このドキュメントでは、さまざまなサービス セット識別子(SSID)を区別するために、Cisco Identity Services Engine(ISE)の認証ポリシーを設定する方法について説明します。これは、さまざまな目的のためにワイヤレス ネットワークに複数の SSID がある組織にとって非常に一般的です。最も一般的な目的の 1 つとして、従業員用に会社の SSID を使用し、会社への訪問者用にゲスト SSID を使用することがあります。
このマニュアルでは、以下の条件を想定しています。
ワイヤレス LAN コントローラ(WLC)が設定され、関係するすべての SSID で動作している。
関係するすべての SSID で ISE に対する認証が動作している。
このシリーズの他のドキュメント
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ワイヤレス LAN コントローラ リリース 7.3.101.0
Identity Services Engine Release 1.1.2.145
先行バージョンにもこの両方の機能があります。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
このドキュメントでは、次のコンフィギュレーションを使用します。
方式1:Airespace-Wlan-Id
方法2:Called-Station-ID
一度に 1 つの設定方法のみを使用する必要があります。両方の設定を同時に実装すると、ISE によって処理される量が増え、ルールの読みやすさに影響します。この文書では、各設定方法の利点と欠点を説明します。
方式1:Airespace-Wlan-Id
WLC に作成されたすべてのワイヤレス ローカル エリア ネットワーク(WLAN)に WLAN ID があります。WLAN ID は WLAN 要約ページに表示されます。
クライアントが SSID に接続するとき、ISE への RADIUS 要求には Airespace-WLAN-ID 属性が含まれています。この単純な属性は ISE でポリシー決定を行うために使用されます。この属性の短所の 1 つは、複数のコントローラに分散している SSID で WLAN ID が一致しない場合があることです。これに該当する導入の場合は、「メソッド 2」に進みます。
この場合、Airespace-Wlan-Id は基準として使用されます。単純な条件として(単独で)または複合条件として(別の属性と組み合わせて)使用し、必要な結果を実現できます。この文書では、両方の使用例について説明します。上記の 2 個の SSID を使用して、次の 2 つのルールを作成できます。
A)ゲストユーザはゲストSSIDにログインする必要があります。
B)企業ユーザは、Active Directory(AD)グループ「Domain Users」に属し、企業SSIDにログインする必要があります。
ルール A
ルール A の要件は 1 つだけであるため、単純な条件(上記の値に基づく)を作成できます。
ISE で、[Policy] > [Policy Elements] > [Conditions] > [Authorization] > [Simple Conditions] に移動し、新しい条件を作成します。
[Name] フィールドに、条件名を入力します。
[Description] フィールドに説明を入力します(オプション)。
[Attribute] ドロップダウン リストから、[Airespace] > [Airespace-Wlan-Id--[1]] を選択します。
[Operator] ドロップダウン リストから、[Equals] を選択します。
[Value] ドロップダウン リストから、[2] を選択します。
[Save] をクリックします。
ルール B
ルール B には 2 つの要件があるため、複合条件を作成できます(上記の値に基づく)。
ISE で、[Policy] > [Policy Elements] > [Conditions] > [Authorization] > [Compound Conditions] に移動し、新しい条件を作成します。
[Name] フィールドに、条件名を入力します。
[Description] フィールドに説明を入力します(オプション)。
[Create New Condition (Advance Option)] を選択します。
[Attribute] ドロップダウン リストから、[Airespace] > [Airespace-Wlan-Id--[1]] を選択します。
[Operator] ドロップダウン リストから、[Equals] を選択します。
[Value] ドロップダウン リストから、[1] を選択します。
右側の歯車をクリックし、[Add Attribute/Value] を選択します。
[Attribute] ドロップダウン リストから、[AD1] > [External Groups] を選択します。
[Operator] ドロップダウン リストから、[Equals] を選択します。
[Value] ドロップダウン リストから、必要なグループを選択します。この例では、Domain Users に設定されています。
[Save] をクリックします。
注:このドキュメントでは、Policy > Policy Elements > Results > Authorization > Authorizationで設定された単純な認可プロファイルを使用します。これらは [Permit Access] に設定されますが、導入のニーズに合うように変更できます。
