Identity-Based Networking Services コンフィギュレーション ガイド Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
アイデンティティ制御ポリシーの設定
アイデンティティ制御ポリシーの設定

目次

アイデンティティ制御ポリシーの設定

アイデンティティ制御ポリシーは、Identity-Based Networking Services が、特定の条件およびサブスクライバのイベントに対応して実行するアクションを定義します。 一貫したポリシー言語を使用して、各種のシステム アクション、条件、およびイベントを組み合わせることができます。 このモジュールでは、Identity-Based Networking Services のアイデンティティ制御ポリシーの設定方法に関する情報を提供します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

アイデンティティ制御ポリシーに関する情報

並列認証方式

Identity-Based Networking Services では、IEEE 802.1x(dot1x)、MAC 認証バイパス(MAB)、および Web 認証方式を同時に実行することができます。これにより、1 つの加入者セッションに対して複数の認証方式を同時に呼び出すことができるようになります。 これにより、クライアントでサポートされている方式を、シリアル化に伴う遅延なしに極力早く完了できます。

通常、ホストの承認に使用されるアクセス制御方法は、エンドポイントまで残されます。 たとえば、802.1x サプリカントのないネットワーク プリンタは MAB のみで承認され、従業員のデスクトップは 802.1x のみで、そしてゲストは Web 認証のみで承認されます。 デフォルトの優先順序は 802.1x の次に MAB、そして Web 認証です。 複数の方式の優先度が同じ場合は、最初にセッションを正常に認証した方式が優先されます。

セッションのライフタイム中に複数の方式が成功する可能性がある例として、802.1x の成功の保留中に、MAB が暫定アクセスの提供に使用される場合があります。 ホストも、クレデンシャルを更新できるように Web サーバへの暫定アクセスを許可されている場合があります。そのため、認証が失敗した後に 802.1x が成功する場合があります。

表示モードの設定

Identity-Based Networking Services により、以前サポートされていた認証コマンドおよびポリシー コマンドの多くに代わる新しい Cisco IOS コマンドが導入されています。 これらのコマンドは、Identity-Based Networking Services をサポートする Cisco Common Classification Policy Language (C3PL)表示モードをイネーブルにした後でのみ使用できます。 並列認証および IPv6 を使用した Web 認証などの Identity-Based Networking Services 機能は、レガシー モードではサポートされません。

次のいずれかを行わないかぎり、デバイスはデフォルトでレガシー設定モードを使用します。

  • authentication display new-style コマンドを入力する。このコマンドは C3PL 表示モードへと切り替えを行い、レガシー設定を一時的に Identity-Based Networking Services の設定へと変換して、永続的な変換を行う前にこの設定を確認できるようにします。 authentication display legacy コマンドを使用して、レガシー モードに切り替えることができます。 「Identity-Based Networking Services の表示モードのイネーブル化」のセクションを参照してください。

  • Identity-Based Networking Services 設定コマンドを入力する。最初に明示的な Identity-Based Networking Services コマンドが入力されると、設定は C3PL 表示モードへと永続的に変更され、レガシー コマンドが抑制されます。 authentication display コマンドはディセーブルになり、レガシーの設定モードに戻すことはできません。

Identity-Based Networking Services の制御ポリシー

制御ポリシーは、各種の加入者ライフサイクル イベントの処理を定義します。 セッションの開始やセッション障害などの各種イベントに対して、制御ポリシーでアクションを指定できます。 これらのアクションは、さまざまな一致基準に基づき、異なる加入者に対して条件付きで実行できます。 制御ポリシーは、インターフェイス上でアクティブ化され、一般に、加入者 ID の認証、およびセッションにおけるサービスのアクティベーションを制御します。 たとえば、特定の加入者を認証し、それらの加入者に特定のサービスへのアクセス権を付与するように制御ポリシーを設定できます。

制御ポリシーは、1 つ以上の制御ポリシー ルールと、そのポリシー ルールの評価方法を制御する決定戦略から構成されます。 制御ポリシー ルールは、制御クラス(柔軟な条件句)、条件が評価されるイベント、および、1 つ以上のアクションで構成されます。 アクションとは「認証」や「アクティブ化」などの一般的なシステム機能です。イベントがトリガーする特定のアクションを定義します。また、一部のイベントにはデフォルトのアクションがあります。

次の図は、各制御ポリシーに、加入者のライフ サイクルに適用可能と見なされるイベントのリストがどのように含まれているのかを説明しています。 各イベント タイプ内には、加入者 ID に対する各種の一致基準が設定された制御クラスがあり、各クラスには、実行されるアクションのリストがあります。

図 1. 制御ポリシーの構造

制御ポリシーの設定の概要

制御ポリシーは、イベント、条件、およびアクションに関するシステム機能を表します。 制御ポリシーの定義には次の 3 つの手順があります。

  1. 1 つ以上の制御クラスを作成する。制御クラスは、制御ポリシーがアクティブ化されるために満たす必要のある基準を指定します。 制御クラスには複数の条件を含めることができ、各条件は true または false の評価を行います。 Match ディレクティブは、クラスが true と評価されるためには、各条件のすべてが true と評価されるか、いずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを指定します。 または、いずれの条件も含まず、常に true と評価するデフォルトの制御クラスを指定することもできます。

  2. 制御ポリシーを作成する。制御ポリシーには 1 つ以上の制御ポリシー ルールが含まれます。 制御ポリシー ルールは制御クラス、クラスが評価される原因となる 1 つのイベント、および 1 つ以上のアクションから構成されます。 アクションに番号が付けられ、順に実行されます。

