ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件の場合に RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。

認証ポリシーの定義時に選択可能なプロトコルを次に示します。

• パスワード認証プロトコル（PAP）

• Protected Extensible Authentication Protocol（PEAP）

• Microsoft Challenge Handshake Authentication Protocol version 2（MS-CHAPv2）

• Extensible Authentication Protocol-Message Digest 5（EAP-MD5）

• Extensible Authentication Protocol-Transport Layer Security（EAP-TLS）

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling（EAP-FAST）

• Extensible Authentication Protocol-Tunneled Transport Layer Security（EAP-TTLS; 拡張認証プロトコル - トンネル方式トランスポート層セキュリティ）

• Protected Extensible Authentication Protocol-Transport Layer Security（PEAP-TLS）

認証タイプは、選択されたプロトコルに基づきます。認証タイプはパスワード ベースです。認証は、要求内に存在するユーザ名とパスワードを使用してデータベースに対して実行されます。

認証ポリシーの結果である ID 特定方法は、次のいずれかになります。

• アクセスを拒否：ユーザへのアクセスは拒否され、認証は実行されません。

• ID データベース：次のいずれかの単一の ID データベース。

  • 内部ユーザ

  • ゲスト ユーザ

  • 内部エンドポイント

  • Active Directory

  • Lightweight Directory Access Protocol（LDAP）データベース

  • RADIUS トークン サーバ（RSA または SafeWord サーバ）

  • 証明書認証プロファイル

• ID ソース順序：認証に使用する ID データベースの順序。

デフォルトでは、Cisco ISE がユーザ情報の検索に使用する ID ソースは、内部ユーザ データベースです。

識別方法としてアクセス拒否を選択した場合、要求への応答として拒否メッセージが送信されます。ID データベースまたは ID データベース順序を選択して、認証が成功した場合、認証ポリシーの処理が続行されます。一部の認証は失敗し、その場合次のように分類されます。

• 認証の失敗：クレデンシャルが正しくない、無効なユーザであることなどが原因で認証が失敗したことを示す明確な応答を受信します。アクションのデフォルト コースは拒否です。

• ユーザが見つからない：どの ID データベースでもこのユーザが見つかりませんでした。アクションのデフォルト コースは拒否です。

• 処理の失敗：ID データベース（複数の場合もある）にアクセスできません。アクションのデフォルト コースはドロップです。

Cisco ISE では、認証失敗に対して次のアクションのコースのいずれかを設定することができます。

• [拒否（Reject）]：拒否応答が送信されます。

• [ドロップ（Drop）]：応答は送信されません。

• [続行（Continue）]：許可ポリシーに従って Cisco ISE を継続します。

[続行（Continue）] オプションを選択した場合でも、使用されているプロトコルの制限により Cisco ISE が要求の処理を実行できない場合があります。PEAP、LEAP、EAP-FAST、EAP-TLS、または RADIUS MSCHAP を使用した認証では、認証に失敗したり、ユーザが見つからなかったときには、要求の処理を続行することはできません。

認証に失敗した場合、PAP/ASCII または MAC 認証バイパス（MAB またはホスト ルックアップ）の許可ポリシーの処理を続行できます。その他のすべての認証プロトコルの場合、認証に失敗すると、次のいずれかの状態となります。

• 認証の失敗：拒否応答が送信されます。

• ユーザまたはホストが見つからない：拒否応答が送信されます。

• 処理に問題が発生：応答は送信されず、要求はドロップされます。

以下は認証ポリシー ページの一般用語の一部です。

• 許可されるプロトコル：許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。

• アイデンティティ ソース：Cisco ISE データベースがユーザ情報に使用する ID ソースを定義します。データベースは内部データベースの場合や、Active Directory または LDAP などの外部 ID ソースの場合もあります。一連のデータベースを ID ソース順序に加えて、この順序をポリシー内で ID ソースとしてリストできます。Cisco ISE は、リストされている順序でデータベース内のクレデンシャルを検索します。

• フェールオーバー オプション：認証に失敗した、ユーザが見つからない、または処理に失敗した場合に Cisco ISE が取るべきアクションのコースを指定できます。

簡易認証ポリシーを設定するときは、次のガイドラインに従ってください。

• RADIUS サーバ順序を使用する場合は、このアクセス サービスを定義してからポリシーを定義する必要があります。

• ユーザが外部 ID ソースで定義されている場合、ポリシーを定義する前に Cisco ISE でこれらの ID ソースが設定されていることを確認してください。

• ID ソース順序を使用してユーザを認証する場合、ポリシーを定義する前に、ID ソース順序が作成済みであることを確認してください。

• 単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。

• ホスト認証は、MAC アドレスのみを使用して実行されます（MAB）。

Cisco ISE は次のディクショナリをサポートします。

• システム定義されたディクショナリ

  • CERTIFICATE

  • DEVICE

  • RADIUS

• RADIUS ベンダー ディクショナリ

  • Airespace

  • Cisco

  • Cisco-BBSM

  • Cisco-VPN3000

  • Microsoft

  • Network Access

表に、ディクショナリでサポートされる固定属性を示します。これらの属性をポリシー条件内で使用できます。作成する条件のタイプによっては、使用できない属性もあります。

たとえば、認証ポリシー内でアクセス サービスを選択する条件を作成する場合、使用できるネットワーク アクセス属性は、Device IP Address、ISE Host Name、Network Device Name、Protocol、および Use Case のみです。

EAP-FAST を認証プロトコルとして使用する場合は、次のガイドラインに従ってください。

• EAP-FAST 受信クライアント証明書が認証されたプロビジョニングで有効な場合は、EAP-TLS 内部方式を有効にすることを強く推奨します。認証されたプロビジョニングの EAP-FAST 受信クライアント証明書は別の認証方式ではなく、ユーザを認証するのと同じ証明書のクレデンシャルのタイプを使用した略式のクライアント証明書認証ですが、内部方式を実行する必要がありません。

• PAC なしの完全なハンドシェイクおよび認定 PAC プロビジョニングとの認証プロビジョニング作業に対するクライアント証明書を受け入れます。PAC なしのセッション再開、匿名 PAC プロビジョニング、PAC ベース認証には動作しません。

• EAP 属性は、認証の順序とは関係なく、ID ごとにモニタリング ツールの認証詳細に、まずユーザ順、次にマシン順に表示されます（したがって EAP チェーニングは 2 回表示されます）。

• EAP-FAST 認可 PAC が使用される場合、ライブ ログに表示される EAP 認証方式は完全認証に使用される認証方式と同じ（PEAP でのように）であり、参照としてではありません。

• EAP チェーン モードでは、トンネル PAC が期限切れになると、ISE がプロビジョニングにフォールバックし、AC 要求ユーザおよびマシン認可 PAC（マシン許可 PAC）はプロビジョニングできません。後続の PAC ベースの認証通信で AC が要求したときにプロビジョニングされます。

• Cisco ISE がチェーンに、AC がシングル モードに設定されている場合は、AC は IdentityType TLV で ISE に応答しますただし、2 番目の ID 認証は失敗します。この通信から、クライアントのチェーニング実行は適切であるが、現在はシングル モードで構成されていることがわかります。

• Cisco ISE は AD にのみチェーンしている EAP-FAST のマシンとユーザの両方の属性およびグループをサポートします。LDAP および内部 DB ISE に対しては、最新の ID 属性のみを使用します。

Cisco ISE の [PAC の生成（Generate PAC）] オプションを使用して、EAP-FAST プロトコルのトンネル PAC またはマシン PAC を生成できます。

認証に失敗、または認証成功のレポートの繰り返しの抑制に失敗したクライアントを検出するように RADIUS 設定を設定することができます。

Cisco ISE は、次の FIPS 対応暗号方式をサポートしています。TLS バージョン 1.0、 1.1 および 1.2 がサポートされます。

• EAP-TLS、PEAP、EAP-FAST、EAP-TTLS の場合：

  • DHE_RSA_WITH_AES_256_SHA256

  • DHE_RSA_WITH_AES_128_SHA256

  • RSA_WITH_AES_256_SHA256

  • RSA_WITH_AES_128_SHA256

  • DHE_RSA_WITH_AES_256_SHA

  • DHE_RSA_WITH_AES_128_SHA

  • RSA_WITH_AES_256_SHA

  • RSA_WITH_AES_128_SHA

• EAP-FAST 匿名プロビジョニングの場合：

  • ADH_WITH_AES_128_SHA

Cisco ISE は 非 FIPS 準拠暗号方式をサポートしていません。次の暗号方式はサポートされません。

• RSA_DES_192_CBC3_SHA

• EDH_RSA_DES_192_CBC3_SHA

• EDH_DSS_DES_192_CBC3_SHA

• RSA_RC4_128_SHA

• RSA_RC4_128_MD5

• EDH_RSA_DES_64_CBC_SHA

• EDH_DSS_DES_64_CBC_SHA

• RSA_RC4_128_SHA

（注）	これらの非推奨の暗号方式を使用するレガシー デバイスがある場合は、Cisco Technical Assistance Center に連絡してサポートを受けてください。

セキュリティ設定を構成するには、次の手順を実行します。

許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。許可されるプロトコル アクセス サービスは、認証ポリシーを設定する前に作成する必要がある独立したエントリです。許可されるプロトコル アクセス サービスは、特定の使用例に対して選択されたプロトコルが含まれているオブジェクトです。

[許可されるプロトコル サービス（Allowed Protocols Services）] ページには、作成した許可されるプロトコル サービスがすべて表示されます。Cisco ISE で事前に定義されたデフォルトのネットワーク アクセス サービスが存在します。