これで条件を作成したため、ここでは許可ポリシーに適用できます。[Policy] > [Authorization] に移動します。ルールを挿入するリスト上の場所を決めるか、既存のルールを編集します。
ゲスト ルール
既存ルールの右にある下矢印をクリックし、[Insert a new rule] を選択します。
ゲスト ルールの名前を入力し、[Identity Groups] フィールドを [Any] に設定したままにします。
[Conditions] の下で、プラスをクリックし、[Select Existing Condition from Library] をクリックします。
[Condition Name] の下で、[Simple Condition] > [GuestSSID] を選択します。
[Permissions] の下で、ゲスト ユーザの適切な許可プロファイルを選択します。
[Done] をクリックします。
企業ルール
既存ルールの右にある下矢印をクリックし、[Insert a new rule] を選択します。
企業ルールの名前を入力し、[Identity Groups] フィールドを [Any] に設定したままにします。
[Conditions] の下で、プラスをクリックし、[Select Existing Condition from Library] をクリックします。
[Condition Name] の下で、[Compound Condition] > [CorporateSSID] を選択します。
[Permissions] の下で、企業ユーザの適切な許可プロファイルを選択します。
[Done] をクリックします。
注:ポリシーリストの下部にあるSaveをクリックするまで、この画面で行った変更は展開に適用されません。
方法2:Called-Station-ID
WLC は RADIUS の Called-Station-ID 属性に入れて SSID 名を送信するように設定できます。次に、ISE で条件としてこれを使用できます。この属性の利点は、WLC での WLAN ID の設定にかかわらず使用できることです。デフォルトでは、WLC は Called-Station-ID 属性で SSID を送信しません。WLCでこの機能を有効にするには、Security > AAA > RADIUS > Authenticationの順に選択し、Call Station ID TypeをAP MAC Address:SSIDに設定します。これにより、Called-Station-IDの形式が<MAC of the AP the user is connecting to>:<SSID Name>に設定されます。
送信されている SSID 名は WLAN 要約ページから確認できます。
Called-Station-Id 属性には、AP の MAC アドレスも含まれているため、ISE ポリシーの SSID の名前との照合には、正規表現(REGEX)が使用されます。条件設定の演算子の「Matches」では、[Value] フィールドから正規表現を読み取ることができます。
正規表現の例
「Starts with」では、たとえば、正規表現値^(Acme).*を使用します。この条件はCERTIFICATE:Organization MATCHES 'Acme'として設定されます(「Acme」で始まる条件を持つ任意の一致)。
'Ends with':たとえば、正規表現値。*(mktg)$を使用します。この条件はCERTIFICATE:Organization MATCHES 'mktg'として設定されます(「mktg」で終わる条件を持つすべての一致)。
'Contains':たとえば、正規表現値。*(1234).*を使用します。この条件はCERTIFICATE:Organization MATCHES '1234'として構成されます(Eng1234、1234Dev、Corp1234Mktgなど、「1234」を含む条件と一致する必要があります)。
「Does not start with」:たとえば、正規表現値^(?!LDAP).*を使用します。この条件は、CERTIFICATE:Organization MATCHES 'LDAP'として設定されます(usLDAPやCorpLDAPmktgなどの、「LDAP」で始まらない条件と一致する証明書)。
Called-Station-IDはSSID名で終わるため、この例で使用する正規表現は.*(:<SSID NAME>)$です。設定を行うときは、この点に留意してください。
上記の 2 個の SSID を使用すると、次の要件を持つ 2 つのルールを作成できます。
A)ゲストユーザはゲストSSIDにログインする必要があります。
B)企業ユーザは、ADグループ「Domain Users」に属し、企業SSIDにログインする必要があります。
ルール A
ルール A の要件は 1 つだけであるため、単純な条件(上記の値に基づく)を作成できます。
ISE で、[Policy] > [Policy Elements] > [Conditions] > [Authorization] > [Simple Conditions] に移動し、新しい条件を作成します。
[Name] フィールドに、条件名を入力します。
[Description] フィールドに説明を入力します(オプション)。
[Attribute] ドロップダウン リストから、[Radius] -> [Called-Station-ID--[30]] を選択します。
