ISEを使用したWindowsでのセキュアなクライアントNAMプロファイルの設定

ダウンロード オプション

  • PDF     (3.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.5 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.4 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2025 年 5 月 30 日
Document ID:222236

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Identity Services Engine(ISE)を介してCisco Secure Client Network Access Manager(NAM)プロファイルを導入する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Identity Services Engine(ISE)
    • AnyConnect NAMおよびプロファイルエディタ
    • ポスチャ ポリシー
    • 802.1xサービス用のCisco Catalyst設定

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco ISE リリース 3.3 以降
    • Cisco Secure Mobility Client 5.1.4.74以降がインストールされたWindows 10
    • Cisco IOS® XE 17.6.5以降ソフトウェアを搭載したCisco Catalyst 9200スイッチ
    • Active Directory 2016

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    EAP-FAST認証は2つのフェーズで行われます。最初のフェーズでは、EAP-FASTはTLSハンドシェイクを使用して、Type-Length-Value(TLV)オブジェクトを使用したキー交換を提供および認証し、保護されたトンネルを確立します。これらのTLVオブジェクトは、クライアントとサーバの間で認証関連のデータを伝送するために使用されます。トンネルが確立されると、2番目のフェーズは、クライアントとISEノードが必要な認証および認可ポリシーを確立するために、さらに対話を開始することから始まります。

    NAM設定プロファイルは、認証方式としてEAP-FASTを使用するように設定され、管理上定義されたネットワークで使用できます。
    また、マシンとユーザの両方の接続タイプをNAM設定プロファイル内で設定できます。
    企業のWindowsデバイスは、ポスチャチェック付きのNAMを使用して企業のフルアクセスを取得します。
    個人用Windowsデバイスは、同じNAM設定を使用して、制限されたネットワークにアクセスできます。

    このドキュメントでは、Web展開とポスチャコンプライアンスチェックを使用して、Identity Services Engine(ISE)ポスチャポータル経由でCisco Secure Client Network Access Manager(NAM)プロファイルを展開する手順について説明します。

    コンフィギュレーション

    ネットワーク図

    Network Diagram

    データフロー

    PCがネットワークに接続すると、ISEがポスチャポータルへのリダイレクトのための認可ポリシーを提供します。
    PC上のhttpトラフィックは、ISEからNSAアプリケーションがダウンロードされるISEクライアントプロビジョニングページにリダイレクトされます。
    その後、NSAはPCにセキュアクライアントエージェントモジュールをインストールします。
    エージェントのインストールが完了すると、エージェントはISEで設定されたポスチャプロファイルとNAMプロファイルをダウンロードします。
    NAMモジュールをインストールすると、PCの再起動がトリガーされます。
    再起動後、NAMモジュールはNAMプロファイルに基づいてEAP-FAST認証を実行します。
    次に、ポスチャスキャンがトリガーされ、ISEポスチャポリシーに基づいてコンプライアンスがチェックされます。

    スイッチの設定

    dot1x認証およびリダイレクション用にアクセススイッチを設定します。

    aaa new-model

    aaa authentication dot1x default group radius
    aaa authorization network default group radius
    aaa accounting dot1x default start-stop group radius(aaaアカウンティングdot1xのデフォルトの開始/停止グループradius)
    aaaサーバradius dynamic-author
    クライアント10.127.197.53サーバキーQwerty123
    auth-type any(任意の認証タイプ)

    aaa session-id共通
    ip radius送信元インターフェイスVlan1000
    radius-server attribute 6 on-for-login-auth
    radius-server属性8 include-in-access-req
    radius-server属性25 access-requestには
    radius-server attribute 31 mac format ietf大文字
    radiusサーバRAD1
    address ipv4 <ISEサーバIP> auth-port 1812 acct-port 1813
    key <秘密キー>

    dot1x system-auth-control

    ユーザがISEクライアントプロビジョニングポータルにリダイレクトされるようにリダイレクトACLを設定します。

    ipアクセスリスト拡張リダイレクトacl
    10 deny udp any any eq domain(udpを拒否する任意のeqドメイン)
    20 deny tcp any any eq domain
    30 deny udp any eq bootpc any eq bootps(udpを拒否する任意のeqブートアップを拒否する)
    40 deny ip any host <ISEサーバIP>
    50 permit tcp any any eq www
    60 permit tcp any any eq 443を設定する

