果、同一デバイスの複数のライブ ログに異なるマシン名(プロビジョニング用の証明書の短い ID とプロファイルの長い ID)が表示されます。このような状態でも、PAC プロビジョニングおよび PAC ベースの認証は成功します。これは、Active Directory が認証に際して両方の形式に対応しているためです。唯一の問題点は、ログに表示されるマシン名に一貫性がないことです。

この問題を避けるには、保護されていない ID を、証明書に指定されている方法と同じ方法で指定する必要があります。証明書で短いバージョンが使用されている場合、プロファイルでも短いバージョンを使用します。

(注) RADIUS User-Name 属性を確認することで、ユーザ形式とマシン形式の相違を確認できます。ID が「host/」で開始している場合、これはマシン形式です。

PAC を使用(Use PAC)(続き)

このオプションをオンにすると、マシン PAC を使用するために受け入れることができる期間の値を入力できます。Cisco ISE は、期限切れのマシン PAC を受け取ると、(エンドユーザ クライアントからの新規マシン PAC 要求を待たずに)エンドユーザ クライアントに新規マシン PAC を自動的に再プロビジョニングします。

[ステートレスなセッション再開の有効化(Enable Stateless Session Resume)]:Cisco ISE で EAP-FAST クライアントに許可 PAC をプロビジョニングし、常に EAP-FAST のフェーズ 2 を実行する場合に、このチェックボックスをオンにします(デフォルトはオン)。

次の場合は、このチェックボックスをオフにします。

Cisco ISE が EAP-FAST クライアントに許可 PAC をプロビジョニングしないようにする場合

EAP-FAST のフェーズ 2 を常に実行する場合

このオプションをオンにすると、ユーザ許可 PAC の許可期間を入力できます。この期間の終了後、PAC は期限切れになります。Cisco ISE は期限切れの許可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。

[EAP チェーンを有効化(Enable EAP Chaining)]:Cisco ISE でマシンとユーザの認証を同じ EAP-FAST で可能にするには、このチェックボックスをオンにします。

3.TTL = 存続可能時間

図 16-3 に、許可されるプロトコル サービスに対して行った選択の例を示します。

図 16-3 許可されるプロトコル サービス

 

許可されるプロトコルの削除

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

削除しようとしている許可されるプロトコル サービスが、どの認証ポリシーにも参照されていないことを確認します。

許可されるプロトコル サービスを削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 左側の [結果(Results)] ナビゲーション ペインで、[認証(Authentication)] の隣にある矢印をクリックします。

ステップ 3 [許可されるプロトコル(Allowed Protocols)] をクリックします。

[許可されるプロトコル(Allowed Protocols)] ページに、定義済みの許可されるプロトコルが表示されます。

ステップ 4 削除する許可されるプロトコル サービス(複数可)の隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。または、アクション アイコンをクリックして、左側のナビゲーション ペインで許可されるプロトコル サービスをクリックして削除することもできます。


) 削除する許可されるプロトコル サービスを複数選択して、そのいずれかが認証ポリシーで参照されている場合、全体の削除操作が失敗します。削除する許可されるプロトコルは、認証プロトコルで参照されていないことを確認してください。


Cisco ISE によって次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 5 [OK] をクリックして、選択した許可されるプロトコル サービス(複数可)を削除します。


 

プロキシ サービス

Cisco ISE は RADIUS プロキシ サーバとして動作します。この場合、要求は、ネットワーク アクセス デバイス(NAD)から RADIUS サーバにプロキシされます。RADIUS サーバは要求を処理し、結果を Cisco ISE に返します。次に、Cisco ISE は応答を NAD に送信します。単純な認証ポリシーとルールベースの認証ポリシーの両方で、RADIUS サーバ順序を使用して要求を RADIUS サーバにプロキシできます。


) RADIUS サーバ順序は、RADIUS-Username 属性からドメイン名を抜き取り(ストリッピング)、RADIUS 認証に使用します。このドメイン ストリッピングは EAP 認証には使用できません。EAP 認証では EAP-Identity 属性が使用されます。RADIUS プロキシ サーバは RADIUS-Username 属性からユーザ名を取得し、RADIUS サーバ順序の設定時に指定した文字列からユーザ名を抜き取ります。EAP 認証の場合は、RADIUS プロキシ サーバはユーザ名を EAP-Identity 属性から取得します。RADIUS サーバ順序を使用する EAP 認証は、EAP-Identity 値と RADIUS-Username 値が同一である場合のみ成功します。


RADIUS サーバ順序を認証に使用するには、次の作業を確実に完了する必要があります。

「外部 RADIUS サーバの定義」

「RADIUS サーバ順序の定義」

外部 RADIUS サーバの定義

Cisco ISE は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。プロキシ サーバとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。Cisco ISE は要求の結果を受け取り、これを NAS に戻します。Cisco ISE で外部 RADIUS サーバを設定して、要求を外部 RADIUS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。

Cisco ISE は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。RADIUS サーバ順序で設定した外部 RADIUS サーバを使用できます。次に説明する [外部 RADIUS サーバ(External RADIUS Server)] ページには、Cisco ISE で定義した外部 RADIUS サーバがすべて表示されます。フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の RADIUS サーバを検索することができます。


) すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。


RADIUS サーバを検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] を選択します。

[外部 RADIUS サーバ(External RADIUS Servers)] ページが表示されます。

ステップ 2 [フィルタ(Filter)] > [拡張フィルタ(Advanced Filter)] をクリックして、検索を実行します。[フィルタ(Filter)] ページが表示されます。

ステップ 3 検索が、このページで定義したルールのいずれかと一致すればよいか、またはすべてと一致する必要があるかを指定します。

ステップ 4 RADIUS サーバの名前または説明に基づいた検索条件を入力し、演算子を選択して値を入力します。

ステップ 5 次の操作を実行できます

フィルタ条件を追加するには、プラス記号(+)をクリックします。

フィルタ条件を削除するには、マイナス記号(-)をクリックします。

すべてのフィルタ条件をクリアするには、[フィルタのクリア(Clear Filter)] をクリックします。

ステップ 6 [実行(Go)] をクリックして、検索を実行します。

フィルタ条件を再利用できるように保存することもできます。[保存(Save)] アイコンをクリックしてフィルタ条件を保存します。


 

