アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Identity Services Engine 管理者ガイド リリース 2.0

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Identity Services Engine 管理者ガイド リリース 2.0

Chapter Title

TACACS+ を使用したデバイス管理の制御

検索結果

Updated:
2017年6月19日

章のタイトル: TACACS+ を使用したデバイス管理の制御

TACACS+ を使用したデバイス管理の制御

デバイス管理

デバイス管理については 2 つのタイプの管理者がいます。

  • デバイス管理者

  • ISE 管理者

デバイス管理者は、管理対象デバイスの設定と保守を実行するために、(通常は SSH を介して)スイッチ、ワイヤレス アクセス ポイント、ルータ、ゲートウェイなどのネットワーク デバイスにログインするユーザです。ISE 管理者は、デバイス管理者がログインするデバイスの設定と調整のために ISE にログインします。
ISE にログインしてデバイス管理者の操作を制御する設定を行う ISE 管理者がこのドキュメントの対象読者です。ISE 管理者は、デバイス管理機能([ワーク センター(Work centers)] > [デバイス管理(Device Administration)])を使用して、ネットワーク デバイスの設定を制御および監査します。デバイスは、Terminal Access Controller Access-Control System(TACACS)のセキュリティ プロトコルを使用して ISE サーバにクエリを行うように設定できます。ISE モニタリング ノードでは、デバイス管理に関する高度なレポートが提供されます。ISE 管理者は、次のタスクを実行できます。

  • TACACS+ の詳細(共有秘密)によるネットワーク デバイスの設定。

  • 内部ユーザとしてのデバイス管理者の追加、および必要に応じてイネーブル パスワードの設定。

  • コマンド セットやシェル プロファイルなどの TACACS 結果をデバイス管理アクセス サービスの許可ポリシー ルールで選択できるようにするポリシー セットの作成。

  • デバイス管理者がポリシー セットに基づいてデバイスにアクセスできるようにするための ISE での TACACS サーバの設定。

デバイス管理者は、ISE サーバと通信するためのデバイスの設定タスクを実行します。デバイス管理者がデバイスにログインすると、デバイスは ISE サーバにクエリを行い、次に内部または外部の ID ストアにクエリを行い、デバイス管理者の詳細を検証します。検証が ISE サーバによって行われると、デバイスは、アカウンティングと監査の目的で、各セッションまたはコマンド許可操作の最終結果を ISE サーバに通知します。

ISE 管理者は、TACACS および Cisco ISE 2.0 を使用してデバイスを管理できます。デバイス管理に関連する設定は、Cisco Secure Access Control System(ACS)サーバのバージョン 5.5 および 5.6 から移行することもできます。これ以前のバージョンの場合は、移行の前に 5.5 または 5.6 にアップグレードする必要があります。

(注)  

TACACS+ の操作をイネーブルにするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスをオンにする必要があります。このオプションは展開内の各 PSN で必ず有効にしてください。


(注)  

Cisco ISE では、既存の基本またはモビリティ ライセンスに加えて TACACS+ サービスを使用するには、デバイス管理ライセンスが必要です。デバイス管理ライセンスは永久ライセンスです。以前のリリースから Cisco ISE リリース 2.0 以降にアップグレードして、TACACS+ サービスを有効にするには、個別のアドオン ライセンスとしてデバイス管理ライセンスを発注する必要があります。ISE 展開全体に対し、1 つのデバイス管理ライセンスが必要です。

イネーブル パスワードを変更するためのコマンドライン インターフェイスへのアクセス

イネーブル パスワードを変更するには、次の手順を実行します。

はじめる前に

一部のコマンドは特権モードに割り当てられます。したがって、デバイスの管理者がこのモードに認証されているときしか実行できません。

そのデバイスの管理者が特権モードに入ろうとする際に、デバイスは特別なイネーブル認証タイプを送信します。Cisco ISE は、この特別なイネーブル認証タイプを検証するために別のイネーブル パスワードをサポートします。別のイネーブル パスワードはデバイスの管理者が内部 ID ストアに認証されているときに使用されます。外部 ID ストアとの認証では、同じパスワードが通常のログインに対して使用されます。