    スイッチでデバイストラッキングとHTTPリダイレクションを有効にします。

    device-tracking policy <デバイストラッキングポリシー名>
     トラッキングの有効化
    interface <interface name>
     device-tracking attach-policy <デバイストラッキングポリシー名>

    ip http server
    ip http secure-server(セキュアサーバのip http)

    Secure Client Packageのダウンロード

    プロファイルエディタ、セキュアクライアントウィンドウ、およびコンプライアンスモジュールwebdeployファイルをsoftware.cisco.comから手動でダウンロードします。 

    製品名の検索バーで、Secure Client 5と入力します。

    Downloads Home > Security > Endpoint Security > Secure Client (including AnyConnect) > Secure Client 5 > AnyConnect VPN Client Software

    • cisco-secure-client-win-5.1.x-webdeploy-k9.pkg(登録ユーザ専用)
    • cisco-secure-client-win-4.3.x-isecompliance-webdeploy-k9.pkg(登録ユーザ専用)
    • ツール:cisco-secure-client-win-5.1.x-profileeditor-k9.msi

    ISE 設定

    ステップ 1:ISEでのパッケージのアップロード

    ISEでセキュアクライアントとコンプライアンスモジュールのWebDeployパッケージをアップロードするには、Workcenter > Posture > Client Provisioning > Resources > Add > Agent Resources from Local Diskの順に移動します。

    Upload the Package on ISE

    Resources

    ステップ 2:プロファイルエディタツールからのNAMプロファイルの作成

    NAMプロファイルの設定方法については、このガイド「WindowsおよびISE 3.2を使用したDot1x対応のセキュアクライアントNAMの設定」を参照してください。

    ステップ 3:ISEでのNAMプロファイルのアップロード

    NAMプロファイルConfiguration.xmlをエージェントプロファイルとしてISEにアップロードするには、Client Provisioning > Resources > Agent Resources From Local Diskの順に移動します。

    Upload the NAM Profile on ISE

    ステップ 4:ポスチャプロファイルの作成 

    Create a Posture Profile

    Posture Profile Created

    [Posture Protocol] セクションでは、エージェントがすべてのサーバに接続できるようにするために、* を忘れずに追加してください。

    ステップ 5:エージェント構成の作成

    Create Agent Configuration

    アップロードされたセキュアクライアントとコンプライアンスモジュールパッケージを選択し、Module選択でISE PostureNAM、およびDARTモジュールを選択します。

    Upload Secure Client and Compliance Module Package

    Profile selectで、PostureおよびNAM Profileを選択し、Submitをクリックします。

    Choose Posture and NAM Profile

    手順 6:クライアントプロビジョニングポリシー

    Windowsオペレーティングシステム用のクライアントプロビジョニングポリシーを作成し、前のステップで作成したエージェント設定を選択します。

    Client Provisioning Policy

    手順 7:ポスチャ ポリシー

    ポスチャポリシーと条件を作成する方法については、このガイド『ISEポスチャ規範的導入ガイド』を参照してください。

    ステップ 8:ネットワーク デバイスの追加

    スイッチのIPアドレスとRADIUS共有秘密キーを追加するには、Administration > Network Resourcesの順に選択します。

    Add Network Device

    Shared Secret

    ステップ 9:許可プロファイル

    ポスチャリダイレクトプロファイルを作成するには、Policy > Policy Elements > Resultsの順に選択します。

    Authorization Profile

    Common Tasksの下で、Client Provisioning Portal with Redirect ACLを選択します。

    Select Client Provisioning Portal with Redirect ACL

    ステップ 10:許可されるプロトコル

    Policy > Policy elements > Results > Authentication > Allowed Protocolsの順に移動し、EAP Chaining設定を選択します。