  3. 制御ポリシーを適用する。制御ポリシーは、インターフェイスに適用することによってアクティブ化されます。

Identity-Based Networking Services 用のパラメータ マップ

パラメータ マップを使用して、制御ポリシーで指定されたアクションの動作を制御するパラメータを指定することができます。 Identity-Based Networking Services の場合、認証パラメータ マップは、authenticate using webauth コマンドを使用して指定されたアクションに使用するパラメータを定義します。 次のパラメータ マップのタイプを設定できます。

  • 認証バイパス(これは、非応答ホスト(NRH)認証とも呼ばれます)

  • 合意

  • Web 認証

  • Web 認証(合意あり)

パラメータ マップはオプションです。 名前付きパラメータ マップを設定しない場合は、グローバル パラメータ マップで指定されたデフォルトのパラメータが使用されます。

複数の方式に対するユーザごとの非アクティブ化処理

共通の非アクティブ化エージング機能は、Web 認証セッションに対する RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)のサポートを拡張し、802.1X、MAC 認証バイパス(MAB)、Web 認証などのすべての認証方式で、一貫した非アクティブ化処理を実現します。 AAA サーバは、ユーザ認証の一環としてこれらの属性を送信します。 セッションが、属性 28 で指定された期間アイドルのままの場合、または属性 29 で設定されているタイムアウトの時間に到達した場合、そのセッションは終了します。

ローカルで定義したサービス テンプレートを使用して、非アクティブ タイムアウトと絶対タイムアウトをセッションに適用することもできます。 非アクティブ タイムアウトをイネーブルにする場合は、セッションが終了する前に送信されるアドレス解決プロトコル(ARP)プローブもイネーブルにできます。 設定の詳細については、「アイデンティティ サービス テンプレートの設定」モジュールを参照してください。

アイデンティティ制御ポリシーの設定方法

Identity-Based Networking Services の表示モードのイネーブル化

Identity-Based Networking Services 機能は、Cisco Common Classification Policy Language(C3PL)表示モードで設定されています。 レガシーの認証マネージャ モードはデフォルトでイネーブルです。 C3PL 表示モードに切り替えて、レガシーのコンフィギュレーション コマンドをすべて一時的に C3PL の同等のコマンドに変換するには、次の手順に従います。 これにより、永続的な変換を行う前に、レガシーの設定を Identity-Based Networking Services 設定としてプレビューすることができます。 Identity-Based Networking Services コマンドを明示的に入力すると、変換は永続的になり、レガシー モードに戻ることはできません。

手順の概要

    1.    enable

    2.    authentication display {legacy | new-style}


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。

     
    ステップ 2 authentication display {legacy | new-style}


    例:
    Device# authentication display new-style
     

    認証およびポリシー設定の表示モードを設定します。

    • デフォルトの表示モードはレガシーです。

    • 最初に Identity-Based Networking Services コマンドを明示的に実行するまでは、このコマンドを使用して、レガシーと C3PL の間で表示モードを切り替えることができます。 最初に Identity-Based Networking Services コマンドを明示的に入力すると(たとえば、制御クラスや制御ポリシーの設定時)、このコマンドはディセーブルになり、レガシー モードに戻すことはできないため、続行するかどうかを確認するプロンプトが表示されます。

    (注)     

    new-style モードがイネーブルにして設定を保存し、リロードを実行すると、表示モードは永続的に new-style に設定されます。 authentication display コマンドはディセーブルになり、レガシー モードに戻すことはできません。

    new-style モードでスタンバイ デバイスを起動すると、そのスタンバイ デバイスは new-style モードになり、スイッチオーバーの後も、デバイスは new-style モードのままになります。 レガシー モードにスイッチバックするには、authentication display legacy コマンドを使用して、スダンバイ スイッチをリロードする必要があります。

     

    制御クラスの設定

    制御クラスは、制御ポリシーのアクションが実行される条件を定義します。 制御ポリシーのアクションを実行するためには、条件のすべてまたはいずれかが true と評価されるか、あるいはいずれも true と評価されてはならないかを定義します。 制御クラスは、制御ポリシーで指定されたイベントに基づいて評価されます。


    (注)  


    この手順では、制御クラスで設定できる一致条件をすべて示します。 制御クラスを有効にするためには、制御クラスで少なくとも 1 つの条件を有効にする必要があります。 他のすべての条件および対応するステップはオプションです(下記のステップ 4~18)。


    手順の概要

      1.    enable

      2.    configure terminal

      3.    class-map type control subscriber {match-all | match-any | match-none} control-class-name

      4.    {match | no-match} activated-service-template template-name

      5.    {match | no-match} authorization-status {authorized | unauthorized}

      6.    {match | no-match} authorizing-method-priority {eq | gt | lt} priority-value

      7.    {match | no-match} client-type {data | switch | video | voice}

      8.    {match | no-match} current-method-priority {eq | gt | lt} priority-value

      9.    {match | no-match} ip-address ip-address

      10.    {match | no-match} ipv6-address ipv6-address

      11.    {match | no-match} mac-address mac-address

      12.    {match | no-match} method {dot1x | mab | webauth}

      13.    {match | no-match} port-type {l2-port | l3-port | dot11-port}

      14.    {match | no-match} result-type [method {dot1x | mab | webauth}] result-type

      15.    {match | no-match} service-template template-name

      16.    {match | no-match} tag tag-name

      17.    {match | no-match} timer timer-name

      18.    {match | no-match} username username

      19.    end

      20.    show class-map type control subscriber {all | name control-class-name}


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。

       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 class-map type control subscriber {match-all | match-any | match-none} control-class-name


