ISEでの外部RADIUSサーバの設定

はじめに

このドキュメントでは、外部RADIUSサーバをIdentity Services Engine(ISE)の認証サーバとして設定する方法について説明します。ISEはプロキシとして機能し、認証サーバとしても機能します。このドキュメントでは、2台のISEサーバを使用し、一方は外部サーバとして他方に対して機能します。ただし、RFCで規定されている限り、すべてのRADIUSサーバを外部サーバとして使用できます。

前提条件

要件

次の項目に関する知識が推奨されます。

• RADIUSプロトコルに関する基礎知識。
• ISEポリシー設定の専門知識。

使用するコンポーネント

このドキュメントの情報は、Cisco ISEバージョン2.4および2.2に基づくものです。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

ネットワーク図

ISE（フロントエンドサーバ）の設定

ステップ1：複数の外部RADIUSサーバを設定し、ISE上のユーザの認証に使用できます。外部RADIUSサーバを設定するには、図に示すように、[Administration] > [Network Resources] > [External RADIUS Servers] > [Add]に移動します。

ステップ2：設定した外部RADIUSサーバを使用するには、RADIUSサーバシーケンスをアイデンティティソースシーケンスと同様に設定する必要があります。同じ設定を行うには、図に示すように、[Administration] > [Network Resources] > [RADIUS Server Sequences] > [Add]に移動します。

   

注：サーバシーケンスの作成中に使用可能なオプションの1つは、ISEでローカルにアカウンティングを実行するか、外部RADIUSサーバでアカウンティングを実行するかを選択することです。ここで選択したオプションに基づいて、ISEはアカウンティング要求をプロキシするか、これらのログをローカルに保存するかを決定します。

3.外部RADIUSサーバに要求をプロキシする際のISEの動作に関する柔軟性を高めるセクションもあります。図に示すように、Advance Attribute Settingsの下にあります。

• 詳細設定：デリミタを使用して、RADIUS要求のユーザ名の先頭または末尾を削除するオプションを提供します。
  
  
• 要求の属性の変更：RADIUS要求のRADIUS属性を変更するオプションを提供します。次のリストは、どの属性を追加/削除/更新できるのかを示しています(Cisco Bug ID CSCse5555)。   
  
  

  User-Name--[1]
  NAS-IP-Address--[4]
  NAS-Port--[5]
  Service-Type--[6]
  Framed-Protocol--[7] 
  Framed-IP-Address--[8]
  Framed-IP-Netmask--[9]
  Filter-ID--[11]
  Framed-Compression--[13]
  Login-IP-Host--[14]
  Callback-Number--[19]
  State--[24]
  VendorSpecific--[26]
  Called-Station-ID--[30]
  Calling-Station-ID--[31]
  NAS-Identifier--[32]
  Login-LAT-Service--[34]
  Login-LAT-Node--[35]
  Login-LAT-Group--[36]
  Event-Timestamp--[55] 
  Egress-VLANID--[56]
  Ingress-Filters--[57]
  Egress-VLAN-Name--[58]
  User-Priority-Table--[59]
  NAS-Port-Type--[61]
  Port-Limit--[62]
  Login-LAT-Port--[63]
  Password-Retry--[75] 
  Connect-Info--[77] 
  NAS-Port-Id--[87]
  Framed-Pool--[88]
  NAS-Filter-Rule--[92]
  NAS-IPv6-Address--[95] 
  Framed-Interface-Id--[96]
  Framed-IPv6-Prefix--[97]
  Login-IPv6-Host--[98]
  Error-Cause--[101]
  Delegated-IPv6-Prefix--[123]
  Framed-IPv6-Address--[168]
  DNS-Server-IPv6-Address--[169]
  Route-IPv6-Information--[170]
  Delegated-IPv6-Prefix-Pool--[171]
  Stateful-IPv6-Address-Pool--[172]

• Access-Acceptで認証ポリシーに進みます。ISEがAccess-Acceptをそのまま送信するか、または外部RADIUSサーバによって提供される認可ではなくISEで設定された認可ポリシーに基づいてアクセスを提供するかを選択するオプションを提供します。このオプションを選択すると、外部RADIUSサーバによって提供される認可はISEによって提供される認可で上書きされます。
  

  注：このオプションは、外部RADIUSサーバがプロキシされたRADIUS Access-Requestに応答してAccess-Acceptを送信する場合にのみ機能します。

•  Access-Acceptの前に属性を変更します。要求の属性の変更と同様に、外部RADIUSサーバからネットワークデバイスに送信される前に送信されるAccess-Acceptにも、前述と同じ属性を追加/削除/更新できます。

