Cisco ISE には、Cisco DNA Center に関して次の 3 つの使用例があります。
-
Cisco ISE はユーザ、デバイス、クライアント認証用の AAA(「トリプル A」と発音)サーバとして使用できます。アクセス コントロール ポリシーを使用していない場合、または Cisco ISE をデバイス認証用の AAA サーバとして使用していない場合は、Cisco ISE のインストールおよび設定は不要です。
-
アクセス コントロール ポリシーは Cisco ISE を使用してアクセス制御を適用します。アクセス コントロール ポリシーを作成および使用する前に、Cisco DNA Center と Cisco ISE を統合します。このプロセスでは、特定のサービスを用いて Cisco ISE をインストールして設定し、Cisco DNA Center で Cisco ISE の設定を行う必要があります。Cisco DNA Center を用いた Cisco ISE のインストールと設定の詳細については、Cisco DNA Center 設置ガイドを参照してください。
-
ネットワークでのユーザ認証に Cisco ISE を使用している場合、Cisco ISE を統合するために アシュアランス を設定します。この統合により、有線クライアントの詳細(ユーザ名やオペレーティングシステムなど)を アシュアランス で確認できるようになります。詳細については、Cisco DNA Assurance ユーザガイド の「Cisco DNA Center の Cisco ISE 設定について」を参照してください。
Cisco ISE が正常に登録され、Cisco DNA Center で信頼性が確立されると、Cisco DNA Center は Cisco ISE と情報を共有します。 Cisco ISE を使って AAA サーバとして構成されたサイトに割り当てられた Cisco DNA Center デバイスのインベントリデータは Cisco ISE に伝達されます。さらに、Cisco DNA Center におけるそれらの Cisco DNA Center デバイスに対するすべての更新(デバイス クレデンシャルなど)も Cisco ISE を変更によって更新します。
Cisco ISE を使って AAA サーバとしてサイトに関連付けられている Cisco DNA Center デバイスが想定どおり Cisco ISE に伝達されない場合、Cisco DNA Center は一定期間待機した後、自動的に再試行します。この後続の試行は、 Cisco ISE への最初の Cisco DNA Center デバイス プッシュが、ネットワークの問題、Cisco ISE のダウンタイム、またはその他の自動訂正可能なエラーが原因で失敗した場合に行われます。Cisco DNA Center は、デバイスの追加または Cisco ISE へのデータの更新を再試行することで、 Cisco ISEとの最終的な一貫性の確立を試みます。ただし、Cisco ISE へのデバイスまたはデバイス データの伝達が、入力検証エラーとして、Cisco ISE 自体による拒否が原因で失敗した場合、再試行は行われません。
Cisco ISE について RADIUS の共有秘密を変更しても、Cisco ISE が Cisco DNA Center を更新する際にその変更は反映されません。Cisco DNA Center の共有秘密を Cisco ISE と一致するように更新するには、新しいパスワードで AAA サーバを編集します。Cisco DNA Center は新しい証明書を Cisco ISE からダウンロードし、Cisco DNA Center を更新します。
Cisco ISE は既存のデバイス情報を Cisco DNA Center と共有しません。Cisco DNA Center が Cisco ISE 内のデバイスに関する情報を認識するには、そのデバイスに Cisco DNA Center と同じ名前を付ける必要があります。Cisco DNA Center と Cisco ISE は、デバイスのホスト名変数を通じて、この統合用に固有のデバイスを識別します。
(注) |
Cisco DNA Center インベントリ デバイスを Cisco ISE に伝達し、変更を更新するプロセスはすべて Cisco DNA Center 監査ログにキャプチャされます。Cisco DNA Center と Cisco ISE 間のワークフローに問題がある場合は、Cisco DNA Center GUI で監査ログの情報を確認します。
|
Cisco DNA Center は、プライマリ管理者 ISE ノードと統合されています。Cisco DNA Center から Cisco ISE にアクセスする場合は、このノードと接続します。
Cisco DNA Center は 15 分ごとに Cisco ISE をポーリングします。Cisco ISE サーバがダウンした場合、Cisco DNA Center に Cisco ISE サーバが赤色(到達不能)で表示されます。