      例:
      Device(config)# class-map type control subscriber match-all DOT1X_NO_AGENT
       

      制御クラスを作成し、制御クラスマップ フィルタ モードを開始します。

      • mctch-all:制御クラスのすべての条件が true と評価される必要があります。

      • match-any:制御クラスの条件の少なくとも 1 つが true と評価される必要があります。

      • match-none:制御クラスのすべての条件が false と評価される必要があります。

       
      ステップ 4 {match | no-match} activated-service-template template-name


      例:
      Device(config-filter-control-classmap)# match activated-service-template SVC_1
       

      (任意)セッションでアクティブ化されているサービス テンプレートに基づいて true と評価される条件を作成します。

       
      ステップ 5 {match | no-match} authorization-status {authorized | unauthorized}


      例:
      Device(config-filter-control-classmap)# match authorization-status authorized
       

      (任意)セッションの認可ステータスに基づいて true と評価される条件を作成します。

       
      ステップ 6{match | no-match} authorizing-method-priority {eq | gt | lt} priority-value


      例:
      Device(config-filter-control-classmap)# match authorizing-method-priority eq 10
       

      (任意)認可方式の優先度に基づいて true と評価される条件を作成します。

      • eq:現在の優先度は priority-value 同じです。

      • gt:現在の優先度は priority-value より大きくなります。

      • lt:現在の優先度は priority-value より小さくなります。

      • priority-value:照合される優先値。 範囲:1 ~ 254。1 の優先度が最も高く、 254 は最も低くなります。

       
      ステップ 7 {match | no-match} client-type {data | switch | video | voice}


      例:
      Device(config-filter-control-classmap)# match client-type data
       

      (任意)イベントのデバイス タイプに基づいて true と評価される条件を作成します。

       
      ステップ 8 {match | no-match} current-method-priority {eq | gt | lt} priority-value


      例:
      Device(config-filter-control-classmap)# match current-method-priority eq 10
       

      (任意)現在の認証方式の優先度に基づいて true と評価される条件を作成します。

       
      ステップ 9 {match | no-match} ip-address ip-address


      例:
      Device(config-filter-control-classmap)# match ip-address 10.10.10.1
       

      (任意)イベント ソースの IPv4 アドレスに基づいて true と評価される条件を作成します。

       
      ステップ 10 {match | no-match} ipv6-address ipv6-address


      例:
      Device(config-filter-control-classmap)# match ipv6-address FE80::1
       

      (任意)イベント ソースの IPv6 アドレスに基づいて true と評価される条件を作成します。

       
      ステップ 11 {match | no-match} mac-address mac-address


      例:
      Device(config-filter-control-classmap)# match mac-address aabb.cc00.6500
      
       

      (任意)イベントの MAC アドレスに基づいて true と評価される条件を作成します。

       
      ステップ 12 {match | no-match} method {dot1x | mab | webauth}


      例:
      Device(config-filter-control-classmap)# match method dot1x
       

      (任意)イベントの認証方式に基づいて true と評価される条件を作成します。

       
      ステップ 13 {match | no-match} port-type {l2-port | l3-port | dot11-port}


      例:
      Device(config-filter-control-classmap)# match port-type l2-port
       

      (任意)イベントのインターフェイス タイプに基づいて true と評価される条件を作成します。

       
      ステップ 14 {match | no-match} result-type [method {dot1x | mab | webauth}] result-type


      例:
      Device(config-filter-control-classmap)# match result-type agent-not-found
       

      (任意)指定した認証結果に基づいて true と評価される条件を作成します。

      • 使用可能な結果タイプを表示するには、疑問符(?)のオンライン ヘルプ機能を使用します。

       
      ステップ 15 {match | no-match} service-template template-name


      例:
      Device(config-filter-control-classmap)# match service-template svc_1
       

      (任意)イベントのサービス テンプレートに基づいて true と評価される条件を作成します。

       
      ステップ 16 {match | no-match} tag tag-name


      例:
      Device(config-filter-control-classmap)# match tag tag_1
       

      (任意)イベントに関連付けられたタグに基づいて true と評価される条件を作成します。

       
      ステップ 17 {match | no-match} timer timer-name


      例:
      Device(config-filter-control-classmap)# match timer restart
       

      (任意)イベント タイマーに基づいて true と評価される条件を作成します。

       
      ステップ 18 {match | no-match} username username


      例:
      Device(config-filter-control-classmap)# match username josmiths
       

      (任意)イベントのユーザ名に基づいて true と評価される条件を作成します。

       
      ステップ 19 end


      例:
      Device(config-filter-control-classmap)# end
       

      (任意)制御クラスマップ フィルタのコンフィギュレーション モードを終了し、特権 EXEC モードへ戻ります。

       
      ステップ 20 show class-map type control subscriber {all | name control-class-name}


      例:
      Device# show class-map type control subscriber all
       

      (任意)Identity-Based Networking Services の制御クラスに関する情報を表示します。

       

      例:制御クラス

      次の例は、2 つの一致条件が設定された制御クラスを示しています。

      class-map type control subscriber match-all DOT1X_NO_AGENT
       match method dot1x
       match result-type agent-not-found
      

      制御ポリシーの設定

      制御ポリシーは、指定されたイベントと条件に応じて実行されるアクションを決定します。 制御ポリシーには、制御クラスを 1 つ以上のアクションに関連付ける 1 つ以上の制御ポリシー ルールが含まれます。 ポリシー ルールで設定できるアクションは、指定するイベントのタイプに応じて異なります。


      (注)  