    ステップ 1   スイッチにログインします。
    ステップ 2   Enter を押して次のプロンプトを表示します。 
    Switch>
    ステップ 3   次のコマンドを実行して、イネーブル パスワードを設定します。 
    Switch> enable
Password: (Press Enter to leave the password blank.)
Enter Old Password: (Enter the old password.)
Enter New Password: (Enter the new password.)
Enter New Password Confirmation: (Confirm the new password.)
    (注)      Cisco ISE GUI で、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] ページに移動して、内部ユーザのイネーブル パスワードを変更することができます。

    デバイス管理ワーク センター

    [ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。ただし、ユーザ、ユーザ ID グループ、ネットワーク デバイス、デフォルト ネットワーク デバイス、ネットワーク デバイス グループ、認証および許可条件などのデバイス管理に固有ではないページは、[管理(Administration)] などの元のメニュー オプションから、アクセスすることができます。[ワークセンター(Work Centers)] オプションは、正しい TACACS+ ライセンスが取得され、インストールされている場合にのみ使用できます。

    [デバイス管理(Device Administration)] メニューには、次のメニュー オプションが含まれています。[概要(Overview)]、[デバイス管理ポリシーセット(Device Admin Policy Sets)]、[ID(Identities)]、[ユーザIDグループ(User Identity Groups)]、[ネットワークリソース(Network Resources)]、[ネットワークデバイスグループ(Network Device Groups)]、[ポリシー条件(Policy Conditions)]、[ポリシー結果(Policy Results,)]、[レポート(Reports)] および [設定(Settings)]。

    Cisco Secure ACS から Cisco ISE へのデータ移行

    移行ツールを使用して、ACS 5.5 および 5.6 からデータをインポートし、すべてのネットワーク デバイスにデフォルトの TACACS+ 秘密を設定できます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [概要(Overview)] に移動して、[準備(Prepare)] セクションで、移行ツールのリンクをクリックして移行ツールを開きます。ツールを PC に保存し、[migTool] フォルダから migration.bat ファイルを実行し、移行プロセスを開始します。移行に関する詳細については、『Cisco ISE Migration Guide』を参照してください。

    デバイス管理ポリシー セット

    [デバイス管理ポリシーセット(Device Admin Policy Sets)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)])には、ISE 管理者が TACACS+ デバイス管理者の認証と許可を制御するために管理するポリシー セットのリストが含まれています。各ポリシーでは、[通常(Regular)] および [プロキシシーケンス(Proxy Sequence)] の 2 つのモードのいずれかを使用できます。

    通常のポリシー セットは認証ルール テーブルおよび許可ルール テーブルから成ります。認証ルール テーブルは、許可する必要があるプロトコルを選択するために使用される一連の「外部」ルールで構成されます。各「外部」ルールには、使用する特定の ID ストアを選択するために使用される 1 つ以上の「内部」ルールが含まれています。許可ルール テーブルは、承認ビジネス モデルを実装するために必要な特定の承認結果を選択するための一連のルールが含まれています。各ルールは、連動するようにルールに一致する必要がある 1 つ以上の条件と、許可プロセスを制御するために選択される一連のコマンド セット、および/またはシェル プロファイルで構成されます。各ルール テーブルには、特定の状況のルールを上書きするために使用できる例外ポリシーがあり、多くの場合、例外テーブルは一時的な状況に使用されます。

    プロキシ シーケンス ポリシー セットには、単一の選択されたプロキシ シーケンスが含まれています。ポリシー セットがこのモードの場合、リモート プロキシ サーバが要求の処理に使用されます(しかし、ローカル アカウンティングがプロキシ シーケンスで設定されている場合があります)。

    TACACS+ 認証設定

    次の表では、ネットワーク デバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。ナビゲーション パスは、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)] です。

    表 1 TACACS+ 認証設定

    フィールド

    使用上のガイドライン

    共有秘密鍵(Shared Secret)

    TACACS+ プロトコルがイネーブルのときにネットワーク デバイスに割り当てられたテキストの文字列。ユーザは、ネットワーク デバイスによってユーザ名およびパスワードが認証される前にテキストを入力する必要があります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。

    シングル接続モードを有効にする(Enable Single Connect Mode)