[Operator] ドロップダウン リストから、[Matches] を選択します。
[値]ドロップダウンリストから、 .*(:Guest)$を選択します。これは大文字と小文字が区別されます。
[Save] をクリックします。
ルール B
ルール B には 2 つの要件があるため、複合条件を作成できます(上記の値に基づく)。
ISE で、[Policy] > [Policy Elements] > [Conditions] > [Authorization] > [Compound Conditions] に移動し、新しい条件を作成します。
[Name] フィールドに、条件名を入力します。
[Description] フィールドに説明を入力します(オプション)。
[Create New Condition (Advance Option)] を選択します。
[Attribute] ドロップダウン リストから、[Radius] -> [Called-Station-ID--[30]] を選択します。
[Operator] ドロップダウン リストから、[Matches] を選択します。
Valueドロップダウンリストから、.*(:Corporate)$を選択します。これは大文字と小文字が区別されます。
右側の歯車をクリックし、[Add Attribute/Value] を選択します。
[Attribute] ドロップダウン リストから、[AD1] > [External Groups] を選択します。
[Operator] ドロップダウン リストから、[Equals] を選択します。
[Value] ドロップダウン リストから、必要なグループを選択します。この例では、Domain Users に設定されています。
[Save] をクリックします。
注:このドキュメントでは、Policy > Policy Elements > Results > Authorization > Authorizationで設定されたシンプルな認可プロファイルを使用します。これらは [Permit Access] に設定されますが、導入のニーズに合うように変更できます。
これで条件を設定したため、許可ポリシーに適用します。[Policy] > [Authorization] に移動します。ルールを適切なロケーションのリストに挿入するか、既存のルールを編集します。
ゲスト ルール
既存ルールの右にある下矢印をクリックし、[Insert a new rule] を選択します。
ゲスト ルールの名前を入力し、[Identity Groups] フィールドを [Any] に設定したままにします。
[Conditions] の下で、プラスをクリックし、[Select Existing Condition from Library] をクリックします。
[Condition Name] の下で、[Simple Condition] > [GuestSSID] を選択します。
[Permissions] の下で、ゲスト ユーザの適切な許可プロファイルを選択します。
[Done] をクリックします。
企業ルール
既存ルールの右にある下矢印をクリックし、[Insert a new rule] を選択します。
企業ルールの名前を入力し、[Identity Groups] フィールドを [Any] に設定したままにします。
[Conditions] の下で、プラスをクリックし、[Select Existing Condition from Library] をクリックします。
[Condition Name] の下で、[Compound Condition] > [CorporateSSID] を選択します。
[Permissions] の下で、企業ユーザの適切な許可プロファイルを選択します。
[Done] をクリックします。
[Policy] リストの下部にある [Save] をクリックします。
注:ポリシーリストの下部にあるSaveをクリックするまで、この画面で行った変更は展開に適用されません。
現在、この設定に使用できる確認手順はありません。
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
ポリシーが正しく作成されたことを確認し、ISE で適切な属性を受信しているかどうかを確認するには、成功または失敗したユーザ認証の詳細な認証レポートを調べます。[Operations] > [Authentications] を選択してから認証の [Details] アイコンをクリックします。
まず、[Authentication Summary] を確認します。これはユーザに示された許可プロファイルを含む認証の基本を示します。
ポリシーが正しくない場合、WLC から送信された [Airespace-Wlan-Id] および [Called-Station-Id] が [Authentication Details] に表示されます。ルールを適宜調整します。[Authorization Policy Matched Rule] で、認証が目的のルールに一致しているかどうかを確認します。
これらのルールは、誤設定の多いルールです。設定の問題を特定するためには、認証の詳細に表示される内容とルールを照合します。[Other Attributes] フィールドに属性が表示されない場合は、WLC が正しく設定されていることを確認します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
19-Dec-2012 |
初版 |