      この作業には、イベントにかかわらず、制御ポリシーで設定できるすべてのアクションが含まれます。 これらのすべてのアクションおよび対応するステップはオプションです(下記のステップ 6~21)。 特定のイベントに対してサポートされるアクションを表示するには、疑問符(?)のオンライン ヘルプ機能を使用します。


      手順の概要

        1.    enable

        2.    configure terminal

        3.    policy-map type control subscriber control-policy-name

        4.    event event-name [match-all | match-first]

        5.    priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]

        6.    action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]}

        7.    action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}]

        8.    action-number authentication-restart seconds

        9.    action-number authorize

        10.    action-number clear-authenticated-data-hosts-on-port

        11.    action-number clear-session

        12.    action-number deactivate {policy type control subscriber control-policy-name | service-template template-name}

        13.    action-number err-disable

        14.    action-number pause reauthentication

        15.    action-number protect

        16.    action-number replace

        17.    action-number restrict

        18.    action-number resume reauthentication

        19.    action-number set-timer timer-name seconds

        20.    action-number terminate {dot1x | mab | webauth}

        21.    action-number unauthorize

        22.    end

        23.    show policy-map type control subscriber {all | name control-policy-name}


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。

         
        ステップ 2 configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 policy-map type control subscriber control-policy-name


        例:
        Device(config)# policy-map type control POLICY_1
         

        加入者セッションに対する制御ポリシーを定義します。

         
        ステップ 4event event-name [match-all | match-first]


        例:
        Device(config-event-control-policymap)# event session-started
         
        条件が満たされた場合に制御ポリシーのアクションをトリガーするイベントのタイプを指定します。
        • match-all がデフォルトの動作です。

        • 使用可能なイベント タイプを表示するには、(?)のオンライン ヘルプ機能を使用します。 イベント タイプの完全な説明については、event コマンドについて参照してください。

         
        ステップ 5 priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]


        例:
        Device(config-class-control-policymap)# 10 class always
         

        制御ポリシーを制御クラスの 1 つ以上のアクションに関連付けます。

        • 名前付き制御クラスを最初に設定してから、このクラスを control-class-name 引数を使用して指定する必要があります。

        • do-until-failure がデフォルトの動作です。

         
        ステップ 6action-number activate {policy type control subscriber control-policy-name [child [no-propagation | concurrent] | service-template template-name [aaa-list list-name] [precedence number] [replace-all]}


        例:
        Device(config-action-control-policymap)# 10 activate service-template FALLBACK
         

        (任意)加入者セッションの制御ポリシーまたはサービス テンプレートをアクティブ化します。

         
        ステップ 7 action-number authenticate using {dot1x | mab | webauth} [aaa {authc-list authc-list-name | authz-list authz-list-name]} [merge] [parameter-map map-name] [priority priority-number] [replace | replace-all] [retries number {retry-time seconds}]


        例:
        Device(config-action-control-policymap)# 10 authenticate using dot1x priority 10
         

        (任意)指定されたメソッドを使用して加入者セッションの認証を開始します。

         
        ステップ 8 action-number authentication-restart seconds


        例:
        Device(config-action-control-policymap)# 20 authentication-restart 60
         

        (任意)認証または認可の失敗後、認証プロセスを再起動するようにタイマーを設定します。

         
        ステップ 9 action-number authorize


        例:
        Device(config-action-control-policymap)# 10 authorize
         

        (任意)加入者セッションの認可を開始します。

         
        ステップ 10 action-number clear-authenticated-data-hosts-on-port


        例:
        Device(config-action-control-policymap)# 20 clear-authenticated-data-hosts-on-port
        
         

        (任意)認証失敗後にポートの認証済みデータ ホストをクリアします。

         
        ステップ 11 action-number clear-session


        例:
        Device(config-action-control-policymap)# 30 clear-session
         

        (任意)アクティブな加入者セッションをクリアします。

         
        ステップ 12 action-number deactivate {policy type control subscriber control-policy-name | service-template template-name}


        例:
        Device(config-action-control-policymap)# 20 deactivate service-template
         

        (任意)加入者セッションの制御ポリシーまたはサービス テンプレートを非アクティブ化します。

         
        ステップ 13 action-number err-disable


        例:
        Device(config-action-control-policymap)# 10 err-disable
         

        (任意)セッション違反イベント後に一時的にポートをディセーブルにします。

         
        ステップ 14 action-number pause reauthentication


        例:
        Device(config-action-control-policymap)# 20 pause reauthentication
         

        (任意)認証の失敗後に再認証を一時停止します。

         
        ステップ 15 action-number protect


        例:
        Device(config-action-control-policymap)# 10 protect
         

        (任意)セッション違反イベント後に違反パケットを暗黙的にドロップします。

         
        ステップ 16 action-number replace


        例:
        Device(config-action-control-policymap)# 10 replace
         

        (任意)違反イベント後に既存のセッションをクリアし、新しいセッションを作成します。

         
        ステップ 17 action-number restrict


        例:
        Device(config-action-control-policymap)# 10 restrict
         

        (任意)セッションの違反イベント後に違反パケットをドロップし、syslog エントリを生成します。

         
        ステップ 18 action-number resume reauthentication


        例:
        Device(config-action-control-policymap)# 20 resume reauthentication
         

        (任意)認証失敗後に再認証プロセスを再開します。

         
        ステップ 19 action-number set-timer timer-name seconds


        例:
        Device(config-action-control-policymap)# 20 set-timer RESTART 60
         

        (任意)名前付きのポリシー タイマーを開始します。

         
        ステップ 20 action-number terminate {dot1x | mab | webauth}


        例:
        Device(config-action-control-policymap)# 20 terminate webauth
         

        (任意)加入者セッションの認証方式を終了します。

         
        ステップ 21 action-number unauthorize


        例:
        Device(config-action-control-policymap)# 20 unauthorize
         

        (任意)加入者セッションからすべての認可データを削除します。

         
        ステップ 22 end


        例:
        Device(config-action-control-policymap)# end
         

        (任意)制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、選択特権 EXEC モードへ戻ります。

         
        ステップ 23 show policy-map type control subscriber {all | name control-policy-name}


        例:
        Device# show policy-map type control subscriber name POLICY_1
         

        (任意)アイデンティティ制御ポリシーに関する情報を表示します。

         