    ネットワーク デバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかを実行します。

    • [レガシーシスコデバイス(Legacy Cisco Devices)]

    • または、[TACACS+ドラフトコンプライアンスシングル接続のサポート(TACACS+ Draft Compliance Single Connect Support)]。シングル接続モードをディセーブルにすると、ISE はすべての TACACS+ 要求に対して新しい TCP 接続を使用します。

    (注)  

    [TACACS+認証設定(TACACS+ Authentication Settings)] オプションへは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] ページからアクセスすることもできます。

    デバイス管理:許可ポリシーの結果

    ISE 管理者は、TACACS+ コマンド セットおよび TACACS+ プロファイル(ポリシー結果)を使用して、デバイス管理者に付与される権限およびコマンドを制御することができます。ポリシーはネットワーク デバイスと連動して動作するので、行われる可能性がある偶発的または悪意のある設定変更が回避されます。そのような変更が発生した場合は、デバイス管理の監査レポートを使用して、特定のコマンドを実行したデバイス管理者を追跡することができます。

    TACACS+ コマンド セット

    コマンド セットは、デバイス管理者が実行できるコマンドの指定されたリストを適用します。デバイス管理者がネットワーク デバイスに対して操作コマンドを発行すると、その管理者がこれらのコマンドの発行を認可されているかどうかを判定する問い合わせが ISE に行われます。これは、コマンド認可とも呼ばれます。

    コマンド セットのワイルドカードと正規表現

    コマンド ラインは、コマンドと 0 個以上の引数から成ります。Cisco ISE は、コマンド ライン(要求)を受信すると、次のさまざまな方法でコマンドおよび引数を処理します。

    • ワイルドカード照合パラダイムを使用して、要求内のコマンドをコマンド セットのリストに指定されたコマンドと照合します。

      例:Sh?? または S*

    • 正規表現(regex)照合パラダイムを使用して、要求内の引数をコマンド セットのリストに指定された引数と照合します。

      例:Show interface[1-4] port[1-9]:tty*

    コマンド ラインおよびコマンド セットのリストの一致

    要求されたコマンド ラインをワイルドカードおよび正規表現を含むコマンド セットのリストに一致させるには、次の手順を実行します。

    1. コマンド セットのリストを反復し、一致するコマンドを検出します。

      ワイルドカード照合では以下が許可されています。

      • 大文字小文字の区別なし

      • コマンド セット内のコマンドの任意の文字を「?」にでき、要求されたコマンドに存在する必要がある個別の文字に一致させることができます。

      • コマンド セット内のコマンドの任意の文字を「*」にでき、要求されたコマンド内の 0 個以上の文字に一致させることができます。

        次に、例を示します。

        要求

        コマンド セット

        一致

        説明

        show

        show

        Y

        show

        SHOW

        Y

        大文字小文字の区別なし

        show

        Sh??

        Y

        任意の文字と一致します

        show

        Sho??

        N

        2 つ目の「?」は存在しない文字と交差します

        show

        S*

        Y

        「*」は任意の文字と一致します

        show

        S*w

        Y

        「*」は文字「ho」と一致します

        show

        S*p

        N

        文字「p」は対応しません

    2. 一致する各コマンドに対し、Cisco ISE は引数を検証します。

      コマンド セットのリストには、各コマンドのスペースで区切られた一連の引数が含まれています。

      例:Show interface[1-4] port[1-9]:tty.*

      このコマンドには、2 つの引数があります。

      1.引数 1:interface[1-4]

      2.引数 2:port[1-9]:tty.*

      要求内のコマンド引数は、パケットに表示される位置が重要な順序で実行されます。コマンド定義内のすべての引数が要求内の引数に一致すると、このコマンド/引数は一致していると見なされます。要求内の無関係な引数はすべて無視されることに注意してください。


      (注)  

      引数には標準の Unix 正規表現を使用します。

    複数のコマンド セットを持つルールの処理

    1. コマンド セットにコマンドとその引数との一致が含まれる場合、その一致が Deny Always であると、ISE によってそのコマンド セットは Commandset-DenyAlways として指定されます。