ステップ4：次のパートでは、許可プロトコルの代わりにRADIUSサーバシーケンスを使用するようにポリシーセットを設定し、要求が外部RADIUSサーバに送信されるようにします。これは、[Policy] > [Policy Sets]で設定できます。許可ポリシーはポリシーセットで構成できますが、有効になるのは、[Continue to Authorization Policy on Access-Accept]オプションが選択されている場合のみです。そうでない場合、ISEは、このポリシーセットに設定された条件に一致するRADIUS要求のプロキシとして機能するだけです。

外部RADIUSサーバの設定 

ステップ1：この例では、ISE_Backend_Serverという名前の外部RADIUSサーバとして別のISEサーバ（バージョン2.2）が使用されます。外部RADIUSサーバに転送されるAccess-RequestのNAS-IP-Address属性はISE_Fronten_Serverに置き換えられるため、ISE(ISE_Fronten_Server)はネットワークデバイスまたは従来のNASとして設定必要があります。サーバ自身のIPアドレス。設定する共有秘密は、ISE_Frontend_Serverの外部RADIUSサーバに設定する秘密と同じです。 

ステップ2：外部RADIUSサーバには、ISEによってプロキシされた要求を処理する独自の認証および認可ポリシーを設定できます。この例では、内部ユーザのユーザを確認し、認証された場合はアクセスを許可する簡単なポリシーが設定されています。

確認

 ステップ1：図に示すように、要求が受信された場合はISEのライブログを確認します。

ステップ2：図に示すように、正しいポリシーセットが選択されているかどうかを確認します。

ステップ3：要求が外部RADIUSサーバに転送されているかどうかを確認します。

4. Continue to Authorization Policy on Access-Acceptオプションが選択されている場合、認証ポリシーが評価されているかどうかを確認します。

トラブルシューティング

シナリオ 1： イベント：5405 RADIUS要求のドロップ

• 確認する必要がある最も重要なことは、詳細認証レポートの手順です。ステップで「RADIUS-Client request timeout expired」と表示された場合は、ISEが設定済みの外部RADIUSサーバから応答を受信しなかったことを意味します。これは、次の場合に発生します。
  
           1.外部RADIUSサーバに接続の問題があります。ISEは、設定されたポート上の外部RADIUSサーバに到達できません。
           2. ISEが外部RADIUSサーバのネットワークデバイスまたはNASとして設定されていない。
           3.設定または外部RADIUSサーバに何らかの問題があるため、パケットが外部RADIUSサーバによってドロップされている。
  
  パケットキャプチャもチェックして、それが誤ったメッセージではないことを確認します。つまり、ISEはサーバからパケットを受信しますが、要求がタイムアウトしたと報告します。
  
  
• 手順にStart forwarding request to remote RADIUS serverという場合、その直後の手順はNo more external RADIUS servers;フェールオーバーを実行できません つまり、設定されたすべての外部RADIUSサーバが現在deadとマークされ、要求はdeadタイマーが期限切れになった後にのみ処理されます。
  
  

  
  

  注：ISE内の外部RADIUSサーバのデフォルトのデッドタイムは5分です。この値はハードコードされており、このバージョンでは変更できません。

• ステップでRADIUS-Client encountered error during flow and is following Failed to forward request to current remote RADIUS server;無効な応答を受信しました。これは、外部RADIUSサーバへの要求の転送中にISEで問題が発生したことを意味します。これは通常、ネットワークデバイス/NASからISEに送信されるRADIUS要求にNAS-IP-Addressが属性の1つとして含まれていない場合に発生します。NAS-IP-Address属性がなく、外部RADIUSサーバが使用されていない場合、ISEはNAS-IP-Addressフィールドにパケットの送信元IPを入力します。ただし、外部RADIUSサーバを使用している場合は、この設定は適用されません。 
  

シナリオ 2：イベント：5400 Authentication failed

• この場合、ステップが「11368 Please review log on the External RADIUS Server to determine the expredicated failure reason」の場合は、外部RADIUSサーバ自体で認証が失敗し、アクセス拒否が送信されたことを意味します。
  
  
• 手順に「15039 Rejected per authorization profile」と示されている場合は、ISEが外部RADIUSサーバからアクセス許可を受信したが、ISEが設定された認可ポリシーに基づいて認可を拒否することを意味します。
  
  
  
• ISEの障害理由がここで説明する理由と異なる場合は、設定またはISE自体に潜在的な問題がある可能性があります。この時点でTACケースをオープンすることを推奨します。