次の設定を順番に設定して、シスコ以外のデバイスから MAB を設定します。

次の設定を順番に設定して、シスコ デバイスから MAB を設定します。

Cisco ISE で外部 RADIUS サーバを設定して、要求を外部 RADIUS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。

Cisco ISE の RADIUS サーバ順序を使用すると、NAD からの要求を外部 RADIUS サーバにプロキシできます。外部 RADIUS サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。

[RADIUS サーバ順序（RADIUS Server Sequences）] ページに、Cisco ISE で定義したすべての RADIUS サーバの順序が表示されます。このページを使用して、RADIUS サーバの作成、編集、または複製が可能です。

次の表では、[TACACS外部サーバ（TACACS External Servers）] ページのフィールドについて説明します。ナビゲーション パスは、[ワークセンター（Work Centers）] > [デバイス管理（Device Administration）] > [ネットワークリソース（Network Resources）] > [TACACS外部サーバ（TACACS External Servers）] ページです。

Cisco ISE で外部 TACACS サーバを設定して、要求を外部 TACACS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。

次の表では、[TACACSサーバ順序（TACACS Server Sequence）] ページのフィールドについて説明します。ナビゲーション パスは、[ワークセンター（Work Centers）] > [デバイス管理（Device Administration）] > [ネットワークリソース（Network Resources）] > [TACACSサーバ順序（TACACS Server Sequence）] ページです。

Cisco ISE の TACACS+ サーバ順序を使用すると、NAD からの要求を外部 TACACS+ サーバにプロキシできます。外部 TACACS+ サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。[TACACS+サーバ順序（TACACS+ Server Sequences）] ページに、Cisco ISE で定義したすべての TACACS+ サーバの順序が表示されます。このページを使用して、TACACS+ サーバ順序の作成、編集、または複製が可能です。

ポリシー モード変更のためのガイドラインは、次のとおりです。

• Cisco ISE、リリース 1.1 から新たにインストールまたは更新すると、簡易モード ポリシー モデルがデフォルトで選択されます。

• 簡易モードからポリシー セット モードに切り替えると、認証および許可ポリシーはデフォルト ポリシー セットに移行されます。

• ポリシー セット モードから簡易モードに切り替えると、デフォルト ポリシー セットの認証および許可が認証および認可ポリシーに移行されます。その他のすべてのポリシー セット ポリシーは削除されます。

ポリシー セット作成のためのガイドラインは、次のとおりです。

• ルールは、名前、条件、結果で指定する必要があります。すべての認証および許可のルールが定義されていない限り、ポリシー セットを保存できません。

• 同じルール タイプ（認証または許可）と同じポリシー セットからのみであれば、ルールを複製できます。

• 異なるポリシー セットはルールを共有できません。各ポリシー セットには独自のルールがあります。ただし、条件ライブラリを使用している場合は、条件を共有することができます。

グローバル許可例外ポリシーにより、すべてのポリシー セットに適用するルールを定義できます。グローバル許可例外ポリシーは、すべてのポリシー セットのすべての許可ポリシーに追加されます。グローバル許可例外ポリシーは、ポリシー セットのリストからグローバル例外オプションを選択することによって更新できます。

各許可ポリシーには、ローカル例外規則、グローバル例外規則、通常ルールがあります。ローカル許可例外ルールを設定すると、（ある許可ポリシー用の）グローバル例外許可ルールが、ローカル許可例外ルールと並んで読み取り専用モードで表示されます。ローカル許可例外ルールは、グローバル例外ルールに優先します。許可ルールは、許可ポリシーのローカル例外規則、グローバル例外規則、通常ルールの順番で処理されます。

このページを使用して、ポリシー セットを設定できます。

Cisco ISE のダッシュボードには、ネットワークで行われたすべての認証の概要が表示されます。これには、認証ダッシュレットにある認証および許可の失敗についての概要情報が表示されます。

認証ダッシュレットには、Cisco ISE が処理した RADIUS 認証に関する次の統計情報が表示されます。

• 認証成功、認証失敗、同一ユーザによる同時ログインなど、Cisco ISE が処理した RADIUS 認証要求の総数。

• Cisco ISE が処理した、失敗した RADIUS 認証要求の総数。

認証の詳細の他に、Cisco ISE では、ネットワークの効率的な管理に使用できるさまざまなレポートおよびトラブルシューティング ツールが提供されます。

ネットワーク内の認証の傾向およびトラフィックを把握するために実行できるさまざまなレポートがあります。現在のデータに加えて履歴のレポートを生成できます。認証レポートのリストは次のとおりです。

• AAA の診断

• RADIUS アカウンティング（RADIUS Accounting）

• RADIUS 認証

• 認証概要（Authentication Summary）