    2. コマンド セット内のコマンドの一致に Deny Always がない場合は、最初の一致が見つかるまで、コマンド セット内のすべてのコマンドが順番にチェックされます。

      1. 最初の一致が Permit である場合、そのコマンド セットは Commandset-Permit として指定されます。

      2. 最初の一致が Deny である場合、そのコマンド セットは Commandset-Deny として指定されます。

    3. ISE は、すべてのコマンド セットを分析したあと、コマンドを次のように認可します。

      1. コマンド セットが Commandset-DenyAlways として指定された場合、ISE によってそのコマンドは拒否されます。

      2. Commandset-DenyAlways がない場合、コマンド セットが Commandset-Permit である場合はそのコマンドが許可されます。そうでない場合、そのコマンドは拒否されます。唯一の例外は、[不一致(Unmatched)] チェックボックスがオンになっている場合です。

    TACACS+ プロファイル

    TACACS+ プロファイルは、デバイス管理者の最初のログイン セッションを制御します。セッションは、個々の認証、許可、またはアカウンティングの要求を参照します。ネットワーク デバイスへのセッション許可要求により、ISE 応答が発生します。この応答には、ネットワーク デバイスにより解釈されるトークンが含まれています。ネットワーク デバイスにより、セッション期間中に実行できるコマンドが制限されます。デバイス管理アクセス サービス用の許可ポリシーでは、単一のシェル プロファイルおよび複数のコマンド セットを含めることができます。TACACS+ プロファイル定義は、次の 2 つのコンポーネントに分けられています。

    • 共通タスク

    • カスタム属性

    [TACACS+プロファイル(TACACS+ Profiles)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSプロファイル(TACACS Profiles)])には、[タスク属性(Task Attribute)] ビューと [未処理(Raw)] ビューの 2 つのビューがあります。共通タスクは [タスク属性(Task Attribute)] ビューを使用して入力でき、カスタム属性は [タスク属性(Task Attribute)] ビューおよび [未処理(Raw)] ビューで作成できます。

    [共通タスク(Common Tasks)] セクションを使用すると、頻繁に使用されるプロファイル属性を選択および設定できます。ここに含まれている属性は、TACACS+ プロトコルのドラフト規格で定義されている属性です。これらの属性は、特に、シェル サービスに関連しています。ただし、これらの値は、他のサービスからの要求の許可に使用される場合があります。[タスク属性(Task Attribute)] ビューでは、ISE 管理者はデバイス管理者に割り当てられる権限を設定できます。

    [カスタム属性(Custom Attributes)] セクションを使用すると、追加の属性を設定できます。[共通タスク(Common Tasks)] セクションで認識されていない属性のリストも提供されます。各定義は、属性名、属性が必須であるか任意であるかの指定、および属性の値で構成されています。[未処理(Raw)] ビューでは、属性名とその値の間に等号(=)を使用して必須属性を入力することができ、任意の属性は、属性名とその値の間にアスタリスク(*)を使用して入力できます。[未処理(Raw)] ビューで入力された属性は、[タスク属性(Task Attribute)] ビューの [カスタム属性(Custom Attributes)] セクションに反映され、その逆も同様です。[未処理(Raw)] ビューは、クリップボードから属性リスト(たとえば、別の製品の属性リスト)を ISE にコピー ペーストするためにも使用されます。カスタム属性は、非シェル サービスに対して定義できます。

    共通タスク設定

    共通タスクの設定ページを表示するには、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSプロファイル(TACACS Profiles)] > [追加(Add)] に移動します。

    オプション

    説明

    デフォルトの権限(Default Privilege)
    シェル認可のデバイス管理者のデフォルトの(最初の)権限レベルをイネーブルにします。次のオプションのいずれかを選択します。

    • 0 ~ 15 の範囲の値を選択します。

    • 必要な ID ストア属性を選択します。

    最大権限(Maximum Privilege)

    イネーブル認証の最大権限レベルを有効にします。0 ~ 15 の範囲の値を選択できます。

    アクセス コントロール リスト(Access Control List)

    ASCII 文字列(1-251*)または必要な ID ストア属性を選択します。

    自動コマンド(Auto Command)