    Allowed Protocols

    Allow EAP-FAST and Enable EAP Chaining

    ステップ 11Active Directory

    ISEがActive Directory(AD)ドメインに参加し、ドメイングループが選択されていることを、認可条件に必要に応じて検証します。

    Administration > Identity Management > External Identity Sources > Active Directory

    Active Directory

    ステップ 12ポリシーセット

    dot1x要求を認証するためのポリシーセットをISEで作成します。Policy > Policy setsの順に移動します。

    Policy Sets

    認証ポリシーのアイデンティティ・ソースとしてActive Directoryを選択します。

    Select Active Directory

    不明、非準拠、および準拠のポスチャステータスに基づいて、さまざまな認可ルールを設定します。

    この使用例では、

    • 初期アクセス:セキュアクライアントエージェントとNAMプロファイルをインストールするためのISEクライアントプロビジョニングポータルへのリダイレクト。
    • 不明なアクセス:リダイレクトベースのポスチャ検出のためのクライアントプロビジョニングポータルへのアクセス。
    • 準拠アクセス:フルネットワークアクセス。
    • 非準拠:アクセスを拒否。

    Authorization Rules

    検証

    ステップ 1:ISEからのセキュアクライアントポスチャ/NAMモジュールのダウンロードとインストール

    Initial Access Authorization ruleに一致する、dot1xで認証されたエンドポイントを選択します。Operations > Radius > Live Logsの順に移動します。

    Download and Install Secure Client Posture/NAM Module from ISE

    スイッチで、エンドポイントに適用されるリダイレクションURLACLを指定します。

    Switch#show authentication session interface te1/0/24の詳細
    インターフェイス:TenGigabitEthernet1/0/24
    IIF-ID: 0x19262768
    MACアドレス:x4x6.xxxx.xxxx
    IPv6アドレス:不明
    IPv4アドレス: <client-IP>
    ユーザ名:host/DESKTOP-xxxxxx.xxx
    ステータス:承認済み
    ドメイン:データ
    Oper hostモード:single-host
    Oper control dir:両方
    セッションタイムアウト:該当なし
    共通セッションID:16D5C50A0000002CF067366B
    アカウントセッションID:0x0000001f
    ハンドル: 0x7a000017
    現在のポリシー:POLICY_Te1/0/24


    ローカルポリシー:
    サービステンプレート:DEFAULT_LINKSEC_POLICY_SHOULD_SECURE(優先度150)
    セキュリティポリシー:セキュリティの確保
    セキュリティの状態:リンクは保護されていません

    サーバポリシー:
    URLリダイレクトACL:redirect-acl
    URLリダイレクト:https://ise33.xxxx:8443/portal/gateway?sessionId=16D5C50A0000002CF067366A&portal=ee39fd08-7180-4995-8aa2-9fb282645a8f&action=cpp&token=518f857900a37f9afc6d2da8b6fe3bc2
    ACS ACL:xACSACLx-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3


    メソッドの状態リスト:
    メソッドの状態
    dot1x Authc成功

    Switch#sh device-tracking database interface te1/0/24

    ネットワーク層アドレスリンク層アドレスインターフェイスvlan prlvl age状態残り時間
    ARP X.X.X.X b496.91f9.568b Te1/0/24 1000 0005 4mn REACHABLE 39 s try 0

    エンドポイントで、ISEポスチャにリダイレクトされたトラフィックを確認し、StartをクリックしてエンドポイントのNetwork Setup Assistantをダウンロードします。

    Device Security Check

    Download and Install Agent

    Runをクリックして、NSAアプリケーションをインストールします。

    Run Device Security Check

    ここで、NSAはISEからセキュアクライアントエージェント(SCA)のダウンロードを起動し、ポスチャ、NAMモジュール、およびNAMプロファイルconfiguration.xmlをインストールします。