        例:制御ポリシー

        次の例は、認証を開始するために必要な最小限の設定を使用した、簡単な制御ポリシーを示します。

        policy-map type control subscriber POLICY_1
         event session-started match-all
          10 class always do-until-failure
           10 authenticate using dot1x
        
        

        並列認証および連続認証に対する制御ポリシーの詳細な例については、「アイデンティティ制御ポリシーの設定例」のセクションを参照してください。

        インターフェイスへの制御ポリシーの適用

        制御ポリシーは、一般に、加入者 ID の認証およびセッションでのサービスのアクティブ化を制御します。 インターフェイスに制御ポリシーを適用するには、この作業を実行します。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    interface type number

          4.    service-policy type control subscriber control-policy-name

          5.    subscriber aging {inactivity-timer seconds [probe] | probe}


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Device> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。

           
          ステップ 2 configure terminal


          例:
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 interface type number


          例:
          Device(config)# interface tengigabitethernet 1/0/1
           

          インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 4 service-policy type control subscriber control-policy-name


          例:
          Device(config-if)# service-policy type control subscriber POLICY_1
           

          以前に設定した制御ポリシーを適用します。

          • 設定済みのすべての制御ポリシーのリストを表示するには、疑問符(?)のオンライン ヘルプ機能を使用します。

           
          ステップ 5 subscriber aging {inactivity-timer seconds [probe] | probe}


          例:
          Device(config-if)# subscriber aging inactivity-timer 60 probe
           

          加入者セッションに対する非アクティブ タイマーをイネーブルにします。

           

          例:インターフェイスへの制御ポリシーの適用

          interface TenGigabitEthernet 1/0/2
           subscriber aging inactivity-timer 60 probe
           service-policy type control subscriber POLICY_1
          

          ポートでの認証機能の設定

          ポートの許可状態、ホストのアクセス モード、事前認証アクセス、および認証の方向など、ポートへのアクセスを制御するには、この作業を実行します。

          手順の概要

            1.    enable

            2.    configure terminal

            3.    interface type number

            4.    access-session port-control {auto | force-authorized | force-unauthorized}

            5.    access-session host-mode {multi-auth | multi-domain | multi-host | single-host}

            6.    access-session closed

            7.    access-session control-direction {both | in}

            8.    end

            9.    show access-session interface interface-type interface-number [details]


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1enable


            例:
            Device> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2configure terminal


            例:
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3interface type number


            例:
            Device(config)# interface gigabitethernet 1/0/2
             

            選択したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 4access-session port-control {auto | force-authorized | force-unauthorized}


            例:
            Device(config-if)# access-session port-control auto
             

            ポートの認可状態を設定します。

            • デフォルト値は force-authorized です。
             
            ステップ 5access-session host-mode {multi-auth | multi-domain | multi-host | single-host}


            例:
            Device(config-if)# access-session host-mode single-host
             

            ホストの制御ポートへのアクセスを許可します。

            • このコマンドを使用するには、最初に access-session port-control auto コマンドをイネーブルにする必要があります。
            • デフォルト値は multi-auth です。
             
            ステップ 6access-session closed


            例:
            Device(config-if)# access-session closed
             

            このポートへの事前認証アクセスを防止します。

            • ポートはデフォルトでにオープン アクセスに設定されています。
             
            ステップ 7access-session control-direction {both | in}


            例:
            Device(config-if)# access-session control-direction in
             

            ポートでの認証制御の方向を設定します。

            • デフォルト値は both です。
             
            ステップ 8end


            例:
            Device(config-if)# end
             

            インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

             
            ステップ 9show access-session interface interface-type interface-number [details]


            例:
            Device# show access-session interface gigabitethernet 1/0/2 details
             

            指定されたクライアント インターフェイスに一致する加入者セッションに関する情報を表示します。

             

            例:ポート認証

            interface GigabitEthernet 1/0/2
             access-session host-mode single-host
             access-session closed
             access-session port-control auto
             access-session control-direction in

            Web ベース認証のパラメータ マップの設定

            パラメータ マップを使用して、制御ポリシーで設定されたアクションの動作を制御するパラメータを変更することができます。 Web ベース認証のパラメータ マップは、認証中に加入者セッションに適用できるパラメータを設定します。 パラメータ マップを作成しない場合、ポリシーではデフォルトのパラメータが使用されます。

            Web ベース認証に対してグローバルまたは名前付きパラメータ マップのいずれかを定義するには、次の手順に従います。


            (注)  


            グローバル パラメータ マップで使用できる設定コマンドは、名前付きパラメータ マップで使用できるコマンドとは異なります。


            手順の概要

              1.    enable

              2.    configure terminal

              3.    parameter-map type webauth {parameter-map-name | global}

              4.    banner {file location:filename | text banner-text}

              5.    consent email

              6.    custom-page {failure | login expired | success} device location:filename

              7.    max-http-conns number

              8.    ratelimit init-state-sessions rate-limit

              9.    redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}}

              10.    timeout init-state min minutes

              11.    type {authbypass | consent | webauth | webconsent}

              12.    virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address}

              13.    watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled}

              14.    end

              15.    show ip admission status [banners | custom-pages | parameter-map [parameter-map]]