    ASCII 文字列(1-248*)または必要な ID ストア属性を選択します。

    エスケープなし(No Escape)
    次のオプションのいずれかを選択します。

    • [True]:エスケープ防止をイネーブルにすることを指定します。

    • [False]:エスケープ防止をイネーブルにしないことを指定します。

    • 必要な ID ストア属性を選択します。

    Timeout

    0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。

    アイドル時間(Idle Time)

    0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。

    TACACS+ コマンド セットの作成

    TACACS+ コマンド セットのポリシー結果を使用してポリシー セットを作成するには、次の手順を実行します。

      ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSコマンドセット(TACACS Command Sets)] の順に選択します。
      ステップ 2   [追加(Add)] をクリックします。
      ステップ 3   名前と説明を入力します。
      ステップ 4   [追加(Add)] をクリックして、権限の付与、コマンドおよび引数を指定します。
      ステップ 5   [付与(Grant)] ドロップダウンで、以下のいずれかを選択できます。

      • [許可(Permit)]:指定したコマンドを許可する場合(たとえば、permit show、permit con* Argument terminal など)。

      • [拒否(Deny)]:指定したコマンドを拒否する場合(たとえば、deny mtrace)。

      • [常に拒否(Deny Always)]:他のコマンド セットで許可されているコマンドをオーバーライドする場合(たとえば、clear auditlogs)。

      (注)     

      [付与(Grant)]、[コマンド(Command)] および [引数(Argument)] フィールドの列幅を増やしたり減らしたりするには、アクション アイコンをクリックします。

      ステップ 6   [下にリストされていないコマンドを許可(Permit any command that is not listed below)] チェックボックスをオンにして、[付与(Grant)] 列で [許可(Permit)]、[拒否(Deny)] または [常に拒否(Deny Always)] として指定されていないコマンドおよび引数を許可します。

      TACACS+ プロファイルの作成

      TACACS+ プロファイルを作成するには、次の手順を実行します。

        ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSプロファイル(TACACS Profiles)] の順に選択します。
        ステップ 2   [TACACSプロファイル(TACACS Profile)] セクションで、名前と説明を入力します。
        ステップ 3   [タスク属性ビュー(Task Attribute View)] タブで、必要な共通タスクを確認します。共通タスク設定 ページを参照してください。
        ステップ 4   [タスク属性ビュー(Task Attribute View)] タブの [カスタム属性(Custom Attributes)] セクションで、[追加(Add)] をクリックして必須属性を入力します。

        デバイス管理ポリシー セットの作成

        デバイス管理ポリシー セットを作成するには、次の手順を実行します。

        はじめる前に

        • TACACS+ 操作に対して、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ノードの編集(Edit Node)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスがオンになっていることを確認します。

        • ユーザ ID グループ(たとえば System_Admin、Helpdesk など)が作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ユーザIDグループ(User Identity Groups)] > ページ)

        • メンバー ユーザ(たとえば ABC、XYZ など)がユーザ ID グループに含まれていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ID(Identities)] > [ユーザ(Users)] ページ)

        • 管理が必要なデバイスで TACACS 設定を行います。(デバイスが ISE にクエリを行いやすいようにするために、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)] チェックボックスがイネーブルで、TACACS およびデバイスの共有秘密が同一になっています)

        • デバイス タイプとロケーションに基づいたネットワーク デバイス グループが作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークデバイスグループ(Network Device Groups)] ページ)

          ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)] の順に選択します。
          ステップ 2   左側のペインで、新しいポリシー セットをその上(下)に追加する現在のポリシー セットを選択します。
          ステップ 3   左側のペインで、[上に作成(Create Above)] をクリックして、新しいポリシー セットを作成します。
          ステップ 4   [編集(Edit)] をクリックして、名前、説明、および条件を入力し(たとえば、名前:Device_Admin_Policy_1、説明:ISE administrator、条件:DEVICE:Device Type EQAULS Device Type#All Device Types #Cisco_switches)、その条件に基づくルールを設定します。
          ステップ 5   [完了(Done)] をクリックします。
          ステップ 6   必要な認証ポリシーを作成します(たとえば、名前:ATN_Internal_Users、ルール:if DEVICE:Location EQUALS Location #All Locations#Europe、条件:Allow Protocols: Device_Admin_protocols and Default: Use Internal Users。この例で、ポリシーはロケーション ヨーロッパにあるデバイスのみを照合し、デバイス管理プロトコルで定義されたプロトコルを許可し、内部ユーザに対して認証を行います)。
          ステップ 7   必要な許可ポリシーを作成します。