Cisco ISE サーバに到達不能な場合、Cisco DNA Center はポーリングを 15 秒に増やし、その後 30 秒、1 分、2 分、4 分といった具合に、最大ポーリング時間の 15 分になるまで倍増していきます。Cisco DNA Center は 15 分間隔でのポーリングを 3 日間継続します。Cisco DNA Center は接続が復活しない場合、ポーリングを停止し、Cisco ISE サーバのステータスを [信頼できない(Untrusted)] に更新します。この場合、Cisco DNA Center と Cisco ISE サーバ間の信頼関係を再確立する必要があります。
次の追加要件と推奨事項を確認して、Cisco DNA Center と Cisco ISE の統合を確認してください。
-
Cisco DNA Center と Cisco ISE の統合はプロキシ サーバ経由ではサポートされていません。プロキシサーバを使用して設定されている Cisco ISE がネットワークにある場合、そのプロキシサーバを使用しないように Cisco DNA Center を設定します。設定するにはプロキシサーバの IP アドレスをバイパスします。
-
Cisco DNA Center と Cisco ISE の統合は、現在、Cisco DNA Center 仮想 IP アドレス(VIP)経由ではサポートされていません。Cisco DNA Center にエンタープライズ CA 発行の証明書を使用している場合は、サブジェクトの別名(SAN)拡張内にある Cisco DNA Center のすべてのインターフェイスの IP アドレスが Cisco DNA Center 証明書に含まれていることを確認します。Cisco DNA Center が 3 ノードクラスタの場合、3 ノードの全インターフェイスの IP アドレスが、Cisco DNA Center 証明書の SAN 拡張に含まれている必要があります。
-
Cisco DNA Center は、Cisco ISE CLI(イーサネット ルーティング スイッチ経由)と GUI(SSH 接続経由)の両方にアクセスする必要があります。Cisco DNA Center には一組の Cisco ISE クレデンシャルのみ定義できるため、それらのクレデンシャルは、Cisco ISE GUI および CLI ユーザアカウントの両方で同じであることを確認します。
-
Cisco ISE の管理者ユーザのパスワードの有効期限を無効にします。または、期限が切れる前に、パスワードを忘れずに更新します。詳細については、『Cisco Firepower Threat Defense Virtual for MicrosoftAzure Quick Start Guide』を参照してください。
-
Cisco ISE 証明書が変更された場合は、Cisco DNA Center を更新する必要があります。更新するには、AAA サーバ(Cisco ISE)を編集し、パスワードを再入力して保存します。これにより、Cisco DNA Center は新しい管理証明書の証明書チェーンを Cisco ISE からダウンロードし、Cisco DNA Center を更新します。Cisco ISE を HA モードで使用し、管理者証明書がプライマリまたはセカンダリ管理ノードで変更された場合は、Cisco DNA Center を更新する必要があります。Cisco DNA Center は SSH を介して Cisco ISE に接続し、CLI を実行して証明書情報を取得します。
-
Cisco DNA Center は、pxGrid 経由で接続するように、自身の証明書、および Cisco ISE の証明書を設定します。pxGrid に対する別の証明書を使用して、別の pxGrid クライアント(Firepower など)に接続することもできます。これらの接続が、Cisco DNA Center および Cisco ISE の pxGrid 接続と干渉することはありません。
-
RADIUS のシークレットパスワードは変更できます。シークレットパスワードは、[System] > [Settings] > [External Services] > [Authentication and Policy Servers] ページで Cisco ISE を AAA サーバとして設定する際に提供されています。シークレットパスワードを変更するには、[Design] > [Network Settings] > [Network] の順に移動し、[Change Shared Secret] リンクをクリックします。これにより、Cisco ISEは、Cisco DNA Centerによって管理されているネットワークデバイスに接続するとき、新しいシークレットパスワードを使用するようになります。