認可変更と再認証の手順
認可変更(CoA)は、認証、認可、およびアカウンティング(AAA)セッションの属性を、認証された後に変更するためのメカニズムを提供します。この手順の主なステップは次のとおりです。
-
認証
-
ポスチャ アセスメント
-
CoA の再認証
-
ネットワーク アクセス認可

AAA でユーザー、またはユーザーグループのポリシーが変更された場合、管理者は、AAA サーバーから Cisco Identity Secure Engine(ISE)などの RADIUS CoA パケットを送信し、認証を再初期化して新しいポリシーを適用することができます。このセクションでは、使用可能なプリミティブおよびそれらの CoA での使用方法を含む、RADIUS インターフェイスの概要について説明します。
RADIUS CoA は、AAA セッションの属性をセッション認証後に変更するためのメカニズムを提供します。RADIUS サーバーのユーザーまたはユーザーグループでポリシーが変更された場合、管理者は RADIUS サーバーから RADIUS CoA プロセスを開始して、新しいポリシーを再認証または再認可できます。

デフォルトでは、RADIUS インターフェイスがデバイスで有効になっています。ただし、次の属性については、一部の基本的な設定が必要になります。
-
セキュリティとパスワード
-
アカウンティング
ポスチャアセスメントが成功すると、最後のアセスメントから導出されたコンプライアンス状態に基づき、CoA 再認証コマンドによって特定のクライアントのデバイスに完全なネットワークアクセスがプッシュされます。ダウンロード可能な ACL を、対応するクライアントに対する特定のリソースへの Permit-ALL または制限付きアクセスを使用して適用するかどうかは任意です。セッションの特定、セッションの終了、ホストの再認証、ポートのシャットダウン、およびポート バウンスでは、セッションごとの CoA 要求がサポートされます。このモデルは、次のように、1 つの要求(CoA-Request)と 2 つの考えられる応答コードで構成されます。
-
CoA acknowledgement(ACK)[CoA-ACK]
-
CoA nonacknowledgement(NAK)[CoA-NAK]