結果:

検索条件に一致した外部 RADIUS サーバのリストが表示されます。

関連項目

「RADIUS サーバの作成」

「RADIUS サーバの編集」

「RADIUS サーバの削除」

RADIUS サーバの作成

前提条件:

この項で作成した外部 RADIUS サーバは、それだけでは使用できません。RADIUS サーバ順序を作成して、この項で作成した RADIUS サーバを使用するように設定する必要があります。これにより、RADIUS サーバ順序を認証ポリシーで使用できるようになります。

RADIUS サーバ順序を作成する方法については、「RADIUS サーバ順序の定義」を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

外部 RADIUS サーバを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] を選択します。

[RADIUS サーバ(RADIUS Servers)] ページが表示され、Cisco ISE で定義された外部 RADIUS サーバのリストが示されます。

ステップ 2 外部 RADIUS サーバを追加するには、[追加(Add)] をクリックします。

ステップ 3 次の説明に従って値を入力します。

[名前(Name)]:(必須)外部 RADIUS サーバの名前を入力します。

[説明(Description)]:外部 RADIUS サーバの説明を入力します。

[ホストの IP(Host IP)]:(必須)外部 RADIUS サーバの IP アドレスを入力します。

[共有秘密キー(Shared Secret)]:(必須)外部 RADIUS サーバの認証に使用される、Cisco ISE と外部 RADIUS サーバ間の共有秘密情報を入力します。共有秘密情報は、予期されるテキスト文字列です。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証されるようにこれらの情報を提示する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。共有秘密情報の長さは、最大 128 文字です。

[KeyWrap を有効にする(Enable KeyWrap)]:このオプションをオンにすると、AES KeyWrap アルゴリズムにより RADIUS プロトコルのセキュリティが強化され、Cisco ISE で FIPS 140-2 準拠が可能になります。

[キー暗号キー(Key Encryption Key)]:このキーはセッションの暗号化(秘密)に使用します。

[メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)]:このキーは、RADIUS メッセージに対するキー付き HMAC の計算に使用されます。

[キー入力形式(Key Input Format)]:Cisco ISE FIPS 暗号キーの入力に使用する形式を指定します。これは、WLAN コントローラ上の設定と一致する必要があります。(指定する値の長さは、次に定義されているキーの最大長と正確に一致している必要があります。これより短い値は許可されません)。

[ASCII]:[キー暗号キー(Key Encryption Key)] の長さは 16 文字(バイト)で、[メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)] の長さは 20 文字(バイト)である必要があります。

[16 進(Hexadecimal)]:[キー暗号キー(Key Encryption Key)] の長さは 32 バイトで、[メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)] の長さは 40 バイトである必要があります。

[認証ポート(Authentication Port)]:(必須)RADIUS 認証ポート番号を入力します。有効値の範囲は 1 ~ 65535 です。デフォルトは 1812 です。

[アカウンティング ポート(Accounting Port)]:(必須)RADIUS アカウンティング ポート番号を入力します。有効値の範囲は 1 ~ 65535 です。デフォルトは 1813 です。

[サーバ タイムアウト(Server Timeout)]:(必須)Cisco ISE が外部 RADIUS サーバからの応答を待機する秒数を入力します。デフォルトは 5 秒です。有効な値は 5 ~ 120 です。

[接続試行回数(Connection Attempts)]:(必須)Cisco ISE が外部 RADIUS サーバへの接続を試行する回数を入力します。デフォルトは 3 回に設定されています。有効な値は 1 ~ 9 です。

 

ステップ 4 [送信(Submit)] をクリックして、外部 RADIUS サーバの設定を保存します。


 

関連項目

「外部 RADIUS サーバの定義」

「RADIUS サーバの編集」

「RADIUS サーバの削除」

RADIUS サーバの編集

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

外部 RADIUS サーバを編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] を選択します。

[RADIUS サーバ(RADIUS Servers)] ページが表示され、外部 RADIUS サーバのリストが示されます。

ステップ 2 編集する RADIUS サーバの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

ステップ 3 RADIUS サーバの作成 ステップ 3 の説明を参照して値を変更します。

ステップ 4 [送信(Submit)] をクリックして、変更を保存します。


 

関連項目

「外部 RADIUS サーバの定義」

「RADIUS サーバの作成」

「RADIUS サーバの削除」

RADIUS サーバの削除

前提条件:

RADIUS サーバは、それ自体を使用することはできません。 RADIUS サーバ順序を作成して、RADIUS サーバを使用するように設定する必要があります。外部 RADIUS サーバを削除する前に、削除対象の RADIUS サーバを使用している RADIUS サーバ順序が存在しないことを確認してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

外部 RADIUS サーバを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [外部 RADIUS サーバ(External RADIUS Servers)] を選択します。

[RADIUS サーバ(RADIUS Servers)] ページが表示され、外部 RADIUS サーバのリストが示されます。

ステップ 2 削除する RADIUS サーバの隣にあるチェックボックスをオンにし、[削除(Delete)] をクリックします。

ダイアログボックスに次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 3 [OK] をクリックして、RADIUS サーバを削除します。


 

RADIUS サーバ順序の定義

Cisco ISE の RADIUS サーバ順序を使用すると、NAD からの要求を外部 RADIUS サーバにプロキシできます。外部 RADIUS サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。次に示すページでは、Cisco ISE で定義されているすべての RADIUS サーバ順序が表示されます。このページを使用して、RADIUS サーバの作成、編集、または複製が可能です。詳細については、「RADIUS サーバ順序の作成、編集および複製」を参照してください。

関連項目

「プロキシ サービス」

「外部 RADIUS サーバの定義」

RADIUS サーバ順序の作成、編集および複製

前提条件:

この手順を開始する前に、 プロキシ サービス の基本を理解している必要があり、また 外部 RADIUS サーバの定義を完了している必要があります。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

RADIUS サーバ順序の作成、編集、または複製を行うには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [RADIUS サーバ順序(RADIUS Server Sequences)] を選択します。

[RADIUS サーバ順序(RADIUS Server Sequences)] ページが表示されます。

ステップ 2 [追加(Add)] をクリックして RADIUS サーバ順序を追加するか、既存の RADIUS サーバ順序を選択して [編集(Edit)] または [複製(Duplicate)] をクリックし、既存の順序を編集または複製します。

ステップ 3 RADIUS サーバ順序の名前を入力します。

ステップ 4 任意で説明を入力します。

ステップ 5 [ユーザが選択したサービス タイプ(User Selected Service Type)] 領域の [使用可能(Available)] リスト ボックスで、ポリシー サーバとして使用する外部 RADIUS サーバを選択し、選択した外部 RADIUS サーバを [選択済み(Selected)] リスト ボックスに移動します。

ステップ 6 リモート ポリシー サーバでアカウンティングを有効にするには、[リモート アカウンティング(Remote Accounting)] チェックボックスをオンにします。

ステップ 7 Cisco ISE でのアカウンティングを有効にするには、[ローカル アカウンティング(Local Accounting)] チェックボックスをオンにします。

ステップ 8 [高度な属性設定(Advanced Attributes Settings)] タブをクリックして、[高度な設定(Advanced Settings)] 領域に次の情報を入力します。

a. [最初の区切り文字が出現するまでサブジェクト名の先頭部分を除去する(Strip Start of Subject Name up to the First Occurrence of the Separator)]:プレフィックスを除去してユーザ名を抽出する場合は、このチェックボックスをオンにします。たとえば、サブジェクト名が acme\userA、区切り文字が \ の場合、ユーザ名は userA になります。

b. [最後に出現する区切り文字から末尾までサブジェクト名を削除する(Strip End of Subject Name from the Last Occurrence of the Separator)]:サフィックスを除去してユーザ名を抽出する場合は、このチェックボックスをオンにします。たとえば、サブジェクト名が userA@abc.com、区切り文字が @ の場合、ユーザ名は userA になります。


) • NetBIOS または User Principle Name(UPN)フォーマットのユーザ名(user@domain.com または /domain/user)からユーザ名を抽出するには、これらのストリップ オプションを有効にする必要があります。RADIUS サーバでユーザを認証するために、ユーザ名だけが RADIUS サーバに渡されるためです。

\ および @ の 両方 のストリップ機能をアクティブ化し、Cisco AnyConnect を使用している場合、Cisco ISE は最初に出現する \ を文字列から正確に取り除くことができません。ただし、各ストリップ機能は、Cisco AnyConnect を考慮して設計されているため、個別に使用する場合は動作します。


 

c. [外部 RADIUS サーバへの要求に含まれる属性を変更する(Modify Attributes in the Request to the External RADIUS Server)]:認証済みの RADIUS サーバとの間で送受信する属性の操作を Cisco ISE に許可する場合は、このチェックボックスをオンにします。

次の属性操作が可能です。

[追加(Add)]:RADIUS 要求/応答全体に属性を追加します。

[更新(Update)]:属性値(固定または静的)を変更します。または属性を別の属性値(動的)で置き換えます。

[削除(Remove)]:属性または属性と値のペアを削除します。

[すべて削除(Remove All)]:存在するすべての属性を削除します。

次のディクショナリを選択できます。

Airespace

Cisco

Cisco-BBSM

Cisco VPN 3000

Microsoft

Radius

d. [認証ポリシーに進む(Continue to Authorization Policy)]:ID ストア グループおよび属性の取得に基づいて、プロキシ フローを認証ポリシーの実行に誘導して、より詳細な意思決定を行うには、このチェックボックスをオンにします。このオプションを有効にすると、外部 RADIUS サーバからの応答に含まれる属性が、認証ポリシーの選択に使用されます。このコンテキストの既存の属性は、AAA サーバの受け入れ応答属性の適切な値で更新されます。

e. [Access-Accept の送信前に属性を変更する(Modify Attributes before send an Access-Accept)]:応答をデバイスに返送する直前に属性を変更するには、このチェックボックスをオンにします。

 

ステップ 9 [送信(Submit)] をクリックして、ポリシーに使用する RADIUS サーバ順序を保存します。


 

次の手順:

1. 作成した RADIUS サーバ順序を使用した単純な認証ポリシーの設定方法については、「RADIUS サーバ順序を使用した単純なポリシーの設定」を参照してください。

2. 作成した RADIUS サーバ順序を使用したルールベースの認証ポリシーの設定方法については、「ルールベースの認証ポリシーの設定」を参照してください。

単純な認証ポリシーの設定

単純な認証ポリシーの設定手順には、許可されるプロトコル サービスの定義および単純な認証ポリシーの設定が含まれます。許可されるプロトコル サービスの作成方法については、「許可されるプロトコルの定義」を参照してください。


) • RADIUS サーバ順序を使用する場合は、このアクセス サービスを定義してからポリシーを定義する必要があります。詳細については、「プロキシ サービス」を参照してください。

ユーザが外部 ID ソースで定義されている場合、ポリシーを定義する前に、Cisco ISE でこれらの ID ソースが設定されていることを確認してください。外部 ID ソースの設定方法については、「外部 ID ソースの管理」を参照してください。

ID ソース順序を使用してユーザを認証する場合、ポリシーを定義する前に、ID ソース順序が作成済みであることを確認してください。詳細については、「ID ソース順序の作成」を参照してください。

単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから単純な認証ポリシーに移動すると、ルールベースの認証ポリシーは失われます。


 

前提条件:

この手順を始める前に、 許可されるプロトコルの定義の作業を正常に完了している必要があります。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

単純な認証ポリシーを定義するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [認証(Authentication)] を選択します。

ステップ 2 [単純(Simple)] オプション ボタンをクリックします。

次のメッセージが表示されます。

シングルからルールベースの結果選択に切り替わりました。(You switched from single to rule-based result selection.) シングル モードで保存された設定は、送信すると失われます。(Any settings saved in the single mode will be lost when you submit.) [OK] をクリックして続行します。(Click OK to continue.)