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Device> enable
               

              特権 EXEC モードをイネーブルにします。

              • パスワードを入力します(要求された場合)。

               
              ステップ 2 configure terminal


              例:
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 parameter-map type webauth {parameter-map-name | global}


              例:
              Device(config)# parameter-map type webauth MAP_2
               

              パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。

              • global キーワードを使用して定義されたグローバル パラメータに対してサポートされる特定のコンフィギュレーション コマンドは、parameter-map-name 引数を使用して指定された名前付きパラメータ マップでサポートされるコマンドとは異なります。

               
              ステップ 4 banner {file location:filename | text banner-text}


              例:
              Device(config-params-parameter-map)# banner file flash:webauth_banner.html
              
               

              (任意)Web 認証ログイン Web ページにバナーを表示します。

               
              ステップ 5 consent email


              例:
              Device(config-params-parameter-map)# consent email
               

              (任意)Web 認証ログイン Web ページでユーザの電子メール アドレスを要求します。

              • このコマンドは、名前付きパラメータ マップでのみサポートされます。

               
              ステップ 6 custom-page {failure | login expired | success} device location:filename


              例:
              Device(config-params-parameter-map)# custom-page login device flash:webauth_login.html
              Device(config-params-parameter-map)# custom-page login expired device flash:webauth_expire.html
              Device(config-params-parameter-map)# custom-page success device flash:webauth_success.html
              Device(config-params-parameter-map)# custom-page failure device flash:webauth_fail.html
              
               

              (任意)Web ベースの認証中に、カスタムの認証プロキシ Web ページを表示します。

              • 4 つのカスタム HTML ファイルをすべて設定する必要があります。 指定されているファイルが4 つ未満の場合は、内部のデフォルト HTML ページが使用されます。

               
              ステップ 7 max-http-conns number


              例:
              Device(config-params-parameter-map)# max-http-conns 5
               

              (任意)各 Web 認証クライアントの HTTP 接続の数を制限します。

               
              ステップ 8 ratelimit init-state-sessions rate-limit


              例:
              Device(config-params-parameter-map)# ratelimit init-state-sessions 500
               

              (任意)Init 状態の Web ベース認証セッションの数を制限します。

              • このコマンドは、グローバル パラメータ マップでのみサポートされます。

               
              ステップ 9 redirect {{for-login | on-failure | on-success} url | portal {ipv4 ipv4-address | ipv6 ipv6-address}}


              例:
              Device(config-params-parameter-map)# redirect portal ipv6 FE80::1
              Device(config-params-parameter-map)# redirect on-failure http://10.10.3.34/~sample/failure.html
              
               

              (任意)Web ベースの認証時に特定の URL にユーザを転送します。

               
              ステップ 10 timeout init-state min minutes


              例:
              Device(config-params-parameter-map)# timeout init-state min 15
               

              (任意)Web ベースの認証セッションに対して Init 状態タイムアウトを設定します。

               
              ステップ 11 type {authbypass | consent | webauth | webconsent}


              例:
              Device(config-params-parameter-map)# type consent
               

              (任意)Web ベースの認証パラメータ マップでサポートされる方式を定義します。

              • このコマンドは、名前付きパラメータ マップでのみサポートされます。

               
              ステップ 12 virtual-ip {ipv4 ipv4-address | ipv6 ipv6-address}


              例:
              Device(config-params-parameter-map)# virtual-ip ipv6 FE80::1
               

              (任意)Web ベース認証クライアントの仮想 IP アドレスを指定します。

              • このコマンドは、グローバル パラメータ マップでのみサポートされます。

               
              ステップ 13 watch-list {add-item {ipv4 ipv4-address | ipv6 ipv6-address} | dynamic-expiry-timeout minutes | enabled}


              例:
              Device(config-params-parameter-map)# watch-list enabled
              Device(config-params-parameter-map)# watch-list dynamic-expiry-timeout 20
              Device(config-params-parameter-map)# watch-list add-item ipv6 FE80::1
               

              (任意)Web ベース認証クライアントのウォッチ リストをイネーブルにします。

              • このコマンドは、グローバル パラメータ マップでのみサポートされます。

               
              ステップ 14 end


              例:
              Device(config-params-parameter-map)# end
               

              (任意)parameter-map コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

               
              ステップ 15 show ip admission status [banners | custom-pages | parameter-map [parameter-map]]


              例:
              Device# show ip admission status custom-pages
               

              (任意)設定されたバナーおよびカスタム ページに関する情報を表示します。

               

              例:Web ベース認証のパラメータ マップ

              parameter-map type webauth PMAP_2
               type webconsent
               timeout init-state min 15
               max-http-conns 5
               consent email
               custom-page login device flash:webauth_login.html
               custom-page success device flash:webauth_success.html
               custom-page failure device flash:webauth_fail.html
               custom-page login expired device flash:webauth_expire.html
              次の作業

              制御ポリシーの設定時に authenticate using コマンドでパラメータ マップを指定することにより、そのパラメータ マップをセッションに適用します。 「制御ポリシーの設定」のセクションを参照してください。

              アイデンティティ制御ポリシーの設定例

              例:並列認証方式の制御ポリシーの設定

              次の例は、並行認証を許可するように設定されている制御ポリシーを示しています。 セッションの開始時に、3 種類の方式のすべて(dot1x、MAB、Web 認証)が同時に実行されます。 dot1x 方式の優先度が最高に設定され、Web 認証の優先度が最低に設定されます。つまり、複数のメソッドが成功した場合は、プライオリティの高い方式が優先されます。