          例 1:ルール名:Sys_Admin_rule、条件:if SysAdmin and TACACS User Equals ABC then cmd_Sys_Admin AND Profile_priv_8。この例で、ポリシーはユーザ名 ABC のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 8 を割り当てます。

          例 2:ルール名:HelpDesk AND TACACS User EQUALS XYZ then cmd_HDesk_show AND cmd_HDesk_ping AND Profile_priv_1。この例で、ポリシーはユーザ名 XYZ のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 1 を割り当てます。

          上記の例で、

          • コマンド セット cmd_Sys_Admin および cmd_HDesk は、[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [TACACS コマンド セット(TACACS Command Sets)] > [追加(Add)] ページで作成されます。

          • TACACS プロファイル Profile_Priv_1 および Profile_priv_8 は、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSプロファイル(TACACS Profiles)] > [追加(Add)] ページで作成されます。

          (注)     

          承認結果を作成する際に使用できるように、ポリシー結果はポリシー セットの作成前に作成することを推奨します。

          ステップ 8   [送信(Submit)] をクリックして、新しいポリシー セットを作成します。

          デバイス管理アクティビティのモニタ

          Cisco ISE では、TACACS+ で設定されたデバイスのアカウンティング、認証、許可、およびコマンド アカウンティングに関する情報を参照できる、さまざまなレポートおよびログが提供されます。オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。

            ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [レポート(Reports)] > [ISEレポート(ISE Reports)] の順に選択します。

            また、[操作(Operations)] > [レポート(Reports)] > [ISEレポート(ISE Reports)] ページでレポートを表示することもできます。

            ステップ 2   [レポートセレクタ(Report Selector)] で、[デバイス管理(Device Administration)] を展開して、[TACACSアカウンティング(TACACS Accounting)]、[TACACS認証(TACACS Authentication)]、[TACACS許可(TACACS Authorization)]、および [TACACSコマンドアカウンティング(TACACS Command Accounting)] レポートを表示します。
            ステップ 3   レポートを選択し、[フィルタ(Filters)] ドロップダウン リストを使用して、検索するデータを選択します。
            ステップ 4   データを表示する [時間範囲(Time Range)] を選択します。
            ステップ 5   [実行(Run)] をクリックします。

            TACACS+ のグローバル設定

            TACACS+ のグローバル設定を行うには、次の手順を実行します。

              ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] の順に選択します。
              1. [接続設定(Connection Settings)] タブで、必須フィールドのデフォルト値を変更できます。
              ステップ 2   [パスワード変更制御(Password Change Control)] タブで、パスワードの更新を TACACS+ を介して許可するかどうかを制御するのに必要なフィールドを定義します。

              [Telnetパスワード変更を有効にする(Enable Telnet Change Password)] セクションのプロンプトは、このオプションが選択されている場合にのみ有効です。選択されていない場合は、[Telnetパスワード変更を無効にする(Disable Telnet Change Password)] のプロンプトが有効になります。パスワード プロンプトはすべてカスタマイズ可能で、必要に応じて変更できます。

              ステップ 3   [セッションキーの割り当て(Session Key Assignment)] タブで、セッションに TACACS+ 要求をリンクするために必要なフィールドを選択します。

              セッション キーは、クライアントからの AAA 要求をリンクするためにモニタリング ノードによって使用されます。デフォルト設定では、[NASアドレス(NAS-Address)]、[ポート(Port)]、[リモートアドレス(Remote-Address)]、および [ユーザ(User)] フィールドが有効になっています。

              ステップ 4   [保存(Save)] をクリックします。

              このドキュメントは役に立ちましたか?

              Feedbackフィードバック

              お問い合わせ先

              関連するサポート コミュニティのディスカッション

              シスコについて
              シスコへのお問い合わせ
              採用情報