ステップ 3 [OK] をクリックして続行します。(Click OK to continue.)

ステップ 4 [ネットワーク アクセス サービス(Network Access Service)] ドロップダウン リストで、作成済みの許可されるプロトコルを選択します。

許可されるプロトコル サービスを選択するには、 図 16-4 に示すように、 アイコンをクリックして、[許可されるプロトコル(Allowed Protocols)] リストを展開します。

図 16-4 ネットワーク アクセス サービスの選択

 

 

ステップ 5 [ID ソース(Identity Source)] ドロップダウン リストで、認証に使用する使用する ID ソースを選択します。


) ID ソース順序が設定済みである場合、これを選択することも可能です。ID ソース順序の設定方法については、「ID ソース順序の作成」を参照してください。


ステップ 6 [オプション(Options)] 領域で、認証に失敗した場合、ユーザが見つからない場合、または処理に問題が発生した場合のアクションのコースを詳細に指定できます。次のいずれかのオプションを選択できます。

[拒否(Reject)]:拒否応答が送信されます。

[ドロップ(Drop)]:応答は送信されません。

[続行(Continue)]:Cisco ISE は認証ポリシーの処理を続行します。

ステップ 7 [保存(Save)] をクリックして、設定した単純な認証ポリシーを保存します。


 

関連項目

「認証ポリシーについて」

「プロキシ サービス」

「RADIUS サーバ順序を使用した単純なポリシーの設定」

RADIUS サーバ順序を使用した単純なポリシーの設定

前提条件:

RADIUS サーバ順序を使用した単純な認証ポリシーを設定するには、 プロキシ サービス の基礎を理解しておく必要があります。また、 RADIUS サーバ順序の定義を正常に完了している必要があります。

さまざまなデータベースでサポートされている認証タイプおよびプロトコルについては、 認証ポリシーについて(注)を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

RADIUS サーバ順序を使用した単純な認証ポリシーを設定するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [認証(Authentication)] を選択します。

[認証ポリシー(Authentication Policy)] ページが表示されます。

ステップ 2 [認証方式(Authentication Method)] で、[単純(Simple)] オプション ボタンをクリックします。

ステップ 3 [ネットワーク アクセス サービス(Network Access Service)] ドロップダウン リストで、使用するプロキシ サービスを選択します。

ステップ 4 [ID ソース(Identity Source)] ドロップダウン リストで、Cisco ISE が認証に使用する ID データベースまたは ID ソース順序を選択します。

ステップ 5 [オプション(Options)] 領域で、認証に失敗した場合、ユーザが見つからない場合、または処理に問題が発生した場合に Cisco ISE が実行するアクションのコースを詳細に指定できます。次のいずれかのオプションを選択できます。

[拒否(Reject)]:拒否応答が送信されます。

[ドロップ(Drop)]:応答は送信されません。

[続行(Continue)]:Cisco ISE は、認証ポリシーの評価を続行します。

ステップ 6 [保存(Save)] をクリックして、単純な認証ポリシーを保存します。


 

結果:

RADIUS サーバ順序を使用した、単純な認証ポリシーが設定されます。

ルールベースの認証ポリシーの設定

この項では、次のトピックを扱います。

「認証ポリシーのユーザ インターフェイス要素について」

「ルールベースの認証ポリシーの作成」

認証ポリシーのユーザ インターフェイス要素について

ルールベースの認証ポリシーのユーザ インターフェイスを表示するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [認証(Authentication)] を選択します。

[認証ポリシー(Authentication Policy)] ページが表示されます。

ステップ 2 [認証方式(Authentication Method)] で、[ルールベース(Rule-Based)] オプション ボタンをクリックします。


 

図 16-5 に、ルールベースの認証ポリシーのページを示し、 表 16-5 でこのページの各行について説明します。

図 16-5 ルールベースの認証ポリシーのユーザ インターフェイス要素

 

 

 

表 16-5 ルールベースの認証ポリシーのユーザ インターフェイス要素

引き出し線番号
説明

1

この要素は、最初のルールベースのポリシーです。外側の行には、許可されるプロトコルを決定する条件が含まれています。複数の外側の行を作成することができます。それぞれの行に、許可されるプロトコルおよび ID ソースを選択する条件が含まれます。外側の各行は、1 つ以上の内側の行を持つ必要があります。

2

この要素は内側の行です。ここでは、ID ソース選択の条件を指定します。この行は、単純条件または複合条件を含めることができます。必要に応じて内側の行を複数作成できます。各行は、ID ソースを選択するための条件に基づく必要があります。

3

この要素は、デフォルトの ID ソースです。許可されるプロトコルが要求と一致するものの、ID ソースを選択する条件に一致しない場合、このポリシーで使用されます。この行には条件がありません。この行には、許可されるプロトコルの条件が一致するものの、ID ソースの選択条件に一致しない場合に Cisco ISE が使用するデフォルトの ID ソースのみが含まれます。

4

この要素は、要求に一致するポリシーが存在しない場合に使用される、デフォルトの許可されるプロトコルと ID ソースです。この行には条件がありません。この行には、Cisco ISE が使用するデフォルトの許可されるプロトコルと ID ソースのみが含まれます。

このページには、次のフィールドがあります。

[ステータス(Status)]:ステータスは、次のいずれかになります。

[有効(Enabled)]:このポリシー条件はアクティブです。

[無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

[モニタのみ(Monitor Only)]:このポリシー条件は評価されますが、結果は実施されません。このオプションは、テスト用に使用できます。このポリシー条件の結果は、Monitoring and Report Viewer で表示できます。たとえば、新しいポリシー条件を追加する必要があるが、その条件で正しい結果が得られるかどうかわからないとします。この場合、モニタ モードでポリシー条件を作成して、結果を確認できます。結果に問題がない場合はそのポリシー条件を有効化できます。

[名前(Name)]:条件の名前です。

[条件(Conditions)]:このフィールドには、条件名または「 属性 オペランド 値 」という形式の式が含まれます。この行の最後で AND または OR 演算子を使用して、複合条件を作成できます。[ポリシー要素(Policy Elements)] タブで単純条件および複合条件を作成して、これらの条件をポリシーで参照することができます。


) クライアント証明書が基礎となる TLS ネゴシエーションの途中に送信される場合、認証ポリシーの設定時に「Network Access:UserName」属性を指定できません。たとえば、「一般名(Common Name)」や「サブジェクト代替名(Subject Alternative Name)」などの証明書フィールドの使用を推奨します。


詳細情報:

詳細については、 認証ポリシーについて ルールベースの認証ポリシーの設定を参照してください。

単純条件(Simple Conditions)

単純条件は、1 つの属性、1 つの演算子、および 1 つの値で構成されます。単純条件はポリシーのページから作成できます。他のポリシーで再利用できる、独立したポリシー要素として作成することもできます。Cisco ISE では、単純な認証条件の作成、編集、および削除が可能です。次に示すページでは、Cisco ISE で作成済みの単純な認証ポリシー条件がすべて表示されます。単純条件の定義方法と削除方法については、それぞれ「単純条件の作成」および「単純条件の削除」を参照してください。

関連項目

ルールベースの認証ポリシー

認証ポリシーのユーザ インターフェイス要素について

単純条件の作成

前提条件:

この手順を始める前に、 ルールベースの認証ポリシー、条件や結果などの基本的な構築ブロック、および GUI でのその表現方法に関する基礎を理解しておく必要があります。詳細については、「認証ポリシーのユーザ インターフェイス要素について」を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

単純条件を独立したポリシー要素として作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。

ステップ 2 左側のナビゲーション ペインで、[認証(Authentication)] の隣にある矢印をクリックします。

ステップ 3 左側のナビゲーション ペインで、[単純条件(Simple Conditions)] をクリックします。

[条件(Conditions)] ページが表示されます。

ステップ 4 [追加(Add)] をクリックして、新しい条件を追加します。

ステップ 5 次の情報を入力します。

[名前(Name)]:再利用可能な条件の名前を入力します。

[説明(Description)]:条件の説明を入力します(任意)。

[属性(Attribute)]:どの属性に対して条件を作成するかを選択します。ドロップダウン矢印をクリックして、ディクショナリから属性を選択します。

[演算子(Operator)]:ドロップダウン リストから演算子を選択します。このリストにデータが読み込まれるのは、属性を選択した後だけです。

[値(Value)]:ドロップダウン リストから値を選択します。このリストにデータが読み込まれるのは、属性を選択した後だけです。


) 属性の中には、値を入力できるものがあります。



) 単純条件で ID グループを指定した場合、これらを次のように FQDN 形式で表記していることを確認してください。

(InternalUser:IdentityGroup) : Equal : (UserIdentityGroups: Identity Group Name)
 

Cisco ISE では、 (InternalUser:IdentityGroup) : Equal : (Identity Group Name) 形式の ID グループ エントリを正確に解決できません。


 

ステップ 6 [送信(Submit)] をクリックして、条件を保存します。

この条件は、ルールベースのポリシーで使用できます。


 

次の手順:

作成した単純条件を使用したルールベースの認証ポリシーの定義方法については、「ルールベースの認証ポリシーの作成」を参照してください。

単純条件の削除

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

削除する単純条件(複数可)を参照している認証ポリシーが存在しないことを確認します。

単純な認証条件を削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。

ステップ 2 左側のナビゲーション ペインで、[認証(Authentication)] の隣にある矢印をクリックします。

ステップ 3 左側のナビゲーション ペインで、[単純条件(Simple Conditions)] をクリックします。

[条件(Conditions)] ページが表示され、定義されている単純条件のリストが示されます。

ステップ 4 削除する単純条件(複数可)の隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。または、左側のナビゲーション ペインで削除する単純条件を選択してアクション アイコンをクリックし、[単純条件の削除(Delete Simple Condition)] をクリックしても、単純条件を削除できます。


) 複数の単純条件を同時に削除する場合、そのいずれかが認証ポリシーで使用されていると、全体の削除操作が失敗します。


Cisco ISE によって次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 5 [OK] をクリックして、単純条件(複数可)を削除します。


 

複合条件

複合条件は、2 つ以上の単純条件で構成されます。複合条件は、再利用可能なオブジェクトとしてポリシー作成ページから、または [条件(Conditions)] ページから作成できます。次に示すページでは、Cisco ISE で作成済みの複合条件がすべて表示されます。複合条件の作成方法と削除方法については、それぞれ「複合条件の作成」および「複合条件の削除」を参照してください。

関連項目

「ルールベースの認証ポリシー」

「認証ポリシーのユーザ インターフェイス要素について」

複合条件の作成

前提条件:

この手順を始める前に、 ルールベースの認証ポリシー、条件や結果などの基本的な構築ブロック、および GUI でのその表現方法に関する基礎を理解しておく必要があります。詳細については、「認証ポリシーのユーザ インターフェイス要素について」を参照してください。複合条件で使用可能な 単純条件を作成 することができます。

Cisco ISE には、最も一般的な用途のために事前定義された複合条件が用意されています。これらの事前定義された条件の詳細については、「認証ポリシーの組み込み設定」を参照してください。これらの事前定義された条件を要件に合わせて編集できます。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

複合条件を [条件(Conditions)] ページから作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。

ステップ 2 左側の [認証(Authentication)] ナビゲーション ペインで、[複合条件(Compound Conditions)] をクリックします。

[条件(Conditions)] ページが表示されます。このページには、定義済みの複合条件が一覧表示されます。

ステップ 3 [追加(Add)] をクリックして、新しい複合条件を追加します。

ステップ 4 複合条件の名前を入力します。任意で説明を入力できます。

ステップ 5 [既存の条件をライブラリから選択(Select Existing Condition from Library)] をクリックして既存の単純条件を選択するか、[新しい条件の作成(Create New Condition)] をクリックして、式ビルダーから属性、演算子、および値を選択します。

a. [属性の選択(Select Attribute)] ドロップダウン リストから新しい条件を作成する場合、作成する条件に応じてディクショナリから属性を選択します。

b. 属性を選択したら、次のいずれかの操作を行います。

ドロップダウン ボックスから演算子(Equals、Not Equals、Matches など)を選択します。

ドロップダウン リストから値を選択できる場合は選択します。それ以外の場合はテキスト ボックスに値を入力します。

この条件を保存して別のポリシーで再利用するには、アクション アイコンをクリックして [条件をライブラリに追加(Add Condition to Library)] をクリックします。

[条件名(Condition Name)] テキスト ボックスにこの条件の名前を入力し、( )アイコンをクリックします。

条件が単純条件として保存され、他のポリシーで使用できるようになります。

ステップ 6 さらに条件を追加するには、この行の終わりでアクション アイコンをクリックします。

ステップ 7 新しい条件を作成するには [属性/値の追加(Add Attribute/Value)] をクリックし、既存の単純条件を追加するには [条件をライブラリから追加(Add Condition from Library)] をクリックします。

ステップ 8 ドロップダウン リストから、オペランドを選択します。[AND] または [OR] を選択できます。この複合条件のすべての条件間で同じオペランドが使用されます。

ステップ 9 条件をさらに追加するには、 ステップ 5 からのプロセスを繰り返します。

ステップ 10 すべての条件の追加が完了したら、[送信(Submit)] をクリックしてこの複合条件を作成します。


 

図 16-6 の複合条件のページを示します。図の下の表では、このページに表示されるユーザ インターフェイス要素について説明します。

図 16-6 [複合条件(Compound Conditions)] ページ

 

 

 

1

この要素は 2 つ以上の条件間で使用されるオペランドです。AND または OR のいずれかを指定できます。たとえば、複合条件は次のような形式となります。

条件 1 AND 条件 2 AND 条件 3 ...

または

条件 1 OR 条件 2 OR 条件 3 ...

2

アクション アイコンをクリックすると、次の操作を行うことができます。

ライブラリから新しい条件を追加する。追加する条件は、作成済みの条件です。

新しい属性または値を追加して条件を作成する。

既存の条件を複製する。

新しい条件をライブラリに追加する。

条件を削除する。このオプションは、アクション アイコンと同じ行にある条件を削除します。

3

新しい条件を作成している場合、ここに名前を入力して、この条件を別のポリシーで再利用できます。ここに名前を入力すると、このオブジェクトは独立した条件として作成されます。

4

新しい条件を作成する目的に応じて、属性を選択します。テキスト ボックスで、演算子と値を選択します。

次の手順:

作成した複合条件を使用したルールベースの認証ポリシーの定義方法については、「ルールベースの認証ポリシーの作成」を参照してください。

複合条件の削除

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

削除する複合条件(複数可)を参照している認証ポリシーが存在しないことを確認します。

複合認証条件を削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。

ステップ 2 左側のナビゲーション ペインで、[認証(Authentication)] の隣にある矢印をクリックします。

ステップ 3 左側のナビゲーション ペインで、[複合条件(Compound Conditions)] をクリックします。

[条件(Conditions)] ページが表示され、定義されている単純条件のリストが示されます。

ステップ 4 削除する複合条件(複数可)の隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。または、左側のナビゲーション ペインで削除する複合条件を選択してアクション アイコンをクリックし、[複合条件の削除(Delete Compound Condition)] をクリックしても、複合条件を削除できます。


) 複数の複合条件を同時に削除する場合、そのいずれかが認証ポリシーで使用されていると、全体の削除操作が失敗します。


Cisco ISE によって次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 5 [OK] をクリックして、複合条件(複数可)を削除します。


 

ルールベースの認証ポリシーの作成


ワンポイント アドバイス ルールベースの認証ポリシーを作成する前に、許可されるプロトコル アクセス サービス、条件、および ID ソース順序を作成することを推奨します。RADIUS サーバ順序を使用する場合、ポリシーを作成する前に RADIUS サーバ順序を定義できます。詳細については、「プロキシ サービス」を参照してください。


前提条件:

作業を開始する前に、「ルールベースの認証ポリシー」の基本的な内容を理解しておく必要があり、また「認証ポリシーのユーザ インターフェイス要素について」を読んでおく必要があり、さらに次の作業を正常に完了している必要があります。

許可されるプロトコルの定義

ID ソース順序の作成(ID ソース順序を使用する場合)

RADIUS サーバ順序の定義(許可されるプロトコル アクセス サービスの代わりに RADIUS サーバ順序を使用する場合)

Cisco ISE では、有線 802.1X、無線 802.1X、および有線 MAB を使用する場合の標準的なルールベースの認証ポリシーが事前に用意されています。これらの事前定義されたポリシーの詳細については、「認証ポリシーの組み込み設定」を参照してください。これらの事前定義されたポリシーを要件に合わせて編集できます。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。


) 単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから単純な認証ポリシーに移動すると、ルールベースの認証ポリシーは失われます。


ルールベースの認証ポリシーを作成するには、次の手順を実行します。


) ユーザが外部の ID ソースで定義されている場合、Cisco ISE でこれらの ID ソースが設定されていることを確認してください。外部 ID ソースの設定方法については、「外部 ID ソースの管理」を参照してください。



ステップ 1 [ポリシー(Policy)] > [認証(Authentication)] を選択します。

[認証ポリシー(Authentication Policy)] ページが表示されます。

ステップ 2 [ルールベース(Rule-Based)] オプション ボタンをクリックします。

次のメッセージが表示されます。

シングルからルールベースの結果選択に切り替わりました。(You switched from single to rule-based result selection.) シングル モードで保存された設定は、送信すると失われます。(Any settings saved in the single mode will be lost when you submit.) [OK] をクリックして続行します。(Click OK to continue.)

ステップ 3 [OK] をクリックして続行します。(Click OK to continue.)

このページには、デフォルトのルールベースのポリシーが含まれています。

ステップ 4 新しいルールベースのポリシーを作成するには、アクション アイコン( )をクリックして、このリスト内で新しいポリシーを表示する場所に応じて、[新規行を上に挿入(Insert new row above)] または [新規行を下に挿入(Insert new row below)] をクリックします。ポリシーは、順序に従って評価されます。

このルールベースのポリシーのページ内の各行は、単純な認証ポリシーと同等です。各行には、許可されるプロトコルおよび ID ソースを決定する一連の条件が含まれています。

ステップ 5 [ステータス(Status)] ドロップダウン リストで、このポリシーのステータスを選択します。ステータスは、次のいずれかになります。

有効(Enabled)

無効(Disabled)

モニタのみ(Monitor Only)

ステップ 6 このポリシーの名前を入力します。デフォルトでは、この名前は標準ポリシー 1、標準ポリシー 2 などとなります。

ステップ 7 [条件(Condition(s))] 領域で、[展開(Expand)]( )ボタンをクリックします。

ステップ 8 複合条件の作成の説明に従って、[ライブラリから既存の条件を選択(Select Existing Condition from Library)] または [新しい条件の作成(Create New Condition)] をクリックします。

ステップ 9 [許可されるプロトコル(Allowed Protocols)] ドロップダウン リストで、許可されるプロトコル サービスまたはプロキシ サービスを選択します。

プロキシ サービスを選択した場合、Cisco ISE はプロキシ サービスで定義されている外部ポリシー サーバに要求を転送します。外部プロキシ サーバは要求を処理し、結果を Cisco ISE に返します。RADIUS サーバ順序を作成方法の詳細については、「RADIUS サーバ順序の定義」を参照してください。

これで、許可されるプロトコルを選択するための条件が作成されます。次に、ID ソースを選択するための条件を作成する必要があります。

ステップ 10 [and] の横の をクリックして、ID ソース選択条件を定義します。

現在の行の次の行に、デフォルトの ID ソース ルールがインデント表示されます。

ステップ 11 インデントされているデフォルトの ID ソースの行のアクション アイコンをクリックして、[新規行を上に挿入(Insert new row above)] をクリックします。

ステップ 12 作成した ID ソース ルールの名前を入力します。

ステップ 13 ボタンをクリックして、選択する ID ソースに応じて条件を定義します。

ステップ 14 複合条件の作成の説明に従って、[ライブラリから既存の条件を選択(Select Existing Condition from Library)] または [新しい条件の作成(Create New Condition)] をクリックします。

ステップ 15 [展開(Expand)] ボタンをクリックして、ID ソース順序または ID ソースを選択します。

a. [ID ソース(Identity Source)] リスト ボックスから ID ソースを選択します。

b. 認証に失敗した場合、ユーザが見つからない場合、または処理に失敗した場合の Cisco ISEのアクションを選択します。

c. [折りたたみ(Collapse)] をクリックして、選択を完了します。

ステップ 16 この内側の行のアクション アイコンをクリックして、ID ソース選択条件を追加します。

ステップ 17 デフォルトの ID ソースを編集して、このルールで定義されたいずれの ID ソースにも一致しない場合に Cisco ISE が使用する ID ソースを指定できます。

ステップ 18 外側の行のアクション アイコンをクリックして、ルールベースのポリシーを追加します。 ステップ 5 以降の手順を繰り返します。

ステップ 19 このポリシー ページの最後の行は、いずれのルールにも要求が一致しない場合に適用されるデフォルトのポリシーです。このデフォルトのポリシーの許可されるプロトコルおよび ID ソースを編集できます。


) 他のいかなる作成済みポリシーにも要求が一致しない場合のデフォルトのポリシーで、ID ソースとして [アクセスを拒否(Deny Access)] を選択することを推奨します。


ステップ 20 [保存(Save)] をクリックして、作成したルールベースの認証ポリシーを保存します。


 

詳細情報:

「認証ポリシーについて」を参照してください。

認証ポリシーの組み込み設定

Cisco ISE ソフトウェアには、いくつかの組み込み設定が用意されおり、一部の一般的な用途に対応しています。これらの組み込み設定はデフォルトと呼ばれます。 表 16-6 では、認証ポリシーに関連するデフォルトについて説明します。

 

表 16-6 認証ポリシー設定のデフォルト

名前
UI のパス
説明
追加情報

ネットワーク アクセスのデフォルトの許可されるプロトコル アクセス サービス

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [設定(Configuration)] > [許可されるプロトコル(Allowed Protocols)]

このデフォルトは、認証ポリシーに使用されるネットワーク アクセスの組み込みの許可されるプロトコル サービスです。

このアクセス サービスは、有線および無線の 802.1X、および有線 MAB の認証ポリシーに使用できます。

有線 802.1X 複合条件(Wired 802.1X Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [認証(Authentication)] > [複合条件(Compound Conditions)]

この複合条件では、次の属性と値をチェックします。

RADIUS:Service-Type は Framed

RADIUS:NAS-Port-Type は Ethernet

この複合条件は、有線 802.1X 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、有線 802.1X 認証ポリシーに基づいて評価されます。

無線 802.1X 複合条件(Wireless 802.1X Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [認証(Authentication)] > [複合条件(Compound Conditions)]

この複合条件では、次の属性と値をチェックします。

RADIUS:Service-Type は Framed

RADIUS:NAS-Port-Type は Wireless-IEEE802.11

この複合条件は、無線 802.1X 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、無線 802.1X 認証ポリシーに基づいて評価されます。

有線 MAB 複合条件(Wired MAB Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [認証(Authentication)] > [複合条件(Compound Conditions)]

この複合条件では、次の属性と値をチェックします。

RADIUS:Service-Type は Call-Check

RADIUS:NAS-Port-Type は Ethernet

この複合条件は、有線 MAB 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、有線 MAB 認証ポリシーに基づいて評価されます。

Catalyst スイッチ ローカル Web 認証複合条件(Catalyst Switch Local Web Authentication Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [認証(Authentication)] > [複合条件(Compound Conditions)]

この複合条件では、次の属性と値をチェックします。

RADIUS:Service-Type は Outbound

RADIUS:NAS-Port-Type は Ethernet

この複合条件を使用するには、この条件をチェックする認証ポリシーを作成する必要があります。詳細については、 ルールベースの認証ポリシーの設定を参照してください。要件に基づいてアクセス サービスを定義したり、このポリシーにデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用することもできます。詳細については、 ネットワーク アクセス サービスを参照してください。

ワイヤレス LAN コントローラ(WLC)ローカル Web 認証複合条件(Wireless Lan Controller (WLC) Local Web Authentication Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [認証(Authentication)] > [複合条件(Compound Conditions)]

この複合条件では、次の属性と値をチェックします。

RADIUS:Service-Type は Outbound

RADIUS:NAS-Port-Type は Wireless-IEEE802.11

この複合条件を使用するには、この条件をチェックする認証ポリシーを作成する必要があります。詳細については、 ルールベースの認証ポリシーの設定を参照してください。要件に基づいてアクセス サービスを定義したり、このポリシーにデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用することもできます。詳細については、 ネットワーク アクセス サービスを参照してください。

有線 802.1X 認証ポリシー

[ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

このポリシーは、有線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、有線 802.1X 複合条件で指定された基準に一致する要求を評価します。

このデフォルト ポリシーでは、内部エンドポイント データベースを ID ソースとして使用しています。このポリシーを編集して、ID ソース順序または ID ソースをニーズに合わせて設定できます。

無線 802.1X 認証ポリシー

[ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

このポリシーは、無線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、無線 802.1X 複合条件で指定された基準に一致する要求を評価します。

このデフォルト ポリシーでは、内部エンドポイント データベースを ID ソースとして使用しています。このポリシーを編集して、ID ソース順序または ID ソースをニーズに合わせて設定できます。

有線 MAB 認証ポリシー

[ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

このポリシーは、有線 MAB 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、有線 MAB 複合条件で指定された基準に一致する要求を評価します。

このデフォルト ポリシーでは、内部エンドポイント データベースを ID ソースとして使用しています。

認証結果の表示

Cisco ISE のダッシュボードには、ネットワークで行われたすべての認証の概要が表示されます。リアルタイムの認証概要を表示するには、[操作(Operations)] > [認証(Authentications)] を選択します。図 16-7 に示すようなページが表示されます。


) すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。Cisco ISE でレポートを表示するには、スーパー管理者、ヘルプデスク管理者、またはモニタリング管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。


図 16-7 [認証(Authentications)] ページ

 

[ステータス(Status)] アイコンの上にマウス カーソルを移動すると、認証の結果と概要を表示できます。図 16-7 に示すようなポップアップが表示されます。

結果をフィルタリングするには、リストの最上部に表示される 1 つ以上の任意のテキスト ボックスに検索条件を入力して Enter を押します。[詳細(Details)] 列の虫眼鏡アイコンをクリックして、図 16-8 に示す詳細レポートを表示できます。

図 16-8 詳細な認証概要レポート

 

Cisco ISE では、認証および認証失敗に関する情報が Cisco ISE ダッシュボード上にダッシュレット形式で表示され、内容を瞬時に把握できます。

図 16-9 に、Cisco ISE ダッシュボードを示します。

図 16-9 Cisco ISE ダッシュボード

 

 

[認証(Authentications)] および [認証失敗(Authentication Failure)] ダッシュレットには、Cisco ISE が処理した RADIUS 認証に関する次の統計情報が表示されます。

[認証(Authentications)] ダッシュレットに表示される合計数は、Cisco ISE が処理した RADIUS 認証要求の合計数です。成功した認証、失敗した認証、および同一ユーザによる同時ログインが含まれています。

[認証失敗(Authentication Failure)] ダッシュレットに表示される合計数は、Cisco ISE が処理に失敗した RADIUS 認証要求の合計数です。

ダッシュボードとダッシュレット、およびドリルダウンによる詳細情報の表示方法については、「ダッシュボードの概要」および「Cisco ISE ダッシュボードのモニタリング」を参照してください。

認証の詳細の他に、Cisco ISE では、ネットワークの効率的な管理に使用できるさまざまなレポートおよびトラブルシューティング ツールが提供されます。

表 16-7 に、ネットワーク内の認証の傾向およびトラフィックを把握するために実行できるレポートのリストを示します。過去と現在のどちらのデータについてもレポートを生成できます。

 

表 16-7 レポートのリスト

レポート
AAA プロトコル レポート

AAA 診断(AAA Diagnostics)

認証トレンド(Authentication Trend)

RADIUS アカウンティング(RADIUS Accounting)

RADIUS 認証(RADIUS Authentication)

許可されるプロトコル レポート

許可されるプロトコル認証概要(Allowed Protocol Authentication Summary)

許可されるプロトコル別上位 N 個の認証(Top N Authentications By Allowed Protocol)

サーバ インスタンス レポート

サーバ認証概要(Server Authentication Summary)

サーバ別上位 N 個の認証(Top N Authentications By Server)

エンドポイント レポート

エンドポイント MAC 認証概要(Endpoint MAC Authentication Summary)

エンドポイント MAC アドレス別上位 N 個の認証(Authentications By Endpoint MAC Address)

マシン別上位 N 個の認証(Top N Authentications By Machine)

障害理由レポート

認証失敗コード一覧(Authentication Failure Code Lookup)

障害理由認証概要(Failure Reason Authentication Summary)

障害理由別上位 N 個の認証(Top N Authentications By Failure Reason)

ネットワーク デバイス レポート

ネットワーク デバイス認証概要(Network Device Authentication Summary)

ネットワーク デバイス別上位 N 個の認証(Top N Authentications By Network Device)

ユーザ レポート

ユーザ別上位 N 個の認証(Top N Authentications By User)

ユーザ認証概要(User Authentication Summary)

セッション ディレクトリ レポート

RADIUS アクティブ セッション(RADIUS Active Sessions)

RADIUS セッション履歴(RADIUS Session History)

RADIUS 中断セッション(RADIUS Terminated Sessions)

レポートの生成と Interactive Viewer の操作方法の詳細については、「レポート」を参照してください。