              認証が失敗すると、セッション マネージャはすべての方式が失敗しているかどうかを確認します。すべてが失敗している場合は、再起動タイマーが 60 秒に設定され、60 秒が経過すると、3 種類すべての方式の再開が試行されます。 認証が正常に行われると、セッション マネージャは優先度が低い方式(dot1x の場合は MAB および Web 認証、MAB の場合は Web 認証)をすべて終了します。 最後に、セッション マネージャが、dot1x クライアント(agent-found)を検出した場合は、dot1x のみがトリガーされます。

              ALL-FAILED という名前のクラス マップが、3 つの方式がすべて実行されて完了し(その時点で結果タイプが none)、それらのいずれも成功しなかったことを確認します。 つまり、3 つの方式はすべて完了しましたが、失敗しました。


              (注)  


              並列認証のための制御ポリシーを設定する場合は、優先度の高いメソッドが成功した場合は次のメソッドを明示的に終了するポリシー規則を含める必要があります。


              class-map type subscriber control match-all ALL_FAILED
               no-match result-type method dot1x none
               no-match result-type method dot1x success
               no-match result-type method mab none
               no-match result-type method mab success
               no-match result-type method webauth none
               no-match result-type method webauth success
              !
              class-map type control subscriber match-all DOT1X
               match method dot1x
              !
              class-map type control subscriber match-all MAB
               match method mab
              !
              policy-map type control subscriber CONCURRENT_DOT1X_MAB_WEBAUTH
              	event session-started match-all
              	 10 class always do-until-failure
              	  10 authenticate using mab priority 20
              	  20 authenticate using dot1x priority 10
              	  30 authenticate using webauth parameter-map WEBAUTH_DEFAULT priority 30
              	event authentication-failure match-first
              	 10 class ALL_FAILED
                 10 authentication-restart 60
               event authentication-success match-all
                10 class DOT1X
                 10 terminate MAB
                 20 terminate webauth
                20 class MAB
                 10 terminate webauth
               event agent-found match-all
                10 class always do-until-failure
                 10 authenticate using dot1x priority 10
              

              例:連続認証方式の制御ポリシーの設定

              次の例は、802.1X(dot1x)、MAB、および Web 認証を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。

              parameter-map type webauth WEBAUTH_FALLBACK
              	type webauth
              !
              class-map type control subscriber match-all DOT1X_NO_RESP
               match method dot1x
               match result-type method dot1x agent-not-found
              !
              class-map type control subscriber match-all MAB_FAILED
               match method mab
               match result-type method mab authoritative
              !
              policy-map type control subscriber POLICY_Gi3/0/10
              	event session-started match-all
              	 10 class always do-until-failure
              	  10 authenticate using dot1x priority 10
              	event authentication-failure match-first
              	 10 class DOT1X_NO_RESP do-until-failure
              	  10 terminate dot1x
              	  20 authenticate using mab priority 20
              	 20 class MAB_FAILED do-until-failure
              	  10 terminate mab
              	  20 authenticate using webauth parameter-map WEBAUTH_FALLBACK priority 30
              	 30 class always do-until-failure
              	  10 terminate dot1x
              	  20 terminate mab
              	  30 terminate webauth
              	  40 authentication-restart 60
              	event agent-found match-all
              	 10 class always do-until-failure
              	  10 terminate mab
              	  20 terminate webauth
              	  30 authenticate using dot1x priority 10

              次の例は、802.1X および MAB を使用する連続認証方式を許可するように設定されている制御ポリシーを示しています。 認証が失敗した場合は、VLAN のサービス テンプレートがアクティブ化されます。

              service-template VLAN210
              	vlan 210
              !
              class-map type control subscriber match-all DOT1X_FAILED
               match method dot1x
               match result-type method dot1x authoritative
              !
              class-map type control subscriber match-all DOT1X_NO_RESP
               match method dot1x
               match result-type method dot1x agent-not-found
              !
              class-map type control subscriber match-all MAB_FAILED
               match method mab
               match result-type method mab authoritative
              !
              policy-map type control subscriber POLICY_Gi3/0/14
              	event session-started match-all
              	 10 class always do-until-failure
              	  10 authenticate using dot1x retries 2 retry-time 0 priority 10
              	event authentication-failure match-first
              	 10 class DOT1X_NO_RESP do-until-failure
              	  10 terminate dot1x
              	  20 authenticate using mab priority 20
              	 20 class MAB_FAILED do-until-failure
              	  10 terminate mab
              	  20 activate service-template VLAN210
              	  30 authorize
              	 30 class DOT1X_FAILED do-until-failure
              	  10 terminate dot1x
              	  20 authenticate using mab priority 20
              	 40 class always do-until-failure
              	  10 terminate dot1x
              	  20 terminate mab
              	  30 authentication-restart 60
              	event agent-found match-all
              	 10 class always do-until-failure
              	  10 terminate mab
              	  20 authenticate using dot1x retries 2 retry-time 0 priority 10

              例:パラメータ マップの設定

              グローバル パラメータ マップ

              次の例は、グローバル パラメータ マップの設定を示しています。

              parameter-map type webauth global
               timeout init-state min 15
               logging enabled
               watch-list enabled
               virtual-ip ipv6 FE80::1
               redirect on-failure http://10.10.3.34/~sample/failure.html
               ratelimit init-state-sessions 500
               max-http-conns 100
               watch-list dynamic-expiry-timeout 5000
               banner file flash:webauth_banner.html
              