    Secure Client Download in Progress

    NAMのインストール後に再起動プロンプトが表示される。[Yes] をクリックします。

    Updates Completed, Restart Computer

    ステップ 2:EAP-FAST 

    PCが再起動し、ユーザがログインすると、NAMはEAP-FASTを使用してユーザとマシンの両方を認証します。

    エンドポイントが正しく認証されると、NAMに接続されたことが表示され、ポスチャモジュールがポスチャスキャンをトリガーします。

    Authentication in Progress

    ISEライブログで、エンドポイントが不明なアクセスルールに一致しています。

    Endpoint is Hitting Unknown Access Rule

    これで、認証プロトコルはNAMプロファイル設定に基づくEAP-FASTになり、EAPチェーンの結果は成功です。

    Result is Success

    ステップ 3:ポスチャスキャン

    セキュアクライアントポスチャモジュールは、ポスチャスキャンをトリガーし、ISEポスチャポリシーに基づいて準拠としてマークされます。 

    Posture Scan

    CoAはポスチャスキャンの後でトリガーされ、エンドポイントが準拠アクセスポリシーに一致します。

    CoA Triggered after the Posture Scan

    トラブルシュート

    ステップ 1:NAMプロファイル

    NAMモジュールのインストール後、PC上のこのパスにNAMプロファイルconfiguration.xmlが存在することを確認します。

    C:\ProgramData\Cisco\Ciscoセキュアクライアント\ネットワークアクセスマネージャ\システム

    NAM Profile

    ステップ 2:NAM拡張ロギング

    タスクバーからSecure Clientアイコンをクリックして、settings iconを選択します。

    NAM Extended Logging

    Network > Log Settingsタブに移動します。Enable Extended Loggingチェックボックスにチェックマークを入れます。
    パケットキャプチャファイルのサイズを100 MBに設定します。

    問題を再現したら、Diagnosticsをクリックして、エンドポイント上にDARTバンドルを作成します。

    Click Diagnostics to Create the DART Bundle on the Endpoint

    メッセージ履歴セクションには、NAMが実行したすべてのステップの詳細が表示されます。

    ステップ 3: スイッチのデバッグ

    dot1xとリダイレクトフローのトラブルシューティングを行うには、スイッチで次のデバッグを有効にします。

    debug ip http all(ベータ版)

    debug ip http transactions(httpトランザクションのデバッグ)

    debug ip http url(ベータ版)

    set platform software trace smd switch active R0 aaa debug
    set platform software trace smd switch active R0 dot1x-all debug
    set platform software trace smd switch active R0 radius debug
    set platform software trace smd switch active R0 auth-mgr-all debug
    set platform software trace smd switch active R0 eap-all debug
    set platform software trace smd switch active R0 epm-allデバッグ

    set platform software trace smd switch active R0 epm-redirect debug

    set platform software trace smd switch active R0 webauth-aaa debug

    set platform software trace smd switch active R0 webauth-httpd debug

    ログを表示するには

    show logging

    show logging process smd internal(隠しコマンド)

    ステップ 4:ISE でのデバッグ

    デバッグレベル設定する次の属性持つISEサポートバンドル収集します。

    • ポスチャ 
    • ポータル 
    • プロビジョニング 
    • ランタイムAAA 
    • nsf 
    • nsf-session 
    • swiss 
    • クライアントWebアプリ 

    関連情報

    WindowsおよびISE 3.2を使用したDot1x用のセキュアクライアントNAMの設定

    ISEポスチャ規範的な導入ガイド

    Cisco IOS® XE Catalyst 9000シリーズスイッチのDot1xのトラブルシューティング

    更新履歴

    改定 発行日 コメント
    2.0
    30-May-2025
    タイトル、代替テキスト、スタイル要件、およびフォーマットが更新されました。
    1.0
    29-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • Praveenkumarパラニサミ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています