Cisco Identity Services Engine 管理者ガイド リリース 2.0
- Updated:
- 2017年6月19日
章のタイトル: TACACS+ を使用したデバイス管理の制御
TACACS+ を使用したデバイス管理の制御
デバイス管理
デバイス管理者は、ISE サーバと通信するためのデバイスの設定タスクを実行します。デバイス管理者がデバイスにログインすると、デバイスは ISE サーバにクエリを行い、次に内部または外部の ID ストアにクエリを行い、デバイス管理者の詳細を検証します。検証が ISE サーバによって行われると、デバイスは、アカウンティングと監査の目的で、各セッションまたはコマンド許可操作の最終結果を ISE サーバに通知します。
 (注) | TACACS+ の操作をイネーブルにするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスをオンにする必要があります。このオプションは展開内の各 PSN で必ず有効にしてください。 |
(注) | Cisco ISE では、既存の基本またはモビリティ ライセンスに加えて TACACS+ サービスを使用するには、デバイス管理ライセンスが必要です。デバイス管理ライセンスは永久ライセンスです。以前のリリースから Cisco ISE リリース 2.0 以降にアップグレードして、TACACS+ サービスを有効にするには、個別のアドオン ライセンスとしてデバイス管理ライセンスを発注する必要があります。ISE 展開全体に対し、1 つのデバイス管理ライセンスが必要です。 |
イネーブル パスワードを変更するためのコマンドライン インターフェイスへのアクセス
イネーブル パスワードを変更するには、次の手順を実行します。
一部のコマンドは特権モードに割り当てられます。したがって、デバイスの管理者がこのモードに認証されているときしか実行できません。
そのデバイスの管理者が特権モードに入ろうとする際に、デバイスは特別なイネーブル認証タイプを送信します。Cisco ISE は、この特別なイネーブル認証タイプを検証するために別のイネーブル パスワードをサポートします。別のイネーブル パスワードはデバイスの管理者が内部 ID ストアに認証されているときに使用されます。外部 ID ストアとの認証では、同じパスワードが通常のログインに対して使用されます。
| ステップ 1 | スイッチにログインします。 | ||
| ステップ 2 | Enter を押して次のプロンプトを表示します。
Switch> | ||
| ステップ 3 | 次のコマンドを実行して、イネーブル パスワードを設定します。
Switch> enable Password: (Press Enter to leave the password blank.) Enter Old Password: (Enter the old password.) Enter New Password: (Enter the new password.) Enter New Password Confirmation: (Confirm the new password.)
|
デバイス管理ワーク センター
[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。ただし、ユーザ、ユーザ ID グループ、ネットワーク デバイス、デフォルト ネットワーク デバイス、ネットワーク デバイス グループ、認証および許可条件などのデバイス管理に固有ではないページは、[管理(Administration)] などの元のメニュー オプションから、アクセスすることができます。[ワークセンター(Work Centers)] オプションは、正しい TACACS+ ライセンスが取得され、インストールされている場合にのみ使用できます。
[デバイス管理(Device Administration)] メニューには、次のメニュー オプションが含まれています。[概要(Overview)]、[デバイス管理ポリシーセット(Device Admin Policy Sets)]、[ID(Identities)]、[ユーザIDグループ(User Identity Groups)]、[ネットワークリソース(Network Resources)]、[ネットワークデバイスグループ(Network Device Groups)]、[ポリシー条件(Policy Conditions)]、[ポリシー結果(Policy Results,)]、[レポート(Reports)] および [設定(Settings)]。
Cisco Secure ACS から Cisco ISE へのデータ移行
移行ツールを使用して、ACS 5.5 および 5.6 からデータをインポートし、すべてのネットワーク デバイスにデフォルトの TACACS+ 秘密を設定できます。 に移動して、[準備(Prepare)] セクションで、移行ツールのリンクをクリックして移行ツールを開きます。ツールを PC に保存し、[migTool] フォルダから migration.bat ファイルを実行し、移行プロセスを開始します。移行に関する詳細については、『Cisco ISE Migration Guide』を参照してください。
デバイス管理ポリシー セット
[デバイス管理ポリシーセット(Device Admin Policy Sets)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)])には、ISE 管理者が TACACS+ デバイス管理者の認証と許可を制御するために管理するポリシー セットのリストが含まれています。各ポリシーでは、[通常(Regular)] および [プロキシシーケンス(Proxy Sequence)] の 2 つのモードのいずれかを使用できます。
通常のポリシー セットは認証ルール テーブルおよび許可ルール テーブルから成ります。認証ルール テーブルは、許可する必要があるプロトコルを選択するために使用される一連の「外部」ルールで構成されます。各「外部」ルールには、使用する特定の ID ストアを選択するために使用される 1 つ以上の「内部」ルールが含まれています。許可ルール テーブルは、承認ビジネス モデルを実装するために必要な特定の承認結果を選択するための一連のルールが含まれています。各ルールは、連動するようにルールに一致する必要がある 1 つ以上の条件と、許可プロセスを制御するために選択される一連のコマンド セット、および/またはシェル プロファイルで構成されます。各ルール テーブルには、特定の状況のルールを上書きするために使用できる例外ポリシーがあり、多くの場合、例外テーブルは一時的な状況に使用されます。
プロキシ シーケンス ポリシー セットには、単一の選択されたプロキシ シーケンスが含まれています。ポリシー セットがこのモードの場合、リモート プロキシ サーバが要求の処理に使用されます(しかし、ローカル アカウンティングがプロキシ シーケンスで設定されている場合があります)。
TACACS+ 認証設定
次の表では、ネットワーク デバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
(注) | [TACACS+認証設定(TACACS+ Authentication Settings)] オプションへは、 ページからアクセスすることもできます。 |
デバイス管理:許可ポリシーの結果
ISE 管理者は、TACACS+ コマンド セットおよび TACACS+ プロファイル(ポリシー結果)を使用して、デバイス管理者に付与される権限およびコマンドを制御することができます。ポリシーはネットワーク デバイスと連動して動作するので、行われる可能性がある偶発的または悪意のある設定変更が回避されます。そのような変更が発生した場合は、デバイス管理の監査レポートを使用して、特定のコマンドを実行したデバイス管理者を追跡することができます。
TACACS+ コマンド セット
コマンド セットは、デバイス管理者が実行できるコマンドの指定されたリストを適用します。デバイス管理者がネットワーク デバイスに対して操作コマンドを発行すると、その管理者がこれらのコマンドの発行を認可されているかどうかを判定する問い合わせが ISE に行われます。これは、コマンド認可とも呼ばれます。
コマンド セットのワイルドカードと正規表現
コマンド ラインは、コマンドと 0 個以上の引数から成ります。Cisco ISE は、コマンド ライン(要求)を受信すると、次のさまざまな方法でコマンドおよび引数を処理します。
コマンド ラインおよびコマンド セットのリストの一致
要求されたコマンド ラインをワイルドカードおよび正規表現を含むコマンド セットのリストに一致させるには、次の手順を実行します。
-
コマンド セットのリストを反復し、一致するコマンドを検出します。
ワイルドカード照合では以下が許可されています。 -
大文字小文字の区別なし
-
コマンド セット内のコマンドの任意の文字を「?」にでき、要求されたコマンドに存在する必要がある個別の文字に一致させることができます。
-
コマンド セット内のコマンドの任意の文字を「*」にでき、要求されたコマンド内の 0 個以上の文字に一致させることができます。
次に、例を示します。
要求
コマンド セット
一致
説明
show
show
Y
—
show
SHOW
Y
大文字小文字の区別なし
show
Sh??
Y
任意の文字と一致します
show
Sho??
N
2 つ目の「?」は存在しない文字と交差します
show
S*
Y
「*」は任意の文字と一致します
show
S*w
Y
「*」は文字「ho」と一致します
show
S*p
N
文字「p」は対応しません
-
-
一致する各コマンドに対し、Cisco ISE は引数を検証します。
コマンド セットのリストには、各コマンドのスペースで区切られた一連の引数が含まれています。
例:Show interface[1-4] port[1-9]:tty.*
このコマンドには、2 つの引数があります。
1.引数 1:interface[1-4]
2.引数 2:port[1-9]:tty.*
要求内のコマンド引数は、パケットに表示される位置が重要な順序で実行されます。コマンド定義内のすべての引数が要求内の引数に一致すると、このコマンド/引数は一致していると見なされます。要求内の無関係な引数はすべて無視されることに注意してください。
(注)
引数には標準の Unix 正規表現を使用します。
複数のコマンド セットを持つルールの処理
TACACS+ プロファイル
TACACS+ プロファイルは、デバイス管理者の最初のログイン セッションを制御します。セッションは、個々の認証、許可、またはアカウンティングの要求を参照します。ネットワーク デバイスへのセッション許可要求により、ISE 応答が発生します。この応答には、ネットワーク デバイスにより解釈されるトークンが含まれています。ネットワーク デバイスにより、セッション期間中に実行できるコマンドが制限されます。デバイス管理アクセス サービス用の許可ポリシーでは、単一のシェル プロファイルおよび複数のコマンド セットを含めることができます。TACACS+ プロファイル定義は、次の 2 つのコンポーネントに分けられています。
[TACACS+プロファイル(TACACS+ Profiles)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー結果(Policy Results)] > [TACACSプロファイル(TACACS Profiles)])には、[タスク属性(Task Attribute)] ビューと [未処理(Raw)] ビューの 2 つのビューがあります。共通タスクは [タスク属性(Task Attribute)] ビューを使用して入力でき、カスタム属性は [タスク属性(Task Attribute)] ビューおよび [未処理(Raw)] ビューで作成できます。
[共通タスク(Common Tasks)] セクションを使用すると、頻繁に使用されるプロファイル属性を選択および設定できます。ここに含まれている属性は、TACACS+ プロトコルのドラフト規格で定義されている属性です。これらの属性は、特に、シェル サービスに関連しています。ただし、これらの値は、他のサービスからの要求の許可に使用される場合があります。[タスク属性(Task Attribute)] ビューでは、ISE 管理者はデバイス管理者に割り当てられる権限を設定できます。
[カスタム属性(Custom Attributes)] セクションを使用すると、追加の属性を設定できます。[共通タスク(Common Tasks)] セクションで認識されていない属性のリストも提供されます。各定義は、属性名、属性が必須であるか任意であるかの指定、および属性の値で構成されています。[未処理(Raw)] ビューでは、属性名とその値の間に等号(=)を使用して必須属性を入力することができ、任意の属性は、属性名とその値の間にアスタリスク(*)を使用して入力できます。[未処理(Raw)] ビューで入力された属性は、[タスク属性(Task Attribute)] ビューの [カスタム属性(Custom Attributes)] セクションに反映され、その逆も同様です。[未処理(Raw)] ビューは、クリップボードから属性リスト(たとえば、別の製品の属性リスト)を ISE にコピー ペーストするためにも使用されます。カスタム属性は、非シェル サービスに対して定義できます。
共通タスク設定
共通タスクの設定ページを表示するには、 に移動します。
|
オプション |
説明 |
|---|---|
|
デフォルトの権限(Default Privilege) |
|
|
最大権限(Maximum Privilege) |
イネーブル認証の最大権限レベルを有効にします。0 ~ 15 の範囲の値を選択できます。 |
|
アクセス コントロール リスト(Access Control List) |
ASCII 文字列(1-251*)または必要な ID ストア属性を選択します。 |
|
自動コマンド(Auto Command) |
ASCII 文字列(1-248*)または必要な ID ストア属性を選択します。 |
|
エスケープなし(No Escape) |
|
|
Timeout |
0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。 |
|
アイドル時間(Idle Time) |
0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。 |
TACACS+ コマンド セットの作成
TACACS+ コマンド セットのポリシー結果を使用してポリシー セットを作成するには、次の手順を実行します。
TACACS+ プロファイルの作成
TACACS+ プロファイルを作成するには、次の手順を実行します。
| ステップ 1 | の順に選択します。 |
| ステップ 2 | [TACACSプロファイル(TACACS Profile)] セクションで、名前と説明を入力します。 |
| ステップ 3 | [タスク属性ビュー(Task Attribute View)] タブで、必要な共通タスクを確認します。共通タスク設定 ページを参照してください。 |
| ステップ 4 | [タスク属性ビュー(Task Attribute View)] タブの [カスタム属性(Custom Attributes)] セクションで、[追加(Add)] をクリックして必須属性を入力します。 |
デバイス管理ポリシー セットの作成
デバイス管理ポリシー セットを作成するには、次の手順を実行します。
-
TACACS+ 操作に対して、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ノードの編集(Edit Node)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスがオンになっていることを確認します。
-
ユーザ ID グループ(たとえば System_Admin、Helpdesk など)が作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ユーザIDグループ(User Identity Groups)] > ページ)
-
メンバー ユーザ(たとえば ABC、XYZ など)がユーザ ID グループに含まれていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ID(Identities)] > [ユーザ(Users)] ページ)
-
管理が必要なデバイスで TACACS 設定を行います。(デバイスが ISE にクエリを行いやすいようにするために、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)] チェックボックスがイネーブルで、TACACS およびデバイスの共有秘密が同一になっています)
-
デバイス タイプとロケーションに基づいたネットワーク デバイス グループが作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークデバイスグループ(Network Device Groups)] ページ)
| ステップ 1 | の順に選択します。 | ||
| ステップ 2 | 左側のペインで、新しいポリシー セットをその上(下)に追加する現在のポリシー セットを選択します。 | ||
| ステップ 3 | 左側のペインで、[上に作成(Create Above)] をクリックして、新しいポリシー セットを作成します。 | ||
| ステップ 4 | [編集(Edit)] をクリックして、名前、説明、および条件を入力し(たとえば、名前:Device_Admin_Policy_1、説明:ISE administrator、条件:DEVICE:Device Type EQAULS Device Type#All Device Types #Cisco_switches)、その条件に基づくルールを設定します。 | ||
| ステップ 5 | [完了(Done)] をクリックします。 | ||
| ステップ 6 | 必要な認証ポリシーを作成します(たとえば、名前:ATN_Internal_Users、ルール:if DEVICE:Location EQUALS Location #All Locations#Europe、条件:Allow Protocols: Device_Admin_protocols and Default: Use Internal Users。この例で、ポリシーはロケーション ヨーロッパにあるデバイスのみを照合し、デバイス管理プロトコルで定義されたプロトコルを許可し、内部ユーザに対して認証を行います)。 | ||
| ステップ 7 | 必要な許可ポリシーを作成します。
例 1:ルール名:Sys_Admin_rule、条件:if SysAdmin and TACACS User Equals ABC then cmd_Sys_Admin AND Profile_priv_8。この例で、ポリシーはユーザ名 ABC のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 8 を割り当てます。 例 2:ルール名:HelpDesk AND TACACS User EQUALS XYZ then cmd_HDesk_show AND cmd_HDesk_ping AND Profile_priv_1。この例で、ポリシーはユーザ名 XYZ のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 1 を割り当てます。
| ||
| ステップ 8 | [送信(Submit)] をクリックして、新しいポリシー セットを作成します。 |
デバイス管理アクティビティのモニタ
Cisco ISE では、TACACS+ で設定されたデバイスのアカウンティング、認証、許可、およびコマンド アカウンティングに関する情報を参照できる、さまざまなレポートおよびログが提供されます。オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。
| ステップ 1 | の順に選択します。 また、 ページでレポートを表示することもできます。 |
| ステップ 2 | [レポートセレクタ(Report Selector)] で、[デバイス管理(Device Administration)] を展開して、[TACACSアカウンティング(TACACS Accounting)]、[TACACS認証(TACACS Authentication)]、[TACACS許可(TACACS Authorization)]、および [TACACSコマンドアカウンティング(TACACS Command Accounting)] レポートを表示します。 |
| ステップ 3 | レポートを選択し、[フィルタ(Filters)] ドロップダウン リストを使用して、検索するデータを選択します。 |
| ステップ 4 | データを表示する [時間範囲(Time Range)] を選択します。 |
| ステップ 5 | [実行(Run)] をクリックします。 |
TACACS+ のグローバル設定
TACACS+ のグローバル設定を行うには、次の手順を実行します。
| ステップ 1 | の順に選択します。 |
| ステップ 2 | [パスワード変更制御(Password Change Control)] タブで、パスワードの更新を TACACS+ を介して許可するかどうかを制御するのに必要なフィールドを定義します。
[Telnetパスワード変更を有効にする(Enable Telnet Change Password)] セクションのプロンプトは、このオプションが選択されている場合にのみ有効です。選択されていない場合は、[Telnetパスワード変更を無効にする(Disable Telnet Change Password)] のプロンプトが有効になります。パスワード プロンプトはすべてカスタマイズ可能で、必要に応じて変更できます。 |
| ステップ 3 | [セッションキーの割り当て(Session Key Assignment)] タブで、セッションに TACACS+ 要求をリンクするために必要なフィールドを選択します。
セッション キーは、クライアントからの AAA 要求をリンクするためにモニタリング ノードによって使用されます。デフォルト設定では、[NASアドレス(NAS-Address)]、[ポート(Port)]、[リモートアドレス(Remote-Address)]、および [ユーザ(User)] フィールドが有効になっています。 |
| ステップ 4 | [保存(Save)] をクリックします。 |
フィードバック