              Web 認証および認証バイパス(非応答ホスト(NRH))の名前付きパラメータ マップ

              次の例は、2 つの名前付きパラメータ マップ(Web 認証用と認証バイパス用)の設定を示しています。 この例には、対応する制御ポリシーの設定も表示されています。

              parameter-map type webauth WEBAUTH_BANNER
               type webauth
               banner		
              !
              parameter-map type webauth WEBAUTH_NRH
               type authbypass
              !
              class-map type control subscriber match-all NRH_FAIL
               match method webauth
               match current-method-priority eq 254
              !
              policy-map type control subscriber WEBAUTH_NRH
               event session-started match-all
                10 class always do-until-failure
                 10 authenticate using webauth parameter-map WEBAUTH_NRH priority 254
               event authentication-failure match-all
                10 class NRH_FAIL do-until-failure
                 10 terminate webauth
                 20 authenticate using webauth parameter-map WEBAUTH_BANNER priority 30

              カスタム ページを使用する Web 認証用の名前付きパラメータ マップ

              次の例は、ログイン プロセス用のカスタム ページを定義する Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する制御ポリシーとともに示しています。

              parameter-map type webauth CUSTOM_WEBAUTH
               type webauth
               custom-page login device flash:login_page.htm
               custom-page success device flash:success_page.htm
               custom-page failure device flash:fail_page.htm
               custom-page login expired device flash:expire_page.htm
              !
              policy-map type control subscriber CUSTOM_WEBAUTH
               event session-started match-all
                10 class always do-until-failure
                 10 authenticate using webauth parameter-map CUSTOM_WEB retries 2 retry-time 0

              同意のための名前付きパラメータ マップ

              次にの例は、同意のための名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。

              parameter-map type webauth CONSENT
               type consent
              !
              ip access-list extended GUEST_ACL
               permit ip any 172.30.30.0 0.0.0.255
               permit ip any host 172.20.249.252
              !
              service-template GUEST_POLICY
               access-group GUEST_ACL
              !
              policy-map type control subscriber CONSENT
               event session-started match-all
                10 class always do-until-failure
                 10 authenticate using webauth parameter-map CONSENT
               event authentication-success match-all
                10 class always do-until-failure
                 10 activate service-template GUEST_POLICY

              同意を伴なう Web 認証用の名前付きパラメータ マップ

              次の例は、同意を伴う Web 認証用の名前付きパラメータ マップの設定を、そのパラメータ マップを使用する対応する制御ポリシーとともに示しています。

              parameter-map type webauth WEBAUTH_CONSENT
               type webconsent
              !
              ip access-list extended GUEST_ACL
               permit ip any 172.30.30.0 0.0.0.255
               permit ip any host 172.20.249.252
              !
              service-template GUEST_POLICY
               access-group GUEST_ACL
              !
              policy-map type control subscriber WEBAUTH_CONSENT
               event session-started match-all
                10 class always do-until-failure
                 10 authenticate using webauth parameter-map CONSENT
               event authentication-success match-all
                10 class always do-until-failure
                 10 activate service-template GUEST_POLICY

              その他の関連資料

              関連資料

              関連項目

              マニュアル タイトル

              Cisco IOS コマンド

              『Cisco IOS Master Command List, All Releases』

              Identity-Based Networking Services コマンド

              『Cisco IOS Identity-Based Networking Services Command Reference』

              アドレス解決プロトコル(ARP)コマンド

              『Cisco IOS IP Addressing Services Command Reference』

              ARP 設定作業

              『IP Addressing - ARP Configuration Guide』

              認証、許可、およびアカウンティング(AAA)の設定作業

              『Authentication Authorization and Accounting Configuration Guide』

              AAA コマンド

              『Cisco IOS Security Command Reference』

              標準および RFC

              標準/RFC

              Title

              RFC 5176

              『Dynamic Authorization Extensions to RADIUS』

              テクニカル サポート

              説明

              Link

              右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

              http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

              アイデンティティ制御ポリシーの機能情報

              次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

              プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

              表 1 アイデンティティ制御ポリシーの機能情報

              機能名

              リリース

              機能情報

              Cisco Common Classification Policy Language ベースのアイデンティティの設定

              Cisco IOS XE Release 3.2SE

              アイデンティティ制御ポリシーは、指定されたイベントと条件に対応して実行されるアクションを定義します。

              導入されたコマンド:activate(policy-map action)、authenticate usingauthentication displayauthentication-restartauthorizebanner(parameter-map webauth)、classclass-map type control subscriberclear-authenticated-data-hosts-on-portclear sessionconsent email custom-pagedeactivateerr-disableeventlogging enabled(parameter-map webauth)、matchmax-http-connsparameter-map type webauthpause reauthenticationpolicy-map type control subscriberprotect(policy-map action)、ratelimit init-state-sessionsredirect(parameter-map webauth)、replacerestrictresume reauthenticationservice-policy type control subscriberset-timershow access-sessionshow class-map type control subscribershow policy-map type control subscriberterminatetype(parameter-map webauth)、unauthorizevirtual-ipwatch-list

              並列認証

              Cisco IOS XE Release 3.2SE

              802.1x、MAB、および Web 認証方式の並列処理を許可し、1 つのセッションで複数の認証方式を並行して呼び出すことができるようにします。

              複数の方式に対するユーザごとの非アクティブ化処理

              Cisco IOS XE Release 3.2SE

              RADIUS 属性 28(Idle-Timeout)および 29(Termination-Action)をサポートします。